Anwendungsportal
Mit dem Anwendungsportal können Sie die Verbindungseinstellungen verschiedener Anwendungen so konfigurieren, dass Sie in unabhängigen Browser-Registerkarten oder Browserfenstern direkt auf diese Anwendungen (z. B. mit File Station) zugreifen und sie ausführen können.
Anmerkung:
- Sie können Zugriffseinstellungen für Anwendungen wie Audio Station, Download Station, Surveillance Station, Video Station, File Station und viele weitere bearbeiten.
Aliasnamen anpassen
Sie können jeder von Synology entwickelten Anwendung, wie etwa File Station, einen Aliasnamen zuweisen. Mit dem benutzerdefinierten Aliasnamen können Sie die Anwendung schnell über eine spezielle URL öffnen.
Aliasnamen für Anwendungen anpassen:
- Gehen Sie zu Systemsteuerung > Anwendungsportal > Anwendung.
- Wählen Sie eine Anwendung.
- Klicken Sie auf Bearbeiten > Allgemein.
- Wählen Sie im Popup-Fenster Benutzerdefinierte Aliasnamen aktivieren und geben Sie den Aliasnamen an.
- Klicken Sie auf OK, um die Einstellungen zu speichern.
Anmerkung:
- Einige Anwendungen haben Standard-Aliasnamen: Audio Station (audio), Download Station (download), File Station (file), Surveillance Station (cam) und Video Station (video).
- Aliasnamen dürfen nicht mit Namen identisch sein, welche für das System oder für Browser reserviert sind oder von anderen Anwendungen genutzt werden und müssen aus 2 bis 20 Zeichen bestehen.
- Ein Aliasname kann nur aus Groß- und Kleinbuchstaben, numerischen Zeichen und den beiden Sonderzeichen (-) und (_) bestehen.
- Die Sonderzeichen (-) und (_) können nicht am Anfang oder Ende eines Aliasnamens stehen.
Auf Anwendungen mit Aliasnamen zugreifen:
Nachdem Sie einen Aliasnamen für eine Anwendung (z. B. File Station) eingerichtet haben, können Sie die Anwendung schnell öffnen, indem Sie eine URL in den folgenden Formaten eingeben: http://DS_IP_ODER_SERVERNAME/ALIAS/
oder https://DS_IP_ODER_SERVERNAME/ALIAS/
Beispielsweise können Sie über die folgenden URLs schnell auf File Station zugreifen: http://192.168.xx.xx/file/
oder https://MySynologyNAS/file/
HTTP-/HTTPS-Ports anpassen
Sie können jeder von Synology entwickelten Anwendung, wie etwa File Station, einen HTTP-/HTTPS-Port zuweisen. Mit dem benutzerdefinierten Port können Sie die Anwendung schnell über eine spezielle URL öffnen.
HTTP-/HTTPS-Ports für Anwendungen anpassen:
- Gehen Sie zu Systemsteuerung > Anwendungsportal > Anwendung.
- Wählen Sie eine Anwendung.
- Klicken Sie auf Bearbeiten > Allgemein.
- Wählen Sie im Popup-Fenster Benutzerdefinierten Port (HTTP) aktivieren oder Benutzerdefinierten Port (HTTPS) aktivieren aus.
- Geben Sie eine benutzerdefinierte Portnummer an.
Anmerkung:
- Der Portnummernbereich kann zwischen 1 und 65535 liegen.
- Folgende Ports können nicht verwendet werden, weil sie für das System reserviert sind:
- 20, 21, 22, 23, 25, 80, 110, 137, 138, 139, 143, 199, 443, 445, 515, 543, 548, 587, 873, 993, 995, 3306, 3689, 5000, 5001, 5005, 5006, 5335, 5432, 6881, 8080, 7000, 7001, 8081, 9997, 9998, 9999, 50001, 50002
- eMule-Standardports: 4662 (TCP), 4672 (UDP)
- Standard-FTP-Portbereich: Der tatsächliche Bereich ist vom Modell abhängig.
Auf Anwendungen über HTTP-/HTTPS-Ports zugreifen:
Nachdem Sie HTTP/HTTPS-Ports für eine Anwendung (z. B. File Station) eingerichtet haben, können Sie die Anwendung schnell öffnen, indem Sie URLs in den folgenden Formaten eingeben: http://DS_IP_ODER_SERVERNAME:HTTP_PORT
oder https://DS_IP_ODER_SERVERNAME:HTTPS_PORT
Beispielsweise können Sie über die folgenden URLs schnell auf File Station zugreifen: http://192.168.xx.xx:7000
oder https://MySynologyNAS:7001
Zertifikat und TLS/SSL-Profilebene für HTTPS-Ports konfigurieren:
Nachdem Sie einen HTTPS-Port für eine Anwendung (z. B. File Station) eingerichtet haben, können Sie zu Systemsteuerung > Sicherheit > Zertifikat wechseln und auf Konfigurieren klicken. Suchen Sie dann den Dienstnamen im Format Anwendungsname - HTTPS_PORT, um das verwendete Zertifikat zu konfigurieren.
Sie können auch zu Systemsteuerung > Sicherheit > Erweitert wechseln und auf Benutzerdefinierte Einstellungen klicken. Suchen Sie dann den Dienstnamen im Format Anwendungsname - HTTPS_PORT, um die verwendete TLS -/SSL-Profilebene zu konfigurieren.
Beispiel: Wenn der HTTPS-Port von File Station 7001 ist, können Sie den Dienst auf den beiden oben genannten Seiten unter dem Namen FileStation - 7001 finden und weiter konfigurieren.
Domains anpassen
Sie können einer von Synology entwickelten Anwendung, wie etwa File Station, einen Domainnamen zuweisen. Mit der benutzerdefinierten Domain können Sie die Anwendung schnell über eine spezielle URL öffnen.
Domains für Anwendungen anpassen:
- Gehen Sie zu Systemsteuerung > Anwendungsportal > Anwendung.
- Wählen Sie eine Anwendung.
- Klicken Sie auf Bearbeiten > Allgemein.
- Wählen Sie im Popup-Fenster Benutzerdefinierte Domain aktivieren aus.
- Geben Sie eine benutzerdefinierte Domain an.
- Weitere Einstellungen können Sie unter HSTS aktivieren oder HTTP/2 aktivieren nach Bedarf vornehmen.
Anmerkung:
- Bevor Sie diese Funktion einrichten, müssen Sie bei Domainanbietern Domainnamen beantragen, damit Benutzer über das Internet auf diesen Dienst zugreifen können.
- Jede Domain kann nur für jeweils eine bestimmte Anwendung auf Ihrer DiskStation verwendet werden.
- Sofern der Domainname nicht länger als 15 Zeichen ist und den NetBIOS-Namenskonventionen entspricht, wird das System ihn automatisch registrieren und übertragen.
- Der Zugriff auf Anwendungen über URLs, die Domainnamen verwenden, erfolgt über den Standard-HTTP-Port (80) oder den Standard-HTTPS-Port (443).
- Wenn Sie die Zugangskontrolle mit einem von Let's Encrypt ausgestellten Zertifikat aktivieren, kann die automatische Erneuerung des Zertifikats fehlschlagen. Wenn diese Situation auftritt, deaktivieren Sie zuerst die Zugangskontrolle. Gehen Sie anschließend zu Systemsteuerung > Sicherheit > Zertifikat, klicken Sie mit der rechten Maustaste auf eines der Let's Encrypt-Zertifikate und wählen Sie Zertifikat erneuern aus. Nach der Erneuerung des Zertifikats können Sie die Zugangskontrolle wieder aktivieren.
Auf Anwendungen über Domains zugreifen:
Nachdem Sie eine Domain (z. B. datei.beispiel.com) für eine Anwendung (z. B. File Station) eingerichtet haben, können Sie die Anwendung schnell öffnen, indem Sie eine URL in den folgenden Formaten eingeben: http://APP_DOMAIN
oder https://APP_DOMAIN
Beispielsweise können Sie über die folgenden URLs schnell auf File Station zugreifen: http://file.example.com
oder https://file.example.com
Wenn der Domainname (z. B. FileFile) für eine Anwendung (z. B. File Station) den NetBIOS-Namenskonventionen entspricht, können Windows-Benutzer auf einem Synology NAS im selben lokalen Netzwerk mit dieser URL darauf zugreifen: http://FileFile
oder https://FileFile
Zertifikat und TLS/SSL-Profilebene für Domains konfigurieren:
Nachdem Sie eine Domain für eine Anwendung (z. B. File Station) eingerichtet haben, können Sie zu Systemsteuerung > Sicherheit > Zertifikat wechseln und auf Konfigurieren klicken. Suchen Sie dann den Dienstnamen im Format Anwendungsname - Domain, um das verwendete Zertifikat zu konfigurieren.
Sie können auch zu Systemsteuerung > Sicherheit > Erweitert wechseln und auf Benutzerdefinierte Einstellungen klicken. Suchen Sie dann den Dienstnamen im Format Anwendungsname - Domain, um die verwendete TLS -/SSL-Profilebene zu konfigurieren.
Beispiel: Wenn die Domain von File Station file.example.com ist, können Sie den Dienst auf den beiden oben genannten Seiten unter dem Namen FileStation - file.example.com finden und weiter konfigurieren.
Zugangskontrollprofil festlegen:
Wenn Sie ein Zugangskontrollprofil für eine Anwendung (z. B. File Station) eingerichtet haben, können abgelehnte Benutzer diese Anwendung nicht durch Eingabe der in diesem Artikel genannten URLs öffnen.
- Gehen Sie zu Systemsteuerung > Anwendungsportal > Anwendung.
- Wählen Sie eine Anwendung.
- Klicken Sie auf Bearbeiten > Allgemein.
- Klicken Sie im Popup-Fenster auf Zugangskontrolle aktivieren und wählen Sie ein Zugangskontrollprofil aus. Weitere Informationen zum Erstellen eines Zugangskontrollprofils finden Sie im Abschnitt Zugangskontrollprofile anpassen unten.
- Klicken Sie auf OK, um die Einstellungen zu speichern.
Reverse Proxy-Regeln anpassen
Ihre DiskStation kann als Reverse Proxy-Server fungieren, der Anfragen aus dem Internet zu Geräten im lokalen Netzwerk überträgt. Mithilfe von Reverse Proxy-Regeln können Sie sensible Ports vor potenziellen Bedrohungen wie in den beiden folgenden Szenarios verbergen:
Szenario 1: Angenommen, 80 sei der sensible Port, der gemäß der Firewall-Regel keinen externen Zugriff zulassen darf. Sie können eine Reverse Proxy-Regel einrichten, um es vertrauenswürdigen Benutzern zu ermöglichen, über das Internet den sensiblen Port 80 über einen anderen Port (z. B. 81) zu erreichen. Auf diese Weise können vertrauenswürdige Benutzer die Firewall umgehen und trotzdem auf den Port 80 zugreifen.
Szenario 2: Angenommen, 80 sei der sensible Port, der den externen Zugriff nur über ein bestimmtes Gerät (z. B. einen Server mit dem Namen "MyTrustee") zulassen darf. Mithilfe von Reverse Proxy-Regeln können Sie es einrichten, dass nur Verkehr von MyTrustee den Port 80 erreicht, von anderen Geräten jedoch nicht.
Reverse Proxy-Regeln einrichten:
- Gehen Sie zu Systemsteuerung > Anwendungsportal > Reverse Proxy.
- Klicken Sie auf Erstellen und nehmen Sie die folgenden Einstellungen auf der Seite Allgemein vor:
- Beschreibung: Geben Sie einen Namen an, der auf die Funktion der Regel schließen lässt.
- Geben Sie die Regeln für die Quelle (das Gerät, das Anfragen aus dem Internet sendet) und das Ziel (das Gerät im lokalen Netzwerk) an:
- Protokoll: Die von Quelle bzw. Ziel verwendeten HTTP- oder HTTPS-Protokolle
- Hostname: Der Name des Quell-/Zielgeräts
- Port: Der vom Quell-/Zielgerät verwendete Port
- HSTS aktivieren und HTTP/2 aktivieren (nur für die Quelle)
- Um ein Zugangskontrollprofil festzulegen, klicken Sie auf Zugangskontrolle aktivieren und wählen Sie ein Zugangskontrollprofil aus. Weitere Informationen zum Erstellen eines Zugangskontrollprofils finden Sie im Abschnitt Zugangskontrollprofile anpassen unten.
Anmerkung:
- Klicken Sie im Dropdown-Menü Erstellen auf WebSocket, um den WebSocket-Funktionsheader rasch zu erstellen, damit Reverse Proxy WebSocket unterstützt.
- Das weitere Verhalten von Reverse Proxy können Sie auf der Seite Erweiterte Einstellungen anpassen.
- Proxy Verbindungstimeout (Sek.): Legen Sie das Proxy-Zeitlimit für die Verbindung zum Zielserver fest.
- Proxy Senden-Timeout (Sek.): Legen Sie das Proxy-Zeitlimit für an den Zielserver gesendete Anfragen fest.
- Proxy Lese-Timeout (Sek.): Legen Sie das Proxy-Zeitlimit für das Warten auf Antwort vom Zielserver fest.
- Proxy HTTP-Version: Wählen Sie die HTTP-Version aus, die für die Kommunikation zwischen Proxy-Server und Zielserver verwendet wird.
- Die vom Zielserver zurückgeschickte Fehlerseite verwenden: Wenn der Zielserver HTTP-Fehlercode zurückschickt, wird die Fehlerseite des Zielservers angezeigt, wenn diese Option aktiviert ist. Ansonsten wird die DiskStation-Fehlerseite angezeigt.
- Klicken Sie auf OK, um die Einstellungen zu speichern.
Zugangskontrollprofile anpassen
Wenn Sie den Zugriff auf das Anwendungsportal oder Reverse Proxys basierend auf der Quell-IP von Benutzern einschränken möchten, können Sie ein Zugangskontrollprofil erstellen. Abgelehnten Benutzern wird eine „Zugriff verweigert“-Seite angezeigt.
Zugangskontrollprofil erstellen:
- Gehen Sie zu Systemsteuerung > Anwendungsportal > Zugangskontrollprofil.
- Klicken Sie auf Erstellen. Im Popup-Fenster können Sie die Regeln in diesem neuen Profil anpassen.
- Klicken Sie auf Erstellen, um eine neue Regel zu erstellen. Die Regeln werden von oben nach unten in absteigender Priorität angewendet und bestimmen die Zugriffsberechtigungen.
- Doppelklicken Sie auf eine Regel, um sie zu bearbeiten. Um Regeln zu löschen, wählen Sie diese aus und klicken auf Löschen.
- Klicken Sie auf OK, um die Regelliste als neues Profil zu speichern.
- Klicken Sie auf das Feld mit dem Namen des Profils, um es umzubenennen.
Anmerkung:
- Wenn Sie den Hostnamen für die Quelle leer lassen, wird die Regel auf alle Quellen angewendet.
- Wenn Sie die Zugangskontrolle mit einem von Let's Encrypt ausgestellten Zertifikat aktivieren, kann die automatische Erneuerung des Zertifikats fehlschlagen. Wenn diese Situation auftritt, deaktivieren Sie zuerst die Zugangskontrolle. Gehen Sie anschließend zu Systemsteuerung > Sicherheit > Zertifikat, klicken Sie mit der rechten Maustaste auf eines der Let's Encrypt-Zertifikate und wählen Sie Zertifikat erneuern aus. Nach der Erneuerung des Zertifikats können Sie die Zugangskontrolle wieder aktivieren.
- Wenn Sie Whitelisting anwenden möchten, müssen Sie neben Regeln für zugelassene Quellen auch Regeln für abgelehnte Quellen einrichten, um die Regeln zu aktivieren.
Wenn etwa http://192.168.xx.xx
zugelassen wird, müssen Sie
http://192.168.xx.xx
als die zugelassene Quelle hinzufügen.
- Eine neue Regel hinzufügen und als „Ablehnen“ einstellen.