Zugriff von außen mit fixer IP

[Gewürzwiesel]

Hallo!

In allen Beschreibungen wird davon ausgegangen daß man eine dynamische IP hat und daher DynDNS verwenden muß.In meinem Fall habe ich aber eine fixe IP von meinem Provider. Das heißt doch daß ich, um Beispielsweise aufs Webinterface meiner 212j zugreifen zu können nur https://meineip:5001 eingeben müsste oder? Im Router habe ich eine Portweiterleitung eingerichtet



Aber das klappt nicht also mache ich wohl irgendetwas falsch. Nur was?

Danke!

 

[jan_gagel]

hallo,

also von innen paßt ja dein Beispiel. Von außen aber mußt du (laut deiner Portweiterleitung) den Port 80 nehmen, also http://meine-ip und dann sollte es klappen. OH, halt mal, du hast ja den https-Port verwendet. Mach einfach aus dem "Port from" auch 5001, dann klappt es wie in deinem Beispiel. Sicher, daß du das Admin-Interface von außen zugänglich haben möchtest? Ist in meinen Augen ein Sicherheitsrisiko.

Ciao Jan

 

[jahlives]

du kannst auch bei einer dyn IP immer https://IP:5001 machen. Das hat nichts mit dyn oder fix zu tun

 

[Puppetmaster]

Sicher, daß du das Admin-Interface von außen zugänglich haben möchtest? Ist in meinen Augen ein Sicherheitsrisiko.

Das ist eine Frage, die ich mir auch schon häufiger gestellt habe.
Ich möchte in der Tat das Webinterface nach außen offen haben, aber ich fände es dabei enorm sinnvoll, wenn man einzelne Benutzer dafür aktivieren könnte und nicht jeder angelegte (aktive) Benutzer über seine Anmeldedaten über das Webinterface in den DSM kommt.
So könnte man z.B. einem admin grundsätzlich nur einen Zugang vom lokalen Netz erlauben, den 'normalen' Usern aber auch von extern.
Meines Wissens ist das ja so nicht möglich.

 

[Gewürzwiesel]

Also egal was ich probiere, das klappt nicht. Von PC und Laptop komme ich nur bei http://meineIP aufs Webinterface des Routers (und zwar unabhängig davon ob im "from" feld 80 oder 5001 steht.) Aber von meinem Telefon z.B klappt nichts.

Edit: habe jetzt mal unter www.portforward.com nachgesehen und die meinen: "The TL-WR1043ND_DDWRTv24SP2 will not allow you to forward enough ports, to run Synology DS211j. You should try using the DMZ portion of this router if it is available. Alternatively you can try switching the router to bridged mode. You will need to contact your ISP to switch to bridged mode, so they can make the required changed on their end. "

Und siehe da, mit DMZ klappts tatsächlich! Allerdings bin ich dann tatsächlich ziemlich offen...

 

[joku]

Also egal was ich probiere, das klappt nicht.

Von wo aus versuchst Du Deine externe IP zu erreichen ?
Intern oder Extern ?

Gruß Jo

 

[joku]

Also egal was ich probiere, das klappt nicht. Von PC und Laptop komme ich nur bei http://meineIP aufs Webinterface des Routers (und zwar unabhängig davon ob im "from" feld 80 oder 5001 steht.)

Und die Ports ein zu eins weiterleiten ?
vielleicht hilft das hier

Gruß Jo

 

[Gewürzwiesel]

Das wundert mich ja eben - in den screenshots zu anderen Anwendungen sind offenichtlich Einträge zu Synology NAS vorhanden und genau so hatte ich es ja eingestellt. Sucht man direkt nach der NAS (die 212j ist nicht angeführt aber die 211j) bekommt man die obige info...

 

[jahlives]

@wiesel
habe denselben Router auch mit dd-wrt. Ich habe sicher schon mehr als 10 Portweiterleitungen gleichzeitig gehabt. Aktuell 6 Ports. Ich kann daher die Meldung nicht ganz nachvollziehen. Klar mit DMZ gehts fast immer, allerdings wird dann per default alles an deine DS weitergeleitet wofür es nicht eine explizite Weiterleitung gibt z.B. wohl auch telnet und solche Dinge, die man sicher nicht gegen extern offen haben will.

 

[Gewürzwiesel]

Jetzt habe ich es geschafft: from 80 to 80 klappt. https bringe ich aber nicht zusammen, egal mit welchen ports

 

[jahlives]

Jetzt habe ich es geschafft: from 80 to 80 klappt. https bringe ich aber nicht zusammen, egal mit welchen ports

ich glaub jetzt habe ich es verstanden ;-) Hast du denn bei deinen Tests auch explizit https://DEINE_IP probiert? Wenn du das nicht explizit angegeben hast, dann gehen Browser beim Port 80 von http aus und erwarten dies auch. Du kannst also den Client nicht http erwarten lassen und mit dem Server mit https antworten. Zudem dürfte da auch der Server sperren, weil er einen nicht-https Request auf einem https Port bekommt

 

[Gewürzwiesel]

Ich idiot hatte https noch gar nicht aktiviert, war der Meinung das ist schon geschehen. Jetzt klappts freilich auch mit den Ports! Sorry Leute, das ist peinlich

 

[jahlives]

Und fürs nächste Mal weisst du es du kleiner... ;-) ;-) ;-)

 

[Gewürzwiesel]

Yes Sir!
Das kommt davon wenn man vor laute Enthusiasmus alles auf einmal ausprobieren will und dann durcheinander kommt was man schon gemacht hat und was noch nicht. Danke jedenfalls für eure Hilfe!

 

[jan_gagel]

haha, hab mich grad weg geschmissen vor Lachen. Nicht wegen des Fehlers, sondern wegen der lustigen Bildchen.

Noch was zum Login des DSM. Das wurde schon vielfach angeregt, admin-Zugang oder User-Zugang filtern zu können und so private und öffentliche IPs zu begrenzen. Sollte eigentlich mit relativ wenig Aufwand möglich sein. Nach dem Motto "deny=all" und "allow=192.*" oder wo ähnlich. Das Ganze halt noch mit einer netten Gui.

Ich persönlich verwende VPN, um von außerhalb auf sensible Dienste wie den DSM zuzugreifen. Portweiterleitungen hab ich nur für FTP, HTTP (Website und PhotoStation) und für VPN (für den Rest). Bei FTP kann man den admin sperren (mit einem Trick), der ja per default Vollzugriff auf alles hat, andere User kann man per Anwendungsberechtigung auch vom FTP aussperren. HTTP dient nur als Webserver für meine Homepage, und in der PhotoStation verwende ich die dortige Benutzerverwaltung.

Ciao Jan

 

[jahlives]

@wiesel
hoffe du hast das ned falsch verstanden. Ich fand einfach deinen Homer so gut, dass ich gleich mal auch was suchen musste. Also keinesfalls persönlich gemeint. Fehler passieren jedem

Gruss

tobi

 

[Gewürzwiesel]

nein, nein - keine Sorge. Habe mich über deine Antwort sehr amüsiert!

Gruß
Martin