File Station für externen Zugriff via https einrichten
In diesem Beitrag ist dokumentiert, wie man die File Station App eines Synology NAS einrichten muss, sodass der Internetzugriff via https auf die eigenen Daten funktioniert.
Inhaltsverzeichnis
Voraussetzungen[Bearbeiten]
Ich gehe davon aus, dass die DiskStation so eingerichtet wurde, dass bereits "Gemeinsame Ordner", in denen sich Daten befinden, angelegt wurden und der Zugriff z. B. via SMB (Windows File Share) funktioniert. Stelle zudem sicher, dass die File Station Anwendung installiert ist. Schon kann's losgehen.
File Station einrichten[Bearbeiten]
An und für sich wurden in der App-Konfig der File Station meinerseits keine großen Änderungen vorgenommen. Ich habe über die Einstellungen lediglich die Protokollierung aktiviert, sonst können meines Erachtens die Default-Einstellungen übernommen werden.
Gemeinsamer Ordner[Bearbeiten]
In der Systemsteuerung > Gemeinsamer Ordner müssen für jeden Ordner, der Remote zur Verfügung gestellt werden soll, unter Erweiterte Berechtigungen folgende Einstellungen deaktiviert werden:
Wird dies nicht eingestellt und man greift später z. B. mit der iPhone App DS File auf den/die Ordner zu, ist evtl. die erste Ordnerebene sichtbar, aber die Unterordner sind leer...
Benutzerberechtigungen[Bearbeiten]
Per Default haben alle User das Recht, auf die Anwendung File Station zuzugreifen. Auch für alle anderen Anwendungen sind diese Standardberechtigungen vergeben, was mir nicht gefällt :-) Wer das ähnlich sieht wie ich und lieber dem User nur jene Rechte geben möchte, die er wirklich braucht, kann über die Systemsteuerung > Berechtigungen (im Bereich Anwendungen zu finden) den Default-Zugriff deaktivieren:
Im nächsten Schritt muss unterhalb des Reiters Benutzer den gewünschten Usern das Recht für die Nutzung dieser Anwendung gewährt werden. Wie gesagt: ich bin kein Freund von Berechtigungen ala "Jeder darf erst mal alles", schon gar nicht bei Services, die über Internet verfügbar sind. Wer möchte, kann auch für alle anderen Anwendungen diese Standard-Berechtigungen deaktivieren.
Port der File Station ändern[Bearbeiten]
Standardmäßig ist die File Station über TCP Port 5000 (http) bzw. 5001 (https) erreichbar. Ich hasse so vordefinierte Ports, sind sie doch ein gefundenes Fressen für einen Portscan (und damit verbunden eines Hacker-Angriffs). Freilich verhindert man durch Ändern des Standard-Ports keinen Bruteforce-Angriff etc., aber man erschwert einem Angreifer das Finden des File Station Services. Deshalb empfehle ich, einen zusätzlichen, benutzerspezifischen Port für die File Station festzulegen, der dann im weiteren Verlauf am eigenen Internet-Router für's Forwardng verwendet wird.
Einen zusätzlichen Port kann man unterhalb der Systemsteuerung > Anwendungsportal hinterlegen. Klicke auf den Eintrag File Station, dann auf den Button Bearbeiten und definiere einen entsprechenden Port (ich empfehle irgendwas zwischen 10000 und 65000):
Ich gehe im weiteren Verlauf dieser Doku davon aus, dass der Port 12345 verwendet wird! Auch empfehle ich dringend, nicht HTTP, sondern HTTPS (wegen der Verschlüsselung...) zu verwenden.
Portforwarding am Router einrichten[Bearbeiten]
Damit nun der Internetzugriff auf die File Station funktioniert, musst du an deinem Router ein Portforwarding auf den Port 12345 einrichten. Ich empfehle zudem die Registrierung bei einem DDNS-Anbieter, z. B. https://www.noip.com (abhängig von deinem Router, welche Provider hier unterstütz werden!). Bei Fragen zum Thema Portforwarding und DDNS bitte googlen.
App einrichten[Bearbeiten]
Installiere nun an deinem Smartphone die App DS File. Gib im Feld Adresse oder QuickConnect ID (im Idealfall) den zuvor registrierten DDNS-Namen an. ACHTUNG: wir haben zuvor einen benutzerdefinierten HTTPS-Port 12345 für den File Station-Zugriff konfiguriert. Daher ist es zwingend notwendig, hinter dem DDNS-Namen den Port anzugeben, Beispiel:
mein.ddns.net:12345
Aktiviere noch HTTPS. Stelle zudem in den App-Einstellungen (am iPhone im linken unteren Eck der App das Zahnrad-Symbol) sicher, dass Zertifikat überprüfen DEAKTIVIERT ist. Das ist notwendig, weil das Zertifikat des NAS nicht von einer vertrauenswürdigen CA signiert wurde und sonst beim Anmelden per HTTPS eine Fehlermeldung angezeigt wird.
Klicke jetzt auf Anmelden - fertig.
Probleme[Bearbeiten]
Sollte nun in der App die erste Ordnerebene, jedoch keine Unterordner angezeigt werden, siehe Punkt Gemeinsamer Ordner weiter oben. Schlägt die Anmeldung fehl, passt wahrscheinlich das Portforwarding nicht. Hier hängt's an deinem Know-how, den Fehler zu finden :-)
