Wie DSM Port auf 80/443 und Webstation Port auf 1234/12345 ?

[Ulfhednir]

Bei einer gemieteten Domain kann jedoch jeder sehr einfach alle Daten der Besitzers der Domain einsehen. Somit macht es bezüglich Datenschutz einen großen Unterschied ob man eine Domain verwendet die im eigenen Besitz ist oder eine allgemein Domain nutzt die viele andere auch verwenden.

Ich habe keine Ahnung, was du mit der DS betreibst, dass du dir in der Hinsicht ins Hemd machst. Möchte ich auch gar nicht wissen. In den meisten Fällen, dürfte das aber kein Thema sein. Denn normalerweise stellt man einen Upload auf die persönliche Diskstation nur für Personen zur Verfügung, die man kennt.

Ich wollte vor geraumer Zeit schon eine zweite DynDNS einrichten. Da kam beim Serviceanbieter Synology die Fehlermeldung "Sie können nur einen Hostnamen pro DDNS-Anbieter festlegen". Ich hab's dann mit anderen Anbietern probiert, da hat die Diskstation nicht mal die verfügbaren Domains dargestellt. Gestern hatte ich es noch mal versucht und bin wieder gescheitert.

Das ist dann halt bei Synology so. Wie gehabt: Es gibt eine Menge weiterer DynDNS-Provider. Selfhost (Deutscher Provider, fällt unter deutschen Datenschutz) oder z.B. No-Ip. Bei letzteren kannst du 3 kostenfreie DynDNS-Domains anlegen. Musst aber einmal im Monat die Domain bestätigen.

 

[tokon]

Bei einer gemieteten Domain kann jedoch jeder sehr einfach alle Daten der Besitzers der Domain einsehen.

Ganz so einfach ist es seit einiger Zeit nicht mehr.

 

[iOOi]

@ tokon: Tatsächlich. Meine Telefonnummer, Adresse, Name, Emailadresse wird bei WhoIs nicht mehr angezeigt, da erscheint jetzt "<data not disclosed>". Als ich das zuletzt eingesehen hatte, wurde noch alles angezeigt. Immer noch angezeigt wird: personname, organization, street address, postal code, city, country.


Verstehe ich das so richtig?
>>>Für jeden Dienst der Diskstation den ich von außen über einen Standardport erreichen möchte benötige ich eine eine Domain. Der Reverse Proxy macht dann aus der diesen Domains die nicht standard Ports, der im Heimnetz von den Diensten der Diskstation verwendet werden.
Richtig?

Wenn Ja:
Das löst mein Problem (3) nicht, also: Wie erreiche ich, dass der Freigabelink der Filestation auch innerhalb des Heimnetzes funktioniert?
Oder kann ich den DNS-Server der Diskstation dazu verwenden beim internen Zugriff die Ports zu verbiegen?

Außerdem:
Wie verbinde ich eine gemietet Domain (MeinName.com) mit meiner dynamischen IP? Du hattest Geschrieben "CNAME-Record auf dein DynDNS" und "du mietest dir für einen schmalen Taler eine "richtige" Domain. Dann könntest du folgendes einrichten:
HTTPS://filestation.deinedomain:443 -> FileStation
HTTPS://www.deinedomain:443 -> Web Station
"

Bei den DDNS Einstellungen kann ich meine "richtige" Domain nicht eintragen, da die Diskstation einen Serviceanbieter wissen will, meine "richtige" Domain aber keinen der gelisteten hat. Für .com ist das glaube ich https://nic.com/

 

[Ulfhednir]

Das löst mein Problem (3) nicht, also: Wie erreiche ich, dass der Freigabelink der Filestation auch innerhalb des Heimnetzes funktioniert?
Oder kann ich den DNS-Server der Diskstation dazu verwenden beim internen Zugriff die Ports zu verbiegen?

Gegenfrage: Wozu möchtest du dir im Heimnetz die eigenen Freigabelinks verwenden?

Bei den DDNS Einstellungen kann ich meine "richtige" Domain nicht eintragen, da die Diskstation einen Serviceanbieter wissen will, meine "richtige" Domain aber keinen der gelisteten hat. Für .com ist das glaube ich https://nic.com/

Die Frage habe ich unter #6 bereits beantwortet. Du kannst hier einen Pseudo-Eintrag hinterlegen.
Beispiel auch hier zu finden:
https://www.synology-forum.de/threa...gung-von-extern-zu-langsam.120743/post-999586

 

[iOOi]

Weil ich sonst der einzige bin, der meine eigenen Links zu meinen eigenen Daten nicht öffnen kann:



Stell dir vor du hast einen Kühlschrank in den prinzipiell jeder außer du hineinschauen kann. Du bist der einzige der nicht prüfen kann, ob noch genug Sauerkraut da ist. Du musst immer einen Bekannten anrufen damit er für dich nachsieht oder andere mühsame Möglichkeiten finden.

Ich prüfe immer den Freigabelink vorm Versenden, ob er auch das macht was ich will. Außerdem möchte ich sehen was er anbietet, wenn ich ihn in einer von mit verfassten Email finde und ich nach Wochen die Details vergessen habe.

Es ist einfach praktisch einen Kühlschrank in dem sich die eigenen Lebensmittel befinden zu haben den man selber öffnen kann. Das ist selbst bestimmtes Leben.

 

[Ulfhednir]

Wird denn jetzt der gewünschte Freigabelink erstellt?
Was heißt bei dir, dass der Link intern nicht funktioniert. Gibt es eine Fehlermeldung?

 

[Ulfhednir]

Die Einträge unter DDNS haben sich übrigens erledigt. Fusion war so freundlich und hat darauf aufmerksam gemacht, dass die Freigabelinks derweil vernünftig aus dem Anmeldeportal gezogen werden.

https://www.synology-forum.de/threa...ung-von-extern-zu-langsam.120743/post-1000005

 

[ottosykora]

Weil ich sonst der einzige bin, der meine eigenen Links zu meinen eigenen Daten nicht öffnen kann:

also wenn ich es richtig verstehe, dann handelt es sich um Links, die von aussen zwar funktionieren, aber von innen nicht. Also Links mit DDNS welche auf die eigene gegenwärtige öffentliche IP deines Anschlusses zeigen.

Nur dies ist eigentlich kein Problem von DS oder deines PC, das ist ein Problem des Routers der keinen Zugriff auf den 'Eingang' von dem internen Netzwerk aus erlaubt. Das soll eine Sicherheitsfunktion sein. Das machen wohl mittlerweile die meisten Router so denke ich.
Bei einigen wie FritzB kann man bei der Einstellung 'rebind Schutz' die betreffende Domain in eine Ausnahme Tabelle eintragen, dann geht es oft wieder.

 

[iOOi]

Wenn jemand von außen auf den Link der FileStation zugreift, macht er das über die DDNS Domain und den Standardport 443, obwohl die Filestation auf einem anderen Port reagiert, z.B. 12345. Der Router leitet auf die interne IP der Diskstation und Port 12345. Der Filestation kann man sagen, Links der FileStation für einen anderen Port als den tatsächlichen der FileStation zu erzeugen. Offenbar für diese Anwendung der Portweiterleitung. Also erzeugt sie https Links mit dem Port 443.

Auf der DiskSation habe ich einen eigenen DNS-Server laufen, der alle internen URLs auflöst. Wenn ich den Link FileStation also selber anklicke, löst der interne DNS-Server die interne IP der DiskSation auf und es erfolgt keine Änderung des Ports. Ich bräuchte also neben dem DNS-Server auch noch eine Funktion bei bestimmten Kombinationen von eigenen Domains und Ports den Port zu ändern.

Wenn ich einen FileStation anklicke, bekomme ich die 404-Seite meiner Diskstation zu sehen, da auf dem Port 443 die Webstation antwortet, die den Link der FileStation nicht kennt. Vielleicht könnte man die 404-Seite der Webstation ändern und dort ein JS Script laufen haben, dass die URL untersucht und wenn es merkt, dass es sich um einen Link der FileStation handelt den Port ändert und dort hin weiterleitet. Ansonsten die 404 Fehlermeldung zeigt. Doch wenn der Link falsch ist, hat man eine Endlosschleife von Weiterleitungen.

 

[ottosykora]

ach so, das klingt wirklich kompliziert
Ich habe keinen extra DNS, dann kommt es so wie scheinbar von aussen

für komplizierte Fälle verwende ich Quickconnect, da spielt es dann kaum noch ein Rolle wegen den Ports etc.

 

[iOOi]

Als ich das NAS gekauft hatte, hatte mir jemand der mir kompetent schien von Quickconnect abgeraten, warum weiß ich nicht. Wie funktioniert Quickconnect im Prinzip?

 

[ottosykora]

na ja, es ist vielmehr so , dass nicht alle Funktionen 100% frei beschrieben sind, also proprietär. Das irritiert einige Sicherheits Gurus.
Aber so wie viele auch Teamviewer verwenden zum Bsp und leben dennoch, sehe ich bei QC vor allem eine nützliche Einrichtung wenn man sonst Schwierigkeiten hat an die DS zu kommen.
Oft ist es der einzige brauchbare Weg.

etwas Lesestoff dazu gibt es hier:
https://global.download.synology.co...All/enu/Synology_QuickConnect_White_Paper.pdf

 

[Ulfhednir]

QuickConnect torpediert dir sämtliche Firewall-Regeln, weil es eine ausgehende Verbindung zu einem Synology-Relay-Server aufbaut.
Das ist jetzt Vor- und Nachteil zugleich. In jedem Fall kann QuickConnect ein Flaschenhals sein, wenn es um Filesharing oder dem Bereitstellen von Multimedia-Inhalten. Ich könnte mir durchaus vorstellen, dass die Geschwindigkeit einbricht, wenn ich von extern über QuickConnect meine Filme schauen möchte. Lasse mich aber gerne eines besseren belehren.

 

[ottosykora]

kommt etwas darauf an ob nur die Vermittlung durch den QC Server geht oder auch die Daten selber. Letzteres wird dann verwendet wenn alles andere erfolglos war. Und ja, wenn mal auch die Daten über den Server laufen, dann wird sicher alles etwas langsamer auch wenn es in den letzten Jahren viel besser wurde, weil es Server in vielen Ländern gibt und nicht nur in Taiwan so wie es am Anfang war.
Und ja, es werden halt outbound Verbindungen genutzt, sei es um nur zu vermitteln zwischen den Geräten.
Klar, damit werden die Regeln umgegangen oder eigentlich die bestehenden Möglichkeiten voll ausgenutzt.
Dafür funktioniert alles auch dort, wo sich zum Bsp eine DS hinter einem mobil Anschluss versteckt.

Systeme die nur durch Vermittlung funktionieren gibt es viele und werden auch problemlos verwendet, da habe ich mit QC keine Probleme.

 

[iOOi]

Mit einer schlechten Erreichbarkeit habe ich ohne QC zu nutzen noch keine Probleme gehabt. Eher im Gegenteil: Ich möchte nicht, dass man von außen auf eine Anmeldeseite der DiskStation kommt. Durch den eigenen von außen zugänglichen Port für die File Station kommt man von außen wenigstens nicht mehr an die Anmeldeseite für den DSM.

Verwendet Synology z.B. für die Vermittlung MQTT?

 

[Ulfhednir]

Verwendet Synology z.B. für die Vermittlung MQTT?

Da wirst du wohl Synology selbst befragen müssen. Mit etwas Glück bekommst du auch eine Antwort.

 

[ottosykora]

Durch den eigenen von außen zugänglichen Port für die File Station kommt man von außen wenigstens nicht mehr an die Anmeldeseite für den DSM.

QC braucht man wenn genau dies nicht machbar ist.
Wenn die DS in einem nicht erreichbarem Netz liegt zum Bsp.
Wenn du zu den glücklichen gehörst einen dir angenehmen Port in deinem Router zu definieren und diesen auch von aussen zu erreichen, dann ist QC für dich sicher kein Thema.
Sehr viele haben solche Möglichkeit nicht. Diese Nutzer müssen auch berücksichtigt werden.

 

[iOOi]

Was mir noch fehlt ist eine Möglichkeit die Anmeldeseite zu verwehren, wenn jemand alles nach der Domain vom Filestation Link entfernt.