Diverse bugs gevonden

[spikehome]

@spikehome
Ik heb een glasvezel account + Telfort Experiabox voor de RT1900ac zitten,  geen Ziggo.

Ok maar die is ook een wifi ap en roteert verkeer dus die moet ook dan in bridge
zie b.v. http://experiabox-bridge-modus.weebly.com/telfort-vdsl--adsl.html

[B3rt]

Ik schreef het verkeerd..

ik schreef"

Je forward regels gaan VOOR de firewall regels, dus als je een forward regel aanmaakt wordt er verder geheel niet meer gekeken naar je firewall instellingen, ook al blokkeer je deze voor iedereen of 1 specifiek IP adres.

Maar bedoelde:

Je forward regels gaan nu VOOR de firewall regels, dus als je een forward regel aanmaakt wordt er verder geheel niet meer gekeken naar je firewall instellingen, ook al blokkeer je deze voor iedereen of 1 specifiek IP adres.

De bedoeling van een firewall is dat je alle in en uitgaand verkeer kunt filteren, dus de firewall regels dienen voor je forward regels te gaan. Dus als je in je firewall een DENY zet op poort 5555 en diezelfde poort 5555 is ook geforward dan dient deze alsnog te worden tegengehouden.

Als ik vanavond thuis kom kan ik als het goed is het Ziggo modem omzetten in bridge, dit ga ik doen en dan ga ik nogmaals testen of de regels dan wel/niet werken. Echter de situatie is wel een beetje gewijzigd want ik krijg schijnbaar nu 5 publieke IP adressen ipv 1
Ik ga dus nu 1 publiek IP toewijzen aan de router en 1 aan de NAS die ik ook direct aan het modem ga hangen.
De NAS komt met eth1 in mijn LAN en via eth4 direct met publiek IP aan het modem.
Op deze manier hoeft de router ook niet alle inkomende mail/web/download verkeer van mijn NAS te managen, valt om wat voor reden 1 van de 2 apparaten uit kan ik altijd nog op mijn netwerk komen via VPN die ik activeer op beide apparaten.

[Babylonia]

De bedoeling van een firewall is dat je alle in en uitgaand verkeer kunt filteren, dus de firewall regels dienen voor je forward regels te gaan. Dus als je in je firewall een DENY zet op poort 5555 en diezelfde poort 5555 is ook geforward dan dient deze alsnog te worden tegengehouden.

Precies, zo had ik dat in gedachte dat het als zodanig zou (moeten) werken.

[B3rt]

Zo werkt een 'normale' firewall in de praktijk ook.
Als je dit via iptables via de commandline doet dan werkt dit ook zo.

[spikehome]

klein tekening als voorbeeld.
zie bijlage

[B3rt]

ander vraagje..

Kan jij via laptop (wifi) via netwerk andere apparaten zien in je netwerk?
Ik kan bv op de laptop geen enkel apparaat meer vinden sinds ik deze router heb.
De NAS vind ie niet, ga ik direct via de verkenner erheen //192.168.1.2 dan krijg ik ook een connectie error.
Zodra ik een kabel (utp) in de laptop duw en via bedraad netwerk zoek vind ie ze wel.

Is dit ook een regel/instellingen ergens?

[hoorna]

@B3rt
Zie ook mijn laatste post het topic 'Probleem met netwerkdevices'.

[Briolet]

Je forward regels gaan VOOR de firewall regels, dus als je een forward regel aanmaakt wordt er verder geheel niet meer gekeken naar je firewall instellingen, ook al blokkeer je deze voor iedereen of 1 specifiek IP adres.

Op zich is dat wel hoe het zou werken als je alles binnen de firewall instelt. Als de firewall een treffer heeft, stopt hij met verder checken. Dus als je in de firewall instelt om poort 80 voor alle IP adressen door te laten en verderop maak je een regel aan op een bepaald IP altijd te blokkeren, dan wordt dat IP toch doorgelaten op grond van de eerdere regel.

Maar ik ben het er mee eens dat forwards onafhankelijk van de firewall regels moeten werken. Een forward is nml. geen firewall regel.

[Babylonia]

ander vraagje..

Kan jij via laptop (wifi) via netwerk andere apparaten zien in je netwerk?
Ik kan bv op de laptop geen enkel apparaat meer vinden sinds ik deze router heb.

EDIT:
Vraag verkeerd begrepen. Als ik na het weekend thuis ben zal ik via WiFi kijken of ik in Netwerk de andere apparaten zie.
----------------------------------------------------------------------------

Met de app "Fing" zie ik alle apparaten die binnen het netwerk zijn aangesloten en actief online zijn.
Maar ook in de router zelf onder  Netwerkcenter -----> Locaal netwerk -----> DHCP Clients
vind ik de apparaten waar ik (eerder) contact mee heb gehad.

Overigens ben ik nu elders, en probeerde toen vanuit een Laptop contact te maken met de RT1900ac
Dat lukte aanvankelijk niet. Omdat de Firewall instellingen nog stonden zoals eerder in een schermafdruk weergegeven, dat alleen een VPN-verbinding actief was ingeschakeld, heb ik met mijn smartphone via VPN en de app < "DS Router" > de Firewall aangepast.
Daarna kon ik wel via de "normale" weg in de router inloggen.

Dus met benadering via PC / laptob "lijken" de geldende Firewall instellingen die ik eerder had gedaan wel functioneel.
De verschillende resultaten in benadering via een PC of smartphone zijn me eerder ook al opgevallen bij het zoeken naar de juiste instellingen voor VPN, waarvoor extra instellingen gedaan moesten worden voor een positief resultaat voor een Windows PC, en het met een smartphone eerder al direct werkte.
Zal er dezer dagen vanuit locatie elders nog eens verder op testen.


@spikehome
Een set-up m.b.t. bridge is me bekend.
Alleen met de laatste Telfort/KPN firmware upgrade van hun Experiabox V8 modem/router gelden de eerdere "onofficiële" opties die op fora circuleerden om in bridge te zetten niet meer. Opties die ik heb geprobeerd  zijn niet succesvol verlopen. Daarmee verlies ik telefonie en TV-signaal.
(Zie eerste regel van mijn onderschrift, in dat geval echter net andersom om van twee WiFi punten gebruik te kunnen maken).

[Babylonia]

@B3rt

(Ben nog niet thuis), maar herinner me ineens een specifieke situatie m.b.t. WiFi.
Via netwerk, naast de eigen apparaten zelfs nog andere onbekende apparaten.
Was een bericht voor in de "lounge",  < zie dit bericht >

[Babylonia]

@B3rt

Ik weet niet of jij je set-up nog via een bridge-mode van de eerste modem/router hebt kunnen bewerkstelligen, maar bij mij (waar het vooralsnog NAT achter NAT is, omdat bridge vooralsnog niet mogelijk is), lijk ik het spoor volledig bijster te zijn voor wat betreft Firewall instellingen. Het heeft een zodanig effect dat ook de Firewall-instellingen van de erachter hangende NAS niet goed meer functioneren.

Nu wordt eerder door o.a.  @spikehome  geopperd dat NAT achter NAT niet zou kunnen werken omdat de RT1900ac dan alleen verkeer vanuit een "intern LAN" aangeboden krijgt, maar zo werkt dat IMO niet als zodanig. Verkeer van buiten uit wordt alleen "doorgestuurd", maar blijft zijn classificatie houden van een "externe" verbinding.

Mijn oude situatie waarbij mijn NAS achter een enkele modem/router hing, was per per definitie een aansluiting met LAN IP-adres.
Daarbij werkte de Firewall van de NAS correct als zodanig.
Dus of nu een RT1900ac achter een eerste modem/router zou hangen (niet in bridge, achter een LAN) met dan een Firewall of voorheen een NAS achter een modem/router met Firewall, lijkt me weinig verschillend te zijn. Beide zitten in dat geval in een LAN IP netwerk.

In de logboeken van zowel de router als de NAS wordt ook gewoon verschil gemaakt met benadering / inloggen van "buiten uit", (ik krijg het IP-adres te zien, waar ik nu op een andere locatie aanwezig ben en krijg ook de eerdere inlog-sessies te zien van de IP-adressen uitgegeven via mijn mobiele 3G netwerk of via VPN-verbinding). Als de verschillende connecties als zodanig worden herkend zou dat IMO ook door de Firewall moeten worden herkend, en de nodige acties moeten worden ondernomen afhankelijk van de instellingen (doorlaten of blokken).

Kun jij {of Ben(V) }daar nog iets aan informatie aan toevoegen?

[wopper]

Het Source Adres is altijd genoemd in het Ethernet pakket, anders kan hij nooit meer terug gestuurd worden naar degene die via het internet jouw NAS bezoekt.

Heb je het IP van de de 1900RT in de DMZ instellingen van je ADSL/VDSL modem gezet? Dan hoef je namelijk maar op 1 plek portforwarding uit te voeren, alleen op de Synology.

Wat gaat er " mis "  in jouw NAS firewall rules, dat maakt het verhaal niet echt duidelijk?

[Babylonia]

Je forward regels gaan VOOR de firewall regels, dus als je een forward regel aanmaakt wordt er verder geheel niet meer gekeken naar je firewall instellingen, ook al blokkeer je deze voor iedereen of 1 specifiek IP adres.
Dit heb ik zo ook gemeld aan synology vanmorgen als reply op een ticket wat ik gisteren heb aangemaakt.

Maar we zijn het erover eens dat dit niet wenselijk is, ik noem dit een bug

De bedoeling van een firewall is dat je alle in en uitgaand verkeer kunt filteren, dus de firewall regels dienen voor je forward regels te gaan. Dus als je in je firewall een DENY zet op poort 5555 en diezelfde poort 5555 is ook geforward dan dient deze alsnog te worden tegengehouden.

Naar aanleiding van verder opvolgende testen met de Firewall regels die mijns inziens nogal tegenstrijdige resultaten opleveren en waarvan de praktische uitwerking afwijkt met de Firewall regels gebruikt in een NAS, waarbij diezelfde regels WEL als zodanig goed werken, had ik ook een ticket ingelegd.

Hier het antwoord van Synology:

Developers already checked this issue, unfortunately this is software limitation at the moment. This is because Router behavior is defined port forwarding as a higher priority, so if you setup port forwarding rules, the related firewall rules will not take effect. As a temporary workaround, we will suggest to add firewall rules on NAS, and we will support this function in the future SRM release, we apologize for the inconvenience.

If you have any great suggestions or feature requests, please kindly send them to our Product Management group at:
https://www.synology.com/en-global/form/inquiry/feedback

Best Regards,
Jason Ren

Deze handicap is voor gebruikers dus erg belangrijke informatie, omdat de werking beslist NIET datgene oplevert wat vergelijkbare Firewall regels van een NAS  WEL opleveren.

In het kort de instellingen beschreven  < zoals ze eerder bijv. voor een NAS functioneel werken>, met name voor wat betreft de beperkingen voor een regio, pakken NIET als zodanig uit voor de RT1900ac router voor al het verkeer wat met Port Forwarders wordt doorgestuurd naar achterliggende apparaten.

Feitelijk heeft het überhaupt geen zin Firewall regels in de router op te nemen voor alles wat van buiten binnenkomt en wordt doorgestuurd naar achterliggende apparaten.  Dat moet je dus regelen in het achterliggende apparaat.
Voor typische zaken die NIET worden doorgestuurd, maar "tot en met de router komen", geldt het echter wel.
Dus bijv. wel voor het op afstand benaderen van de gebruikersinterface SRM van de router zelf, en geïnstalleerde pakketten die op de router zelf draaien zoals een VPN-server, en File Station op de router (als benadering van de SD-geheugenkaart of aangekoppelde USB-drive).

Babylonia@

[spikehome]

ok iig wat duidelijkheid nu.
overigens kan je poorten testen met deze site of ze wel goed dicht zijn.
https://www.grc.com/x/ne.dll?bh0bkyd2

[Joopr]

Geen bug maar wel een missende optie (die er volgens de help functie wel zou moeten zijn):

Enable WMM QoS: Wi-Fi Multimedia (WMM) QoS (Quality of Service) over Wi-Fi. This option allows the wireless network to prioritize traffic and optimize how resources are shared among applications.

Ik kan deze optie niet vinden, wie wel?