Synology bereiken van buitenaf

[B.Kreder]

Hi guys,

Ik wil mijn synology beveiligen door hem enkel bereikbaar te maken met een VPN (of als je in het netwerk zit uiteraard)

Nu heb ik mensen die synology photos gebruiken buiten mijn huishouden.. kan ik een extern IP toevoegen aan mijn NAS die hij moet toelaten?? Of heeft iemand hier nog een slimme oplossing voor!?

Voor de opheldering, ik wil dus niet dat deze mensen gebruik moeten maken van de VPN (dat is te ingewikkeld voor ze en irritant omdat het enkelen voor uploaden foto’s is)

Thanks in advance! 

[Birdy]

Ik adviseer om QuickConnect te gebruiken.

[B.Kreder]

Ik wil dit juist ivm beveiliging dichtzitten. Daarom zoek ik een manier om (bijvoorbeeld) het externe IP toegang te geven tot mijn NAS

[Bobo]

Lijkt me dat je dat met de regels in de nas-firewall kunt regelen,
maar dan hebben die externe gebruikers wel een vast ip-adres nodig.
Let wel op de volgorde in de firewall-regels, anders gaat het niet.

Regel-voorbeeld:
1e: ip-range van je eigen netwerk toestaan
2e: vpn verbinding toestaan
3e: ip-adres van externe gebruiker A toestaan
4e: ip-adres van volgende externe gebruiker toestaan
5e: al het andere weigeren

[Birdy]

Ik wil dit juist ivm beveiliging dichtzitten.

QC soms niet veilig? Je hoeft hiervoor namelijk geen poorten te forwarden.

[Briolet]

Ik wil dit juist ivm beveiliging dichtzitten. Daarom zoek ik een manier om (bijvoorbeeld) het externe IP toegang te geven tot mijn NAS

Veel routers hebben de optie om slechts specifieke externe IP adressen te forwarden. Voor de rest van de wereld is die poort dan niet bruikbaar.

[DSGebruiker]

QuickConnect IS veilig! Zeker als je de optie tot versleutelen van de data opzet.
Ja de data gaat via een "relay" , maar verder is dit wel een veilige "vpn"
Qua performantie zal het moeilijk te voorspellen zijn, maar voor gewoon gebruik zal het wel meevallen.

[Pippin]

QuickConnect IS veilig!

Dat kun je eigenlijk niet zo stellen...


P.S.
Een tijd geleden al:
https://www.synology-forum.nl/ddns-extern-benaderen/toegang-naar-nas-vanuit-internet-afhankelijk-van-provider/msg162760/#msg162760

Ben destijds niet op het idee gekomen om eens een nmap scan te doen over het QC netwerk (wist nog niet genoeg van netwerken) want dan had ik waarschijnlijk deze kwetsbaarheden (complete misconfiguratie door Synology dekt de lading beter) gevonden:
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1064
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1066

Ach ja, als de gebruiker maar het gevoel heeft....

[B.Kreder]

Uiteraard zet quickconnect ook poorten open, dus echt veilig kan je het inderdaad niet noemen.

Ik mijn netwerk op verschillende manieren beveiligd, dus gelukkig komen ze bij mij niet zomaar binnen maar je kan geen beveiliging genoeg hebben naar mijn mening!

[DSGebruiker]

QuickConnect IS veilig!

Dat kun je eigenlijk niet zo stellen...

...anno 2022 dan.
Je geeft hier links naar relatief oude artikels.
Elk product, ook van de meest gerenommeerde security vendors heeft security issues gehad over de jaren heen. (Cisco,Fortinet,F5,...)
(en mogelijks zijn er nog, gewoon nog niet gevonden)
Synology zijn ook geen kiekens en hebben de laatste jaren hun cyber-security serieus aangezwengeld.

Het risico bij de gebruiker mbt het kiezen van simpele usernames/password is vele malen een groter risico dan "gehacked" worden via QC.

Ik gebruik het zelf al een tijd niet meer, omdat ik voldoende kennis heb om een VPN op m'n Mikrotik router te voorzien waarna ik toegang hebt tot m'n interne LAN met de services die ik nodig heb (vb Plex, Logitech Media Server etc)

My 2 cents.

[DSGebruiker]

Neen, QC zet geen poorten open, enkel als je die checkbox aanvinkt "Automatically create port forwarding rules"
Het meest veilige is dan nog via de "relay servers" te gaan denk ik.

Dan heb je dus uitgaande versleutelde verbinding van NAS -> Synology-Relay
...en dan als iemand connectie maakt is het van "Internet" -> Synology-Relay (ook versleuteld)

Schijnt wel dat de relay-server decrypt doet (werkt als een proxy/man-in-the-middle) en dus 2 versleutelde sessies aan elkaar stitched.
Dus "end-to-end" versleuteling als je via de relay gaat dus niet.

[Birdy]

Neen, QC zet geen poorten open, enkel als je die checkbox aanvinkt "Automatically create port forwarding rules"

Dat werkt alleen als je Routerconfiguratie (EZ) in werking hebt maar, UPnP aanzetten op je Router, dat is pas onverstandig.

[Birdy]

Hoe het werkt: Synology QuickConnect White Paper

[Briolet]

Uiteraard zet quickconnect ook poorten open, dus echt veilig kan je het inderdaad niet noemen.

Nee, je term 'uiteraard' is foutief.  Het poorten open zetten gebeurd alleen als de nas bij deze optie kan. Het is de functie van UPnP op routers die het mogelijk maakt om zonder authenticatie een poort open te kunnen zetten.

Voor QC is het niet nodig, maar als er poorten open gezet worden is dat minder belastend voor de synology servers. Dus heeft het open zetten de voorkeur bij Synology. Staat UPnP op de router uit, dan worden er geen poorten open gezet en kun je er nog steeds van buiten bij.

(Zie die white paper link van Birdy)