En weer een NAS niet benaderbaar extern

[Heppieboeddah]

Situatie als volgt:

Van UPC-privé naar Ziggo zakelijk ZZP. Een nieuwe modem gekregen, een Hitron CGN4. Als router een Asus RT-AC87U .

De modem is natuurlijk dichtgespijkerd door Ziggo. Je krijgt op mijn abbo één vast extern ipadres. Bridgen is niet mogelijk. Doen ze niet. Ook niet 5 ipadressen extra waarbij de modem wel gebridged kan worden.

Om toch mijn eigen router te kunnen gebruiken deze op advies van Ziggo in de DMZ van de modem geplaatst. De router een vast intern ipadres gegeven in de range van de modem. In dit geval 192.168.0.11. Subnet is 255.255.255.0

Mijn router heeft nu als Wan-ip, die 192.168.0.11.  Hij deelt interne ipadressen toe aan de apparatuur welke aan de router hangt. O.a mijn 415+ De range welke de router uitdeelt zit in de 1.0.0.1-10.0.0.224 range. Subnet 255.255.255.0

De NAS heeft als intern ipadres 10.0.0.101. Poort 5000 in de router geforward naar 10.0.0.101.

In het interne netwerk werkt alles naar behoren. Extern is de DSM niet te bereiken. Krijg in de browser wel te zien dat er wordt geprobeerd de NAS te benaderen. Als ik intik externeipadres:5000 verschijnt op enig moment in de url: externeipadres:5000/webman/index.cgi.  Dan blijft het circeltje draaien en kom ik niet op het inlogscherm.

De applicaties van Synology in casu DSvideo, DsFinder doen het dus ook niet via het externe ipadres of Quickconnect.
DDNS is actief en toont een groen bolletje op MyDS. Ook het externe ipadres klopt daar.

Vreemd is dat ik DSCam WEL extern kan benaderen?! Zowel via het externe ipadres alsmede met Quickconnect

Helaas kom ik er niet meer uit..
Alle hulp en duwtjes in de goede richting zijn welkom

[Plerry]

Heb je in DSM misschien "Automatically redirect HTTP connections to HTTPS" aangevinkt,
onder DSM/Control panel/Network/DSM settings
zodat alle http-verkeer op poort 5000 richting je NAS wordt omgezet naar https-verkeer
(op poort 5001). In dat geval moet je in je router ook port 5001 forwarden naar je NAS
en niet slechts port 5000.

Als je DSM ook van buitenaf wil bereiken verdient het forceren van HTTPS overigens zeker de voorkeur.

[Heppieboeddah]

Neen, alleen poort 5000 voor de DSM staat geactiveerd in de DSM. Geen doorverwijzing naar 5001.

Voor de goede orde Firewall NAS staat uit

[Babylonia]

Probeer naast poort 5000 (en 5001 t.b.v. veiligheid) voor de aardigheid ook eens om poort 80 door te zetten naar je NAS.

[Heppieboeddah]

Wil 5001 voorlopig even buiten beschouwing laten, en 5000 eerst werkende hebben.

Bedoel je public 80 naar private 5000 intern ipadres NAS
Of bedoel je alleen poort 80 naar poort 80 intern ipadres NAS?

[Briolet]

Heb je dit wel extern getest om zeker te zijn dat dit geen NAT-loopback issue is?

Als de Ziggo router een DMZ instelling heeft, moeten alle poorten naar je eigen router wijzen. (NB in een modem kun je geen poorten forwarden, dus zal je Ziggo apparaat ook een router bevatten en geen gewoon modem zijn)

Zelf gebruik is al jaren twee routers achter elkaar en heb hier nog nooit problemen bij ondervonden. Niet bij de nas en ook niet bij VPN.

[Heppieboeddah]

De Ziggo modem is idd een modem/router. Lan 1 van de modem gaat naar de wan in van de Asus router. Aan de lan ingangen van de router hangt alle apparatuur.

Het externe testen is door mij gedaan hier op het werk. Op mijn tablet via Vodafone, en T-Mobile. Op de pc van mijn buurman

NAT-loopback lijkt niet het probleem te zijn alhoewel ik dat niet kan testen.

Nogmaals op het interne netwerk is er geen enkel probleem.

[Babylonia]

Of bedoel je alleen poort 80 naar poort 80 intern ipadres NAS?

Poort 80 naar poort 80 van je NAS IP  10.0.0.101
Gewoon hetzelfde met wat je hebt gedaan voor poort 5000

Testen gebruik je dan een DDNS domeinnaam of je externe IP-adres?
Test in ieder geval gewoon met je externe IP-adres, te vinden  < HIER > als je thuis bent, en vandaar internet opgaat.

[Heppieboeddah]

80==>80 NAS ipadres gaan we vanavond even testen

Whatsmy ip heb ik gisteravond gedaan vanaf mijn pc. Is gelijk aan het externe ipadres wat ik van Ziggo heb gekregen. Dit is zoals ik schreef statisch. Poort 5000 staat ook open. Getest via canyouseeme.org

Edit:

Zojuist thuisgekomen en eerste wat ik gedaan heb

Poort 80 naar poort 80 van je NAS IP  10.0.0.101

Dat was de oplossing Babylonia gestegen met stip..

Alles opgelost, alles doet het extern en intern.

Kan alleen niet beredeneren waarom het met poort 80 doorzetten naar de NAS nu wel lukt. Kan je het toelichten?

[Babylonia]

Heb het een keer met een andere gebruiker gehad, waarbij degene bij gebruik van het externe IP-adres uitkwam bij de remote web-interface van het modem (Ziggo). Door de remote uit te schakelen zagen we wel dat er connectie werd gelegd aan de hand van het webadres:

[externe ip adres]:5000/webman/index.cgi

Dus de doorkoppeling kwam wel tot stand, maar er kwam geen web-interface van DSM File Station.
Door tevens poort 80 door te sturen, was het probleem verholpen.
Met die ervaring nog in mijn achterhoofd, nu ook maar hetzelfde geopperd.

Misschien dat het iets te maken heeft dat als je geen poort invult, maar alleen het IP-adres (althans bij "de oudere"  DSM 5.0 versie) die pagina werd omgeleid naar poort 5000. Het eerste contact was eigenlijk in eerste instantie een "poort 80" gebaseerde pagina. Maar dat wordt direct bij de "ingang" van de NAS, doorgeleid naar:
...........:5000/webman/index.cgi
Zonder die aanvankelijke herkenning van "poort 80" loopt het bij sommige routers bij de "ingang" van de NAS dan kennelijk vast.
In ieder geval was het probleem toen verholpen door ook poort 80 naar de NAS te sturen.

Indien je ook nog een web-server hebt draaien op de NAS, en je wilt niet bij de web-server (een eigen homepage) uitkomen, maar bij DSM / File Station, moet je in dat geval wel het poortnummer  :5000  nog achter het IP-adres intikken om het onderscheid te maken.

[Heppieboeddah]

Het is mij duidelijk. De eerste situatie staat mij bij, omdat ik eerder ook zoiets had. Ik kwam toen met de DDNS naam ook op mijn router terecht. Na toen poort 80 te hebben geforward naar poort 5000 intern kwam ik uit op de DSM. Remote acces stond toen aan in de router. Heb dat ook in deze situatie gedaan, had echter geen effect.

Misschien heeft het ook iets te maken met mijn nieuwe netwerkconfig waarbij de Cisco 3212 is vervangen door die Hitron. Hitron is niet te bridgen en derhalve was de beste oplossing mijn router in de DMZ van de Hitron te zetten.

Maar alles werkt nu naar behoren. Nu alleen nog het probleempje met de Jumbo frame MTU setting oplossen en ik kan weer lui achterover leunen..

[Auriga]

Ik zou zeker overwegen om een vpn server op te zetten (l2tp of evt openvpn) in plaats van de standaard synology poorten te forwarden. Je zult in je log waarschijnlijk (of zeer binnenkort) allerlei inlogpogingen gaan zien.
Vpn is vrij eenvoudig te configureren (ook op smartphone, tablet, laptop) en versleuteld je verkeer.
Nu heb je een onversleutelde verbinding over de standaard poort (5000, 80), niet echt  iets wat je als zzp'er zou willen, lijkt me.

[Babylonia]

Gebruik van VPN kan uiteraard, maar als het om versleutelen gaat, is met DSM het gebruik van poort 5001 voldoende om data te versleutelen. Verder goede regels voor de Firewall houdt bij mij in ieder geval tevens de lijst aan inlogpogingen leeg.

[Heppieboeddah]

Ik gebruik ook 2 stap verification  voor de NAS. Dat samen met wat goeie firewall rules zal dat kraken wel afremmen.

Ben met Nassen slechts 3 jaar bezig en ben nog nooit een inlogpoging tegengekomen. Als je het 3 keer fout doet binnen 1440 minuten wordt je ip geblokkeerd en blijft geblokkeerd.. Lijkt mij save goed zo.

[artilligence]

volgende config: Hitron CGNV4 met daaraan gekoppled direct Synology DS713+
VPN werkt niet en volgens Ziggo zou er een bug in de Hitron modem zitten. dat is een nieuwe modem voor zakelijk.

heeft iemand hier ervaring mee?