Diverse bugs gevonden

[Robstar]

het hangt achter een ziggo modem (bridge mode is helaas niet mogelijk, deze functie is uitgeschakeld door ziggo).

Even helpdesk ziggo bellen. Zij kunnen hem wel vanaf afstand in bridge modus zetten.

[B3rt]

ja zoals dat filmpje, alleen laat ie alle IP adressen door zodra je een forwarder aanmaakt, ondanks je een firewall regel hebt aangemaakt dat ie maar 1 IP moet toestaan.
En ja, hij staat op weigeren onderaan en ja je hebt gelijkt zo werkt het in DSM (nas) maar helaas niet in SRM.......

En wat forwarden betreft, de regel mag niet leeg zijn, je moet dus een public EN private poort opgeven, laat je deze leeg kun je niet submitten. Daarnaast kun je de public port WEL ranges opgeven, dmv - of , te scheiden, echter bij private (de bestemming) kan je maar 1 enkele poort opgeven...... moet je bv in theorie 100 opeenvolgende poorten forwarden dan moet je dus 100 forward rules aanmaken. 

[B3rt]

@Robstar
AL zo vaak voor gebeld, doen ze simpelweg niet. Sterker nog, ik heb dat zelfs als 'issue' voor opzeggen uitstaan bij de afdeling retentie/opzegging bij ziggo, maar helaas ze doen het niet. (belachelijk, maar goed is op dit moment niet anders)

Als reden geven ze op dat dit niet mogelijk is bij een zakelijk ZZP connect abonnement, je moet volgens ziggo dan upgraden naar MKB, wat ruim 20,00 per maand duurder is of downgraden nr consument (met verlies van vast IP) OF andere aanbieder kiezen (en in mijn regio is er geen alternatief qua (upload) snelheden).....

[Robbedoes]

En wat forwarden betreft, de regel mag niet leeg zijn, je moet dus een public EN private poort opgeven, laat je deze leeg kun je niet submitten. Daarnaast kun je de public port WEL ranges opgeven, dmv - of , te scheiden, echter bij private (de bestemming) kan je maar 1 enkele poort opgeven

En als je dan alleen de start poort van die range als destination opgeeft, zet hij dan niet de rest automatisch liniair door?

[Robstar]

@B3rt Daar was ik niet van op de hoogte. Heb zelf mijn modem afgelopen juli in bridge modus laten zetten door Ziggo, maar ik heb geen zakelijk abonnement. Vreemde beredenering dat het bij een zakelijk abbo niet mogelijk is.

[spikehome]

Ik denk wel dat synology een hoop dingen gaat aanpassen in updates.
En neem aan dat een range poorten open zetten er ook wel in gaat komen.
Bijna elke router ondersteunt dat dus synology kenende komt dit er wel.

Ik wacht wel wat versies af.

[B3rt]

@Robbedoes
Nee, de private range port is een verplicht veld.
Als je deze leeg laat dan wordt ie rood als je op submit klikt met een error melding dat die niet juist is.
Als je een comma of streep wilt ingeven dan doet ie niet, deze worden niet geaccepteerd.
Je kan dus enkel 1 getal ingeven..... 


Ik heb het forward probleempje tijdelijk opgelost op de volgende manier:
- de router in DMZ op het ziggo modem en dan mijn hele netwerk incl de NAS
- de NAS (heeft 4 eth aansluiten) ook op de ziggo modem/router en in het ziggo modem de poorten geforward die voor de NAS bedoeld

Deze setup werkt voor nu goed, maar hopelijk komt er een oplossing uiteindelijk dat je dit ook in de router kunt regelen.

[Babylonia]

Even tussendoor.
(Na eerst een diner wat later op de avond).

Naar aanleiding van de eerdere vragen vandaag van  @B3rt  kroop ik opnieuw achter de router en weer driftig aan de gang met instellingen.
Ik kon ze ook allemaal bewerkstelligen. Mooie screendumps gemaakt, en alles voorbereid. Maar dat heb je nog tegoed.
De meeste services die  @B3rt  gebruikt kan ik niet controleren omdat ik ze zelf niet gebruik.

Maar ja, ik had toch een testcase nodig of het ook werkelijk allemaal klopt,
dus ging met een paar eigen services aan de gang, en die werkte ook netjes zoals bedoeld.
(Ik ga morgen vanuit een andere locatie van "buiten uit" verder testen. Met een smartphone met telkens wisselend IP ging dat vervelend).
Ik ben echter wel enkele kleine "interpretatie"-verschillen tegengekomen tegenover de instellingen van Firewall-regels in een NAS.
Maar wel begrijpelijke verschillen, waar je echter wel rekening mee moet houden met wat je gewend bent in vergelijking bij die van een NAS.

Het belangrijkste verschil is dat je bij benadering van de router vanuit een LAN-netwerk, jezelf "niet kunt buitensluiten"  bij ondoordacht ingestelde Firewall regels. Bij zo'n ondoordachte instelling in een NAS is het in het vervelendste geval noodzakelijk om de NAS te resetten.
Waarna Firewall regels worden uitgeschakeld, en instellingen van een admin teruggaan naar de standaardwaarde.

Dat is bij de Synology router dus niet aan de orde.
Zelfs benadering naar de RT1900ac vanuit de eerste modem/router als die niet in bridge-mode staat en dan typisch een IP-adres met "LAN" signatuur doorgeeft, naar de WAN-poort van de Synology router, is kennelijk een signaal dat men een gebruiker nooit buitensluit.
Je kunt de router dus altijd vanuit een LAN benaderen, ongeacht de Firewall instellingen 

De achterliggende gedachte is wellicht dat een router doorgaans is afgestemd om internetverkeer door te laten. Typisch aan internet gerelateerde poorten als poort 80 (8080) en 443 met achterliggend een web-interface worden niet tegengehouden. Zelfs als het via een omweg vanuit een andere poort (8000, 8001) uiteindelijk tot een "webpagina" wordt getransformeerd, krijgt men ook een web-interface te zien van SRM.

Die "andere" benaderingswijze maakt dat men geen Firewallregels voor typisch web-gebaseerde protocollen hoeft op te nemen
Vandaar dat ik ze standaard ook niet tegenkom als je achterliggende services in Firewall-regels gaat instellen.
Om die reden had ik ze zelfs dan maar handmatig erbij gezet. (Zie eerdere opmerking daarover  < HIER >  ).
Heb je een NAS achter de router hangen, en zijn poorten doorgestuurd naar de NAS om die eventueel van buiten uit te benaderen, is het ook daar niet nodig de typische "doorstuur-poorten" 5000 en 5001  dan ook nog in Firewallregels op te nemen als service.

Voor alle niet web-based protocollen geldt dat echter wel.

Of die "andere" benaderingswijze om web-based protocollen binnen Firewall-regels niet meer op te nemen, nu zo'n verstandige keus is, moet nog worden bezien. Ik moet er nog wat verder op testen. Als bijv. een NAS (met poort 5000/5001) dan niet meer gefilterd wordt op regio-gebied binnen Firewall-regels, is dit IMO een verkeerde benadering. Men kan het dan wel weer verder in de NAS zelf afblokken, maar een meer consequent beleid tussen verschillende apparaten heeft mijns inziens toch de voorkeur.

Verder heeft de Firewall wat extra instellingen tegenover die welke in een NAS gebruikt, waarbij services / poorten expliciet voor bepaalde LAN-IP adressen gefilterd kunnen worden (SRM, een specifiek IP, range van IP adressen of compleet LAN netwerk).
Een en ander wat  @Robbedoes  eerder aanhaalt < HIER >.
Aangemaakte Firewall-regels kan men zelf benoemen (als korte tekst), zodat makkelijker te herkennen is waar het betrekking op heeft.

[Hofstede]

Ik vindt het wel een beetje vreemd hoor. Want bij een firewall geldt dat jij bepaald wat je door wilt laten, niet de fabrikant van je router. En als jij web verkeer wilt blokkeren, moet dat gewoon kunnen. Ik ken genoeg firewall configuraties waarbij men alle web verkeer wil blokkeren omdat de internet toegang niet gewenst is. Dit zou voor mij al een reden zijn om de router niet aan te schaffen.

Als ik dit lees dan zou ik echter eerder denken dat er een fout in de firewall zit, hij filtert intern web-verkeer niet.

Als ze web verkeer niet tegenhouden in de firewall zouden ze dat zeker moeten vermelden in de handleiding.

Ik zou hiervoor in ieder geval een ticket aanleggen bij Synology.

[Babylonia]

Ik vindt het wel een beetje vreemd hoor. Want bij een firewall geldt dat jij bepaald wat je door wilt laten, niet de fabrikant van je router. En als jij web verkeer wilt blokkeren, moet dat gewoon kunnen.

Dat ben ik helemaal met je eens.
Ik denk dat de gebruikersmarkt waar men zich met deze router op mikt, men dat teveel voor de "eenvoudige" gebruiker wil "bijsturen".

Maar het heeft verdergaande consequenties, zelfs voor verkeer "van buiten". Ik ben er  inmiddels achter (via een 3G connectie vanuit een smartphone), dat als de Firewall van de achterliggende NAS uitstaat, en je in de router geen Firewallregels voor toegang voor extern verkeer hebt toegelaten (en al het overige verkeer van buiten dan zou moeten worden afgeblokt), je voor wat betreft de "web-based" protocollen, (dus ook DSM via poort 5000/5001) nog steeds bij DSM van je NAS kunt komen. Dat is onacceptabel.
(Eerder merkte ik het niet op, omdat de Firewall van de NAS nog aanstond en daarin wel consequent werkt, en het daar opgevangen werd).

Dat is mogelijk datgene wat  @B3rt  ook heeft opgemerkt, wat toch wel onder de noemer gezien kan worden als "bugs".
Een excuus van mijn kant naar hem is dan ook op zijn plaats, want ik deed dat te gemakkelijk af als dat de Firewall wel correct zou werken.

Verdergaand;
De toegang voor SRT (het OS van de router) kun je dan wel hebben uitgeschakeld, en daar geen toegang voor hebben, het is inconsequent voor erachter liggende apparaten. En zelfs ook in die functie van wel of niet uitschakelen van connectie met SRT van buitenaf  zitten een paar sturende elementen, die niet consequent werken als je daar van afwijkt.



Vanuit Netwerkcentrunm -----> Beheer -----> SRM-instellingen  kun je een instelling maken om wel of geen toegang van buitenaf naar SRT te maken. (In het menu helemaal onderaan).



Als je bij de Firewall nog niets hebt ingesteld, worden vanuit het inschakelen van die functie twee extra Firewallregels aangemaakt in het menu van de Firewall  (Netwerkcentrunm -----> Beveiliging -----> Firewall). Eentje voor http, de ander voor https.



Desgewenst kun je die toegang van buitenaf voor "Alles" dan nog veranderen voor een regio-filtering.
In onderstaand geval voor Nederland. (Alles wat er buiten valt, wordt de toegang dan ontzegd).



Opnieuw uitschakelen van toegang van buitenaf door het vinkje in dat eerste menu bovenaan, is dan keurig netjes gekoppeld met die twee Firewall-regels. Die zijn dan ook uitgevinkt.




Maar let op !!!
Als je reeds zelf Firewallregels had aangemaakt, anders benoemd, voor meerdere protocollen tegelijk en er tevens die van poort 8000 en 8001 had bijgezet, en de twee extra door SRT aangemaakte Firewallregels dan overbodig zijn, en weghaalt, is de koppeling verbroken met die functie in het menu helemaal bovenaan bij Beheer en SRT van buitenaf inschakelen / uitschakelen.
De stand van dat vinkje maakt dan niets meer uit. Het werkt volgens de regels die jezelf "afwijkend" hebt ingesteld.
Kun je die functie beter weglaten. Het is dan alleen maar verwarrend als je niet netjes volgens de richtlijnen die functies inregelt zoals Synology je het voor je had bedacht.
(Of om verwarring te voorkomen, beter exact de procedure volgen van Synology, en van daaruit de andere Firewallregels aanmaken).

[Babylonia]

Het resultaat van de Firewall van de RT1900ac blijkt nog veel meer bizar te zijn dan gedacht 

In de volgende set-up heb ik bewust achterliggende web-based protocollen niet ingeschakeld.
Alleen VPN-connectie en daaraan gerelateerde protocollen.
(Met het verschuiven van de menu's binnen de Firewall-regels komen nog een aantal services naar boven die me nog op andere tests attendeerde om die ook eens te gebruiken.).  De Firewall van de achterliggende NAS heb ik uitgeschakeld.




Feitelijk zou ik alleen connectie mogen hebben via VPN, maar heb die bewust NIET benut in de volgende tests.
Gewoon de "normale" manieren van benadering.

Wat heb ik via mijn smartphone via het 3G mobiele netwerk en Android apps wel- of niet kunnen bewerkstelligen.
- GEEN connectie met het SRM van de router (dat klopt met functies van uitgeschakelde toegang van buitenaf voor SRM)

Maar dan bizar 
- Een WERKENDE connectie met het DSM van de NAS
- Een WERKENDE connectie met de NAS via DS File
- Een WERKENDE connectie met de NAS via DS Audio
- Een WERKENDE connectie met de NAS via DS Photo+
- Een WERKENDE connectie met de NAS via een browser op de smartphone naar de web-server op de NAS


Benadering van SRM via het interne LAN + gebruik internet-browser
- Een WERKENDE connectie naar de router met SRM gebruiksinterface
- Een WERKENDE connectie via  SRM met de SD-geheugenkaart en aangekoppelde USB harddrive.

Benadering van de router via de verkenner van de PC onder Netwerk
- Een WERKENDE connectie met de SD-geheugenkaart en aangekoppelde harddrive.

Benadering van de NAS via het interne LAN
- Een WERKENDE connectie via  een internet-browser met de webs-server op de NAS
- Een WERKENDE connectie via  een internet-browser met Photo Station op de NAS
- Een WERKENDE connectie via  een internet-browser + DSM  Audio Station op de NAS
- Een WERKENDE connectie via  een internet-browser + DSM  File Station op de NAS

Benadering van de NASvia de verkenner van de PC onder Netwerk
- Een WERKENDE connectie met de achterliggende shares.

En wellicht werken ander services ook gewoon die ik nu niet in gebruik heb.

Het lijkt erop dat Synology een heel stuk vergeten is in de ontwikkeling van de firmware.

[spikehome]

@Babylonia ik begreep dat jij je ziggo modem niet in bridge had maar alles geforward?
Of heb ik het nu verkeerd.

[B3rt]

dat is dus ongeveer hetzelfde wat ik meld.

Je forward regels gaan VOOR de firewall regels, dus als je een forward regel aanmaakt wordt er verder geheel niet meer gekeken naar je firewall instellingen, ook al blokkeer je deze voor iedereen of 1 specifiek IP adres.
Dit heb ik zo ook gemeld aan synology vanmorgen als reply op een ticket wat ik gisteren heb aangemaakt.

Maar we zijn het erover eens dat dit niet wenselijk is, ik noem dit een bug

Wat ziggo modem betreft:
Die staat niet bridged, maar routed.  De synology router staat in de DMZ.
Wel heb ik een uurtje geleden telefoon gehad van Ziggo klanten service wegens mijn uitstaande klacht.
Ze gaan mijn modem (als zeer hoge uitzondering) in bridge mode zetten vanmiddag, als ik vanavond thuis kwam moest ik mijn modem een factory reset geven en dan ging die vanzelf in bridge mode. Moet dan de IP adressen handmatig instellen op de router.

[spikehome]

en idd logisch want als je alles van je ziggo forward of dmz dan heeft je synology een intern ip.
Dus gaan al die externe ip's die je wilt blokkeren niet werken.
want je synology ziet dan alleen maar intern ip binnen komen.
En een router achter een router dmv nat gaat zo echt niet goed werken.

edit dit ff snel gegoogled
http://www.allesoverdraadloosinternet.nl/draadloze-router/draadloze-router-aansluiten-op-ziggo-upc-modem/

[Babylonia]

@spikehome
Ik heb een glasvezel account + Telfort Experiabox voor de RT1900ac zitten,  geen Ziggo.

Je forward regels gaan VOOR de firewall regels, dus als je een forward regel aanmaakt wordt er verder geheel niet meer gekeken naar je firewall instellingen, ook al blokkeer je deze voor iedereen of 1 specifiek IP adres.

Zo zou de Firewall IMO toch niet bedoeld zijn. Je kunt namelijk expliciet regels opstellen voor de functies bedoeld in de router zelf, een expliciet LAN-adres (achter de router), een range aan LAN IP-adressen of het gehele LAN.

Wat heeft het dan voor zin als dat overruled wordt met een port forward?
Zonder port forward komen services niet op hun plek uit en is een firewallregel voor die service overbodig om naar een intern LAN IP-adres te verwijzen. Of zie ik iets over het hoofd?