TCP/UDP voor WebDAV 5005/5006 poorten

[atillav]

Ik was de connectiviteit van mijn DS1515+ (DSM 5.1-5022 Update 3) aan het testen.
In het bijzonder de ds apps (ds file, ds audio, etc....)
Zoals ik het begrijp maakt DS file gebruik van de  WebDAV service via poort 5005/5006 (HTTPS) op mijn NAS.
Ik heb alles geconfigureerd zoals het zou moeten, maar vanuit mijn LAN werkte alles prima, maar van buiten kreeg ik tekens de melding "WebDAV-error 500".
Na het veranderen van de port forwarding 5005/5006 van alleen TCP naar TCP/UDP werkte het perfect.
Hetzelfde geldt voor Photo Station (en daarmee ook Web Station en Mail Station) voor poort 80. Ook daar dien ik TCP/UDP in plaats van alleen TCP in te stellen.
Dit klopt niet met de lijst die Synology op haar website toont:
https://www.synology.com/nl-nl/knowledgebase/faq/299
Misschien komt het door mijn router/ADSL modem (Davolink 2020)

[Babylonia]

Zoals ik het begrijp maakt DS file gebruik van de  WebDAV service via poort 5005/5006 (HTTPS) op mijn NAS.

Nee, alleen voor oudere versies van DSM (versie 4.2 of eerder), niet voor DSM 5.1   en oudere versie DS File.
https://www.synology.com/nl-nl/knowledgebase/faq/299

DS file-versie voorafgaand aan 4.0 of een DiskStation met DSM 4.2 of eerdere versies: 5005, 5006 (HTTPS)

Vandaar misschien de verwarring met UDP?
Vul de juiste poorten in die ervoor staan. ---->  5000 voor http    5001 voor https

De foutmelding van WebDAV zit hem dan waarschijnlijk hierin dat je in de NAS WebDAV niet hebt aangevinkt als protocol, maar mogelijk wel de poort ernaartoe gebruikt. Voor WebDAV gebruik dat alleen met apps of programma's die dat protocol ondersteunen. (Dat is dus niet DS File).

[Ben(V)]

Even voor de duidelijkheid.
Webdav gebruikt HTTP(s) en dus TCP en geen UDP, dus het forwarden van UDP is absoluut niet nodig.
Misschien dat de eerste keer forwarden niet goed gelukt was en de tweede keer met udp het wel goed ging.

Zou ook niet best zijn als Webdav het UDP protocol zou gebruiken.
Dat is een connectionless broadcast procotol, met andere woorden pakketjes data worden weggestuurd en je moet hopen dat het aankomt.
Omdat er geen connctie is kan er dus geen handshake plaatsvinden of retries.

Werkbaar op een lan voor bijvoorbeeld streaming of broadcasting waar verlies van een pakketje niet ernstig is, maar voor data transfer echt onbruikbaar.

[atillav]

Thanks Babylonia voor je snelle response. Heb daar toch nog wat opmerkingen over (voor mijn begrip).
 
Ik heb die regel ook gelezen dat je eigenlijk poort 5000 moet gebruiken, maar in alle posts die ik gelezen heb (zelfs de meest recente) wordt steeds (met klem) geroepen dat DS File standaard toch echt poort 5005, 5006 (HTTPS) gebruikt. Ook bij de nieuwere versies van DSM. Dat is toch raar?
Ik heb gekeken bij de WebDAV instellingen op DSM en zie dat als je WebDAV aanvinkt, het opgegeven poortnummer 5005 niet kan wijzigen. Ook die van HTTPS 5006 overigens. Lijkt als of het hard is gecodeeerd?

Ik moet wel WebDAV als protocol aanzetten, maar in dezelfde zin zeg je dat DS File geen gebruik maakt van dat protocol?
Het zou mij ernstig verbazen, daar WebDAV een van de oudste manieren is om via http bestanden te tonen in een browser.
Laat DS File nou een bestandsprogramma zijn. Of het een is waar of het andere. Beiden kan niet.

Ben benieuwd, want lijkt alsof dit een soort vreemde magie is met die poorten?

[atillav]

Thanks Ben.

Ik ben het vanuit een theoretisch standpunt helemaal met je eens. Maar helaas wijst de praktijk in mijn geval anders uit.

Vreemd.

[Ben(V)]

DS Files maakt wel degelijkgebruik van wedav en dus ook van poort 5005 (ook in de nieuwste versie van DSM).

Ligt het misschien aan de firewall in je NAS? Als je die aan hebt staan moet je ook daar die poorten open zetten.

Verder kan het natuurlijk altijd nog zo zijn dat je router een beetje buggy is en intern TCP en UDP door elkaar haalt.

Maar geloof me (net getest) als ik TCP in mijn router niet meer forward maar alleen UDP doet ds files het niet meer.

[Babylonia]

Ik moet wel WebDAV als protocol aanzetten, maar in dezelfde zin zeg je dat DS File geen gebruik maakt van dat protocol?

Dat moet je alleen aanzetten als je specifiek gebruik maakt van applicaties die gebruik maken van het WebDAV protocol.
Dat is dus niet DS File. Heb ik ook aangegeven.  Ik gaf alleen uitleg waarom je mogelijk een foutmelding kreeg.

Maar alleen in het geval je dus wel applicaties gebruikt onder het WebDAV protocol, moet je dat dus wel in DSM aangeven.
Voor WebDAV gebruik dat alleen met apps of programma's die dat protocol ondersteunen.
(Ik maak zelf wel gebruik van het WebDAV protocol, bijv. via het programma < NetDrive > ).

[Babylonia]

DS Files maakt wel degelijk gebruik van wedav en dus ook van poort 5005 (ook in de nieuwste versie van DSM).

Lijkt mij niet. Mensen die enkel poort 5000 /5001 doorsturen kunnen prima met DS file overweg.
Je hoeft het WebDAV protocol in DSM ook helemaal niet te hebben aangevinkt om met DS file te kunnen werken.
(In dat geval worden de poorten 5005 / 5006 dus ook zeer beslist niet gebruikt door DSM).

Aanvulling:
Net nog even uitgetest. In de Firewall van DSM poorten voor WebDAV geblokkeerd.
Echter met DS File kon ik erna prima inloggen op de NAS (onder poort 5001 https).

[atillav]

Heren,

Ik denk dat ik erachter ben, hoop ik. Mijn FireWall was compleet open, dus daar lag het niet aan.
Verder WebDAV uitgezet. De 5005/5006 port forwarding weggehaald in mijn router/modem.
Zoals ik verwachte kwam ik er niet in. Maar toen ik het vinkje bij "Onthoud mij" weghaal, kom ik er wel in?
Als ik het vinkje weer aanzet dan werkt het weer niet.

Overigens log ik met xxxxx.dsmynas.com en een normaal gebruikers account en wachtwoord en HTTPS niet aangevinkt.
Mis ik iets?

[atillav]

Toch even verder gegaan. Ik moet met schaamrood op de kaken bekennen dat na een aantal keer proberen met vinkje "Onthoud mij" aan en uit, lukte het mij geheel en al in te loggen. Met elke DS applicatie. Inmiddels ook alleen poort 5000 en 80 (tbv DS Photo) met alleen TCP als port forwarding ingesteld en het werkt. Ik gok dat ik zo nu en dan een (mobiel internet) netwerk probleem had. Ik zit in mijn huis in een soort kooi van Faraday (goed geisoleerd). Ik zal de komende dagen buiten eens goed proberen en op Wifi bij een ander (waarvan ik weet dat er niets tegen gehouden wordt).

Uiteindelijk geen problemen.

[Briolet]

Zou ook niet best zijn als Webdav het UDP protocol zou gebruiken.
Dat is een connectionless broadcast procotol, met andere woorden pakketjes data worden weggestuurd en je moet hopen dat het aankomt.
Omdat er geen connctie is kan er dus geen handshake plaatsvinden of retries.

En toch werkt een VPN L2TP alleen via 3 UDP poorten. (Ik heb TCP op die drie poorten ook niet open gezet)

[Ben(V)]

Als je VPN gebruikt maak je een tunnel met het VPN protocol.
Dat protcol neemt dan de routerings en ack/nack over van tcp en kun je volstaan met UDP.
UDP heeft iets minder overhead danTCP en de extra functionaliteit wordt door het Vpn protocol geleverd.

[Favreleuba]

DS Files maakt wel degelijk gebruik van wedav en dus ook van poort 5005 (ook in de nieuwste versie van DSM).

Lijkt mij niet. Mensen die enkel poort 5000 /5001 doorsturen kunnen prima met DS file overweg.
Je hoeft het WebDAV protocol in DSM ook helemaal niet te hebben aangevinkt om met DS file te kunnen werken.
(In dat geval worden de poorten 5005 / 5006 dus ook zeer beslist niet gebruikt door DSM).

Aanvulling:
Net nog even uitgetest. In de Firewall van DSM poorten voor WebDAV geblokkeerd.
Echter met DS File kon ik erna prima inloggen op de NAS (onder poort 5001 https).

Dit is het toch?
- DS file 5.x en een DiskStation met DSM 4.3 en hoger: 5000, 5001 (HTTPS)
- DS file-versie voorafgaand aan 4.0 of een DiskStation met DSM 4.2 of eerdere versies: 5005, 5006 (HTTPS)

Nu de verschillende apps via poort 5000/5001 benaderd moeten worden staat daarmee toch ook direct de toegang tot DSM open? Ik lees op verschillende plekken op het forum dat het mogelijk niet verstandig is om DSM open te zetten. Is dit inderdaad beter om niet te doen, of is het 'beren op de weg zien'? Als het beter is van niet, kan DS File dan op een andere wijze benaderd worden? Een andere app, DS Photo+, kan (nog?) via 443, dat is dus prima. En tot slot, het doorsturen van poort x naar poort Y, is dat zinvol of schijnveiligheid, hier lees ik ook veel verschillende meningen over. Ieder zijn eigen smaak?

[Babylonia]

Dit is het toch?
- DS file 5.x en een DiskStation met DSM 4.3 en hoger: 5000, 5001 (HTTPS)
- DS file-versie voorafgaand aan 4.0 of een DiskStation met DSM 4.2 of eerdere versies: 5005, 5006 (HTTPS)

Dat is specifiek eerder in de draad al aangehaald < HIER >

DSM staat overigens niet "open". Je zult toch met een gebruikersnaam en wachtwoord moeten inloggen.
Doe je dat bijv. 3 of 5 keer verkeerd (net wat je veiligheidsinstelling is), wordt men bovendien voor "altijd" geblokkeerd.
Als je benadering via poort 5001 (versleutelde verbinding) te riskant vind voor DSM (File Station) zou je ook een VPN-verbinding kunnen opzetten.

Er zijn meerdere wegen naar Rome. Stel verder Firewall regels in om regio's uit te sluiten waar je van weet dat je zelf van buitenaf daar toch nooit bent om in te loggen. Zie < DEZE > reactie.
Schakel verder "admin" als gebruiker uit, en stel een andere gebruikersnaam in met adminrechten.
Dubieuze inlogpogingen worden het eerste geprobeerd met "admin" of "root" als gebruikersnaam.

[Briolet]

DSM staat overigens niet "open". Je zult toch met een gebruikersnaam en wachtwoord moeten inloggen.

Het probleem is dat je niet weet wat je niet weet…  (even laten bezinken)

De bedoeling is dat het dicht zit, maar je weet nooit of er een nu nog onbekende bug in zit die misbruikt kan worden. Het afgelopen jaar zijn er zo een paar gedicht. Daarom ook het advies om een andere poort te gebruiken. Als er dan een bug bekend wordt, ben je iets lastiger te vinden en mag je hopen dat er een patch gemaakt is voordat de hackers achter de minder courante poorten aangaan.

In VPN kan overigens ook een bug zitten, maar dan zul je nog steeds via een tweede bug in DSM moeten komen wat de kans van inbraak wel erg klein maakt.