Auteur Topic: Synology bereiken van buitenaf  (gelezen 2002 keer)

Offline B.Kreder

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 26
Synology bereiken van buitenaf
« Gepost op: 13 augustus 2022, 07:38:34 »
Hi guys,

Ik wil mijn synology beveiligen door hem enkel bereikbaar te maken met een VPN (of als je in het netwerk zit uiteraard)

Nu heb ik mensen die synology photos gebruiken buiten mijn huishouden.. kan ik een extern IP toevoegen aan mijn NAS die hij moet toelaten?? Of heeft iemand hier nog een slimme oplossing voor!?

Voor de opheldering, ik wil dus niet dat deze mensen gebruik moeten maken van de VPN (dat is te ingewikkeld voor ze en irritant omdat het enkelen voor uploaden foto’s is)

Thanks in advance! 
  • Mijn Synology: DS920+
  • Extra's: 512MB

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Synology bereiken van buitenaf
« Reactie #1 Gepost op: 13 augustus 2022, 09:07:42 »
Ik adviseer om QuickConnect te gebruiken.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline B.Kreder

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 26
Re: Synology bereiken van buitenaf
« Reactie #2 Gepost op: 13 augustus 2022, 09:11:43 »
Ik wil dit juist ivm beveiliging dichtzitten. Daarom zoek ik een manier om (bijvoorbeeld) het externe IP toegang te geven tot mijn NAS
  • Mijn Synology: DS920+
  • Extra's: 512MB

Offline Bobo

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 40
  • -Ontvangen: 202
  • Berichten: 890
Re: Synology bereiken van buitenaf
« Reactie #3 Gepost op: 13 augustus 2022, 09:12:55 »
Lijkt me dat je dat met de regels in de nas-firewall kunt regelen,
maar dan hebben die externe gebruikers wel een vast ip-adres nodig.
Let wel op de volgorde in de firewall-regels, anders gaat het niet.

Regel-voorbeeld:
1e: ip-range van je eigen netwerk toestaan
2e: vpn verbinding toestaan
3e: ip-adres van externe gebruiker A toestaan
4e: ip-adres van volgende externe gebruiker toestaan
5e: al het andere weigeren
-

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Synology bereiken van buitenaf
« Reactie #4 Gepost op: 13 augustus 2022, 09:28:05 »
Ik wil dit juist ivm beveiliging dichtzitten.
QC soms niet veilig? Je hoeft hiervoor namelijk geen poorten te forwarden.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Synology bereiken van buitenaf
« Reactie #5 Gepost op: 13 augustus 2022, 10:24:55 »
Ik wil dit juist ivm beveiliging dichtzitten. Daarom zoek ik een manier om (bijvoorbeeld) het externe IP toegang te geven tot mijn NAS

Veel routers hebben de optie om slechts specifieke externe IP adressen te forwarden. Voor de rest van de wereld is die poort dan niet bruikbaar.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 761
Re: Synology bereiken van buitenaf
« Reactie #6 Gepost op: 13 augustus 2022, 16:22:22 »
QuickConnect IS veilig! Zeker als je de optie tot versleutelen van de data opzet.
Ja de data gaat via een "relay" , maar verder is dit wel een veilige "vpn"
Qua performantie zal het moeilijk te voorspellen zijn, maar voor gewoon gebruik zal het wel meevallen.

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Synology bereiken van buitenaf
« Reactie #7 Gepost op: 14 augustus 2022, 02:14:21 »
Citaat
QuickConnect IS veilig!
Dat kun je eigenlijk niet zo stellen...


P.S.
Een tijd geleden al:
https://www.synology-forum.nl/ddns-extern-benaderen/toegang-naar-nas-vanuit-internet-afhankelijk-van-provider/msg162760/#msg162760

Ben destijds niet op het idee gekomen om eens een nmap scan te doen over het QC netwerk (wist nog niet genoeg van netwerken) want dan had ik waarschijnlijk deze kwetsbaarheden (complete misconfiguratie door Synology dekt de lading beter) gevonden:
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1064
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1066

Ach ja, als de gebruiker maar het gevoel heeft....
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline B.Kreder

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 26
Re: Synology bereiken van buitenaf
« Reactie #8 Gepost op: 14 augustus 2022, 07:21:17 »
Uiteraard zet quickconnect ook poorten open, dus echt veilig kan je het inderdaad niet noemen.

Ik mijn netwerk op verschillende manieren beveiligd, dus gelukkig komen ze bij mij niet zomaar binnen maar je kan geen beveiliging genoeg hebben naar mijn mening!
  • Mijn Synology: DS920+
  • Extra's: 512MB

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 761
Re: Synology bereiken van buitenaf
« Reactie #9 Gepost op: 14 augustus 2022, 07:26:17 »
Citaat
QuickConnect IS veilig!
Dat kun je eigenlijk niet zo stellen...
...anno 2022 dan.
Je geeft hier links naar relatief oude artikels.
Elk product, ook van de meest gerenommeerde security vendors heeft security issues gehad over de jaren heen. (Cisco,Fortinet,F5,...)
(en mogelijks zijn er nog, gewoon nog niet gevonden)
Synology zijn ook geen kiekens en hebben de laatste jaren hun cyber-security serieus aangezwengeld.

Het risico bij de gebruiker mbt het kiezen van simpele usernames/password is vele malen een groter risico dan "gehacked" worden via QC.

Ik gebruik het zelf al een tijd niet meer, omdat ik voldoende kennis heb om een VPN op m'n Mikrotik router te voorzien waarna ik toegang hebt tot m'n interne LAN met de services die ik nodig heb (vb Plex, Logitech Media Server etc)

My 2 cents.





Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 761
Re: Synology bereiken van buitenaf
« Reactie #10 Gepost op: 14 augustus 2022, 07:30:00 »
Neen, QC zet geen poorten open, enkel als je die checkbox aanvinkt "Automatically create port forwarding rules"
Het meest veilige is dan nog via de "relay servers" te gaan denk ik.

Dan heb je dus uitgaande versleutelde verbinding van NAS -> Synology-Relay
...en dan als iemand connectie maakt is het van "Internet" -> Synology-Relay (ook versleuteld)

Schijnt wel dat de relay-server decrypt doet (werkt als een proxy/man-in-the-middle) en dus 2 versleutelde sessies aan elkaar stitched.
Dus "end-to-end" versleuteling als je via de relay gaat dus niet.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Synology bereiken van buitenaf
« Reactie #11 Gepost op: 14 augustus 2022, 10:27:14 »
Neen, QC zet geen poorten open, enkel als je die checkbox aanvinkt "Automatically create port forwarding rules"
Dat werkt alleen als je Routerconfiguratie (EZ) in werking hebt maar, UPnP aanzetten op je Router, dat is pas onverstandig.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Synology bereiken van buitenaf
« Reactie #12 Gepost op: 14 augustus 2022, 13:13:35 »


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Synology bereiken van buitenaf
« Reactie #13 Gepost op: 14 augustus 2022, 17:56:42 »
Uiteraard zet quickconnect ook poorten open, dus echt veilig kan je het inderdaad niet noemen.

Nee, je term 'uiteraard' is foutief.  Het poorten open zetten gebeurd alleen als de nas bij deze optie kan. Het is de functie van UPnP op routers die het mogelijk maakt om zonder authenticatie een poort open te kunnen zetten.

Voor QC is het niet nodig, maar als er poorten open gezet worden is dat minder belastend voor de synology servers. Dus heeft het open zetten de voorkeur bij Synology. Staat UPnP op de router uit, dan worden er geen poorten open gezet en kun je er nog steeds van buiten bij.

(Zie die white paper link van Birdy)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

hoe krijg ik https (ssl)certificaat van synology

Gestart door nijBoard Synology DSM 5.1 en eerder

Reacties: 9
Gelezen: 18341
Laatste bericht 07 december 2014, 05:29:21
door m4v3r1ck
Synology assistent - Mapstation

Gestart door JeffreyHBoard Synology DSM algemeen

Reacties: 3
Gelezen: 4169
Laatste bericht 10 januari 2014, 23:19:59
door Birdy
Synology verhelpt kwetsbaarheid in DiskStation Manager

Gestart door Synology Official TeamBoard Synology DSM algemeen

Reacties: 0
Gelezen: 2207
Laatste bericht 20 februari 2014, 16:18:17
door Synology Official Team
Synology??? Hoe kan dit nou???

Gestart door HHGDBoard Synology DSM 5.1 en eerder

Reacties: 3
Gelezen: 2911
Laatste bericht 22 april 2014, 08:47:47
door HHGD
Werkt een Fantec DB-R35DUS-1 op Synology?

Gestart door jjnhBoard Externe harddisks en Printers

Reacties: 2
Gelezen: 3103
Laatste bericht 31 december 2009, 14:48:11
door jjnh