Synology DSM: Dateien und Ordner freigeben, mit eigener Domain und eigenem Zertifikat

Möchte man aus Synology’s DSM heraus Dateien und Ordner freigeben, gemeint sind damit Dateilinks oder auch Dateiverknüpfungen bzw. geteilte Links genannt, und hat eine eigene Domain samt eigenem Zertifikat als auch andere Ports für http und https, so sind ein paar Kleinigkeiten einzurichten.

Feste öffentliche IP-Adresse

Es muss nicht immer DDNS oder QuickConnect sein: Bei einem Internetanschluss mit fester öffentlicher IP-Adresse muss keineswegs auf die genannten Dienste zurückgegriffen werden. Eine eigene (Sub-)Domain die auf die öffentliche IP-Adresse zeigt genügt.

Eigenes Zertifikat importieren

Möchte man keine selbstsignierten Zertifikate verwenden und Let’s Encrypt ist keine Option, da z.B. die Ports 80/tcp (http) und 443/tcp (https) bereits anderweitig belegt sind (Let’s Encrypt unterstützt keine anderen Ports), bleibt der Weg ein eigenes (öffentliches) Zertifikat zu verwenden.

Unter

Systemsteuerung - Konnektivität - Sicherheit - Zertifikat

kann über „Hinzufügen“ ein vorhandenes Zertifikat samt privatem Schlüssel und, falls notwendig, Zwischenzertifikat(e) importiert werden. Direkt bei diesem Vorgang oder später kann zugeordnet werden, wo dieses Zertifikat dann überall verwendet wird. Beim Importieren ist es nur möglich, dieses Zertifikat als Standard-Zertifikat für alle Dienste zu deklarieren. Manuell lassen sich über „Konfigurieren“ jederzeit nachträglich Änderungen vornehmen.

Weiterleitung von http zu https aktivieren

Leider ist es nicht (mehr) möglich, http und https separat zu verwenden. Möchte man die Freigabe-Links der File Station auf https umstellen, muss man die Weiterleitung von http zu https aktivieren:

Systemsteuerung - Konnektivität - Netzwerk - DSM-Einstellungen

Externer Zugriff über eigene Domain und ggf. mit anderen Ports

Damit die geteilten Links korrekt sind, gemeint ist mit der eigenen Domain und dem richtigen Port bestückt werden, muss man beides unter

Systemsteuerung - Konnektivität - Externer Zugriff - Erweitert

eintragen.

Performance

Wie schnell oder langsam die Datenübertragung über das Internet klappt hängt zum einen vom NAS selbst ab und zum anderen und größten Teil vom Internetanschluss. Je höher die Upload-Geschwindigkeit ist, desto besser klappt es.

Zusätzlich kann man noch die HTTP-Komprimierung aktivieren:

Systemsteuerung - Konnektivität - Sicherheit - Erweitert

Ebenso kann HTTP/2 aktiviert werden:

Systemsteuerung - Konnektivität - Netzwerk - DSM-Einstellungen

Sicherheit und Schutz

Da das Gerät über das Internet erreichbar ist, sollte die Sicherheit nicht außer Acht gelassen werden. Neben den „üblichen Verdächtigen“ wie sichere Kennwörter und, falls möglich, andere Ports statt den Standards für http und https sollte noch folgendes aktiviert werden:

Unter

Systemsteuerung - Konnektivität - Sicherheit - Schutz

den „DoS Schutz aktivieren“. Als nächstes an fast gleicher Stelle dann noch die Blockierung bei zu vielen fehlerhaften Anmeldeversuche unter

Systemsteuerung - Konnektivität - Sicherheit - Konto

„Automatische Blockierung“ einschalten.

Empfehlung: In der „Freigabe-/Blockierungsliste“ mindestens eine IP-Adresse, idealweise aus dem LAN, eintragen, von der aus man im Notfall noch zugreifen kann. Das ist wichtig, damit man sich ggf. nicht selbst aussperrt.

Ein wenig Kosmetik

Der Name der DiskStation muss ja nicht unbedingt auf der Anmeldeseite, schon gar nicht wenn z.B. Kunden darauf zugreifen, zu sehen sein. Ändern kann man die Anzeige unter

Systemsteuerung - System - Thema - "Anmeldeseite Titel"

An gleicher Stelle kann man noch etwas mehr Anpassen, wie z.B. Logo.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.