Hallo zusammen
Ich habe an meinem CB 2.0 eine Synology DS215j hängen (LAN), sie wurde mit DynDNS konfiguriert für den Zugriff von aussen.
Zusätzlich habe ich auf den Clients CloudStation laufen, damit die gemeinsamen Ordner jeweils synchronisiert werden. In den letzten Wochen lief alles ohne Probleme, es wurde nichts an der Konfiguration verändert.
Aktuell synchronisiert CloudStation wenn ich im Heim-WLAN jedoch die Ordner nicht mehr und es steht, dass der Server nicht verfügbar wäre. Sobald ich in einem anderen Netzwerk bin oder übers Tethering gehe, funktioniert alles wieder.
Die Portweiterleitungen (5001 und die vom CloudStation) wurden nicht verändert, Firewall lässt eingehende/ausgehende Dienste zu für die CloudStation und die Box ist im internen WLAN im Finder auffindbar. Auch wenn ich direkt über die IP oder DynDNS (HTTPS) gehe komme ich im Heim-WLAN auf die Box.
Weiss jemand, wo der Fehler liegen könnte?
@Tux0ne vielleicht kannst Du da weiterhelfen. Ich finde es keine gute Idee den 5001 Port zu öffnen, den dann kann ich das Syno kommplett hacken und übernehmen . Besser ein PortNAT erstellen.
Consumer Router von Swisscom und dazu zählt der CB genauso wie die Drecksrouter für Privatkunden, sind so vorkonfiguriert, dass der DNS Rebind Schutz für die meist genutzten Ports ausgeschaltet ist.
Eigentlich ist das nicht gut... Würde aber noch viel mehr Calls von Hinz und Kunz verursachen.
Daher geht es mit den meisten üblichen Anwendungen, mit der Cloud hier wohl nicht.
Also ich denke dies wird am ehesten das Problem sein ohne das ich jetzt gross Analysen starte.
Betriebe einen eigenen DNS Server im lokalen Netz und du hast kein Problem mehr.
In meinem Blog hat es einen Beitrag wie man dies eben notfalls auf der Synology erledigen kann, wenn man keine anderen Alternativen dazu hat oder weiss.
Ok, danke! Dann komme ich der Sache schon etwas näher..
Das heisst, der DNS Rebinding Schutz müsste theoretisch gesehen bei allen auftreten, die ihre Box am CB oder CG angeschlossen haben oder?
Werde somit einen eigenen DNS-Server aufsetzen und dies nochmals testen.
Soll ich den Port 5001 von aussen deaktivieren resp. nur intern erreichbar machen oder ein NAT-Portforwarding für diesen einrichten?
@mtothat lieber ein Port-NAT erstellen, mit Port 5001 weiss ich immer gleich das es ein NAS ist und von Extern einen ADMIN Zugang zur Verfügung stellen ist keine gute Idee. Kannst ja z.B. 450 nehmen, nicht für das ganze NAS, sonden nur für den Dienst auf dem NAS. z.B. Port 450 IPx -> Intern Port 443 und 998 an IPx intern Gerät.
Also soll ich den Port 5001 auf der Synology-Maske eingeben?
Wie sieht die Konfiguration dann spezifisch auf dem Swisscom Router aus?
Habe drum ein Portforwarding für 5001 drinn, da ich ds file auf dem iphone benutze... bin mir nun aber nicht mehr sicher 🙂
Danke!
Den 5001 Webzugang würde ich nicht freigeben.
Ein NAPT hilft da auch nur begrenzt. Ich würde alternativ die Firewall der Syno aktivieren und den DSM Zugang nur lokal erlauben. Und /oder den Applikationen einen alternativen Port zuweisen. DS File lässt sich per default auf 7001 oder beliebiges umstellen. Damit teilt sich der DSM Zugang und die Applikationen auch nie den selben Port und man muss 5001 nicht weiterleiten.
(unverschlüsselte Ports wurden bewusst gleich weggelassen)
Danke dir erstmals für die wertvollen Tipps.
Habe jetzt den Port für DS File auf der DS zu 7001 geändert und das Forwarding auf dem CB für den
Port 5001 auf 7001 geändert. Firewall ist stets aktiviert. Muss ich nun noch speziell etwas einstellen, damit sie nur im lokalen Netzwerk verfügbar ist oder reicht es, Port 5001 nicht mehr weiterzuleiten?
Bin aktuell an deiner Anleitung für die DNS-Zone, da steht folgendes:
"Für die eigene Domain erstellt man im DNS Server eine eigene Master Zone.
Habe aber beim Quickconnect etwas bedenken betreffend der Sicherheit, ausser du sagst mir, Quickconnect ist gleichwertig zu einer Config mit DynDNS und Portweiterleitung auf dem Router. Dann müsste ich wohl auch keinen eigenen DNS-Server einrichten da der CB Probleme hat betreffend Rebind-Schutz.
Naja, gleichwertig würde ich nun nicht sagen, aber wenn Du das ganze per https konfigurierst ist der Datenfluss verschlüsselt