Update naar DSM 7.2.2-72806 Update2 heeft toegang tot FTP-services uitgeschakeld

[pedro_vde]

We hebben hier een RS1619xs die we onder andere als FTP-server gebruiken. Tot voor kort probleemloos, maar na de update naar DSM 7.2.2-72806 Update 2 bleek de FTP-server niet meer toegankelijk van buiten het LAN-netwerk. Dus access via WAN bleek niet meer mogelijk. Vanop ons eigen netwerk was er geen probleem.

FTP clients kregen op Filezilla de error:

Code: [Selecteer]

Status:      Connecting to [ONS VAST IP ADRES]...
Response: fzSftp started, protocol_version=11
Command: open "[USERNAME]@[ONS VAST IP ADRES]" 22
Error:          FATAL ERROR: Connection reset by peer
Error:          Could not connect to server

Initieel ging ik er van uit dat het probleem in onze firewall zat. Deze doet dook de port forwarding naar deze Synology. Na lang zoeken bleek dit echter niet het geval te zijn.

Als ik in Configuratiescherm → Beveiliging → Beveiliging → Automatisch Blokkeren het Automatisch Blokkeren uit zet, dan werkt de FTP-service als van ouds. En dit terwijl die Automatische Blokkering altijd aan gestaan heeft op deze Synology. Net als op onze vorige Synology RS815+ FTP-Server trouwens.

Ik voel me niet echt comfortabel om deze blokkering permanent uit te zetten, hoewel de firewall slechts de FTP-poorten forward. Maar op de logs van de Synology zie ik toch wel een behoorlijk aantal loginpogingen van onbekende gebruikers, vaak meerdere per minuut...

Is er iemand die me kan helpen hier iets meer duidelijkheid over te krijgen? Is dit een gekende bug van DSM 7.2.2-72806 Update 2?

[zandhaas]

IK heb de release notes niet doorgelezen maar kan me heel goed voorstellen dat de oude FTP niet meer werkt. Dit is namelijk een unsecure protocol dat op andere omgevingen al heel lang niet meer standaard ondersteunt wordt.

Het is veiliger om de veilige variant SFTP  (Secure-FTP) te gaan gebruiken.

[pedro_vde]

Klopt inderdaad. We gebruiken SFTP, maar de volledige FTP/SFTP functionaliteit werkt niet vanop WAN als automatisch blokkeren aan staat. De login van een gebruiker wordt geblokkeerd ook al geeft die het correcte password op

[Babylonia]

Als het wel werkt als automatisch blokkeren is uitgeschakeld, kijk dan bij de opties van de NAS in de blokkeringslijst,
onderaan bij het menu, de knop:  "Lijst Toestaan/blokkeren"  welke "bekende" IP adressen zijn geblokkeerd.
En verwijder ze.

Ik voel me niet echt comfortabel om deze blokkering permanent uit te zetten, hoewel de firewall slechts de FTP-poorten forward. Maar op de logs van de Synology zie ik toch wel een behoorlijk aantal loginpogingen van onbekende gebruikers, vaak meerdere per minuut...

Als er zoveel loginpogingen van onbekende gebruikers voorkomen, heb je de firewall van de NAS wellicht niet scherp genoeg ingesteld.

Om firewall instellingen te begrijpen, hoe je die instelt, ga naar het volgende onderwerp:
https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/

En doorloop een aantal verwijzingen naar voorbeelden speciaal voor een NAS helemaal naar onderen bij de "eerste reactie".

Weet niet wat voor router je gebruikt, maar kijk ook of je in de router een functie  < ICMP >  kunt uitschakelen.
Inlogpogingen gaan vaak vooraf door je WAN IP adres te "pingen".   Met uitgeschakelde ICMP wordt niet op pings gereageerd.
Is je WAN IP adres veel meer anoniem / incognito.  En zul je beslist minder aandacht krijgen van onbekende gebruikers.

Afhankelijk van de mogelijkheden van een  SFTP  "Client" of je daar ook andere poorten kunt instellen, dan die standaard gebruikelijk zijn.
Overweeg dan de standaard poort voor  SFTP  = poort 22  voor zowel Client als NAS een ander poortnummer te geven.

Poort  22  is de meest opgezochte poort op internet om te proberen daarmee in te loggen.  (Verander het naar bijv. poort 8022).

En echt alleen die poorten doorsturen  (en in de NAS in de firewall opnemen), die voor een beveiligde verbinding worden ingezet.
De poorten voor een  "gewone"  FTP verbinding niet eens inschakelen in de NAS.

Met deze voorgaand beschreven aanpassingen krijg ikzelf over de jaren heen echt uiterst zelden een  "blokkering"  van een IP adres.
En als er al een blokkering wordt vast gelegd is dat meestal van een "bekende gebruiker" die zijn wachtwoord is vergeten.
En teveel keer heeft geprobeerd in te loggen.

IP adressen van echt "bekende" gebruikers kun je ook vastleggen in de lijst om "toe te staan".
Dan zal die gebruiker mild worden behandeld als die een paar keer teveel "verkeerd" probeert in te loggen.

[Hofstede]

Misschien iets heel anders. Gebruik je soms een ExperiaBOX 12 van KPN?

[pedro_vde]

thx Babylonia voor jouw insights...

op één of andere manier was ons eigen vaste IP adres in de blacklist van de Synology komen te staan. Vandaar dus dat de logins vanop WAN niet lukten. Ik heb het uit de blokkeer-lijst gehaald en toegevoegd aan de toestaan-lijst.

Nu werkt de login wel met de Automatisch Blokkeren functie ingeschakeld.

Een andere poort voor de SFTP-verbindingen is zeker een optie, mochten we momenteel niet een aantal projecten hebben waarbij verschillende clients de credentials met poort 22 gekregen hebben. Eens de drukte hier achter de rug zou ik dat inderdaad kunnen aanpassen naar een ander poortnummer.

BTW - de firewall is een Zyxell USG FLEX 700. Ik ga nu eens kijken of ik daar met jouw ICMP-suggestie aan de slag kan!

[Babylonia]

Mooi dat mijn suggesties hebben geholpen.