Synology NAS Firewall

[Jxsua]

Hey Leute, ich bin leider nicht gerade ein Vollprofi und hab daher eine Frage zu meiner Synology NAS und deren Firewall.

Ich habe einen Bitwarden Server im Container Manager dieser funktioniert auch einwandfrei. Das Problem ist allerdings nun der Email Versand des NAS zum anmelden oder als Info bei einem fehlgeschlagenen Login. Der Bitwarden Container kann meine Emails versenden sobald die Firewall in der Syno an ist. Muss ich da irgendwie noch was freigeben dass der Server emails versenden kann? Der Anbieter ist Gmail. Wenn die Firewall in der Syno aus ist geht alles. Irgendwie wird da was blockiert das der Container Mails versenden kann nur leider habe ich keine Ahnung was.

Hat einer von euch eine Idee?

 

[conf_t]

Für das Versenden von E-Mail per Gmail als Server brauchst du kein Firewallfreigabe.

 

[Jxsua]

Das dachte ich eigentlich auch. Weil es ja raussgeht… allerdings habe ich ja trotzdem das Problem das bei aktivierter Firewall mein Bitwarden Container auf der Synology NAS keine Mails versenden kann. Erst wie die Firewall aus ist.

 

[nutrix]

Nicht ganz, da muß sehr wohl eventuell - wenn ein Client verwendet - SMPT Port 465 zum senden freigegeben werden.

 

[Jxsua]

Wie meinst du das? Wie muss ich das in der Direwall konfigurieren?

 

[redjack1000]

Wie muss ich das in der Direwall konfigurieren

Das ist hier beschrieben -> https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/connection_security_firewall?version=7

CU
redjack

 

[Jxsua]

Dort steht doch nicht beschrieben welchen Port ich für den Container freigeben muss dass dieser emails versenden kann oder?

 

[conf_t]

Ich habe was ähnliches.

Nextcloud im Docker und die kann soviele Mails schicken wie sie wil.
Dazu habe ich in der FW nichts extra eingestellt.
Für ausgehende Verbindungen muss man an der Synology-FW i.d.R. auch nichts einstellen. Nur für eingehende Verbindungen. Mailversand hat ja nichts mit Mailserverdiensten zu tun.

Bei mir ist halt der von Nextcloud genutzte Mailserver gleichzeitig der Synology Mail Server, den ich aber via Internet anspreche, also mit der public FQDN, nicht mit irgendeiner lokalen IP. Also so, also ob du mit Gmails SMTP Server kommunizierst.

Musst halt im Programm im Docker deine SMTP-Credentials hinterlegen und dann sollte es klappen.
Für HTTPS habe ich halt einen Reverse Proxy, aber der spielt hier beim Mailversand keine Rolle.

BTW nextcloud mit all ihren anderen Containern (MariaDB, Redis, Calmav usw.) nutzt ihr eigenes gemeinsames Subnetz im Bridgemodus.

 

[Jxsua]

Sorry, das hab ich nun leider noch nicht ganz verstanden. Die Anmeldedaten hat der Container ja auch und es klappt ja auch alles, er kann ja E-Mails versenden … nur halt, wenn die Firewall an ist, geht das nicht … muss ich da nicht irgendwas in der Firewall konfigurieren, wenn dieses das blockiert?

 

[conf_t]

Wie ist denn das Containernetzwerk eingerichtet. Als „Host“ oder „Bridge“?

Denke das macht hier einen Unterschied. Weiß zwar noch nicht genau welchen, aber die Quell-IPs sind dann ja total unterschiedlich.

Hast du mal nen Link zum Container?
Wie ist deine FW konfiguriert?

 

[redjack1000]

muss ich da nicht irgendwas in der Firewall konfigurieren, wenn dieses das blockiert?

Richtig, wie schon in #4 erwähnt.

CU
redjack

 

[Jxsua]

Wie ist denn das Containernetzwerk eingerichtet. Als „Host“ oder „Bridge“?

Denke das macht hier einen Unterschied. Weiß zwar noch nicht genau welchen, aber die Quell-IPs sind dann ja total unterschiedlich.

Hast du mal nen Link zum Container?
Wie ist deine FW konfiguriert?

Bridge Mode.

Ja das ist der Container: https://hub.docker.com/r/vaultwarden/server

In der Firewall ist konfiguriert Zugriff erlaubt nur von einer festen iP aus und alle aus Deutschland haben auf 3-4 Ports zugriff, alle anderen iPs werden blockiert.

 

[conf_t]

Nur wenn da manuell Unsinn gemacht wurde.

Eine ausgehende Verbindung von lokal:highport nach Google:465 braucht keine explizite Freischaltung, weil lokal kein lokaler SMTP Server auf dem NAS angesprochen wird. Und genau dafür ist die Freigabe in der Syno Firewall. Aber hier nicht zweckdienlich, da ja nicht lokal:465 angesprochen wird.

Das wird ein anderer Nebeneffekt sein.

 

[Jxsua]

Richtig, wie schon in #4 erwähnt.

CU
redjack

Okay das heißt? Ich muss den Port 465 TCP freigeben als Quellport? Oder als Port des Zielordners? Und von der iP des Containers aus?

 

[conf_t]

Deshalb sage ich ja, @redjack1000 soll über seine Aussage nachdenken.

Weil Quelle irgend was mit 172.18.x.x:highport mit Ziel Google:465 ist. Und da spielt der lokale 465 keine Rolle.

Alternativ fehlen Infos.

 

[Jxsua]

Deshalb sage ich ja, @redjack1000 soll über seine Aussage nachdenken.

Hast du noch eine Idee zur Lösung des Problems?

 

[conf_t]

Nicht ohne deine vollständige Konfig (Container + Bitwardeb + FW) abzgl. persönlicher Information (wie Emailadresse, PW und öffentliche IP) zu kennen.

Evtl. musst man sich die FW mal in der Shell ansehen, ….

 

[Jxsua]

Container ist der Vaultwarden Server latest
Email nutzt der Server den Port 587 STARTTLS

Diese Meldung erscheint wenn ich eine Test Mail in der Container UI verschicken will. Wenn die Firewall aus ist geht es wie gesagt.

Hier noch meine Firewall Config:

 

[conf_t]

Da funktioniert die Namensauflösung (DNS) scheinbar nicht.

Ich arbeite ohne „alle Schnittstellen“, sondern habe sie auf dem phy. Interface. Weiß nicht ob das einen unterschied macht

Die letzte Zeile bricht dir das Genick. Schiebe die Konfig besser auf die jeweiligen Interfaces und nutze dort dann „alle anderen verweigern“ oder wie das heißt.


Alternativ musst du bei „alle Schnittstellen“ tatsächlich jeden benötigten Dienst, der auch ausgehend genutzt werden soll eintragen. Angefangen bei DNS.

 

[Jxsua]

Aber alles andere wo mach außen geht funktioniert ja? Die syno kann ja auch emails versenden nach außen über Gmail… nur der Container schafft es nicht. Und was heißt das mit dem DNS was hilft da ? Wie kann ich das so einstellen dass das DNS funktioniert? Weil wenn die Firewall aus ist geht es ja.