Synology-Forum.nl
Overige software => DDNS / Quick Connect / EZ-Internet / Portforwarding => Topic gestart door: dirklammers op 24 september 2023, 15:12:14
-
Hallo allemaal, dit is natuurlijk zo'n vraag die al "tig" keer gesteld en beantwoord is. Maar als je het antwoord zoekt.....kan ik het in ieder geval niet vinden :(
Ik wil de DSM-beheersomgeving van een van mijn NASsen van buitenaf bereikten via een browser op een willekeurige PC.
Ik heb de DSM HTTPS poort gewijzigd naar 5091, voor de veiligheid.
Ik had verwacht dat ik nu DSM zou kunnen bereiken onder https://<mijn externe IP>:5091
Maar dat werkt dus niet. Vergeet ik ergens in de NAS nog wat in te stellen ?
O ja, uiteraard heb ik in mijn router poort 5091 doorgezet naar het interne IP-adres van de NAS. Tja, anders weet je zeker dat het nooit gaat werken....
Groet, Dirk
-
Dat werkt IDD niet en die vraag is ook "tig" keer gesteld, maar er zijn ook Knowledge b
Base artikelen.
Je moet een DDNS maken (Serviceprovider: Synology) en gelijk het Certificaat regelen (https://kb.synology.com/nl-nl/DSM/help/DSM/AdminCenter/connection_ddns?version=7) als daar om gevraagd wordt.
Dan gebruik je de DDNS i,p.v. het externe IP-adres om je NAS te benaderen van buiten af.
Ik verplaats dit Topic gelijk even naar de juiste Rubriek waar dit soort Topics al behandeld zijn. ;)
-
Voor de duidelijkheid dus: https://<mijn externe IP>:5091 wordt dan https://<DDNS-naam>:5091
-
Dank voor je reactie, maar moet dat zo ingewikkeld via DDNS ? :o
Ik dacht dat DDNS alleen gebruikt moest worden als je geen vast IP adres had, maar dat heb ik wel.
Is dat een of ander "dingetje" binnen DSM dat ik niet gewoon mijn eigen externe IP-adres kan gebruiken via portforwarding ?
Groet, Dirk
-
Dan moet je het externe IP-adres van je Provider gebruiken (https://www.watismijnipadres.nl/)maar, dan krijg je te zien dat je op een niet veilige site komt, omdat je geen certificaat kunt maken op een IP-adres.
Dus HTTPS gaat ook niet werken, je moet dan HTTP gebruiken.
Dus: http://<EXTERN IP-ADRES>:5091
Maar, DDNS is niet zo ingewikkeld hoor, als je de gegeven instructies volgt, dan is het zo gepiept.
-
Dank voor je hernieuwde reactie. Het is opgelost. Ik was even vergeten (stom, stom, stom) om de poort in de firewall van de NAS open te zetten.
Er is een domein gekoppeld aan de NAS om via dat domein Drive te kunnen bereiken MET een certificaat dus https naar poort 5091 werkt nu prima.
Case closed.
Groet en dank,
Dirk
-
... Dus HTTPS gaat ook niet werken, je moet dan HTTP gebruiken.
Dus: http://<EXTERN IP-ADRES>:5091
Dat HTTPS gaat prima werken, maar je moet wel in je browser aangeven dat je door wil gaan met browsen, alhoewel de "identiteit" van de site niet gecontroleerd kan worden (omdat je geen certificaat hebt).
Dan doorgaan met HTTPS betekent tenminste wel dat je data (inclusief je user/password) encrypted over Internet gaan.
Mocht je doorgaan met HTTP (in plaats van met HTTPS), dan is alles unencrypted; dat is dus potentieel gevaarlijk.
Bovendien moet je dan uiteraard op poort 5091 de DSM HTTP server draaien en niet de HTTPS server.
-
HTTPS gaat prima werken met een extern IP. Je moet alleen aangeven dat je het oke vind dat het certificaat voor dit IP gebruikt mag worden.
Of je maakt een self-signed certificaat aan op IP nummer. Dan kan tegenwoordig binnen DSM. Maar ook dan moet je éénmalig aangeven dat je dit certificaat vertrouwt. (Zo'n certificaat is wel slechts 12 maand geldig)
-
Of je maakt een self-signed certificaat aan op IP nummer. Dan kan tegenwoordig binnen DSM. Maar ook dan moet je éénmalig aangeven dat je dit certificaat vertrouwt. (Zo'n certificaat is wel slechts 12 maand geldig)
Zonder te willen kapen van het topic, Hoe en kan dit ook voor 192.168.x.x/10.x.x.x?
Jan
-
Gewoon een IP invullen waar je ook een domeinnaam invult. Ik heb er ook een met een intern IP en dat werkt goed.
-
Ik kan inmiddels mijn DSM vanuit extern benaderen en heb voor DSM een afwijkend poortnummer ingesteld.
Maar is dat nu allemaal wel veilig ? Eigenlijk benader ik mijn NASsen altijd via VPN, maar ik heb ontdekt dat als ik op vakantie ben die VPN niet altijd werkt. Met name als ik in een vakantiehuisje zit achter een FritzBox dan werkt VPN meestal niet. Die optie om via een directe poort DSM te benaderen is dus wel handig, maar is het ook veilig ??
Groet, Dirk
-
Als je admin maar uit hebt staan en een sterk gebruikernaam/password hebt.
Daarnaast kan ook nog 2FA inschakelen.
Lees ook:
https://kb.synology.com/nl-nl/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS
-
Je DSM rechtstreeks openstellen naar internet is naar mijn mening gewoon per definitie onveilig.
Ook al zet je het op een ander poortnummer vinden ze hem in no-time. Heb dat een aantal keer getest, meestal zie je binnen een dag na openstellen al de eerste inlogpogingen voorbij komen.
Zoals @Birdy al aangeeft moet je wel alle extra beveilingingsopties activeren.
Als je normaalgesproken via VPN werkt zoals je zelf aangeeft en gewoon een backup optie wilt zou ik gewoon voor QuickConnect kiezen. Dan hoef je niets open te zetten, je hebt HTTPS en je kunt daarbij ook nog 2FA gebruiken.
-
Voor de zekerheid dan nu gelijk maar de poort dichtgezet in de router. Misschien ben ik een angsthaas. Aan de andere kant, om bestanden te delen via Drive moet toch ook poort 443 open.....
Het hele leven is afwegen van risico's, ook als je een NAS gebruikt :-)
Groet, Dirk
-
O ja, en ik aarzel om 2FA te gaan gebruiken. Komt er wéér een afhankelijkheid bij van mijn iPhone. En boven als ik 2 FA gebruik om in te loggen op DSM hoe gaat dat dan werken bij andere Synology apps die inloggen via mijn account ? ik heb geen zin om voor iedere inlog via b.v. DS Audio of DS Cam die 2FA cyclus door te moeten. Of hoeft dat niet ?
Groet, Dirk
-
Die 2FA kun je ook alleen inschakelen voor je admin accounts.
Ik ga er daarbij van uit dat je voor alle apps zoals DS Audio en DS Cam geen account met admin rechten gebruikt.
Ook kun je aangeven welke apparaten trusted zijn zodat je niet telkens 2FA tokens hoeft in te vullen.
-
Voor vertrouwde apparaten hoef je slechts eenmalig de 2FA code in te vullen. (Dit wordt per app onthouden) Pas als je langere tijd (iets van 2 week) niet met de app ingelogd hebt, is die code weer nodig.
Ik zie overigens nooit inlogpogingen voorbij komen op poort 5005/5006 . Ze staan al jaren open, maar er staan geen blokkeringen in het log. Wel zo'n 50 in het laatste jaar voor mailserver.
-
Ik zie ze ook niet in de log van de NAS, maar wel in de log van mijn firewall / router. Het zijn ook niet alleen inlogpogingen maar pogingen om te scannen welke services achter de geopende poort aanwezig zijn.