Webzugrif über HTTPS Port 8081

  • Hallo, ich habe in meinem TS-219P II Webserver aktiviert, damit ich über myqnapcloud auf meine Daten von überall zugreifen kann.

    Webservereinstellungen sehen wie folgt aus:

    Webserver aktivieren (aktiviert)

    Portnummer 80

    Sicheren Anschluss (HTTPS) aktivieren (aktiviert)

    Portnummer 8081


    Wenn die einstellungen so sind dann komme ich aus der Ferne auf meine NAS http://xxxxxxxxx.myqnapcloud.com:8080 und es funktioniert alles wunderbar.


    Es gibt da noch ein Punkt "Nur sichere Verbindung (HTTPS) herstellen. Wenn ich das aktiviere und im Browser https://xxxxxxxxx.myqnapcloud.com:8081 eingebe, lande ich auf der Webinterface meiner FritzBox.


    Woran liegt das? Ist das richtig so?
    Vielen Dank vorab für eure Tipps und Hilfe :beer:

  • Weil die Fritz auf diesem Port horcht!? 8)


    Entweder musst Du die Fritz dazu bringen auf einem anderen Port zu horchen, oder Du musst den https Port für den Webserver ändern, auf z.B. 4711.

    Dann richtest Du in der Fritte unter "Freigaben" eine Portweiterleitung ein, von extern 4711 auf intern (IP des Webservers) 8081.


    Ist aber IMHO der schlecheste Weg über das I-Net auf das LAN zu Hause zuzugreifen.

    Ich realisiere das über eine VPN Verbindung.

    Mit der Fritz problemlos möglich, die Verbindung ist zwar deutlich langsamer, dafür aber ungleich sicherer ;).


    Gruss

  • Ok, Dankeschön, ich versuche es.

    Auf der NAS sind keine wichtige Sachen, nur Fotos und Videos die ich freigeben möchte.

  • Es ist Dein Netzwerk und Dein NAS 8).

    Aber die Ereignisse der letzten Monate zeigen sehr deutlich, das man sehr stark gefährdet ist, sich ungebetene Gäste einzufangen.


    Gruss

  • Irgendwie klappt es doch noch nicht habe jetzt 4711 freigegeben, Trotzdem komme ich zu Fritzbox.

    wenn ich https://xxxxxxxxx.myqnapcloud.com:4711 aufrufe, kommt erst zwei mal Zertifikatfehler (Keine Ahnung warum 2 Mal) dann sage ich zu Ausnahme hinzufügen und weiter, dann Kommt (siehe Bild 5)

    Oder braucht man dafür zwingend ein Gültigen SSL Zertifikat?

    Habe paar Screenshots angehängt, ist da irgendwo ein Fehler?

  • So behebst du dein "problem"

    https://avm.de/service/fritzbo…P-Adressen-nicht-moglich/


    Aber noch eine Bitte:

    Deaktiviere bitte UPNP in der Fritzbox. Es ist ein extremes Sicherheitsrisiko, da unnötige Ports automatisch geöffnet werden können, und, wie in deinem Fall, auch offen sind. (8080, 8082, 80 alle nicht notwendig!)

    https://www.pc-magazin.de/ratg…endern-3195808-14995.html



    Also UPNP deaktivieren und von Hand den einzigen relevanten Port, 4711, an deine NAS weiterleiten. Überprüfe auch ob sonst irgendwelche Ports für andere Geräte offen sind und deaktiviere diese gegebenenfalls.


    Ergänzung:

    Plane bitte fest mit ein, dass deine NAS gehackt werden kann und alle Daten darauf vernichtet werden können. Bereite dich auf den Fall vor! (NAS im Netzwerk abschotten, regelmäßige Backups). QNAP NAS, die, so wie du es machst, vom Internet aus erreichbar waren, wurden nun schon mehrfach gehackt!

  • Also UPNP deaktivieren und von Hand den einzigen relevanten Port, 4711, an deine NAS weiterleiten. Überprüfe auch ob sonst irgendwelche Ports für andere Geräte offen sind und deaktiviere diese gegebenenfalls.

    Mod: Zitat ohne Quellenangabe! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Danke, werde ich gleich ausprobieren

    die Ereignisse der letzten Monate zeigen sehr deutlich, das man sehr stark gefährdet ist,

    Mod: Zitat ohne Quellenangabe! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Wirklich so schlimm, auch wenn Zugriff über SSL und mit starken Passwort ist?

    Plane bitte fest mit ein, dass deine NAS gehackt werden kann und alle Daten darauf vernichtet werden können. Bereite dich auf den Fall vor!

    Mod: Zitat ohne Quellenangabe! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Backup wird selbstverständlich immer gemacht. Vielleicht werde ich WEB Zugriff nur nach bedarf für kurze Zeit aktivieren und dann wieder deaktivieren.

  • Intern musst Du den Port auf dem Webserver nicht ändern, der kann auf 8081 bleiben.

    Die Freigabe (Portweiterleitung) erfolgt von extern Port 4711 auf IP-WebServer:8081


    Ich nutze MyQnapcloud nicht, keine Ahnung, ob dadurch es nicht klappt.

    Bevor ich auf VPN umgestiegen bin, hatte ich es aber genauso eingerichtet und keine Probleme gehabt.

    Und ich habe es eben noch mal getestet, es funktioniert.

    In der FB ist nichts eingetragen für den DNS Rebind Schutz.


    In dem letzten Screenshot mit der DNS Rebind Meldung, das vermisse ich in der URL den Port!?


    Übrigens: den Haken bei "Selbständige Portfreigaben erlauben" mal besser wegnehmen, das ist ein ziemliches Sicherheitsrisiko!


    Gruss


    Nachtrag:

    Wirklich so schlimm, auch wenn Zugriff über SSL und mit starken Passwort ist?

    JA!

  • Habe jetzt den DNS-Rebind Eintrag in Fritzbox gemacht, jetz bekomme ich nicht mehr die Meldung

    Code
    FRITZ!Box
    Der DNS-Rebind-Schutz Ihrer FRITZ!Box hat Ihre Anfrage aus Sicherheitsgründen abgewiesen.
    Der Host-Header Ihrer Anfrage stimmt nicht mit dem Namen der FRITZ!Box überein.
    Wenn Sie über einen anderen Hostnamen auf die FRITZ!Box zugreifen wollen, ergänzen Sie diesen bitte als Ausnahme in der Benutzeroberfläche Ihrer FRITZ!Box unter "Heimnetz > Netzwerk > Netzwerkeinstellungen" im Bereich "DNS-Rebind-Schutz".

    Sondern ich komme jetzt auf die Fritzverwaltung Seite.

    Intern musst Du den Port auf dem Webserver nicht ändern, der kann auf 8081 bleiben.

    Die Freigabe (Portweiterleitung) erfolgt von extern Port 4711 auf IP-WebServer:8081

    Mod: Zitat ohne Quellenangabe! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Was ist mit Intern gemeint in QNAP Einstellungen?

  • Wirklich so schlimm, auch wenn Zugriff über SSL und mit starken Passwort ist?

    Ja, denn es wird weder dein Passwort noch die verschlüsselte Verbindung geknackt. Es werden einfach Sicherheitslücken in den QNAP Apps ausgenutzt:



    • CVE-2018-7184: This cross-site scripting (XSS) vulnerability in Video Station allows remote attackers to inject and execute scripts on the administrator’s management console.
    • CVE-2018-7185: This cross-site scripting (XSS) vulnerability in Music Station allows remote attackers to inject and execute scripts on the administrator’s management console.
    • CVE-2019-7192: This improper access control vulnerability allows remote attackers to gain unauthorized access to the system.
    • CVE-2019-7193: This improper input validation vulnerability allows remote attackers to inject arbitrary code to the system.
    • CVE-2019-7194: This external control of file name or path vulnerability allows remote attackers to access or modify system files.
    • CVE-2019-7195: This external control of file name or path vulnerability allows remote attackers to access or modify system files.

    ....

    Einfach hier mal auf News klicken, da steht schon seit Wochen nichts anderes mehr als Security Fixes.


    Das dumme daran:

    Eine QNAP NAS komplett zurückzusetzen ist sehr aufwendig.



    Ergänzung zum problem:


    Geb mal die URL mit der Portnummer ein, bisher gibst du sie ohne Portnummer ein. https bedeutet Port 443. Du willst aber https auf Port 4711, das muss man dem Browser dann auch mitteilen.

  • Rätselraten :) Hast du den Zugriff auf die fritzbox von extern aktiv?

    1. Klicken Sie in der Benutzeroberfläche der FRITZ!Box auf "Internet".
    2. Klicken Sie im Menü "Internet" auf "Freigaben".
    3. Klicken Sie auf die Registerkarte "FRITZ!Box-Dienste".
    4. Aktivieren Sie im Abschnitt "Internetzugriff" die Option "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert".
    5. Falls Sie einen bestimmten Port für HTTPS verwenden wollen, tragen Sie im Eingabefeld "TCP-Port für HTTPS" den gewünschten Port ein.
    6. Klicken Sie zum Speichern der Einstellungen auf "Übernehmen".

    Vielleicht mal ebenso besser deaktivieren.

  • Und das willst du haben? Dass Gott und die Welt sich versuchen kann, auf deine Fritzbox anzumelden? Ich weiß zwar nicht, ob es dein Problem behebt, aber ich würde das an deiner Stelle deaktivieren, denn ich sehe keinen Grund, dass ich von unterwegs mich auf die Fritzbox anmelden können muss.

  • Ich benutze das manchmal, wenn ich per RDP auf mein Rechner will. Dann logge ich mich auf die Fritzbox ein und Kann daraus mein Rechner starten, dann baue ich VPN-Verbindung auf und kann mit Remotedesktop auf mein Rechner.

  • ???

    Ich benutze das manchmal, wenn ich per RDP auf mein Rechner will. Dann logge ich mich auf die Fritzbox ein und Kann daraus mein Rechner starten, dann baue ich VPN-Verbindung auf und kann mit Remotedesktop auf mein Rechner.

    Der umgekehrte Weg wäre richtig!

    Erst die VPN Verbindung zur Fritzbox aufbauen, dann kannst Du im LAN zugreifen als wenn Du zu Hause wärest.


    Gruss


    Nachtrag:

    1. Ja, mit internem Port meine ich den des Webservers auf der QNAP.

    2. Du hast doch schon ein myFritz Konto, da kannst Du wunderbar mit VPN arbeiten.

  • Umgekehrte hat irgendwie nicht funktioniert, ich weiß auch nicht mehr genau was da war, schon paar Jahre her.


    VPN ist manchmal extrem Langsam. Ich dachte per HTTPS läft es etwas schneller. Mir geht es hauptsächlich um Fotos und Videos möglicht einfach und schnell mir oder jemanden anderen zur Ansicht zu Verfügung zu stellen. Wenn da jemand doch unberechtigt auf diese Daten zugreift und die löscht oder klaut, wäre das für mich nicht soooo tragisch, das sind nur entwurfs-Dateien.

  • stepnogorsk : Warum machst Du so etwas nicht über öffendliche Portale wie z.B. dawawas.de. Statt dessen lädst Du die ganze Welt zu Dir nach Hause ein. Nur mal so als Denkanstoß: Es sind nicht nur die ollen Bilder und Videos auf dem NAS betroffen. Wer in Dein Netzwerk kommt, kommt auf jedes Gerät darin.

    Lass bitte diesen Quatsch, noch dazu, wo scheinbar grundlegendes Wissen zu fehlen scheint.

  • Wenn da jemand doch unberechtigt auf diese Daten zugreift und die löscht oder klaut, wäre das für mich nicht soooo tragisch,

    EIne ziemlich krasse EInstellung, und auch ziemlich falsch - leider.

    Wie würdest Du es finden, wenn morgens ein SEK vor der Tür stehen würde, da Du (unbewusst) Teil eines schönen Bot-Netzes geworden bist, über das so ziemlich alles an illegalen "Geschäften" abgewickelt wird!?


    Oder gehts Du auch aus dem Haus (der Wohnung) und läßt die Tür offen, damit jeder rein kann und darin seinen Dingen nachgehen kann?

    Zugegeben, ein heftiges Szenario, aber nicht ganz so unwahrscheinlich.


    Wenn man den Anleitungen auf AVM.de folgt, dann ist die VPN Verbindung sehr einfach einzurichten. Nimm den ShrewSoft Client, einfacher geht es nicht.

    Die AVM eigene Software habe ich auch nicht benutzt, die war mir zu Bediener-feindlich.


    Und wenn Bilder/Dateien für andere zugreifbar sein sollen und für diejenigen VPN zu kompliziert ist, dann würde ich das eher über einen externen Cloud Service machen, als jemanden auf mein NAS zu lassen.


    Aber nochmals: es sind nicht meine Daten und mein LAN.

    Könnte es auch sein, das die Bilder/Daten u.U. der DVSGO unterliegen? Dann hättest Du noch weitere Probleme am Hals.


    Gruss