Auteur Topic: Synology bereiken van buitenaf  (gelezen 1922 keer)

Offline B.Kreder

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 26
Synology bereiken van buitenaf
« Gepost op: 13 augustus 2022, 07:38:34 »
Hi guys,

Ik wil mijn synology beveiligen door hem enkel bereikbaar te maken met een VPN (of als je in het netwerk zit uiteraard)

Nu heb ik mensen die synology photos gebruiken buiten mijn huishouden.. kan ik een extern IP toevoegen aan mijn NAS die hij moet toelaten?? Of heeft iemand hier nog een slimme oplossing voor!?

Voor de opheldering, ik wil dus niet dat deze mensen gebruik moeten maken van de VPN (dat is te ingewikkeld voor ze en irritant omdat het enkelen voor uploaden foto’s is)

Thanks in advance! 
  • Mijn Synology: DS920+
  • Extra's: 512MB

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7977
  • Berichten: 43.976
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Synology bereiken van buitenaf
« Reactie #1 Gepost op: 13 augustus 2022, 09:07:42 »
Ik adviseer om QuickConnect te gebruiken.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline B.Kreder

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 26
Re: Synology bereiken van buitenaf
« Reactie #2 Gepost op: 13 augustus 2022, 09:11:43 »
Ik wil dit juist ivm beveiliging dichtzitten. Daarom zoek ik een manier om (bijvoorbeeld) het externe IP toegang te geven tot mijn NAS
  • Mijn Synology: DS920+
  • Extra's: 512MB

Offline Bobo

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 40
  • -Ontvangen: 199
  • Berichten: 882
Re: Synology bereiken van buitenaf
« Reactie #3 Gepost op: 13 augustus 2022, 09:12:55 »
Lijkt me dat je dat met de regels in de nas-firewall kunt regelen,
maar dan hebben die externe gebruikers wel een vast ip-adres nodig.
Let wel op de volgorde in de firewall-regels, anders gaat het niet.

Regel-voorbeeld:
1e: ip-range van je eigen netwerk toestaan
2e: vpn verbinding toestaan
3e: ip-adres van externe gebruiker A toestaan
4e: ip-adres van volgende externe gebruiker toestaan
5e: al het andere weigeren
-

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7977
  • Berichten: 43.976
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Synology bereiken van buitenaf
« Reactie #4 Gepost op: 13 augustus 2022, 09:28:05 »
Ik wil dit juist ivm beveiliging dichtzitten.
QC soms niet veilig? Je hoeft hiervoor namelijk geen poorten te forwarden.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.543
Re: Synology bereiken van buitenaf
« Reactie #5 Gepost op: 13 augustus 2022, 10:24:55 »
Ik wil dit juist ivm beveiliging dichtzitten. Daarom zoek ik een manier om (bijvoorbeeld) het externe IP toegang te geven tot mijn NAS

Veel routers hebben de optie om slechts specifieke externe IP adressen te forwarden. Voor de rest van de wereld is die poort dan niet bruikbaar.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 117
  • Berichten: 752
Re: Synology bereiken van buitenaf
« Reactie #6 Gepost op: 13 augustus 2022, 16:22:22 »
QuickConnect IS veilig! Zeker als je de optie tot versleutelen van de data opzet.
Ja de data gaat via een "relay" , maar verder is dit wel een veilige "vpn"
Qua performantie zal het moeilijk te voorspellen zijn, maar voor gewoon gebruik zal het wel meevallen.

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Synology bereiken van buitenaf
« Reactie #7 Gepost op: 14 augustus 2022, 02:14:21 »
Citaat
QuickConnect IS veilig!
Dat kun je eigenlijk niet zo stellen...


P.S.
Een tijd geleden al:
https://www.synology-forum.nl/ddns-extern-benaderen/toegang-naar-nas-vanuit-internet-afhankelijk-van-provider/msg162760/#msg162760

Ben destijds niet op het idee gekomen om eens een nmap scan te doen over het QC netwerk (wist nog niet genoeg van netwerken) want dan had ik waarschijnlijk deze kwetsbaarheden (complete misconfiguratie door Synology dekt de lading beter) gevonden:
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1064
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1066

Ach ja, als de gebruiker maar het gevoel heeft....
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline B.Kreder

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 26
Re: Synology bereiken van buitenaf
« Reactie #8 Gepost op: 14 augustus 2022, 07:21:17 »
Uiteraard zet quickconnect ook poorten open, dus echt veilig kan je het inderdaad niet noemen.

Ik mijn netwerk op verschillende manieren beveiligd, dus gelukkig komen ze bij mij niet zomaar binnen maar je kan geen beveiliging genoeg hebben naar mijn mening!
  • Mijn Synology: DS920+
  • Extra's: 512MB

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 117
  • Berichten: 752
Re: Synology bereiken van buitenaf
« Reactie #9 Gepost op: 14 augustus 2022, 07:26:17 »
Citaat
QuickConnect IS veilig!
Dat kun je eigenlijk niet zo stellen...
...anno 2022 dan.
Je geeft hier links naar relatief oude artikels.
Elk product, ook van de meest gerenommeerde security vendors heeft security issues gehad over de jaren heen. (Cisco,Fortinet,F5,...)
(en mogelijks zijn er nog, gewoon nog niet gevonden)
Synology zijn ook geen kiekens en hebben de laatste jaren hun cyber-security serieus aangezwengeld.

Het risico bij de gebruiker mbt het kiezen van simpele usernames/password is vele malen een groter risico dan "gehacked" worden via QC.

Ik gebruik het zelf al een tijd niet meer, omdat ik voldoende kennis heb om een VPN op m'n Mikrotik router te voorzien waarna ik toegang hebt tot m'n interne LAN met de services die ik nodig heb (vb Plex, Logitech Media Server etc)

My 2 cents.





Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 117
  • Berichten: 752
Re: Synology bereiken van buitenaf
« Reactie #10 Gepost op: 14 augustus 2022, 07:30:00 »
Neen, QC zet geen poorten open, enkel als je die checkbox aanvinkt "Automatically create port forwarding rules"
Het meest veilige is dan nog via de "relay servers" te gaan denk ik.

Dan heb je dus uitgaande versleutelde verbinding van NAS -> Synology-Relay
...en dan als iemand connectie maakt is het van "Internet" -> Synology-Relay (ook versleuteld)

Schijnt wel dat de relay-server decrypt doet (werkt als een proxy/man-in-the-middle) en dus 2 versleutelde sessies aan elkaar stitched.
Dus "end-to-end" versleuteling als je via de relay gaat dus niet.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7977
  • Berichten: 43.976
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Synology bereiken van buitenaf
« Reactie #11 Gepost op: 14 augustus 2022, 10:27:14 »
Neen, QC zet geen poorten open, enkel als je die checkbox aanvinkt "Automatically create port forwarding rules"
Dat werkt alleen als je Routerconfiguratie (EZ) in werking hebt maar, UPnP aanzetten op je Router, dat is pas onverstandig.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7977
  • Berichten: 43.976
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Synology bereiken van buitenaf
« Reactie #12 Gepost op: 14 augustus 2022, 13:13:35 »


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.543
Re: Synology bereiken van buitenaf
« Reactie #13 Gepost op: 14 augustus 2022, 17:56:42 »
Uiteraard zet quickconnect ook poorten open, dus echt veilig kan je het inderdaad niet noemen.

Nee, je term 'uiteraard' is foutief.  Het poorten open zetten gebeurd alleen als de nas bij deze optie kan. Het is de functie van UPnP op routers die het mogelijk maakt om zonder authenticatie een poort open te kunnen zetten.

Voor QC is het niet nodig, maar als er poorten open gezet worden is dat minder belastend voor de synology servers. Dus heeft het open zetten de voorkeur bij Synology. Staat UPnP op de router uit, dan worden er geen poorten open gezet en kun je er nog steeds van buiten bij.

(Zie die white paper link van Birdy)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

Hitron CGNV4 wifi/Router + Synology

Gestart door ApacheBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 11
Gelezen: 10270
Laatste bericht 19 juli 2015, 10:25:04
door Apache
Twee Synology DS214 aan elkaar koppelen

Gestart door HaanBoard Data replicator & overige backupsoftware

Reacties: 9
Gelezen: 6296
Laatste bericht 20 september 2015, 20:18:41
door Haan
Synology helpdesk vraagt mij om admin wachtwoord voor troubleshooting???

Gestart door vischpBoard NAS hardware vragen

Reacties: 25
Gelezen: 10798
Laatste bericht 16 december 2015, 20:12:47
door Pippin
Synology DS216play

Gestart door Sofie1985Board NAS hardware vragen

Reacties: 2
Gelezen: 1908
Laatste bericht 31 januari 2016, 22:10:56
door Birdy
overstap KPN glasvezel; geen toegang tot Synology meer

Gestart door MadeboBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 9
Gelezen: 3472
Laatste bericht 11 april 2016, 22:38:16
door Madebo