NAS (extern) nicht erreichbar, Port:5000/5001

[Nyana]

Hallo zusammen,

obwohl ich nicht immer verstehe, habe ich es mit Eurer Hilfe immer so hinbasteln können, dass die OPNSense meine Bedürfnisse abdeckt.

Jetzt habe ich folgendes Problem:
Ich möchte auf eine NAS zugreifen - nicht auf meine eigene - sondern die von einem Freund.
Diese ist per DNS unter xxx.synology.me erreichbar - allerdings per Port 5000 bzw. 5001 für https://

Das klappt soweit vom Handy (LTE) auch prima, aber mit meinem OPNSense kann die Adresse nicht aufgelöst werden.
Wie kann ich extern auf Adressen mit Port 5000/5001 zugreifen ? Kann mir jemand bei der Regel helfen?

Vielen lieben Dank!

[tiermutter]

Moin,

5001 klingt nach WebGUI von Syno... Sicher dass ihr das machen wollt?
Ich würde hier ja unbedingt auf ein VPN setzen.

Das Problem verstehe ich dennoch nicht... Opnsense kann den Namen nicht auflösen? Also eine Verbindung von einem Rechner hinter Deiner entfernten Sense kann nicht zugreifen? Funktioniert es denn direkt mit der IP?

[Nyana]

ne sorry, vielleicht habe ich mich falsch ausgedrückt ..
ich komme mit PC's oder Devices hinter der Sense nicht auf die IP oder die Domain.

Vom Mobiltelefon klappt es ...  ich denke hinter der Sense geht einfach der Port nicht.

Es geht darum, dass der Kollege mir Files bereitstellen will gelegentlich - wie sollen wir das sonst lösen?

[superwinni2]

Also Adressauflösung hat eventuell nur bedingt etwas mit OPNsense zu tun.
Je nachdem wer dein DNS Server ist.
Daher:
Kontrolliere doch bitte mal deinen DNS Server.

Was ist auf dem Client für ein DNS Server eingetragen?
Was passiert wenn du in CMD den Befehl "nslookup xxx.synology.me" absetzt?

[Nyana]

Non-authoritative answer:
Name:   xxx.synology.me
Address: 184.152.xx.xx

scheint zu klappen

[Nyana]

ich fasse nochmal zusammen ...

ich kann ein dyndns von synology auf Port 5000 nicht aus dem Lan ins Internet erreichen, kann mir jemand bei der entsprechenden Regel helfen oder müßte das ab Werk gehen mit OPNSense?

[superwinni2]

Ändere Mal unter "Firewall Einstellungen erweitert" die Haken bei Refektion für....

Ich weiß nicht welche genau dafür zuständig ist.

Gesendet von meinem OnePlus 8t mit Tapatalk

[Nyana]

Ich habe alle 3 durchprobiert - ich kann auf Port 5000 keine Adresse TCP erreichen

[superwinni2]

Habe glaube auch falsch herum gedacht...

Was sagen denn FW Regeln? Wird alles zugelassen?
NAT auf deiner Seite passt ebenso?

Gesendet von meinem OnePlus 8t mit Tapatalk

[tiermutter]

Es geht darum, dass der Kollege mir Files bereitstellen will gelegentlich - wie sollen wir das sonst lösen?

Mit einem VPN!

Aber wenn das NAS schon derart offen ins Netz soll, dann verwendet doch wenigstens andere Ports.
Gestern war QNAP ganz böse dran, übermorgen ist es Syno. Wollt ihr euch das echt antun?

[Nyana]

Mit einem VPN!

Da hast Du natürlich Recht, aber bis wir das eingerichtet haben, kann ich auch mit Disketten vorbeifahren.

NAT auf deiner Seite passt ebenso?

IPv4 aus dem LAN net  darf * DEST & * Port .. ich weiss nicht warum die Seite nicht auf geht :(

[superwinni2]

Da hast Du natürlich Recht, aber bis wir das eingerichtet haben, kann ich auch mit Disketten vorbeifahren.

Naja... Die Synology kann VPN und auch deine FW kann einen VPN Server auf machen. Und ein OpenVPN Server ist in unter ein paar Minuten erstellt.

IPv4 aus dem LAN net  darf * DEST & * Port .. ich weiss nicht warum die Seite nicht auf geht :(

Das klingt aber nicht nach NAT... Eher nach FW Regel...
Da wir langsam immer mehr im dunklen raten, würde ich dich bitten einen kleinen Netzwerkplan zu erstellen. Hast du noch eine Fritzbox oder ähnliches davor?
Bitte Screenshots von den Regeln. Sind diese via DNS Namen oder IP Adresse eingebunden? Falls DNS: kann die OPNsense diese auch auflösen?
Kannst du andere Webseiten mit dem Computer erreichen?

Gesendet von meinem OnePlus 8t mit Tapatalk

[Nyana]

Ich habe keine eigenen Rules .... nur NAT & Outbound für VIOP Telefonie (FritzBox hinter OPNSense) und XBox Live

Für Mein Empfinden darf das LAN so wie das aussieht erstmal überall hin ... wenn ich die Synology vom Kollegen aus dem Internet auf Port 5000 oder xxxx ansprechen soll, müßte das gehen - was ich nicht weiss ist, ob ich für diese Aktion selber einen Port aufmachen muss oder nicht?

Sonst bin ich mit meinem Latein am Ende - wie gesagt, LTE über Handy klappt .. da zeigt es mir die Webseite der Synology prima an, ich weiss aber nicht was da default offen ist...

[micneu]

in deinen screenshots sehe ich keine regel für die 5000/5001.
ich persönlich empfehle dir mach das trotzdem mit einem vpn und nicht direkt erreich bar. vor 2 wochen hatte synology eine sicherheits lücke, ich mache mein nas nur über vpn auf.
gerade wenn man wie du nicht so viel erfahrung mit netzwerken hat. und bitte es fehlt noch der grafische netzwerkplan.


Gesendet von iPad mit Tapatalk Pro

[cwt]

Mal anders angesetzt/gefragt:

- kannst Du die Adresse der Synology auch anpingen aus Deinem LAN?
- ist auf der Synology die Firewall aktiviert? Das sollte sie zumindest sein, wenn man diese von außen erreichbar macht (und am besten noch weitere Schutzfunktionen wie Account Blocking, DoS-Protection und 2FA für Admin-Account). In der Firewall der Synology gibt es die Option, nur bestimmte Länderkennungen zu aktivieren. Hier ggf. mal nachsehen. Nicht, dass die IP-Range Deines Internetanschlusses fälschlicherweise in einem geblockten Bereich liegt.