Synology-Forum.nl
Overige software => DDNS / Quick Connect / EZ-Internet / Portforwarding => Topic gestart door: connick42 op 01 september 2024, 16:33:49
-
Hallo,
Net naar Spanje verhuisd en maak nu gebruik van een Spaanse fiber-provider die het SERCOM FG824CD modem gebruikt.
Ik krijg het vreemd genoeg niet voor elkaar om de poorten open te zetten/extern connectie te krijgen. Dit lukte probleemloos met mijn vorige setup op KPN fiber.
Dit krijg ik te zien bij "status" in de modem:
[attachimg=1]
Als ik in Chrome een "whatsmyip" doe krijg ik als externe IP-adres datgene dat 46.6... begint te zien.
In de Synology wordt bij DDNS het volgende automatisch gedetecteerd:
[attachimg=2]
Ik heb op deze manier de poorten toegevoegd in het Sercom modem:
[attachimg=3]
Ik krijg dus geen connectie; zowel niet via synology.me als via invullen van het externe IP-adres.
Er zijn twee dingen die ik niet begrijp: hoe komt het dat er 2 externe IP-adressen lijken te zijn (eentje beginnend met 100 en het andere met 46) en zou het te maken kunnen hebben dat het een dynamisch IP-adres is? Als ik de modem herstart zijn de waardes weer anders.
Geen idee wat ik over het hoofd zie, alvast heel erg bedankt voor de hulp!
-
100.69.x.x is een zogenaamde CGNAT range (Carrier Grade NAT) maw dat is geen publiek IP addres.
Vandaar dat een hoop klanten "achter" hetzelfde 46.x.x.x IP gestoken worden. (om IP's uit te sparen)
Het toestel achter deze setup zal nooit bereikbaar zijn op de manier dat jij wilt.
Kan je niet gewoon via QuickConnect werken ? (dus via "relay" servers) -> performantie niet super maar technisch moet dat werken niet ?
Een optie is om deze Syno 220+ vanuit Spanje ZELF een connectie te laten "initieren" naar ergens anders en daar aan te pikken.
Je kan proberen de provider te contacteren en bij te betalen voor een "echt" publiek IP adres en dan is het geen enkel probleem, maar mogelijks bestaat deze optie niet voor "consumenten".
-
Hoi,
Dank je wel voor je uitleg, heel erg fijn! Ik ga contact opnemen met de ISP om te zien wat mogelijk is.
Ik heb Quickconnect en daarmee kan ik inderdaad inloggen maar probleem is dat ik ook kruiselings
backup naar de Syno van mijn broer en Quickconnect werkt helaas niet met Hyberbackup.
Ik ga me ook verdiepen in je suggestie om de syno zelf een connectie te laten maken maar heb je
iets meer aanknoping op welke manier/protocol dat je daarvoor in gedachten hebt?
Dank en groet!
-
>Ik ga me ook verdiepen in je suggestie om de syno zelf een connectie te laten maken maar heb je
>iets meer aanknoping op welke manier/protocol dat je daarvoor in gedachten hebt?
Je hebt een Syno 220+ dus mischien zijn "container" (Docker) ondersteund ? Het zou mischien een optie kunnen zijn met iets "CloudFlare tunnel" achtig.
https://community.cloudflare.com/t/access-synology-nas-portal-via-cloudflared/497798
Als je natuurlijk ergens in Nederland nog beschikking hebt over een servers/NAS die aan Internet hangt met een "echt" IP zou je daarop VPN-software kunnen draaien en je NAS in Spanje laten "uitbellen" om zo een VPN op te zetten (dat gaat lukken). Dan kan je de Spaanse NAS via Nederland bereiken. Ga je veel bestanden uitwisselen is dat niet echt ideaal natuurlijk.
Maar hoor effe bij je ISP, mogelijks voor enkele euro'tjes extra / maand kan je een Public IP bekomen.
-
Je zou ook eens kunnen kijken naar SD-WAN achtige oplossingen zoals Zerotier of Tailscale.
-
Dank je wel voor je uitleg, heel erg fijn! Ik ga contact opnemen met de ISP om te zien wat mogelijk is.
Dit is een zogenaamde DS-lite setup. Iedereen krijgt een eigen IPv6 adres, maar het IPv4 adres wordt gedeeld. Voor 99% van de gebruikers is dat goed genoeg. Misschien willen sommige gebruikers dat zelfs omdat een IP adres dan minder goed naar een individu terug te leiden is.
In Nederland is Ziggo wel geneigd je volledige 'Dual Stack" te geven als je er om vraagt. (Of IPv4 only). Misschien dat je Spaanse provider ook meedenkend is, mits ze ruim in de IPv4 adressen zitten.
-
Dank je wel allen voor de reply's!
Net contact gehad met de ISP en die vragen 14,50 euro per maand om te wisselen van CG-NAT naar een vast IP-adres!! :o
Ik ga dus wisselen naar een andere provider; die geven het wel voor 1 euro per maand. Voor 26 per maand krijg ik dan
een 1Gbps lijn en mobiel met onbeperkte oproepen en 30Gb aan internet. Nou ja zeg...
-
Goed idee......Olé
-
Misschien heeft het er niks mee te maken, maar ik heb een aantal keer ervaren dat ik in bepaalde hotels in het buitenland, met mijn iPad niet op mijn DiskStation kan komen. Ik bedoel dus dat het hotelnetwerk of de buitenlandse ISP dit blokkeert want via mijn telefoon kom ik er met 5G wel gewoon op.
-
Heeft er inderdaad niets mee te maken ;)
Het is zoals eerder omschreven een gevolg van CG-NAT. Komt wellicht goed maar zal nog even duren voor alles overgezet is naar de andere provider.
-
Net contact gehad met de ISP en die vragen 14,50 euro per maand om te wisselen van CG-NAT naar een vast IP-adres!! :o
Een vast IP adres is het andere uiterste. Bij Ziggo betaal je € 20,- extra voor een abonnement met vaste IP adressen i.p.v. unieke dynamische IP adressen. In zo'n abonnement zit wel meer verschil dat alleen het vaste IP, dus voor dat geld krijg je wel meer extra.
Ik zou waarschijnlijk ook overstappen naar een provider die niet met CG-NAT werkt. Het zal nog heel lang duren voordat je alleen met IPv6 kunt werken en IPv4 weg kunt doen.
-
Klopt, ik zou trouwens voor dat eurootje extra een dynamisch IP krijgen las ik later maar dat is uiteraard prima.
Ik lees op Spaanse fora dat veel gebruikers hun NAS ook zonder die extra service kunnen gebruiken op het
internet dus ik ga het eerst uittesten denk ik maar het ziet er veelbelovend uit en de prijs is eigenlijk zó absurd laag
dat je bijna argwaan zou krijgen.
-
Als je Quick Connect gebruikt, wordt er steeds een verbinding onderhouden richting de QC server naar synology. Als je dan extern bij je nas wilt, doe je dat via de de QC servers van synology en heb je geen last van een gedeeld IPv4 adres en hoeft oo geen poorten te forwarden.
Voor veel mensen zal dat een werkbare oplossing zijn. Maar als je een mailserver gebruikt, of een website wilt hosten, dan wil je geen QC gebruiken.
-
Voor veel mensen zal dat een werkbare oplossing zijn. Maar als je een mailserver gebruikt, of een website wilt hosten, dan wil je geen QC gebruiken.
En Hperbackup werkt ook niet via QC. En zover ik begrijp heeft de TS het daarvoor nodig. (Zie eerste post).
-
Klopt, ik zou trouwens voor dat eurootje extra een dynamisch IP krijgen....
....ziet er veelbelovend uit en de prijs is eigenlijk zó absurd laag dat je bijna argwaan zou krijgen.
Argwaan zou je niet hoeven te hebben. Ik denk dat het meer te maken heeft met Europese regelgeving,
dat providers geen services die klanten gebruiken mogen "discrimineren" of blokkeren.
Hier in Nederland heb je nog extra wetgeving m.b.t. "netneutraliteit" wat zoiets regelt. Welke al meer dan 10 jaar geldig is.
Wat als onderdeel is opgenomen in de "Telecommunicatiewet" van 2013 https://nl.wikipedia.org/wiki/Netneutraliteit
Maar vermoed dat ook bij andere Europese landen vergelijkbare wetgeving van kracht is, op basis van die Europese regelgeving.
Dus als een klant moeite heeft met die CGNAT, "moet" een provider dan in ieder geval een optie bieden,
dat het benaderen van "remote services" geen beletsel vormt. Men zet er in Spanje dan nog een "klein" bedrag tegenover.
Om nog enige drempel op te werpen, dat niet "iedereen" een Dynamisch IPv4 adres opeist.
Bij Delta hier in Nederland, betaal je helemaal niets extra voor een Dynamisch IPv4 adres bij CGNAT, als mensen erom vragen.
(Veel gebruikers van internet gebruiken in het geheel geen NAS of services die je als gebruiker van buitenaf wilt benaderen.
Die merken het niet eens, en doen dan ook geen aanvraag voor een Dynamisch IPv4 adres).
Op die manier probeert men het nog enige tijd uit te zingen met "alleen" IPv4, tegenover de implementatie van IPv6.
(Waar naar eigen ervaring daar nog een hoop haken en ogen aan zitten).
-
Het werkt ondertussen allemaal probleemloos! 1 Gbps up & down, onbeperkt data en bellen naar en in heel Europa en een dynamisch IP-adres voor 36 per maand. :geek:
Mag ik nog één ding vragen? Ik heb nu 500,5001,5005,5006, 80, 6281, 443 en 873 open staan. Is er één van deze poorten een veiligheidsprobleem? Ik wil:
- acces via Raidrive
- muziek kunnen streamen over ip
- cross backuppen over ip naar syno broer
- downloaden met usenet
Samba staat aan maar ik weet niet of dit een veiligheidsrisico vormt icm. met één van bovenstaande poorten.
Dank voor het laatste advies!
-
Welke poorten wel of niet geopend zouden moeten worden, is vooral afhankelijk van de achterliggende services die je gebruikt,
en je van buitenaf zou willen benaderen:
https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services
Met mogelijk beter het gebruik van aangepaste poorten.
Omdat "standaard" gebruikte poorten voor bepaalde services inmiddels zodanig bekend zijn. Dat daarop juist wordt "gesnuffeld".
Verder een goede set-up van Firewall regels van je NAS, om risico's te beperken:
https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/
En dan met name het laatste stuk van die eerste reactie vanaf een dunnen dubbele lijn: "Belangrijk !!"
Met verwijzingen expliciet naar voorbeelden voor instellingen van Firewall regels voor de NAS.
Wat me verder opvalt poort 500.
Is onderdeel van een VPN verbinding via het L2TP protocol. Maar daar horen ook andere poorten bij 1701 en 4500.
Als je dat niet gebruikt, waarom die poort 500 dan wel "open"?
RaiDrive = WebDAV -----> poort 5005 geldt voor een onversleutelde verbinding.
Voor een versleutelde verbinding 5006 Ofwel poort 5005 overbodig om die open te zetten.
Poort 5001 voor beveiligde toegang van DSM zelf. Zou ik een alternatieve poort voor inzetten. Daar wordt te vaak op gesnuffeld.
Poorten 80 / 443. Als je geen webserver gebruikt die je van buitenaf wilt benaderen, waarschijnlijk onnodig die poorten open te zetten.
(Poort 873 wordt ingezet voor "Hyper back-up")
SMB / Samba is nodig om je NAS binnen je thuisnetwerk zelf via een "Windows" PC te kunnen benaderen via "de verkenner".
Of via VPN, van buitenaf.
-
Dank je wel voor de uitgebreide reactie, ik ga er morgen naar kijken! :clap: :thumbup:
-
Wat me verder opvalt poort 500.
Ik gok tikfout en hier 5000 bedoeld was omdat ook het combo 5005/5006 open staan.