Server von fremden WLAN aus erreichen

[erzonk 21]

Hi, 

ich nutze meinen Emby Server, gehostet auf einer Synology schon lange übers Internet im Fitnessstudio, im Urlaub usw. Alles läuft einwandfrei über den dyndns dienst ipv64.net Meine Serveradresse ist also http://xxxxxx.ipv64.net:8096

Im letzten Urlaub gab's im Ferienhaus ein Gästewlan von dem aus die Nutzung des Emby Servers nicht möglich war. Mobilnetz, OK. Im Gästewlan gab's immer einen Verbindungsfehler. Musste die Filme dann über Mobilnetz schauen. 

Hat jemand eine Idee woran da liegen könnte?

Liebe Grüße 

Edited October 22, 2025 by erzonk
Schreibfehler

[Luke 42077]

Hi, it's hard to say, but maybe they block certain domains? 

[pünktchen 1409]

Oft werden alle nicht Standard-Ports, also alles außer 80 und 443 geblockt. Du kannst das Problem lösen, indem du dir einen Reverse-Proxy mit SSL-Verschlüsselung einrichtest, der dann alle Anfragen auf Port 443 an den Emby Port 8096 weiterleitet. Das solltest du alleine schon zu deiner eigenen Sicherheit machen! Emby ohne Verschlüsselung und dann noch mit dem Default 8096 ins Internet freizugeben, ist wirklich keine gute Idee!

[erzonk 21]

@pünktchenich glaub es sind die Ports, richtig. Soweit ich mich erinnere ist das Gästewlan der Fritzbox auf diese beiden Ports beschränkt.(im Ferienhaus ist es eine 7590) 

Zu deinem Lösungsvorschlag. Alle Standartanfragen auf den Emby Port umzuleiten klingt irgendwie seltsam. Kannst du das kurz erläutern?

Wo genau bestehen denn die Sicherheitsbedenken bei meinem vorgehen? Ohne mein Passwort ( sehr sicher) kann doch nix passieren oder irre ich da? 

Mit dem von dir genannten Reverse Proxy kenne ich mich leider gar nicht aus. Wo richtet man das ein?

 

Danke und Grüße 

 

 

[pünktchen 1409]

30 minutes ago, erzonk said:

Zu deinem Lösungsvorschlag. Alle Standartanfragen auf den Emby Port umzuleiten klingt irgendwie seltsam. Kannst du das kurz erläutern?

Man könnte im Reverse-Proxy die Anfragen auch noch filtern, so dass z.B. nur Anfragen die mit deinedomäne/emby starten an 8096 weitergeleitet werden. Das ist vor allem dann interessant, wenn du mehrere Webdienste betreibst. Aber selbst ohne extra Filter würden ja alle Anfragen für die es keinen Endpunkt in Emby gibt, einfach nur ins Leere laufen. Ist ja bei deiner aktuellen Portfreigabe 8096 auch nicht anders.

 

40 minutes ago, erzonk said:

Wo genau bestehen denn die Sicherheitsbedenken bei meinem vorgehen? Ohne mein Passwort ( sehr sicher) kann doch nix passieren oder irre ich da? 

Weil bei dir alles unverschlüsselt übertragen wird! Da hilft auch das stärkste Passwort nichts, wenn ein anderer im selben WLAN alles mitlesen kann.

 

44 minutes ago, erzonk said:

Mit dem von dir genannten Reverse Proxy kenne ich mich leider gar nicht aus. Wo richtet man das ein?

Hab keine Syno, deswegen kann ich dazu nichts sagen. Gibt aber genügend Anleitungen dazu im Netz.

[Suliamu 36]

35 minutes ago, erzonk said:

Zu deinem Lösungsvorschlag. Alle Standartanfragen auf den Emby Port umzuleiten klingt irgendwie seltsam. Kannst du das kurz erläutern?

Statt den Server über http://xxxxxx.ipv64.net:8096 zu erreichen, würdest du ihn dann über
https://xxxxxx.ipv64.net erreichen. 
Das würde vermutlich den Block umgehen und verschlüsselt auch den Transportweg von deinem Endgerät zu deinem Server. 
 

37 minutes ago, erzonk said:

Wo genau bestehen denn die Sicherheitsbedenken bei meinem vorgehen? Ohne mein Passwort ( sehr sicher) kann doch nix passieren oder irre ich da? 

Bei dem Thema scheiden sich die Geister. 
Ich persönlich würde niemals ein Emby, Plex oder Jellyfin völlig offen im Internet betreiben. 
Ich gebe alle IPs per Firewall manuell frei die Zugriff nehmen können. 
Diese Medienserver sind sehr komplex und nicht für den Zweck "gehärtet" im offenen Internet betrieben zu werden. 
Kannst einfach mal CVE-Listen angucken, das sind Sicherheitslücken, - hier zB für emby: https://feedly.com/cve/vendors/emby 
Wenn so eine Sicherheitslücke veröffentlicht wird, und die zB root-Zugriff ermöglicht, scannen Leute genau nach diesen Standardports wie 8096 - und Medienserver sind wirklich absolute "Premiumware" für solche Hacker, weil die meistens GPUs haben - und damit können die sich coins farmen. 
Nur einfach nicht den Port nutzen hilft da aber inzw auch nicht komplett weil es inzwischen auch Suchmaschinen gibt die extra dafür da sind bestimmte "services" zu entdecken. 
Also aus meiner Warte muss ich deine Frage leider mit "Doch" beantworten. Da kann schon ne ganze Menge passieren. 
 

[erzonk 21]

Vielen Dank für eure Hilfe. Das heißt, erste Maßnahme ist die Weiterleitung bei ipv64.net direkt auf die Domain inkl. Port zu machen sodass bei Aufruf von HTTPS://xxxxxx.ipv64.net auf die aktuelle dyn IP inkl. den HTTPS Port weitergeleitet wird, richtig?

 

EDIT: Leider kann ich bei IPv64.net keine "eigenen" Weiterleitungen für eine Domain eirichten. Es wird stur die aktuelle IP der Fritzbox genommen. 

Sorry wenn ich mich so anstelle, bin beim Computerthema recht fit aber diesee Bereich der IT ist bei mir so ein kleiner blinder Fleck.

Kann mir da jemand so ein wenig behilflich sein meinen Zugriff auf den Emby Server übers Internet sicherer zu machen? Erde dazu mal nen neuen Thread öffnen. 

Danke und liebe Grüße

Edited October 23, 2025 by erzonk

[erzonk 21]

Hier der Link zum Thema sicherer Zugriff übers Internet: 
https://emby.media/community/index.php?/topic/143642-zugriff-auf-emby-server-übers-internet-sicher-machen/

 

[Suliamu 36]

Ja, solche dyndns anbieter sind meistens recht beschränkt. 
Wenn du das mit https 'richtig' machen willst, d.h. keine Bastellösung, wirst du um eine 'richtige' Domain nicht herumkommen. 
Die bekommt man recht günstig bei godaddy(US), porkbun(US) oder auch inwx(DE). 
Mit so einer domain kann man sich dann auch ein kostenloses Zertifikat besorgen. 
Das Zertifikat kannst du dann entweder direkt in emby hinterlegen, oder, was ich persönlich empfehlen würde, einen reverse proxy (wie caddy) dafür benutzen. Dieser besorgt das zertifikat automatisch und hält es automatisch gültig. Auf dem reverse proxy kannst du dann auch mehrere services "weiterleiten". 
Zum Beispiel erreichst du dann über https://emby.deinedomain.com deinen emby-server, und über https://cloud.deinedomain.com deine nextcloud oder was du sonst so benutzt. 

Vom sicherheitstechnischen Aspekt beschützt dich das obige Prinzip vor zwei Sachen:
a) du kannst 100% sicher sein dass die emby-Oberfläche mit der du dich verbindest und wo du dein Passwort eingibst auch wirklich deine ist und du dein Passwort nicht auf einer "gefälschten" login-Seite eingibst
b) wenn du in einem Hotel-WLAN bist kann niemand sonst der in diesem WLAN ist sehen was du tust indem sie deinen (unverschlüsselten) Netzwerkverkehr anschauen - und auch auf dem Transportweg über den Provider kann das niemand sehen. Der Transportweg zwischen deinem Client und deinem Server ist verschlüsselt

Das obige Prinzip beschützt dich aber nicht vor etwaigen Sicherheitslücken. 
Und während Leute das für übertrieben mögen halten würde ich empfehlen dass wenn du in einem Hotel bspw auf deinem emby-server zugreifen willst, dass du zuerst von einem notebook oder von deinem smartphone auf einem sicheren weg (SSH) dich mit deinem netzwerk verbindest und dort in der firewall das betreffende hotel manuell freigibst. 

Eine Alternative dazu wäre es ein VPN zu benutzen, das machen auch sehr viele Leute. Dann kannst dir auch das ganze oben mit der Domain sparen. 
Aber es ist unflexibler. Auf irgendwelchen SmartTVs wirst du dann nicht auf deinen Server kommen. Nur über Geräte wo du den betreffenden VPN-Client (openvpn oder wireguard) installieren kannst.

[erzonk 21]

Supi, vielen Dank. Ich hab dazu mal Perplexity pro befragt, die hat erschreckend genau das beschrieben was du schreibst, außer dass sie empfohlen hat all das über die Synology direkt zu tun. Domain über Synology relay Server auch direkt in der Synology einstellbar. Ich werde das einfach mal probieren. Vielen Dank für deine Hilfe, das sind sehr gute Hinweise.

[erzonk 21]

Wireguard benutze ich wo es geht auch. Das ist die nobelste Art, stimmt. Keine Freigaben, keine Ports, keine Sicherheitsprobleme. Aber es gibt Geräte da geht das nicht. Dort nutze ich jetzt deine Vorschläge.

Edited October 24, 2025 by erzonk

[K1ng_Lear 237]

Ein Reverse Proxy bietet noch einen weiteren Sicherheitsvorteil, Scans die das ganze Internet nach Services Scanne laufen hier ins leere, weil der Reverse Proxy nur Anfragen über die korrekte Domain weiterleitet. Wird nur die IP Adresse angefragt, weiß der Reverse Proxy nix damit anzufangen und schickt das Ganze, je nach Einstellung, entweder ins Nirvana, eine Fehlerseite oder gibt schlicht gar keine Antwort.

[erzonk 21]

Das leuchtet ein, dank dir.

habs jetzt folgendermaßen kofiguriert:

1. ich habe bei synology ein ddns eingerichtet der jetzt unter der adresse https://fantasiename.synology.me zu erreichen ist

2. in der Discstation habe ich dann einen Reverseproxy eingerichtet der die Anfragen unter der oben genannten Domain abfängt und an die lokale IP Adresse 192.168.178.4:8096         weiterleitet, welche die Unverschlüsselte lokale Adresse von Emby ist

3. In Emby habe ich die öffentlichen Ports für http und https auf 8096 und 8920 gelassen, ist das okay?

4. In emby habe ich unter externe domain https://fantasiename.synology.me eingetragen

5. unter "sicherer Verbindungsmodus" habe ich "verwaltet vom reverse proxy" eingestellt

6. in der Fritzbox habe ich unter Portfreigaben eine Portweiterleitung von Port 443 auf die Synology Discstation eingerichtet. 

Soweit alles okay oder stimmt noch was nicht? 

 

Würde mich über ein kurzes OK oder Verbesserungsvorschläge freuen. 

 

Vielen Dank und liebe Grüße

 

Edited October 25, 2025 by erzonk

[erzonk 21]

noch 2 kleine Anmerkungen:

1. beim öffentlichen https Port in emby hab ich doch 443 eingetragen, sorry. 

2. In der Firewall der Discstation habe ich den Port 443 auf die lokale IP 192.168.178.4 der Discstation weitergeleitet. 

 

[Suliamu 36]

Ich kenne mich explizit mit diesen Synology-Dingern nicht aus, aber es scheint grundsätzlich alles richtig konfiguriert zu sein. 
Kriegst du denn für diesen internen Synology-DDNS-Service automatisch ein gültiges Zertifikat zugewiesen? 
Wenn du deine subdomain in einem Browser aufrufst, erreichst du dann deinen service ohne Fehlermeldung, dass es ein selbstsigniertes Zertifikat ist?
Wenn ja dann scheint ja alles zu laufen. 

Zu:

 

On 10/26/2025 at 12:15 AM, erzonk said:

2. In der Firewall der Discstation habe ich den Port 443 auf die lokale IP 192.168.178.4 der Discstation weitergeleitet. 

Port 443 muss offen sein und auf die IP wo der reverse proxy läuft weitergeleitet werden. 
Welche IP das auf diesen Synologys ist weiß ich leider nicht, ich würde aber erwarten dass es auf dem host läuft und du dementsprechend keine Weiterleitung (port forwarding) in der firewall brauchst. Aber wie gesagt ich hab keine Erfahrung mit den Dingern ^^

 

Edited October 27, 2025 by Suliamu

[erzonk 21]

Ja, Synology bietet auch gleich einen Zertifikatservice für die Domain mit an der sich regelmäßig mit aktualisiert. 

Wegen 443 hab ich mich auch gewundert, wird dieser ja eigentlich automatisch gewählt wenn https voransteht. Werde damit mal noch etwas rum probieren. 

 

Vielen Dank für die Rückmeldung. 

Edited October 27, 2025 by erzonk

[erzonk 21]

Hab das jetzt nochmal ausprobiert, es funktioniert auch ohne die Weiterleitung von Port 443 in der firewall der discstation. Im Router muss er aber offen sein und an die Discstation weitergeleitet sein.