Hallo zusammen,
obwohl ich nicht immer verstehe, habe ich es mit Eurer Hilfe immer so hinbasteln können, dass die OPNSense meine Bedürfnisse abdeckt.
Jetzt habe ich folgendes Problem:
Ich möchte auf eine NAS zugreifen - nicht auf meine eigene - sondern die von einem Freund.
Diese ist per DNS unter xxx.synology.me erreichbar - allerdings per Port 5000 bzw. 5001 für https://
Das klappt soweit vom Handy (LTE) auch prima, aber mit meinem OPNSense kann die Adresse nicht aufgelöst werden.
Wie kann ich extern auf Adressen mit Port 5000/5001 zugreifen ? Kann mir jemand bei der Regel helfen?
Vielen lieben Dank!
Moin,
5001 klingt nach WebGUI von Syno... Sicher dass ihr das machen wollt?
Ich würde hier ja unbedingt auf ein VPN setzen.
Das Problem verstehe ich dennoch nicht... Opnsense kann den Namen nicht auflösen? Also eine Verbindung von einem Rechner hinter Deiner entfernten Sense kann nicht zugreifen? Funktioniert es denn direkt mit der IP?
ne sorry, vielleicht habe ich mich falsch ausgedrückt ..
ich komme mit PC's oder Devices hinter der Sense nicht auf die IP oder die Domain.
Vom Mobiltelefon klappt es ... ich denke hinter der Sense geht einfach der Port nicht.
Es geht darum, dass der Kollege mir Files bereitstellen will gelegentlich - wie sollen wir das sonst lösen?
Also Adressauflösung hat eventuell nur bedingt etwas mit OPNsense zu tun.
Je nachdem wer dein DNS Server ist.
Daher:
Kontrolliere doch bitte mal deinen DNS Server.
Was ist auf dem Client für ein DNS Server eingetragen?
Was passiert wenn du in CMD den Befehl "nslookup xxx.synology.me" absetzt?
Non-authoritative answer:
Name: xxx.synology.me
Address: 184.152.xx.xx
scheint zu klappen
ich fasse nochmal zusammen ...
ich kann ein dyndns von synology auf Port 5000 nicht aus dem Lan ins Internet erreichen, kann mir jemand bei der entsprechenden Regel helfen oder müßte das ab Werk gehen mit OPNSense?
Ändere Mal unter "Firewall Einstellungen erweitert" die Haken bei Refektion für....
Ich weiß nicht welche genau dafür zuständig ist.
Gesendet von meinem OnePlus 8t mit Tapatalk
Ich habe alle 3 durchprobiert - ich kann auf Port 5000 keine Adresse TCP erreichen
Habe glaube auch falsch herum gedacht...
Was sagen denn FW Regeln? Wird alles zugelassen?
NAT auf deiner Seite passt ebenso?
Gesendet von meinem OnePlus 8t mit Tapatalk
Quote from: Nyana on August 26, 2021, 02:36:15 PM
Es geht darum, dass der Kollege mir Files bereitstellen will gelegentlich - wie sollen wir das sonst lösen?
Mit einem VPN!
Aber wenn das NAS schon derart offen ins Netz soll, dann verwendet doch wenigstens andere Ports.
Gestern war QNAP ganz böse dran, übermorgen ist es Syno. Wollt ihr euch das echt antun?
Quote from: tiermutter on August 30, 2021, 09:51:49 PMMit einem VPN!
Da hast Du natürlich Recht, aber bis wir das eingerichtet haben, kann ich auch mit Disketten vorbeifahren.
Quote from: superwinni2 on August 30, 2021, 09:38:50 PMNAT auf deiner Seite passt ebenso?
IPv4 aus dem LAN net darf * DEST & * Port .. ich weiss nicht warum die Seite nicht auf geht :(
Quote from: Nyana on August 30, 2021, 10:38:25 PM
Da hast Du natürlich Recht, aber bis wir das eingerichtet haben, kann ich auch mit Disketten vorbeifahren.
Naja... Die Synology kann VPN und auch deine FW kann einen VPN Server auf machen. Und ein OpenVPN Server ist in unter ein paar Minuten erstellt.
Quote from: Nyana on August 30, 2021, 10:38:25 PM
IPv4 aus dem LAN net darf * DEST & * Port .. ich weiss nicht warum die Seite nicht auf geht :(
Das klingt aber nicht nach NAT... Eher nach FW Regel...
Da wir langsam immer mehr im dunklen raten, würde ich dich bitten einen kleinen Netzwerkplan zu erstellen. Hast du noch eine Fritzbox oder ähnliches davor?
Bitte Screenshots von den Regeln. Sind diese via DNS Namen oder IP Adresse eingebunden? Falls DNS: kann die OPNsense diese auch auflösen?
Kannst du andere Webseiten mit dem Computer erreichen?
Gesendet von meinem OnePlus 8t mit Tapatalk
Ich habe keine eigenen Rules .... nur NAT & Outbound für VIOP Telefonie (FritzBox hinter OPNSense) und XBox Live
Für Mein Empfinden darf das LAN so wie das aussieht erstmal überall hin ... wenn ich die Synology vom Kollegen aus dem Internet auf Port 5000 oder xxxx ansprechen soll, müßte das gehen - was ich nicht weiss ist, ob ich für diese Aktion selber einen Port aufmachen muss oder nicht?
Sonst bin ich mit meinem Latein am Ende - wie gesagt, LTE über Handy klappt .. da zeigt es mir die Webseite der Synology prima an, ich weiss aber nicht was da default offen ist...
in deinen screenshots sehe ich keine regel für die 5000/5001.
ich persönlich empfehle dir mach das trotzdem mit einem vpn und nicht direkt erreich bar. vor 2 wochen hatte synology eine sicherheits lücke, ich mache mein nas nur über vpn auf.
gerade wenn man wie du nicht so viel erfahrung mit netzwerken hat. und bitte es fehlt noch der grafische netzwerkplan.
Gesendet von iPad mit Tapatalk Pro
Mal anders angesetzt/gefragt:
- kannst Du die Adresse der Synology auch anpingen aus Deinem LAN?
- ist auf der Synology die Firewall aktiviert? Das sollte sie zumindest sein, wenn man diese von außen erreichbar macht (und am besten noch weitere Schutzfunktionen wie Account Blocking, DoS-Protection und 2FA für Admin-Account). In der Firewall der Synology gibt es die Option, nur bestimmte Länderkennungen zu aktivieren. Hier ggf. mal nachsehen. Nicht, dass die IP-Range Deines Internetanschlusses fälschlicherweise in einem geblockten Bereich liegt.
Also Leute...
a) WIE versuchst du überhaupt auf die Syno zuzugreifen. Über den DynDNS Namen 5001? Also https://xyz.synology.me:5001/ oder einfach NUR über https ohne Port? Oder wird ggf. über den Synology eigenen Connect Server zugegriffen? Der ist nämlich was komplett anderes und arbeitet ganz regulär über 443 und nicht 500x (quickconnect.to). Das sind zwei unterschiedliche Paar Stiefel
b) Über Mobile gehts etc.: WIE wird dann via Mobile zugegriffen? Apps? Browser? Apps nutzen ggf. nämlich Synologys Connector im Hintergrund und keinen direkten DynDNS Zugriff.
Und dann wäre schön zu klären ob der Kumpel überhaupt 500x auf sein NAS von außen freigegeben hat oder nicht, sonst kannst du es versuchen bis du schwarz wirst ;) Wenn die Syno nämlich von innen nur via Syno-Connect mit dem SCS Server verbunden ist und die Apps sich über den Connector verbinden scheitert das dann lustig daran, dass gar keine Port Forwardings etc. existieren, damit du auf die Kiste kommst.
Daher erstmal prüfen indem man ihn anruft, er soll auf ne IP Seite gehen wie checkip.dyndns.org und die IP durchgeben und dann versuchst du im Browser erstmal die IP mit 5000 oder 5001 aufzurufen -> http://IP:5000 oder https://IP:5001
Wenn das nämlich schon nicht tut - und du intern bei dir nichts ausgehend geblockt hast - dann hat der Kollege entweder keine echte IPv4 (DSlite) oder keine Forwardings konfiguriert. Oder der DNS Name stimmt nicht, etc etc. - es kann an so vielen Ecken hängen.
Da LTE inzwischen auch oft problemlos IPv6 kann, könnte es auch durchaus sein, dass es mobil klappt, weil Handy via IPv6 die Verbindung hinbekommt. Aber das ist alles Spekulation wenn man nicht von unten rauf mal alles debuggt und dokumentiert.
Cheers