Zughriff mit DS File (HTTPS) erfordert Portweiterleitung 5000 - seltsam?

[fero]

Moin zusammen,
nach längerem hin und her gelang es mir jetzt auch über mein Windows Phone 8.1 (mobil) mit der App DS File auf meine DiskStation daten zuzugreifen.
Den Port 5006 für WebDAV habe ich geöffnet. Der Port 5000 interessiert dabei nicht - dachte ich.

Als ich die Firewall einschaltete, ging der Zugriff über das Mobiltelfon nicht mehr. Nach Austesten stellte ich fest, dass ich in der Firewall den Port 5000 durchleiten muss. Das verwirrt mich.

Meine Konfiguration:

Im Router habe ich die Ports 443, 5000, 5001 und 5006 weitergeleitet.
(5000 hatte ich zum Einrichten noch offen gelassen, autom. Weiterleitung von HTTP auf HTTPS Verbindungen ist aktiviert unter Systemsteuerung/Netzwerk/DSM-Einstellungen)

In der DSM-Firefall habe die folgenden Ports geöffnet:
443, 5001, 5006
Sobald ich dort 5000 zusätzlich freigebe funktioniert der mobile Zugriff über die App.

In der App DS File melde ich mich mit der folgenden Adresse an: https://xy.selfhost.eu
Ich gebe nicht die :5006 am Ende an, obwohl ich dachte, dass dies nötig wäre. Tu ich es, klappt die Anmeldung nicht.

Da ich den Port WebDAV Port 5005 nicht durchleite, sondern nur den 5006, gehe ich davon aus, dass ich per HTTPS, als mit SSL-Verschlüsselung, mich verbinde. Das darauf jedoch der Port 5000 Einfluss hat, verunsichert mich. Was hat das zu bedeuten?

 

[Fusion]

Erstmal sind webDAV und DS File zwei verschiedene paar Schuhe.

In DS File wird standardmäßig 5000/5001 benutzt, wenn man keinen Port angibt.
Automatische Weiterleitung von 5000 -> 5001 kannst auch ausschalten, wenn du Port 5000 eh nicht offen hast.

 

[fero]

Naja, nun muss ich den Port 5000 ja wohl offen haben. Außer ich entscheide mich gegen den mobilen Zugriff.

Ich dachte, dass DS File über WebDAV läuft. Aber OK. Ich lasse mich belehren. Kann ich dennoch davon ausgehen, dass das in meinem Fall über eine verschlüsselte Verbindung läuft? Zertifikate habe ich ja hochgeladen in Mobiltelefon und installiert. Ob die genutzt werden, sehe ich nicht. Und löschen kann ich sie zum Testen nicht - Microsoft sei Dank :-(.

Wie wertet ihr die Sicherheit bzgl. mobilen Zugriffs?

 

[Fusion]

Da muss noch irgendwo anders ein Bock in der Konfiguration sein. Der Port 5000 muss definitiv nicht offen sein für einen mobilesn Zugriff.

Nur nochmal kurz die Begrifflichkeiten:
File Station == Zugriff im Browser
DS File == Zugriff via DS File Smartphone App

In DS File gibt man schon mal nirgends https://xy.selfhost.eu ein.
Man tätigt nur ein Häkchen bei https und gibt xy.selfhost.eu im Feld Host/Quick-Connect ID ein.
In den Einstellungen dann noch ein Häkchen bei Zertifikat überprüfen (bin mir nicht sicher, ob das mit selbst-signierten Zertifikaten auf dem Phone funktioniert)
In diesem Zustand müsste alleinig Port 5001 offen sein und sonst überhaupt nichts.
Hat man eine Weiterleitung ala 15001 > 5001 dann muss in der App xy.selfhost.eu:15001 angegeben werden.

Leider sehe ich gerade nicht, wo bei dir der Hase im Pfeffer versteckt ist.

Mobile Zugriff gehen bei mir nur per SSL, habe nichts per plain http offen nach außen.
Die nach meinem Ermessen besonders kritischen Dienste habe ich nach außen gar nicht offen. Da gehe ich zuerst per VPN ins lokale Netz und greife erst dann darauf zu.