Hallo, ich habe über Deutsche Glasfaser eine eigene Feste IP4 + Domain welche auf meine Synology DS920+ führt.
Die Frage ist ob ich diese Feste Domain oder die eigene IP4 Adresse in die Android App eintragen kann, um von außerhalb auf mein HA auf meinem Handy zu kommen.
Geht das ? Wenn ja wie muss die Adresse dann ausschauen ?
Grüße Daniel
https://www.deinedomain.com (Mit LetsEncrypt cert)
https://123.123.123.123 (mit self signed cert)
Frage Dich lieber, ob Du das wirklick willst. HA direkt ins Internet stellen mit dem ganzen Python Geraffel. Ich wüsste nichts von einem Code Audit bzgl Vulnerabilties.
Würde auch mit nem Reverse Proxy gehen, bietet immerhin mehr sicherheit. Dort könnte man zur Anmeldung auch mit Zertifikaten arbeiten. Also der Reverse Proxy lässt einen nur drauf, sofern man ein passendes Zertifikat hat.
Die eindeutig sichere Variante ist, den Server schön im LAN zu lassen und sich via VPN darauf zu verbinden.
2 „Gefällt mir“
Hey, Mensch noch wach ?
erstmal danke für die Antwort.
Wenn ich https://www.deinedomain.com angebe lande ich auf der Anmeldeseite der Synology im DSM.
Ich habe eben für meine Synology DS920+ eine feste IP welche auf “Synology Fotos” führt damit ich meinen Kunden (bin Fotograf) ihre Fotos zur Verfügung stellen kann.
Ich dachte das kann man nutzen.
Klar sicher sollte es sein.
Ich teste gerade parallel Nabu Casa, welches bisher sehr gut funktioniert.
Grüße Daniel
Weil Du nicht einmal danach gesucht hast, richtig?
Wenn man zum Login kommt, kommt man zum Login… Mehr Sicherheit wären dann eher Dinge wie VPN. Allerdings wurde noch nie eine Schwäche beim Login bekannt, soweit ich weiß.
Natürlich, wenn Du den selben Port verwendest und nichts anderes intern weiterleitet.
Nabu Casa ist sicher der einfachste / komfortabelste Weg.
Um über Deine IP zu arbeiten musst Du entweder den Aufruf des NAS ändern, einen anderen Port für den Aufruf von HA verwenden oder mit subdomain arbeiten und intern unterscheiden / weiterleiten.
Zeige mir doch bitte die Software, in welcher es garantiert keine Zero Days gibt.
Für alle Mitlesenden: Zero Days sind Sicherheitslücken, die sowohl öffentlich als auch dem Hersteller nicht bekannt sind und daher noch nicht geschlossen wurden.
Sprich, es ist unmöglich zu wissen, dass diese nicht existieren, bis zum Beleg, dass eine existiert.
Domains arbeiten nicht mit IP‘s? 
Domain hat er. Subdomain ist also kein Problem. Selbst ein Zertifikat für eine private IP wäre kein Problem.
Wir können hier gerne weiterhin mit Fachbegriffen herum werfen und Du versuchen den Menschen Angst zu machen. Bringt nur niemanden weiter.
WOW was für eine “angeregte” Diskussion.
Ich danke Euch beiden!
Aber zum Thema zurück.
Ich bin bei der Deutschen Glasfaser und habe über das Systemhaus EDV Kossmann eine feste IP mit einer Subdomain.
Der Zugang zu meiner Synology wurde mir direkt vom Systemhaus eingerichtet. Ich gehe mal davon aus das die wissen was sie tun.
Frage:
Wie muss der Link zu meiner HA welche ja auf der Synology auf einer Virtuellen Maschine läuft überhaupt aussehen ?
Grüße Daniel
Die IP ist wohl direkt auf dein NAS gemappt. Aber für Synology gibt es wohl auch ein Wireguard-Paket:
Und hier als Microsoft-User-gerechte Filmgeschichte:
Dann kommst du per Wireguard ins komplette Heimnetz, hast kein Problem dein HA direkt öffentlich zu machen und kannst auch andere Geräte in deinem Netz von außen erreichen.
Und hier gibts nicht wieder die drölfzigste Diskussion wie sinnvoll es ist, den HA direkt von außen zugänglich zu machen 
1 „Gefällt mir“
HA läuft ebenfalls auf dem NAS? Hast Du mal versucht es schlicht mit dem Port, also vermutlich :8123 von extern aufzurufen?
Ja der HA läuft auf einer VM auf den NAS. Wie sollte dann die Adresse aussehen?
Grüße Daniel
So wie Du auch intern Dein HA aufrufst. Nur, dass Du die interne IP testweise gegen Deine externe IP bzw. wahlweise Deine Domain tauchst.
Wenn alles direkt auf Dein NAS zeigt, sollte das kein Problem sein.
Würde aber gleichzeitig bedeuten, dass alle Ports nach außen offen sind, was grundsätzlich weniger gut wäre.
Funktioniert es nicht, müsstest Du in den Router bezgl. Portweiterleitung schauen.
1 „Gefällt mir“
Ich habe mal in meine Fritzbox geschaut wie das Systemhaus die Portweiterleitung eingerichtet hat. (Screenshot)
Wenn ich es richtig verstanden habe müsste ich den Port :8123 noch freigeben ?
Grüße Daniel
Richtig. Dann solltest Du mit Deiner IP bzw. Domain und den Port das Ganze von außen aufrufen können.
OK, muss ich dann auch jeweils eine Freigabe mit HTTP und HTTPS jeweils mit 8123 anlegen ?
Also ich kann dir nur empfehlen mach es richtig. Einfach einen Port freigeben ist zwar verlockend einfach aber du setzt mit jedem Port den du freigibst dein Netzwerk einem höheren Risiko aus.
Und glaube mir, das wird nicht der letzte Port sein. Es gibt genug Bots die täglich nichts anderes machen als offene Ports zu suchen
Wie oben mehrfach erwähnt, entweder VPN oder Reverse Proxy.
Letzteres geht auf auf der NAS, wenn du das willst, gibt genug Videos dazu
1 „Gefällt mir“
VPN ist leider nicht aktiv wenn das Handydisplay aus ist, da steigt VPN aus.
Reverse Proxy: Bleibt hier die Verbindung auch dann aktiv wenn das Handydisplay aus ist ?
Ziel soll es sein eine ständige Verbindung zur HA auf der Synology zu halten.
Grüße Daniel
Bei mir gehen bei den den ganzen Portfreigaben (und dann auch noch durch Dritte auf der eigenen FRITZ!Box) alle Alarmglocken an. Zumal der TE auch gar keine Ahnung davon hat.
Aber wahrscheinlich bin ich einfach zu vorsichtig und mag meine Daten.
Bei mir gibt’s nicht auch nur eine Portfreigabe in der FRITZ!Box, Zugriff von außen nur über eine selbst eingerichtete VPN Verbindung.
Sowas findet man dann doch locker über Shodan.io
Für Leute die sich auskennen mit schlechten Absichten vielleicht ein “gefundenes Fressen”
Ich möchte meine persönlichen Fotos nicht auf Der Syno des TE liegen haben.
Aber jeder Jeck ist ja anders …
1 „Gefällt mir“
Ich habe WireGuard mit Aktivierung on-demand laufen und weder nennenswerten Akkuverbrauch noch andere Probleme, dass es nicht erreichbar wäre.
Was genau wird durch den Proxy sicherer? Und vor allem: Wie?
2 „Gefällt mir“
Hallo Borland, ja da hast du wohl recht, allerdings hat mir das ein Dienstleister eingerichtet welcher mit der Deutschen Glasfaser zusammenarbeitet.
[Feste IP Adresse - Deutsche Glasfaser - nur 11,90 Euro Monat](https://EDV Kossmann).
Ich nutze die Feste IP für den Service einer Galerie für meine Kunden.
Da ist ein VPN wenig hilfreich.
Nach Auskunft des Dienstleisters geht es nicht ohne Portfreigaben auf die Synology → Synology Fotos wenn man eine eigene feste Domain hat.
Und der Dienstleister weiß wovon er spricht.
Ich habe auch überlegt ob man das anders machen kann, aber wenn die Bilder in Deutschland (DSGVO) bleiben sollen und ich meine bestehende Synology nutzen möchte geht es nicht anders.
Was Nutzernamen und Passwort für den Zugang angeht ist der Username mehr als 20 Stellen (Zahnen, Buchstaben, Sonderzeichen) lang und das Passwort hat die Maximallänge von 127 Stellen.
Ich weiß das das Thema immer wieder eine Diskussion ist aber lasst uns dabei bleiben und akzeptieren (das meine ich jetzt wirklich sehr nett 
) das jeder seine eigene Meinung und Vorgehensweise zu dem Thema hat 
Grüße Daniel
Nein. HTTP und HTTPS sind zwei Freigaben, weil zwei verschiedene Ports. 80 und 443. Du gibst in diesem Fall nur einen Port, die 8123 frei.
Ob die Verbindung dann hinterher verschlüsselt sein soll, hat damit erstmal nichts zu tun. Das musst Du separat einrichten und hat nicht direkt mit der Freigabe zu tun.
OK, wird getestet.
Melde mich nach dem Test wieder.
Was die Verschlüsselung angeht… das sollte schon sein.
Wo richte ich diese denn ein ?
Grüße Daniel