Zugriff auf DSM der DS218+ aus dem Internet

[Karli1969]

Hallo,

ich habe über den Synology DDNS und entsprechende Einstellung der Fritzbox 7590 Zugriff aus dem Internet auf den eingebauten Webserver.
Leider habe ich als Nebeneffekt auch Zugriff auf die DSM-Oberfläche, was ich wahrscheinlich nie brauche. Zu allem Überfluss ist das nicht https sondern http.
D.h. wenn ich mich dort einloggen würde, würde alles unverschlüsselt übertragen. Die Website dagegen geht schön mit https.

Wie kann ich es hinbekommen, dass entweder der Zugang von außen auch mit https funktioniert ODER, falls das nicht geht, der Zugang aus dem Internet deaktiviert wird?

Viele Grüße
Karl

P.S. Falls meine Frage hier im falschen Unterforum ist, kann sie gerne ins richtige Unterforum verschoben werden.

 

[Thonav]

Port 5001 im Router freigegeben? Der ist für https, Port 5000 ist für http.

 

[Penthys]

Systemsteuerung->Netzwerk->DSM Einstellungen

Dort werden die Ports festgelegt unter denen die DSM erreichbar sein soll, es kann eine Zwangsumleitung von http auf https aktiviert werden und eine Sub-Domain definiert und aktiviert werden, unter der DSM erreichbar sein soll über die Standard-Webports.

 

[Karli1969]

Ahhhhhhhhhh Danke Thonav. Ich habe es immer mit https://meindomainname.synology.me:5000 versucht.
Wenn 5000 nur für http ist, kann das ja gar nicht funktionieren!
Habe es mit port 5001 versucht und es klappt sofort mit https.
Was ich mich noch gerade frage: Wisst ihr eigentlich alle Ports auswendig?

 

[Thonav]

neee - außer das Ave Maria nichts - aber das kann ich auswendig summen... ?

 

[Penthys]

Für die Syno-Apps kannst du diese in der Systemsteuerung->Anwendungsportal für http und https aktivieren und auch ändern bei Bedarf. Ebenso die Sub-Domains und ggfls Sub-Folder für die Web-Standardports.

 

[Karli1969]

Danke Penthys, aber ich denke, das geht über mein Niveau. Habe noch gar nicht so richtig begriffen, was die Ports eigentlich sollen.
Irgendwie Zugangspunkte zu irgendwelchen Internetservices. Ich wüsste im Moment auch nicht, warum (bzw. unter welchen Umständen) ich irgendwas ändern soll. Ich denke, das sickert erst in mein Unterbewusstsein, wenn ich mehrere Probleme damit hatte und diese mittels Portänderungen gelöst bekomme.

 

[Wollfuchs]

oder wenn Dir jemand die Karre von aussen an die Wand faehrt .. und dann ist das Geschrei gross.

Wenn Du wirklich so wenig Ahnung hast, wie das alle funktioniert, solltest Du es abschalten, bis
Du es weisst. Das ist nicht boes gemeint sondern ein gut gemeinter Rat, bevor was passiert.

 

[Thonav]

Mäßige Dich mal in Deiner Ausdrucksweise.
Entweder Du hilfst, oder Du lässt es.

@Karli1969 : über folgenden Link findest Du die Standardports von Synology https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services

Immer nur die aufmachen, die Du auch wirklichste brauchst.

 

[Wollfuchs]

Was bitte passt denn an der Ausdrucksweise nicht?

irgendjemanden angegangen?
beleidigend gewesen?

mir scheint eher, dass du nicht verstanden hast, was ich schrieb.

 

[Thonav]

Zumindest nichts konstruktives.
Nun hör auf zu flennen. Und wenn Du mir etwas zu sagen hast, schreib mich an.

 

[Wollfuchs]

wenn du wirklich so ein Verstaendnisproblem mit der deutschen Sprache hast, kann ich es auch fuer Dich uebersetzen:

>oder wenn Dir jemand die Karre von aussen an die Wand faehrt .. und dann ist das Geschrei gross.
Du oeffnest nach aussen mit diesen Ports Tore, die Du kennen solltest. Angreifer kennen diese auch. Und das kann zu Deinem Nachteil werden.

>Wenn Du wirklich so wenig Ahnung hast, wie das alle funktioniert, solltest Du es abschalten, bis
>Du es weisst.
Es waere sinnvoll, vorsichtshalber restriktiver mit der Oeffnung von Ports umzugehen, bis Du verstanden hast, wozu die offen sind und zu hinterfragen ob diese offen sein muessen fuer den gewuenschten Anwendungszweck.

>Das ist nicht boes gemeint sondern ein gut gemeinter Rat, bevor was passiert.
Wenn man unwissend zu viele nach aussen oeffnet, ist nicht Frage ob was passiert, sondern wann.

 

[Jagnix]

Zumindest nichts konstruktives.

Doch, das war sehr konstruktiv.
Du hast es nur nicht verstanden.

Nun hör auf zu flennen.

Dann mach mal

 

[Karli1969]

Wollfuchs, ich habe auf der DS218 keine Daten, die nicht unwiederbringlich wären und auch nichts außergewöhnlich Geheimes oder Schützenswertes. Feinde habe ich auch nicht, zumindest keine, die mit offenen Ports was anfangen könnten. Ist auch nicht so, dass ich wild Ports öffne. Und wie du in meinem Ausgangsposting gesehen hast, ist mir schon klar, dass es keine gute Idee ist, mich ohne Verschlüsselung von Außen in das DSM einzuloggen. Denn dann würden die Kenn und Passwörter ja im Klartext übertragen.
Von daher hält sich das Risiko in Grenzen.

Und Danke Thonav für den Link auf die von der DS benutzten Ports. Das sind ja extreeeem viele. Ich gehe mal davon aus, dass die DS alle Ports automatisch schließt, wenn die betreffende Anwendung nicht installiert ist oder? Kann ich überprüfen, welche Ports offen sind?

 

[Wollfuchs]

Es geht nicht immer um daten die einem selber wichtig sind.. auch aber eben nicht nur. Und der angreifer kennt dich ja nicht, dem bist du total egal, der ist nicht dein feind weil er dich kennt sondern obwohl er dich nicht kennt.

so ein richtig duesteres szenario oeffnet sich, wenn dein nas nur dafuer missbraucht wird als spamrelay zu arbeiten .. oder als botserver fuer angriffe auf unternehmen .. oder .. jetzt packen wir man tief in die offene kiste, jemand baut auf deinem nas eine cloud auf und nutzt deine hardware fuer schmuddelkram (ersetze hier schmuddel mit dem widerlichsten, dass die welt kennt).

abwegig? Hmm .. sicher nicht der fall den man jeden tag findet aber denkbar. Und wenn du auf dein nas vom pc zugreifen kannst .. kann dein nas auch auf deinen pc .. wenn alle tore offen stehen. Und genau davor wollte ich nur warnen.

ich rupfe hier auch zum testen gern mal grosse loecher in meine sicherheit, mach die aber immer genauso wieder zu. Fuer den hausgebrauch, also nur weil ich unterwegs auf die kiste will, gibt es vpn. Ein dienst, ein port, ein user.

 

[Karli1969]

Jetzt hast du mir Angst gemacht Wollfuchs. Habe jetzt in der Fritzbox die vermutlich gefährliche Option "Dieses Gerät komplett für den Internetzugriff über IPv4 freigeben (Exposed Host)." deaktiviert.
Kann man so ein Synology NAS denn von außen so umkonfigurieren, dass sie als botserver oder spamrelay arbeiten?
Was müsste man einstellen, dass man von außen ausschließlich auf den Webserver zugreifen kann und alles andere gesperrt bleibt? Einfach alle Ports außer 5001 sperren?

VPN ist sicherlich eine gute Idee, aber dann komme ja nur ich von außen in mein NAS. Der webserver sollte aber von allen erreichbar sein. Außerdem habe ich noch keine große Erfahrung mit vpn. Stelle ich mir gerade relativ kompliziert vor, das einzurichten. Muss gleich mal danach googeln. Vielleicht gibt's ja sogar ein Video zu dem Thema.

Edit: iDomiX hat ein Video dazu gemacht. Bin das gerade am schauen. Man könnte ja auch ein VPN zur Fritzbox bauen. Macht das nicht mehr Sinn, als eine VPN zur DS einzurichten und in der Fritzbox eine Portweiterleitung zu machen?

 

[Wollfuchs]

Die schlechte nachricht ., ja kann man.
die gute .. man kann es ja verhindern.
Exposed host ist in meinen augen die gefaehrlichste aller varianten.

nur web auf dms also bedienoberflaeche? 5001. dann aber in dsm redirect http auf https anhaken.
webstation, also eigene webseite? 80/443 wobei nur 443 besser waere.

nur du willst auf die kiste .. und das soll sicher und sauber sein? 1194 mit openvpn.