NAS extern benaderen, met beveiliging (kan dat?!)

[iPatje]

Hallo mensen,

Ik heb een 213+ en begin, mede dankzij dit forum en een aantal leden, steeds meer thuis te raken in het systeem en de mogelijkheden. Inmiddels draaien voor mij een aantal voorname packages (sabnzbd, sickbeard, spotweb etc).

Ik kan het intern benaderen via het interne IP en behorende poortnummers en ik kan het inmiddels ook extern benaderen via externe IP/eigen domain en behorende poortnummers. Het staat alleen allemaal wel erg 'open'.
Als je het intikt kom je direct bij de package(s) waarvan ik liever heb dat er een 'algemene login' komt zodra je alleen al het 'hoofdIP' intikt.

De UI van de Syn zelf is al beveiligd middels de beveiliging die je kan instellen via de DSM.
De andere 'pagina's' dus niet...is daar een manier voor?

Alvast bedankt voor jullie antwoorden.

[Robert Koopman]

In Sickbeard en Sabnzbd kan je toch een wachtwoord instellen?
Heb ik gedaan en ik moet gewoon eerst inloggen als ik het opstart.
Spotweb gebruik ik niet dus weet niet of het daarbij ook kan.

[iPatje]

In Sickbeard en Sabnzbd kan je toch een wachtwoord instellen?
Heb ik gedaan en ik moet gewoon eerst inloggen als ik het opstart.
Spotweb gebruik ik niet dus weet niet of het daarbij ook kan.

Inderdaad dat is waar, zal dat in ieder geval doen, spotweb kan dat ook! Alleen kunnen mensen het dan nog wel 'zien'. Het liefst heb een master ww zodat ze het niet eens kunnen zien.

[Goner]

Kun je via Apache doen met bijv. .htaccess bestanden die om account/password vragen vordat er iets getoond wordt ; er staat een uitleg in een thread over COPS :
http://www.synology-forum.nl/overige-3rd-party-packages/cops/msg69576/#msg69576

heb iets soortgelijks ook gedaan voor phpPgAdmin, waar geen goede beveiliging op zit (default account/password omdat DSM de database gebruikt).
dit zorgt ervoor dat alleen van LAN connectie gemaakt kan worden :

<Directory "/usr/syno/synoman/phpsrc/phpPgAdmin">
        Options MultiViews
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 192.168.1
</Directory>

je kunt bij 'allow from' ook IP's opgeven van buiten die op de NAS mogen

[Plerry]

Een andere optie is om een VPN verbinding te maken.
Dat kan via je Syno NAS, maar er zijn ook diverse routers die het opzetten en maken
van een VPN verbinding ondersteunen.

Via je VPN verbinding wordt je in principe onderdeel van je locale netwerk,
en kan je al je locale apparaten en services aan.

De enige poort(en) die dan open hoeft moeten staan is/zijn die voor je VPN verbinding.

[iPatje]

De VPN klinkt minder ingewikkeld dan de 'apache' oplossing haha. Ik heb overigens de logins ingevoerd bij sab en sickb en dat werkt super. Alleen spotweb is dus publiek te zien (maar moet je wel inloggen om iets te doen).

Bedankt voor jullie feedback, ik ga even nadenken over wat de beste/haalbare optie is ;-)

[Goner]

Een andere optie is om een VPN verbinding te maken.

Heb ik me nog niet in verdiept ... is het dan nog makkelijk om anderen toegang te verlenen tot je NAS ? Bijv. om via FileStation bestanden de up-/downloaden of e-books op te halen in COPS (Calibre) ...

[Plerry]

Een andere optie is om een VPN verbinding te maken.

Heb ik me nog niet in verdiept ... is het dan nog makkelijk om anderen toegang te verlenen tot je NAS ? Bijv. om via FileStation bestanden de up-/downloaden of e-books op te halen in COPS (Calibre) ...

Of de Syno NAS meerdere VPN verbindingen tegelijk ondersteunt weet ik niet.
Ik gebruik zelf de VPN opties in mijn router, en die kan meerdere VPN's tegelijk aan.
Of je anderen toegang wil geven middels VPN hangt ook een beetje af van hoe "open"
je systeem moet zijn voor die anderen.
Desgewenst kan je met een ACL de boel wel inperken (op IP adres, port en/of protocol),
maar dan wordt het al snel complex.

Je kan echter naast het gebruik van een of meer VPN verbindingen natuurlijk ook nog steeds
(andere) ports forwarden naar je NAS, bijv. port 7001 voor https toegang tot FileStation.
Voor zover COPS een "eigen" port gebruikt (geen ervaring mee), kan je die port uiteraard ook
nog steeds forwarden naar je NAS.   

[Briolet]

Via je VPN verbinding wordt je in principe onderdeel van je locale netwerk,
en kan je al je locale apparaten en services aan.

Niet alle locale services. b.v. de bonjour broadcasts worden niet doorgegeven via vpn. Op de mac moet je dan, bij gebrek aan de bonjour broadcasts zelf op zoek onder welke IP nummers de locale apparaten zich bevinden.

De syno ondersteunt wel meerdere cliënten tegelijk. Het maximum gelijktijdige cliënten kun je instellen en is 5 bij default.

[Plerry]

...Niet alle locale services. b.v. de bonjour broadcasts worden niet doorgegeven via vpn. ...

Ik ken de MAC niet, maar zo te zien is Bonour het MAC broertje/zusje van WINS voor Windows.
Of WINS wel tranparant werkt over VPN weet ik niet. Ik zal dat eens testen.
Ik sla WINS altijd over en voer gewoon het IP-adres in, en werk met shortcuts met daarin het IP-adres.
Het werkt sneller, en het werkt altijd ...

Misschien verschilt het al of niet werken van Bonjour en/of WINS via VPN nog met het gebruikte VPN protocol.
Mijn router (Fritz!Box) en client ( ShrewSoft) werken met IPSEC.
De Syno NAS met ofwel PPTP, danwel OpenVPN.

[LukeVredeveld]

Alleen spotweb is dus publiek te zien (maar moet je wel inloggen om iets te doen).

Ik heb dit laatst uitgezocht na een aanschrijving van onze vrienden van (no)BREIN :-)

Je moet spotweb installeren als closed system. Dat kun je achteraf nog wijzigen, onderstaande aanwijzing heb ik van de github website van spotweb.

Code: [Selecteer]


Could you please try this for me -- open a command line and switch to the Spotweb directory.

Now change your systemtype to 'closed' as that is the kind of system you actually want. Run:
php upgrade-db.php -set-systemtype closed

Try again :)


[Briolet]

Ik ken de MAC niet, maar zo te zien is Bonour het MAC broertje/zusje van WINS voor Windows.

Ik denk dat het vergelijkbaar is. Het zijn multicasts en daarover wordt geschreven:

Why Bonjour doesn’t work with the normal vpn?
Bonjour relies on multicast and by default, the multicast doesn’t cross routers. Since the normal vpn are consider router, the multicasts from the mac servers in the enterprise, are not forwarded to the mac clients around the world.

Maar er bestaat wel speciale 3th party software die deze broadcasts toch door een tunnel kan sturen bij gebruik van openVPN.

[iPatje]

Alleen spotweb is dus publiek te zien (maar moet je wel inloggen om iets te doen).

Ik heb dit laatst uitgezocht na een aanschrijving van onze vrienden van (no)BREIN :-)

Je moet spotweb installeren als closed system. Dat kun je achteraf nog wijzigen, onderstaande aanwijzing heb ik van de github website van spotweb.

Code: [Selecteer]


Could you please try this for me -- open a command line and switch to the Spotweb directory.

Now change your systemtype to 'closed' as that is the kind of system you actually want. Run:
php upgrade-db.php -set-systemtype closed

Try again :)


Klinkt interessant en verstandig. Wat doet het precies? Zie ik een login? Moet ik op een 'speciale' manier 'inloggen' en hoe zet je het weer open...klink een beetje onzeker maar ben niet zo'n tweaker als ik met codes moet werken haha ;-) Thanks alvast!

[LukeVredeveld]

Je ziet dit:

http://www.lukevredeveld.nl/spotweb/

Je kunt inloggen en dan zie je het gebruikelijke scherm. Je API's blijven gewoon werken.


Sent from my iPhone using Tapatalk

[iPatje]

Schema update done
Updating settings
Settings update done
Updating users
Users' update done
Resetting the system type of Spotweb to closed


SpotWeb crashed

Database schema or settings upgrade failed:
   Unknown system type defined: 'closed'


#0 /volume1/web/spotweb/lib/SpotUpgrader.php(122): SpotSettingsUpgrader->setSystemType('closed')
#1 /volume1/web/spotweb/upgrade-db.php(44): SpotUpgrader->resetSystemType('closed')
#2 {main}

Ik denk dat ik iets fout doe. Bovenstaande is de log die ik uit WINSCP krijg.
Ik heb ingelogd op de NAS, ben naar de directory van spotweb gegaan (zie hierboven) en heb toen de commanline ingevoerd.

Zit ik helemaal verkeerd of vergeet ik een stap?

Als ik namelijk (extern) naar de url ga en spotweb krijg ik direct spotweb te zien, geen login.