Problemen met het benaderen van mijn Synology voor buitenaf

[Babylonia]

Terugkoppeling.
Inmiddels via Skype en "meekijken op het scherm" uitgebreid over en weer gechat.

Dat je op je routerpagina uitkomt is een bug in je router. Er zijn meer routers die open aan het internet hangen als poort 80 niet geforward is. Ik las laatst al een advies om poort 80 altijd te forwarden, ook al is het naar een niet bestaand IP, om dit soort aanvallen op kwetsbare routers te voorkomen.

Was ook hier het geval. Met poort 80 doorverwijzen naar de NAS was het probleem over.

Verder gekeken wat de mogelijkheden waren om de Firewall en beveiligingsopties met de beperkingen van DSM 4.3 toch zo strak mogelijk in te stellen. (DSM 4.3 biedt geen "regio" keuzes om het bereik van buitenaf te beperken, verder kun je ook geen hele IP-ranges instellen, bijv. voor het interne netwerk ----> Dat laatste hebben we opgelost door in de router de uitgifte van aantal DHCP IP-adressen te beperken tot 15 en voor het interne netwerk hetzelfde aantal regels aan te maken met toegang voor alle services en poorten).

Paynemaster overweegt nu misschien een update te doen naar DSM 5.0 laatste versie (nog niet naar DSM 5.1)
met hetgeen hij dan weer heeft gezien vanuit het "meekijken op het scherm" van mijn kant.
In ieder geval is er een stuk meer begrip ontstaan hoe beveiligingsopties, vaste IP-adressen vanuit de router etc. ingesteld kunnen worden. (Bijv. ook blokkade op de NAS van IP-adressen na verschillende inlogpogingen was niet ingesteld).

[Bigpapa]

Ik mag misschien niet in iemand anders post een vraag stellen, maar doe het onschuldig toch ff.
Ik zie jullie praten over poort 80 doorsturen.
Nu heb ik er een klein beetje verstand van (niet zoveel) maar poort 80 staat vanaf de fabriek toch al doorgestuurd.
Ik heb een nieuwe asus RT-AC87U en daar heb ik nu ook wat problemen mee, om mijn NAS via ddns te bereiken. Dus ......synology.me.
En deze router is wel mooi en snel, maar ook zeer uitgebreid.

[Babylonia]

Nu heb ik er een klein beetje verstand van (niet zoveel) maar poort 80 staat vanaf de fabriek toch al doorgestuurd.

Een klein beetje verstand ervan, of bedoel je eigenlijk helemaal niet?
Nee, poorten staan vanaf fabriek nooit naar een bepaald vast IP-adres doorgestuurd (geforward). Het zou me hooglijk verbazen hoe een fabriek aan de informatie zou moeten komen met wat toekomstige gebruikers aan willekeurige apparaten aan een router zullen gaan hangen en welk vast IP-adres iemand specifiek zou willen toekennen voor een NAS en welke applicaties en services op een NAS gebruikt gaan worden waarbij dat nodig is.

[Briolet]

Poort 80 staat bij sommige routers wel geforward naar zichzelf zodat je ook vanaf het internet toegang tot de settings hebt. In het algemeen wordt dat als zeer gevaarlijk ervaren omdat er altijd wel bugs in de web-interface gevonden worden, waardoor ook vreemden bij je router kunnen.

Bij de veel routers kun je de toegang vanaf het internet uit zetten. Kan dat niet, dan kun je poort 80 naar een niet bestaand adres forwarden zodat je van buiten niet op de router uitkomt. (Dat advies staat op het avast blog 12-ways-to-boost-your-routers-security bij punt 8.)

[Bigpapa]

Een klein beetje verstand ervan, of bedoel je eigenlijk helemaal niet?

Ik heb er wel verstannd van, maar dieper erop in gaan kann je altijd leren.
Daar is het forum voor bedoeld.
Maar ik wil mijn nas ook benaderen van buiten af, maar helaas is dit ook nog niet gelukt.
http://..........synology.me/ staat perfect ingesteld. Alles is groen.
wat mis ik dan nog.
Ik wil dat iemand bij mij op de nas komt, en dan eventueel wat eraf kan halen wat hij nodig heb.
Ik heb de map ingesteld en ook een gebruikersnaam en WW.
Zou jij mij kunnen helpen, want hier kom ik niet uit.

[Heppieboeddah]

Poort 80 wijst op de Asussen, heb zelf de N66U, direct naar de webinterface van de router.

In de router is het de bedoeling dat je 5000 doorverwijst/forward naar het interne ipadres van de NAS. Vanbuiten je eigen netwerk kan je dan de NAS bereiken middels het in de browser tikken van je externeipadres:5000 In IE tik je in http://externeipadres:5000

Je externe ipadres vind je via whatsmyip.org

Ik werk op deze manier omdat ik graag met ipadressen werk.

In jou geval zal een makkelijke optie zijn om poort 80 door te verwijzen in de router naar poort 5000.

Dus 80- interneipadresNAS- 5000

[Babylonia]

Bij het van buitenaf benaderen van de NAS en als je daarbij uitkomt op de web-interface van de router, in dat geval ook poort 80 doorverwijzen naar het (vaste) IP-adres van de NAS. Op dezelfde manier zoals je ook poort 5000 (en mogelijk aanvullende poorten) hebt doorverwezen naar het interne IP-adres van de NAS.
Een en ander zoals hierboven op deze webpagina aangegeven.

[Bigpapa]

Neem aan dat je dit bedoeld. Dit had ik al in mijn asus RT-AC87U staan.

[Bigpapa]

Waarom lukt dat niet met quickconnect.
Ik met juist met getallen niet zo sterk.

[Babylonia]

Ik neem aan dat je de modem/router  van je internet-provider als connectie met internet in "bridge-mode" hebt gezet. Anders zit je met twee verschillende interne netwerken.

Stuur poort 80 en aanvullende poorten van gebruikte services ook door naar je NAS.
Connectie van buitenaf zou ik zeker aanbevelen om enkel een beveiligde SSL (https) verbinding te gebruiken.
Dat betekent in ieder geval meer aanvullende poorten doorsturen. Zie een lijst van Synology < HIER >

[Heppieboeddah]

Waarom lukt dat niet met quickconnect.
Ik met juist met getallen niet zo sterk.

Zie in je screener alleen maar poort 5000

Tik nu eens op je telefoon ofzo buiten je netwerk in je Browser externeipadres:5000

Als dat werkt zit je gebakken kunnen we verder. Want zoals Babylonia ook al schreef als je je modem ook als Router gebruikt heb je een probleem

[Bigpapa]

Nee mijn upc modem staat in bridge, en wi/fi is uitgeschakeld.
Een vriend van me kan nu via http in de nas.
Dus het werkt nu wel.
Alleen hoe nu verder met https. Dat is natuurlijk veel veiliger.

[Bigpapa]

Connectie van buitenaf zou ik zeker aanbevelen om enkel een beveiligde SSL (https) verbinding te gebruiken.
Dat betekent in ieder geval meer aanvullende poorten doorsturen. Zie een lijst van Synology < HIER >

Van die lijst snap ik al niets van.

[Hofstede]

Als je het veilig wilt moet je een VPN verbinding configureren. De admin pagina van je NAS rechtstreeks toegankelijk maken vanaf het internet is per definitie niet veilig.

[Bigpapa]

Dat snap ik. Maar hoe doe ik dat.


En (TLS) https verbinding moet je een certificaat hebben die weer aan een domijn gekoppeld moet worden.
Dat kan niet aan IP worden gehangen, omdat we gebruik maken van Statisch IP adres. En dat kan elke keer veranderen.
Dus wat is nu het beste om te doen.