Wie mit DS Video App aus dem Internet auf Video Station zugreifen?

[jimbolaya]

hmm.. bevor ich mir ein weiteres gerät und noch eine fernbedienung anschaffe, da verzichte ich dann doch auf die DVD-menüs und nutze einfach dvd2mkv.

hab momentan nur die DS, einen dlna-fähigen samsung smart-tv (mit angeschlossenem denon avr für 5.1) und streame die filme per ArkMC iPhone app direkt von der DS zum tv. total simpel. nur eine einzige smart-touch fernbedienung..
einfach, simpel und elegant

trotzdem würde ich natürlich statt ArkMC lieber die DS Video app nutzen - mal gucken, ob von Stefan noch infos hierzu kommen..

 

[stefan_lx]

der zweite war Aceplayer

Stefan

 

[jimbolaya]

der zweite war Aceplayer

Stefan

Danke! Habe ich grade installiert. Die DS Video app bietet auch das Abspielen über AcePlayer an, leider wird dann nur zum AcePlayer geswitcht aber es wird nichts abgespielt :-(

Was für ein DiskStation hast du denn?

 

[jimbolaya]

so... ich habe noch mal ein bisschen getestet und denke, das problem liegt nicht an den iPhone Apps, sondern an den Einstellungen der Video Station bzw. vom Applikationsportal oder der Firewall. Hier mal meine Testergebnis:

Auf folgende Wege kann ich zwar die Movies in der Video Station browsen, aber das Abspielen klappt nicht:
1) DS Video+ App über's Internet oder über's WLAN mit https://MYDSNAME.synology.me:9008 - beim Abspielen scheitern alle Apps (VLC, AcePlayer, OPlayer)
2) in Browsern (Win8) mit https://MYDSNAME.synology.me:9008 (beim Abspielen wird folgende URL geöffnet und der Film spielt nicht: https://MYDSNAME.synology.me:9008/?...ype=movie&typeID=&videoID=391&videoType=movie)
3) in Browsern (Win8) per WLAN mit https://MYDSNAME:9008 (ähnliche URL wie in Fall 2)

Auf folgendem Weg geht sowohl das Browsen, als auch das Abspielen:
4) In Browsern (Win8) per WLAN auf http://MYDSNAME:5000 einloggen, dann "Video Station" starten und beim Abspielen läuft der Film im Browser unter folgender URL: http://MYDSNAME:5000/webman/index.c...ype=movie&typeID=&videoID=391&videoType=movie
5) DS Video+ App über's WLAN mit der DiskStation im lokalen Netz (192.168.178.2)

Ich habe auf Verdacht mal in der Firewall zusätzlich zum 9008 auch den 5000 geöffnet. Hat aber nichts gebracht.

Zwei Fragen an euch:
a) Wenn ihr bei euch Fall 2) nachstellt, welche URL wird dann beim Abspielen des Films im Browser aufgerufen?
b) Welche Einstellungen sollte ich nochmal probieren (bei Firewall/Applikationsportal/etc.) ?

 

[jimbolaya]

hat keiner irgend eine idee?

 

[Fixy]

Kann mir jemand sagen, wofür und ob die Ports 9025-9040 TCP und 1900 UDP überhaupt (noch) benötigt werden?
Es geht sowohl im Browser als auch über die Mobile-Apps ohne diese Ports im Router freigegeben zu haben.
5000er-Ports habe ich auch nicht (mehr) freigegeben, sondern meine benutzerdefinierten DSM-Ports.

1900 (UDP), 5000 (HTTP), 5001 (HTTPS), 9025-9040,
5002, 5004, 65001 (für die Verwendung des Netzwerk-Tuners HDHomeRun)
(https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services)

Auch geht z. B. das aktive FTP, wenn ich nur Port 21 freigegeben habe.
Dafür kriege ich bei mir IPSEC-VPN nicht zum laufen, dafür OpenVPN problemlos aber das braucht halt einen zusätzlichen Client.

 

[ToniTonic]

Stellt bitte nicht so viele Ports und so viele Dienste direkt ins Netz... geht bitte lieber über VPN. Ausser ihr wollt irgendwann eure Daten mit unbekannten Kennwort verschlüsselt vorfinden!

iOS, Mac, Windows, ... L2TP lässt sich hier mit Boardmitteln und ohne große Umstände einrichten. Eigentlich leichter zu konfigurieren als OpenVPN. Woran scheitert es denn?

@Fixy: Hast du am Router konfiguriert, dass die Applikationen selbst für die Portfreigaben sorgen können?
@jamba: Wenn du über VPN gehst, hast du nicht so viele Szenarien

 

[Fixy]

Hi ToniTonic

Sorry, habe keine Benachrichtigungs-Email gesehen wegen deiner Anwort!

VPN ist halt mühsam, umständlich, zusätzliche Hürde etc. Und Performance wird auch nicht gerade besser und muss auf jedem Gerät auch noch eingerichtet werden.
Ich will ja eig. auch nicht so viele Dienste online stellen. Scheinen mir immer noch / wieder viel zu viele Ports im Router eingetragen.

DSM-Standard-Ports habe ich sicherheitshalber angepasst, FTP ist offen und die XYZ Station- / App-Pots halt und WebDAV momentan (noch).

Open-VPN hat bei mir auf Anhieb geklappt. aktivieren, Konfig. exportieren, Konfig. im Client importieren, verbinden, geht.
L2TP/IPSec habe ich gestern Nacht endlich zum laufen gekriegt. Muss man für Windoof einen Registry-Eintrag einfügen (EncapsulateUdpIrgendwas oder so), für wenn man nicht direkt mit allem verbunden ist, sondern sich hinter einem Router befindet (was ja eigentlich fast immer der Fall ist). Sonst gibt es beim Verbindungsversuch einen Fehler, dass der Remote-Server nicht geantwortet hat. Sehr mühsam und behindert...
Komischerweise hat's dazumals meines Wissens auch auf Android nicht funktioniert. Versuche das gleich nochmals...

@Fixy: Hast du am Router konfiguriert, dass die Applikationen selbst für die Portfreigaben sorgen können?

Du meinst uPnP? Habe ich aktiviert, funktioniert aber nur bedingt, da die Anz. Portweiterleitungen am Router beschränkt sind und über uPnP jeder Port mit jedem Protokoll einzeln eingetragen wird. Am Router selbst kann ich Ranges eingeben und für TCP und/oder UDP. Ausserdem habe ich das Gefühl, dass dadurch tonnenweise komische Ports reinkommen, die ich nicht will, brauche oder gar nicht identifizieren kann, wofür die sind.


P.S. Spielt es irgend eine Rolle, was ich bei "Dynamische IP" einstelle, so lange der Bereich innerhalb der 3 erlaubten liegt?

 

[ToniTonic]

Hallo Fixy,

ich mache alles was mit zuhause zu tun hat über VPN. Über OpenVPN habe ich zwei DS über zwei Standorte verbunden und mit Endgeräten von Unterwegs (Mac, Win10, IPhone) über L2TP/IPSec. Die Dynamische IP Adresse habe ich knapp vom Standard abgewichen (10.1.10.1 bei OpenVPN und 10.2.10.0 bei L2TP/IPSec), da in Überschneidungen in unserem Firmennetzwerk vorhanden waren.

Die Einrichtung von L2TP/IPSec empfand ich persönlich leichter, als die Einrichtung von OpenVPN. Wie auch immer, wenn es mal Server-Technisch eingerichtet ist, ist die Anbindung gerade unter Apple-Geräten sehr einfach. Windows ist schon zu lange her, aber ich glaube da war was mit Registry Einstellungen, jetzt wo du es schreibst....

Man gewöhnt sich sehr schnell daran, wenn man was von Zuhause sucht (Film, Hörbuch, Dokumente, ...) dann per Knopfdruck VPN an und vom Handy über App oder Laptopf über den Browser zugreifen. Will man durch eine Firewall wie zB in der Firma oder Hotelnetzwerk ohne Bedenken was machen, dann VPN mit "Gesamtem Netzwerk routen" an und los gehts. Ich mach das auch, wenn ich über ein Mobiles Netz auf Online-Banking zugreife, oder einfach nur bei einem Öffentlichen WLAN mich bei irgendeinem Dienst einlogge.

Bin leider berufsbedingt immer wieder in so einem WLAN unterwegs. Firewall Profil gibt hier nur die Möglichkeit frei, mich per VPN einzuloggen und dann kann ich erst was tun Vielleicht etwas Paranoia... aber funktioniert gut. Offene oder Hotel-Wlans zerlegen teilweise das https Zertifikat und bauen es wieder zusammen. Gibts schon lange (https://live.paloaltonetworks.com/t...SL-Forward-Proxy-Man-in-the-Middle/ta-p/66193). Und keine meiner Dienste gehen irgend nen MacDonalds oder Hotel was an.

Upload liegt bei 5 MBit/s. Schneller wäre besser, aber reicht gerade so aus. Performance hier habe ich nur den Vergleich zu Qickconnect mal probiert und da merke ich keinen Unterschied zwischen VPN und Qucikconnect. Vielleicht gibt es hier die ein oder andere Messung im Forum.



Firmen/Homeoffice, Unis, ... alles mögliche wird über die eine oder andere Art von VPN abgebildet.

 

[writetome]

1) DS Video+ App über's Internet oder über's WLAN mit https://MYDSNAME.synology.me:9008 - beim Abspielen scheitern alle Apps (VLC, AcePlayer, OPlayer)

In der iPhone DS Video App musst du den HTTP Port noch zusätzlich angeben (Einstellungen der APP). Dieser muss auch freigeschaltet sein in deinem Router und der Firewall der DS,
Zusätzliche Player benötigst du nicht. Das abspielen funktioniert in der DS Video APP selbst unter iOS.

 

[Fixy]

Hi ToniTonic

Wenn ich das in deinem Link richtig verstehe, kann die HTTPS-Verbindung zwar abgefangen werden, man wird aber auch darauf aufmerksam ("If the device certificate is not part of an existing hierarchy or is not added to a client's browser cache, then the client will receive a warning message when browsing to the secure site.")?

Upload liegt bei 5 MBit/s

Upload von wo nach wo? Und bei welcher Internetgeschwindigkeit? Muss die Performance von VPN vs. direkt mal testen.
Beim VPN ist der Vorteil, dass man auf keinen Dienst direkt zugreifen kann, wenn ich das richtig verstehe, sondern nur über VPN? Dafür, je nach Konfiguration, kommt ein Angreifer über VPN dann auch gerade in mein ganzes Netzwerk rein und nicht nur auf den entsprechenden Dienst...!?

Leider wurde die ursprüngliche Frage nicht beantwortet, wofür ich für denn all diese Ports freigeben soll / muss bzw. ob das überhaupt irgend eine Notwendigkeit hat oder einen Vorteil bringt. Zum einen funktioniert es bei mir auch ohne diese Ports, zum anderen werden diese Ports vom NAS über UPnP auch nicht alle geöffnet.

mfg

P.S. Beim Dateien kopieren von der Schule über VPN hatte ich häufig hervorragende einige KB/s bis teilweise überwältigende mehrere 100 KB/S..... Soviel dazu...

 

[Khorgoroth]

...Beim VPN ist der Vorteil, dass man auf keinen Dienst direkt zugreifen kann, wenn ich das richtig verstehe, sondern nur über VPN? Dafür, je nach Konfiguration, kommt ein Angreifer über VPN dann auch gerade in mein ganzes Netzwerk rein und nicht nur auf den entsprechenden Dienst...!?...

Das ist soweit korrekt. VPN gakuelt lediglich vor, dass du mit dem VPN Client im selben Netzwerk bist, wie der VPN Server. Alle Programme etc. müssen auf dem Client Rechner installiert sein um sie nutzen zu können. WebApps sind davon natürlich ausgeschlossen.

 

[ToniTonic]

Hallo Fixy,

das ist richtig, bei dem Vorgehen wie im PaloAlto Link von mir kommt eine Zertifikatswarnung. Habe ich zu vorschnell gewählt. Jedoch kann diese Zertifikatswarnung umgangen werden. Es gibt die Möglichkeit ein im Browser installiertes Zertifikat, ein Zertifikat einer offiziellen Zertifizierungsstelle oder über ein sogenanntes "in the wild" Zertifikat. In allen drei Fällen würde keine Zertifikatsmeldung kommen. Als Abhilfe bräuchtest du ein "Extended Validation"-Zertifikat (EV - der grüne Balken) was meist noch recht teuer ist. Wenn es dich genauer interessiert, such mal nach dem "Superfish" Vorfall 2015 oder der Sicherheitslücke Poodle von 2014.

Unabhängig davon: Bei den Synology Apps sind nicht alle Funktionen über HTTPS verfügbar. Manche Dienste laufen nur unverschlüsselt in vollem Funktionsumfang. LXQt zum Beispiel, oder die Videostation. Wenn der VPN Tunnel die Verschlüsselung übernimmt, kannst du auf die Dienste unverschlüsselt zugreifen.

"In dein ganzes Netzwerk" kommt der Angreifer bei geknacktem VPN auch nicht zwingend. Je nach Konfiguration kann er nur auf die IP deines VPN Servers zugreifen. Für alles andere musst du bei L2TP noch bei jedem Router das passende Routing einrichten. Der VON Server ist in unserem Fall das NAS. Hier werden dann immer noch wie auch ohne VPN Zugangsdaten benötigt. Doppelter Boden sozusagen.

Mit Upload meinte ich den Upload meiner Internetanbindung des Standorts mit dem VPN Server. Das ist der Flaschenhals, da dieser Server alles hochladen muss zum Clienten. also wenn du zB eine 1&1 Leitung mit 25 MBit Download hast, hast du dort im Paket 5 Mbit Upload. Bei DSLMobil hast du jedoch mit 50 Mbit Download nur 2,5 MbIt Upload. Das siehst du bei einem Speedtest oder in den Vertragsdaten.

Portweiterleitungen im Router reichen dann ausschließlich die für die VPN Verbindung notwendigen.

 

[ToniTonic]

Hallo nochmals,

hab noch was zur Erklärung des Uploads gefunden: https://www.synology.com/en-us/know...am_videos_smoothly_via_Video_Station_DS_video