Welche Ports muss ich freigeben, damit mein Synology Ordner mit Windows Explorer verbindbar ist?

[Cliffford]

Ich habe eine Synology NAS, mit einem Ordner, der öffentlich freigegeben werden soll für Freunde.
Wärend der Port 5000 dafür sorgt, dass die Freunde auf das Webinterface kommen, können sie nicht über den Windows Explorer ein Netzlaufwerk einbinden. Es kommt zu keiner Verbindung.

Laut Synologys Port Liste, ist mit dem Port 5000 quasi alles bedient, was man bräuchte. FTP Ports haben auch nicht funktioniert.
Kann es außerdem sein, dass ich im DSM/Synology Interface, noch irgendetwas einstellen muss, dass die Ordner öffentlich zugänglich sind? Meines Wissens ja nicht, da ich lokal auf die Ordner zugreifen kann, und sich nur die Quelle ändert, zu einem PC aus dem Außennetzwerk.

 

[BFF]

Die Freunde sollen aus dem Internet auf den NAS?

Lass die lieber erst ein VPN aufmachen zu Deinem Netzwerk. Einfach mal so ein NAS in das Internet stellen ist nicht wirklich gesund. Man faengt sich u.U. viele Freunde.

 

[Cliffford]

Lass die lieber erst ein VPN aufmachen zu Deinem Netzwerk

Wie komplex wäre das? Wenn ich die VPN auf meiner NAS direkt aufsetzen kann, dann kann ich es mir angucken. Würde dann nur der NAS verkehr über die VPN laufen? Den gesamten Datentraffic meiner Freunde über meine NAS zu routen würde ich ungern machen lol.

Momentan hab ich die Portfreigaben ausgemacht, und die Freunde können über das Webinterface rauf, welches ich mit Synology QuickConnect hab. Da können alle ja auch Daten runterladen und hochladen, nur wäre eine dauerhafte Verbindung über den Windows Explorer ja doch um einiges bequemer

 

[00Julius]

Dafür gibt es Synology Drive.

 

[SSD960]

Das SMB Protokoll nie für das Internet freigeben. VPN bitte..

 

[Nilson]

Theoretisch ist 445 der Port für SMB. Praktisch ist es keine gute Idee SMB direkt aus dem Internet erreichbar zu machen. Dafür gibt es bessere Wege. Was stört dann am Zugriff über das Webinterface (und ob das aus dem Internet erreichbar sein sollte, darüber lässt sich auch streiten)

 

[SSD960]

Bei einer NAS würde ich nicht mal da WI freigeben

 

[conf_t]

Mache die Ports wieder alle zu und befolge die bereits vorgeschlagenen Lösungen mit SynoDrive oder VPN. Den 5000er statt den 5001er freizugeben ist schon fahrlässig, weil unverschlüsselt. Aber auch dann ist das NAS so besonders anfällig. SMB ist gar nicht dafür gemacht im Internet genutzt zu werden und das sollte man auch nicht

 

[Cliffford]

Was stört dann am Zugriff über das Webinterface (und ob das aus dem Internet erreichbar sein sollte, darüber lässt sich auch streiten)

Klar soll das aus dem Internet erreichbar sein, hast du meinen text nicht gelesen? Meine Freunde sollen auf einen geteilten Ordner raufkommen, damit wir uns ohne Probleme Dateien schicken können, ohne immer zu gucken ob das ganze auf Discord passt, oder Google Drive, oder irgendwelche anderen Dienste mit Größenlimit.
Und der Zugriff über das Webinterface funktioniert halt nur um Dateien hoch und einmal runterzuladen, fertig. Wenn man Dateien aber live benutzen will, als eingebundenen Windows Ordner, ist das Webinterface unhilfreich

 

[Nilson]

hast du meinen text nicht gelesen?

Wie kommst du denn zu der Aussage?
Das Webinterface direkt aus dem Internet erreichbar zu machen (dazu über Port 5000, also reines http) ist nun mal ein Sicherheitsrisiko. "Streiten" lässt sich deshalb darüber, weil das Risiko davon abhängt, wie sicher Synology das Interface implementiert hat und was du unternommen hast um das (Rest)Risiko zu minimieren. Du willst ja, dass deine Daten sicher sind und das NAS nicht komprimitiert wird.

Deshalb auch die Frage, was am Webinterface oder einer andern Browserbasierten Lösung genau stört. Ein Netzlaufwerk mag bequem sein, aber alleine nicht sicher. Sicherheit kommt nun mal meist auf Kosten der Bequemlichkeit.

Daher ja der Rat mit dem VPN. Hier übernimmt der VPN-Server die Authentifizierung und Verschlüsselung. Und VPN-Server sind in der Regel sicherer als irgendwelche Web-Server. Synology hat hier einen Server mit dabei. Oder Wenn du eine Fritzbox mit OS 7.50 hat per Wireguard über die.
Im Client kannst du einstellen welche IPs durch den Tunnel gehen und welche nicht (Stichwort Split Tunneling).

 

[00Julius]

Wenn man Dateien aber live benutzen will, als eingebundenen Windows Ordner, ist das Webinterface unhilfreich

Deshalb SynoDrive. Es ist eine private Cloud, wie Google Drive nur ohne Größenlimit (stimmt natürlich nicht, da das Limit die Größe deiner NAS-Platten ist).
Du hast Explorer-Integration und kannst "Team-Ordner" freigeben.

 

[Cliffford]

Das Webinterface direkt aus dem Internet erreichbar zu machen (dazu über Port 5000, also reines http) ist nun mal ein Sicherheitsrisiko.

Das ist richtig, nur benutze ich dafür nicht den Port 5000. Ich benutze Synologys Quickconnect, was mir einen permanent link gibt, den jeder benutzen kann. Und der ist sicher

 

[Cliffford]

Deshalb SynoDrive.

Habs mir seit vorhin angeguckt, hab bisher garnicht gewusst wieviele Software Sachen Synology so anbietet, sehr krass..der einzige Nachteil an Synology Drive ist, dass die Freunde den Ordner immer auf ihrem PC gedownloaded halten müssen, was bei Ihnen Speicherplatz braucht. Anstatt bei einem Netzwerkordner, den ich lokal habe, alle Dateien wirklich auf der NAS sind, und ich nichts downloaden muss. Aber trotzdem eine super coole Umsetzung die man zur Not auch nutzen kann.
VPN Server versuch ich auf der NAS aber auch, mit OpenVPN. Noch nie selbst benutzt, aber mal sehen

 

[TomH22]

Auch wenn SMB im Internet wirklich keine gute Idee ist, es ist Dein Gerät, Du kannst also damit machen was Du willst. Wenn Du die Ports für einen Dienst auf einer Synology wissen willst, kannst Du in der Systemsteuerung unter Info-Center/Dienste die Portnummern nachsehen. Zumindest ist es bei DSM 6 (was ich noch nutze) so, denke aber im Prinzip sollte es bei DSM 7 auch so einen Menüpunkt geben.

 

[Nilson]

Das ist richtig, nur benutze ich dafür nicht den Port 5000.

Das hat sich im ersten Post noch anders angehört

Wärend der Port 5000 dafür sorgt, dass die Freunde auf das Webinterface kommen,

Dein zweiter Post hat sich wohl etwas mit meiner Antwort überschnitten, daher hatte ich das hier

Momentan hab ich die Portfreigaben ausgemacht

nicht auf dem Schirm, das relativiert das natürlich etwas.

 

[CasiHST]

Gibt es einen Login für die Freunde? Dann würde sich WebDav anbieten, kann man im Explorer als Netzwerkadresse einfügen mit den entsprechenden Daten.

 

[Cliffford]

Lass die lieber erst ein VPN aufmachen zu Deinem Netzwerk.

VPN bitte..

Hab ich über den Tag heute eingerichtet. Bin eher erstaunt wie einfach das mal ging...VPN erstellt, freunde können mit OpenVPN drauf, können auch die Festplatte mounten