DSM 6.x und darunter Zugriff auf DS 218+ von außerhalb klappt nicht

[dynamiX]

kurz und bündig:
ports öffnen -> offen für alle welt

ja, bei VPN muss auch ein port geöffnet werden. in der Regel 1194 ABER hier wird mittels Zertifikat und Authentifizierung sichergestellt, dass nur der Client, also dein Notebook (kannst es auch auf Tablet oder Phone machen) sich einwählen kann über VPN.
zudem wenn du über VPN reingehst, bist du wie virtuell mit deinem Gerät im internen Netz, obwohl du ausserhalb bist, somit auch Zugriff auf andere Ressourcen und nicht nur dein Synology.

eine 100% sicherheit gibt es nie, aber mit VPN kann man sich das leben etwas einfacher machen.

wie du es mit VPN machen kannst -> suchfunktion im forum, gibt einige anleitungen

kurz: Synology fungiert als VPN Server, zertifikate exportieren, auf dem Client installieren, Port auf Fritz auf dein NAS freigeben und fröhlich sein

 

[Kurt-oe1kyw]

Langsam das überfordert sonst den TO.

Ganz langsam zum leichteren Verstehen.
Bei VPN installierst du das Programmpaket VPN Server auf deiner Diskstation.
Dabei findest du in den Einstellungen eine "Exportfunktion", dabei wird eine Datei generiert und nur jener PC/Laptop der auch diese Datei hat kann überhaupt eine Verbindung aufbauen.
Grob:
Laptop/PC mit dieser Datei "wählt" von aussen die Diskstation an zB über OPENVPN (= Port 1194), die DS schaut jetzt ob "ihr" Schlüssel (= die exportierte Datei) auf dem "Anrufer" vorhanden ist - falls ja, Zugriff erteilt.
Solange der "Tunnel" steht, kannst du jetzt von aussen all deine Geräte in deinem Netzwerk aufrufen, so als ob du mit dem Laptop zu Hause in deinem eigenen Netz wärst.

Achtung.
Das "einwählende" Netzwerk darf nicht ident sein mit deinem Netzwerk daheim!
Beispiel "zu Hause" = 192.168.1.x
Hotel = 192.168.1.x
das geht nicht!
"zu Hause" = 192.168.1.x
Hotel = 192.168.0.x
Tunnel funktioniert.

 

[dynamiX]

danke @kurt
daher empfehle ich immer gar keine 192 netze zu nehmen, eher 10.x.x.x - das ist eher unwahrscheinlich, dass man die irgendwo antrifft ausser bei IT menschen und nerds

eines ist noch wichtig: stelle sicher, dass der vpn client auch deine ddns domain inne hat und nicht die IP vom NAS sonst wird das nix

 

[Matthieu]

Der VPN-Server nutzt standardmäßig 10er Netze ...
Auch musst du in 10er Netzen Subnetting betreiben um sie zu trennen, von daher halte ich das für einen gefährlichen Vorschlag. Wenn man im 192.168er Band ein paar gern genommene nicht nimmt, kann man da schnell Subnetze finden die üblicherweise ungenutzt sind.

MfG Matthieu

 

[goetz]

Hallo,
als kleines Beispiel, Hotel setzt im 10er Netz eine Netzmaske von 255.0.0.0
http://www.synology-forum.de/showth...-kein-Laufwerk&p=220419&viewfull=1#post220419

Tue Feb 14 20:17:35 2012 WARNING: potential route subnet conflict  between local LAN [10.0.0.0/255.0.0.0] and remote VPN  [10.63.93.0/255.255.255.0]

Gruß Götz

 

[Matthieu]

Von der Seite habe ich es noch gar nicht betrachtet. Was macht man da am besten? Die GUI vom VPN Server setzt doch die 10 unveränderbar vor, oder?

MfG Matthieu

 

[goetz]

Das Netz kann man in der GUI ändern, 10er ist der Standardvorschlag.

Gruß Götz

 

[Flopi79]

Hallo, wollt nur mal eine Rückmeldung geben....

Mittlerweile habe ich es geschafft, die Synology einzurichten. Schönen Dank für die ganzen Tips und Hilfestellungen.

 

[amdbuster]

Auch ich habe das Problem, das ich nicht von ausserhalb auf die NAS ins DSM komme.
Mit dem Drive Tool klappt es aber(zumindest könnte ich synchronisieren).

Portfreigaben im Router(fritzbox 7590) sind 5001, 80, 443 & 6690, DDNS ist name.synology.me, in der Routekonf. steht Video Station (port 9025-9040), Win Dateiserver(port 137-139,445) & Drive (port 6690). Ip ist fest, Router unterstützt nur IP4. Einrichtung habe ich auch nach Idomix gemacht.

Lokal komme ich ja mit https://name.synology.me:5001/ drauf. Wenn ich jedoch nur https://name.synology.me/ eingebe, kommt folgende Meldung:
Web Station has been enabled. To finish setting up your website, please see the "Web Service" section of DSM Help.

gibt zwar viele mit dieser Meldung, doch habe ich keine Lösung für mich gefunden.

 

[Fusion]

Einer der Gründe wieso ich die automatische oder manuelle Routerkonfiguration via DSM nicht mag. Leute reißen sich unbedarft Sicherheitslucken.
Lieber von Hand in der Fritzbox, dann weiß man eher was man gemacht hat.
Schon gar nicht sollte man die Konfiguration im DSM und im Router mischen.
Z.b. Port 137-139,445 haben nichts im Internet verloren.

Zum Beispiel könnte man auch unter Systemsteuerung - Netzwerk - DSM Einstellungen auch name.synology.me als Benutzerdefinierte Domain eintragen und kann dann den DSM über https://name.synology.me und Port 443 nutzen.

Auch von extern kommst du mit https://name.synology.me:5001 auf dein DSM (nach deine Konfigurationabeschreibungen)
Dass https://name.synology.me diese Seite zeigt ist normal und kein Fehler, wenn die Webstation aktiv ist auf 80/443.

https://name.synology.me landet nur auf dem DSM wenn name.synology.me als benutzerdefinierte Domain für den DSM gesetzt ist, oder die Web Station nicht aktiv / nicht installiert ist.

 

[amdbuster]

Das stand alles(bis auf Drive) schon drin nachdem ich DSM installiert hatte. Soll ich den Windows Dateiserver wieder raushauen?

Hatte glaube auch schon von extern mit https://name.synology.me:5001 versucht drauf zu kommen, kam aber nur bad Gateway oder Zeitüberschreitung.
Werde es aber nochmal testen und bescheid geben.

 

[Fusion]

Windows Dateiserver definitiv löschen.

Wenn auf der Fritzbox jetzt keinerlei Portweiterleitungen unabhängig definiert wurden, gibt es auch keine Freigabe für 5001, deshalb keine Verbindung.
Aber wie gesagt Portweiterleitungen (IPv4) / Portfreigaben (IPv6) nur in der DS oder nur im Router selbst von Hand eintragen, sonst weiß man am Ende gar nicht mehr was was ist.

 

[amdbuster]

Hatte am Router wie gesagt ua die 5001 freigegeben.

Wenn ich es mit der 5001 am Ende versuchte, kam eine Meldung : 400 the plain HTTP request was sent to HTTPS port. Hatte dann bei Domain(DMS) https://name.synology.me eingetragen und den Haken bei HSTS gesetzt. Siehe da ich war drauf. Nun wollte ich nochmal schauen wie die Fehlermeldung vorher war, aber auch das klappt nun.
Welche Variante sollte ich lassen(welche ist sicherer)?

p.s. ist es ok den Haken bei HTTP/2 zu setzen, oder wäre das nicht so gut?

 

[Fusion]

Der Fehler ist doch eindeutig, du hast versucht eine http Adresse aufzurufen auf einem Port auf dem aber ein https Dienst lauscht.

Benutzerdefinierte DSM Domain ist nur name.synology.me. Überall wo Hostnamen in der DSM Systemsteuerung oder den DS Apps einzugeben sind hat eine Protokollangabe wie http/https nichts zu suchen.

Die Varianten sind ähnlich sicher. So sicher wie eben die Webdienste und der Webserver auf dem sie laufen. Einzig dürfte man weniger im Fokus stehen, wenn explizit nach Syno NAS auf Port 5001 gescannt wird, weil diese Scans überlicherweise über IP und Ports laufen und weniger oft über Domain Namen.
http/2 ist auch ok.

 

[amdbuster]

Hatte es in der domain auch ohne http angegeben, nur vergessen es zu löschen beim kopieren vom text.

Danke für die schnelle Hilfe

 

[Matthieu]

HSTS ist gefährlich. Wenn es mal Probleme mit dem Zertifikat gibt, kommst du nicht mehr über diese URL auf die DS.

MfG Matthieu

 

[amdbuster]

Wieder kein Zugriff über name.synology.me., Komme nur per IP darauf.

Habe endlich meine richtigen NAS Hdds bekommen und wieder nach dem Video von Idomix eingerichtet.
Allerdings habe ich keine Chance mit name.synology.me. auf die NAS zuzugreifen. Bekomme immer Fehlermeldung: Fehler: Netzwerk-Zeitüberschreitung...
Einstellungen(außer der festen IP) sind die gleichen, habe sie extra nochmal mit denen der Test Hdd(wenn ich diese anschließe funktioniert es) abgeglichen. Die Porterweiterungen in der fritzbox sind auch noch da.

Wo liegt hier der Fehler?

 

[Fusion]

Wenn die Test HDD in der DS funktioniert und die neuen nicht, dann liegt es wohl irgendwo an einer Einstellung auf der DS, oder der Weiterleitung auf die DS zwischen DS Und Router.
Gehst halt alles nochmal Schritt für Schritt durch, von der Portweiterleitung an die richtige IP bis zur Firewall auf der DS.

 

[amdbuster]

Hm, habe mal spaßenshalber wieder die Original IP eingestellt, und siehe da es funktioniert.
Warum nicht mit einer anderen(hatte nur die letzte Stelle geändert)?

 

[Fusion]

Kommst du denn von außen (öffentliche Router IP) mit IP und Port auf die DS?
Hast du die Portweiterleitung auf die andere IP angepasst gehabt?
Manchmal muss man die Portweiterleitung auch löschen und neu anlegen oder nach Änderung die Fritte neu starten, weil sich die Fritte irgendwas merkt.