Hallo

Ich habe eine Verständnisfrage zur Portweiterleitung.

Ich habe ein Synology NAS, welches über DDNS öffentlich via https (Port 5001) erreichbar ist. Die Portweiterleitung ist an der AirPort Extreme eingerichtet (via IPv4) und funktioniert einwandfrei.

Nun habe ich bei mir zu Hause ein zweites Synology Gerät installiert. Dabei musste ich feststellen, dass ich für das zweite Gerät nicht mehr den Port 5001 verwenden kann.
Beim Versuch bringt die AirPort Extreme folgende Meldung:
Der eingegebene Eintrag zur Portweiterleitung existiert bereits.

Nun gut, deshalb habe ich dann 5002 verwendet. Doch ich musste dann feststellen, dass die Webseite vom 2. Gerät von unserem Firmen-Netzwerk nicht aufgerufen werden kann (ich denke wird wohl von der Firmen-Firewall geblockt).
Das ist schlussendlich kein grosses Problem, da das 2. Gerät nicht bei mir zu Hause bleibt (ist nur so zur Installation).

Nun möchte ich jedoch trotzdem wissen, wie man das denn machen würde wenn ich jetzt wirklich 2 Geräte an einem Router (und öffentlich über https erreichbar) betreiben möchte

Ich denke mal der Port 5001 wird bei so ziemlich allen Firewalls erlaubt, da es der Standard für https ist. Also müsste man auch diesen Port verwenden, damit das Gerät möglichst überall erreichbar ist.
Wenn ich jedoch 2 Geräte am selben Standort betreiben will, geht das ja nicht.

Benötigt man in diesem Fall eine professionellere Infrastruktur und wie wird das dann technisch gelöst?
Kann mir jemand erklären wie man sowas in den Griff bekommt?

Da das 2. Gerät nicht bei mir zu Hause bleibt, benötige ich im Moment nicht wirklich eine Lösung. Es würde mich aber trotzdem interessieren. Irgendwann komme ich vermutlich auch in die Situation in der ich das nutzen möchte... Wenn jemand Auskunft geben kann würde mich das freuen

Grüsse, Flöru

Ein Port auf 2 Geräte geht nicht mit einer IP (unabhängig von der Infrastruktur). Aber du kannst einen Port mappen. z.B. 45001 auf 5001 und 55001 auf 5001. Das geht auch mit einer IP. Beim connecten dann einfach den Port mit angeben und fertig (mach ich auch so, allerdings nicht wegen 2x NAS, sondern damit die Ports von den Standards weg sind.

besten dank für deine antwort.

ach so, das klärt einiges, wenn ich's richtig verstehe. vermutlich auch nicht verkehrt wenn man nicht die Standard Ports nutzt.

verstehe ich das so richtig:

Am NAS:
Am NAS würde man dann z.B. den Port 45001 für https setzen?

am Router:
Öffentlicher TCP-Port: 5001
Private TCP-Port: 45001

Somit wäre das Gerät öffentlich über 5001 erreichbar, wird aber lokal auf 45001 gemappt?

Oder hab ich jetzt was verdreht

Wenn wir von einer normalen Portweiterleitung sprechen, dann geht es nur so, dass du entweder eine weitere öffentliche IP oder einen anderen Port verwendest. Bei privaten und kleineren geschäftlichen Anschlüssen ist jedoch nur eine öffentliche IP üblich, somit bleibt dir nur ein anderer Port. Zumindest von außen. Deine beiden Synology können gerne auf Port 5001 hören. Nur deine Firewall leitet externe Anfragen für Port 5001 an die Synology 1 auf Port 5001 (intern) und Port 5002 extern eben auf die Synology 2 auf Port 5001 (intern).
Der Standardport für HTTPS ist 443. Im Gegensatz zu 5001 sollte der tatsächlich überall "erlaubt" sein.
Wenn wir über die normale Portweiterleitung hinaus gehen, fallen mir Begriffe wie Loadbalancing oder Contentswitching ein. Loadbalancing könnte man zweckentfremden, dass man die tatsächlichen Server, die hinter einer virtuellen IP stecken, per Roundrobin alternierend durchschaltet.
Beim Contentswitching übergibt man zusätzlich zu IP und Port noch einen Pfad um das Ziel festzulegen, z.B. landen so Anfragen an https://meineurl.de/nas1 und https://meineurl.de/nas2 auf zwei unterschiedlichen Geräten.
Beide Techniken sind für den Privatgebrauch ziemlich unüblich und im professionellen Bereich nicht unbedingt günstig

ok, verstehe ich. in meinem fall wäre käme eine weitere öffentliche IP nicht in frage. ich bin mir jedoch nicht sicher wie genau man das mapping einrichten würde (evtl. wie ich vorhin im oberen beitrag beschrieben habe?)

Synology gibt 5001 als Standard für die Webanwendung (https) an, und 443 als Standard für Mail Station (https)

ok, auch interessant. wird für meine anwendungszwecke jedoch wohl nie der fall sein

"Standard" für die Anwendungen von Synology vielleicht. Aber der offizielle Standardport für HTTPS ist 443.
Vom Prinzip hast du das Portmapping verstanden, nur verdreht. Der private Port ändert sich nicht, nur der externe. D.h. Extern 45001 geht auf 5001 intern. Innerhalb des LAN sprichst du das NAS nach wie vor über Port 5001 an.
Der Sinn dahinter ist, dass durch einen Portscan deiner öffentlichen IP (dabei geben nur "offene" Ports wie Weiterleitungen Antwort) keine Ports offenbart werden, die auf ein bestimmtes System schließen lassen. Für Angriffe auf bekannte Sicherheitslücken wäre das sonst wie eine öffentliche Einladung

ok, denke nun hab ich's wirklich verstanden
hab's ausprobiert, und es funktioniert. das NAS ist öffentlich unter 45001 erreichbar.

allerdings funktioniert es nicht, wenn ich über's firmen-neztwerk zugreife. ich schätze die firewall unserer firma hat 45001 geblockt und deshalb kommt man dann nicht raus