Externer Zugriff auf 8080

    Hallo Qnap Gemeinde,


    ich suche eine Lösung bzgl. externe Zugriffe auf meine TS-119.
    Konfiguration:


    FritzBox 7270
    TS-119
    Dyndns eigerichtet.


    Nun habe ich dieses Problem:
    Joomla läuft auf Port 80
    Qnap auf Port 8080


    Beides lässt sich von Extern auch ansprechen. Es scheint aber Benutzer zu geben, die nicht auf den
    Port 8080 zugreifen können. Es gibt eine Meldung der Zeitüberschreitung und Ende. Besonders bei Nutzern
    aus Firmennetzwerken tritt dieses Problem auf.
    Ich habe auch andere Ports getestet, aber negativ. Dieser Nutzerkreis bekommt nur Zugriff auf Port 80.
    Wenn ich mit der 7270 die Anfragen auf Port 80 an 8080 weiterleite, kann auf die TS-119 zugegriffen werden,
    aber nicht mehr auf den Webserver 80. Am Forwarding kann es also nicht liegen.


    Hat jemand eine Idee, wie so eine "Sperre" umschifft werden kann?


    Danke für Antworten!!


    Gruß
    KKMike

    Hallöle,


    sofern Du auf der FB ein entsprechendes Forwarding eingerichtet hast, also 80 an Qnap80 und 8080 an Qnap8080, sollte es gehen.
    Wie genau äußern sich denn die "Nichtzugriffe"?


    Grüße
    Jody

    Moin Moin,


    habe es gerade von der Firma aus probiert. Hier klappt der Zugriff auf 8080 auch nicht - also haben die Rückmelder recht;
    80 geht.


    Der Fox und IE sagen, .. der Server braucht zu lange um eine Antwort zu senden...


    Von dem Rechner meines Bruder zuhause funktioniert der Zugriff auf beide Ports.
    Mit meinen Laptop über UMTS gehts auch.


    heul...


    Gruss
    KKMIKE

    Da wird wohl in der Firma der Port 8080 geblockt. Folgende Lösungen sind möglich:


    1. Wähle in der Fritzbox einen anderen (erlaubten) Port, der dann auf das NAS:8080 weitergeleitet wird. Du musst nicht im Internet den gleichen Port verwenden, wie auf deinem NAS. Also z.B. sowas wie Port 1234 auf NAS:8080.


    2. Eine relativ einfache (und etwas sicherere Lösung) wäre, für die Administration des NAS SSL zu verwenden und dies im NAS entsprechend zu konfigurieren. Dann stellst Du in der Fritzbox einen Forward von Port 443 auf NAS:443 ein. Du kannst davon ausgehen, dass in den Firmen der Port 443 (HTTPS) mit Sicherheit durch die Firewall geht.


    Jan

    Hallo Jan,


    Danke für den Tipp.
    Zu 1: Etwas in diese Richtung habe ich mir schon gedacht.
    Versucht hatte ich es bereits mit 81-84 und 8080-8090 alles negativ.


    Zu 2: Bin der Meinung, dass die FritzBox ssl 443 für die Fernwartung benutzt.
    Das wird sicherlich änderbar sein, die Frage ist dann nur noch, ob und wie ich dann
    auf die FritzBox zugreifen kann.
    Werde es am WoE mal probieren und berichten.


    Gruß
    KKMike

    und da ist er wieder...


    Hallo Jan,


    zu 1. habe ich keine Ahnung welche Ports auf sein könnten. Ich suche ja eine generelle Lösung


    zu 2. die FritzBox benutze für HTTPS den Port 433 für die Fernwartung. Den habe ich jetzt auf 450 gelegt und kann aus der Firma die Box nicht mehr
    erreichen. Die Weiterleitung an die Qnap funktioniert von Extern an 433 nicht; intern gehts. (450 auch).
    Was mache ich wohl falsch - oder - geht HTTPS forwarding auf der FritzBox nicht?


    Gruß
    KKMike

    Hallo Jan,


    Danke, dass werde ich mal tuen.


    Eine Frage habe ich aber noch, vielleicht kannst Du mir da helfen.
    Die Enstellung auf HTTPS im Qnap ist dann doch 433 in den allg. Einstellungen unter Systemadministration, oder liege ich da falsch?


    Danke und Gruß


    KKMike

    HTTPS ist auf default immer 443.


    Hast du die Möglichkeit den VPN-Client der AVM-FritzBox bei dir zu installieren ?
    Damit würdest du alle Probleme auf einen Schlag lösen.

    Hallo kkmike,


    ich habe diese Aufgabe ganz leicht gelöst, bei mir funktioniert es beides: 1. Fernwartung des FritzBoxes und 2. Externer Zugriff auf Nas - Port 8080.


    Zu 1. Im Fritzbox:
    Option "Fernwartung freigeben" aktivieren,
    einen Benutzer definieren (login & passwd.),
    die Option "Vom Standard HTTPS-Port 443 abweichenden HTTPS-Port verwenden" aktivieren und einen anderen HTTPS-Port angeben, z.B. 444.


    Zu 2. Im QNAP: Option "Externer Zugriff" aktivieren.


    3. Zusatz:Die Ports 8080 und 443 im FritzBox für den NAS (lokale NAS-IP) freigeben.


    Dann gereift man zu:
    auf FritzBox durch HTTPS: https://dein.domain.name:444 (sich einlogen usw.)
    auf Nas durch HTTP: http://dein.domain.name:8080


    Ich hoffe, dass es dir hilft. (Bei mir funktioniert es)


    best regards,
    Andrej

    Hi,


    versuch mal folgendes:


    Wenn du joomla auf Port 80 aufrufen willst, müsste das mit dem Aufruf deines DynDNS-Eintrages, ev. ergänzt um den Pfad zu joomla, gehen, also http://dein-dyndns.eintrag.


    Wenn du administrieren willst, rufst du https://dein-dyndns-eintrag (also die ssl-variante) auf, und du kommst (nach einer Meldung, dass das Zertifikat nicht sicher ist, da es ja ein allgemeines von QNAP und nicht das zu deinem dyndns-Eintrag passende ist) automatisch auf die Admin-Oberfläche des NAS.


    Es muss einzig und allein der Port 80 in der FritzBox auf das NAS geroutet werden - mehr nicht! Den 8080 würde ich defnitiv nicht weiterleiten, das gibt Ärger mit Hackversuchen.


    EDIT: Der Port 443 für ssl muss natürlich auch geroutet werden, aber eben nicht der 8080. Bei Aufruf des 443 wird intern auf den 8080 geroutet, daher geht das.

    Hallo zusammen,


    vielen Dank für Eure Mithilfe. Habe gerade erst gesehen, dass es noch weitere Antworten gegeben hat.


    Ich habe mein Problemchen gelöst; zwar nicht ganz zufriedenstellend aber einigermaßen akzeptabel.


    Fehlerbeschreibung war: Ich kann von meinem entfernten Arbeitsplatz aus dem Firmennetzwerk nicht auf mein Heimnetzwerk zugreifen.
    Es geht (ging) entweder nur Hompage(80) und FritzBox(443), oder NAS(80) und FritzBox(443) je nach routing.


    Ich habe zu der Lösung gegriffen wie Doc HT sie beschrieben hat. Diesen Hinweis habe ich vom Fritz Service bekommen (sehr oberflächlich).
    Einziger Wehrmutstropfen: Die FritzBox Fernwartung lief auf dem HTTPS 443 Port, den habe ich natürlich nun auf einen anderen
    Port geswitcht. Und nun ist es so, dass es Firmennetzwerke gibt, die Adressen wie http.//abc.de:123
    nicht zulassen.
    Starbug 99 hat das ja auch entsprechend gepostet.


    Und es ist dabei EGAL auf welchen Port - mann kann es drehen und wenden wie man will - ich habe keine bessere Alternative gefunden als
    Homepage auf 80, NAS auf HTTPS 443
    Dafür geht nun die FritzBox per Fernwartung nicht.


    Und es geht nur von dort nicht wo die Endung ":1234" gesperrt ist. BITTE NICHT FALSCH VERSTEHEN, DENN VON JEDEM HEIMRECHNER GEHTS,
    AUCH MIT DEM NORMALEN PORTFORWARDING.


    Ich habe in meinem Heimnetzwerk auch noch ein paar IP Cams laufen. Um Bewegungen von meinem entfernten Arbeitsplatz zu sehen, nutze ich nun
    den Multimedia Bereich auf der NAS, auf dem die Snapshots abgelegt werden. Mit dem Handy oder von jedem anderen PC kann ich auf die Cams
    direkt zugreifen (Portforwarding in der FritzBox), nur von meinem Firmenarbeitsplatz nicht.


    Für den Fall, das noch jemand eine Idee hat, wie ich alles in Einklang bringen kann, würde ich mich sehr freuen.


    Viele Grüße
    KKMIKE

    Hallo kkmike,


    ich denke du solltest VPN verwenden: http://www.avm.de/de/Service/S…einsteiger.php?portal=VPN


    So wie es verstehe darfst du auf deinem Firmernrechner die Fernzugangs-Software der Fritzbox installieren.
    Damit loggst du dich auf der Fritzbox ein und kannst wie in deinem eigenen LAN arbeiten - und du musst keine Ports öffnen und weiterleiten.
    Die sicherste und sauberste Lösung: http://www.avm.de/de/Service/S…fernzugang.php?portal=VPN


    Sollte dein Firmennetzwerk dir gehören ;) und auch eine Fritzbox verwenden, kannst du sogar die beiden Netze verknüpfen und wie in einem LAN arbeiten.


    Gruß Complicated

    Hi,


    brauchst du den Fernwartungszugang in der FritzBox? Wenn der aus ist, müsstest du per 443 auf die Admin-Oberfläche des NAS kommen, und gleichzeitig müsstest du die NAS-Homepage via 80 erreichen können.


    Was theoretisch noch gehen könnte, wäre ein DynDNS-Zugang, den man auf einen Port setzen kann, so dass man vielleicht die URL ohne Port aufrufen kann. (?????) Last not least könnten dir deine Admins einen Port erlauben - schon gefragt?


    Was auch noch gehen könnte, aber viel Handarbeit erfordern wird:


    Wenn du deine Joomla-Homepage auf https verbiegst, erreichst du diese von außen direkt via 443. In Joomla kannst du die internen Seiten des NAS und der FritzBox so einbinden, dass du sie über Joomla erreichen kannst, da sie dort gelinkt werden (muss gerade den Namen dieser Funktion erinnern - es heißt glaube ich Doorway-Pages).


    Der äußere Aufruf müsste dann über 443 gehen, der innere über die IPs und die Ports, die sonst nicht anzusprechen wären, d.h., dass du z.B. die Admin-Seite des NAS in Joomla siehst. Das Problem ist, dass man, um Joomla auf 443 zu kriegen, ziemlich viel frickeln muss.


    Zweiter Haken dieser Lösung: Es gelten dann alle potenziellen Schwachstellen von Joomla für dein System, selbst wenn es nur via 443 zu erreichen ist. Ich selber habe aber mehrere Homepages mit Joomla, die bislang (allerdings mit sehr langen und sicheren PW) sicher sind.


    Könnte mal jemand von den Profis hier eine Einschätzung zu dem Vorschlag abgeben, oder gibt es jemand, der das so gemacht hat?

    Hmm also irgendetwas ist mir nun unklar:

    Zitat

    Und nun ist es so, dass es Firmennetzwerke gibt, die Adressen wie http.//abc.de:123
    nicht zulassen.

    Du meinst also wenn du im Firmennetzwerk bist und in deinen Browser http.//abc.de:123 eingibst würde das durch das Netzwerk nicht zugelassen?

    Ja natürlich - doch wenn ich mein Netzwerk dicht mache, heisst das noch lange nicht, dass die Ports von anderen dicht sind.
    Der Webrowser nutzt Port 80 und der muss ja offen sein damit ich ins Internet gehen kann.
    Wenn mein FTP-Port 21 geschlossen ist kann ich trotzdem auf den FTP-Port von z.B. QNAP ftp://ftp.qnap.com/ zugreifen da dieser offen für alle ist. Ich kann auf alle Dienste zugreifen die über meinen Port 80 im Browser darstellbar sind.
    Nur wenn ein Dienst erfordert, dass mein Port ebenso geöffnet ist, wie z.B. P2P wirken sich meine lokalen Port-Filter aus.


    Wenn ich nun auf dem Server http://abc.de den Webserver auf Port 123 einrichte, dann kann ich aus jedem geschlossenen Netzwerk, das den HTTP-Datenverkehr zulässt, mit meinem Browser darauf zugreifen. Die Daten kommen bei mir ja auf Port 80 an. Ich kann hier lokal den entfernten Port 123 nicht filtern, sondern nur meine eigenen Ports oder bestimmte Datenpakete die bestimmte Header aufweisen - filtere ich HTTP-Header kann ich gar nicht mehr ins Internet.


    Gruß Complicated

    Doch, so ist es: die Portaufrufe selber werden gefiltert, ganz nach dem Motto: die Ports, die erlaubt sind, gehen, alle anderen nicht, und das eben gerade beim Aufrufen externer Seiten.


    Man könnte sich ja sonst mit irgendwas verbinden. In der Regel kann man normales http via Port 80 und in der Regel auch https via 443 aufrufen, deswegen kommt man ja via https an die admin-Oberfläche des NAS ran, da das NAS den https-Aufruf intern auf den Systemport 8080 des NAS weiterleitet. Wenn die Admins ganz hart sind, legen sie eine Positivliste mit URLs an, dann kann man noch weniger "rumsurfen".

    Zitat

    auf den Systemport 8080 des NAS weiterleitet

    Das meinte ich ja - versuche doch mal bei dir lokal den NAS-Port 8080 zu blocken. Die Port-Eingabe ist teil der URI, also der Adresse - der angesprochene Server kann nun wieder entscheiden wie er anfragen an diesen Port weiterverarbeitet.
    Es gibt die Möglichkeit via IPsec bestimmte Port/Protokoll Kombinationen zu blocken, doch welcher vernünftige Admin blockt den HTTP?
    siehe: http://support.microsoft.com/kb/813878/de


    Und wenn du in einem Netzwerk sitzt wo all dieser Aufwand betrieben wird mit Whitelist/IPsec etc. dann ist dein Versuch einen Tunnel mit deinem NAS herzustellen und Daten von dort abzurufen mit Sicherheit ein Kündigungsgrund ;) Also zumindest würde ich aufhören mir darüber Gedanken zu machen wie ich von dort aus eine nicht autorisierte Verbindung herstellen kann, oder mit dem dortigen Admin sprechen was geht und was nicht.


    Gruß Complicated