Via internet NAS benaderen icm firewall instellingen

[Irene]

Oke, bedankt voor de info.

Alleen 5006 is https, toch?

Ik heb al zitten lezen hoe ik dat moet doen, dan moet ik wel een domein aanvragen. Ziet er allemaal niet simpel uit.
Heb ook gekeken om het via Quickconnect te doen van Synology, maar dan hoef je helemaal geen wachtwoord meer in te geven. Vind ik ook geen prettig idee.

[Briolet]

Alleen 5006 is https, toch?

Het is wel https, maar er zit geen webserver achter, dus kun je niet met een browser op inloggen. Die poort kun je alleen als een share benaderen vanaf een PC die WebDav ondersteun. Bij de mac zit dat in het OS en bij windows moet je iets extras installeren. Bij de DS apps zit dat alles in de app ingebouwd.

om het via Quickconnect te doen van Synology, maar dan hoef je helemaal geen wachtwoord meer in te geven.

Volgens mij moet je bij QC nog steeds een wachtwoord in geven. QC is alleen een methode om de nas te vinden en te benaderen, niet om op een account in te loggen.  Of zit ik er naast. Een QC is toch aan de nas gekoppeld en niet aan een gebruiker?

[Irene]

Https:
Oké, dus webdav in Nas op 5006 zetten, 5006 portforwarden in router: en dan klaar voor de apps op de IPAD zoal Dsphoto, DSfile, DSM mobile etc?
Ik dacht dat ik daar een domein voor moest maken en certificaten? Waarom is die handleiding toch zo onduidelijk en summier?

QC
Eerste keer moest ik wel wachtwoord ingeven, daarna ging ik op de pc rechtstreeks naar de NAS.  Misschien dat het nog ergens in te stellen is. Dus weer uitgezet.
Begreep dat er dan geen portforwarding gedaan moest worden, maar dat dat niet met alle routers goed ging. Vind het geen probleem om dat zelf in de router te doen, dus mijn inziens geen meerwaarde voor mij.

[Irene]

Firewall regels geprobeerd uit te zetten ( vinkjes weg, toestaan), vervolgens geeft hij een melding dat er onlangs het eea is geblokkeerd en daarom de wijziging niet wordt toegepast.
Vervolgens de regels gewoon verwijderd: zelfde melding.
Daarna onder de regels ipv niet toestaan, op toestaan gezet. Dat is wel doorgevoerd.
Kan nog steeds niet op afstand inloggen.
Geeft steeds de melding dat ik niet ben gemachtigd.
Raar dat ik de firewall regels niet kan wegvinken.

NAS opnieuw opgestart. Nu lukt het wel om de firewall regels uit te zetten. Blijkbaar houdt hij iets vast in geheugen wat na restart weg is.

Nu maar weer elders proberen om in te loggen. Via de 3G , met ander ip dan thuis dus, lukt het , dus theoretisch moet het elders nu ook gaan.

Dus toch een firewall probleem. Maakt het mij toch nieuwsgierig hoe het dan wel goed is in te stellen. Zo ingewikkeld waren de regels niet.
Wie heeft een goed werkende firewall en wat is er precies vastgelegd en in welke volgorde ?

Groetjes
Irene

[Babylonia]

Dus toch een firewall probleem. Maakt het mij toch nieuwsgierig hoe het dan wel goed is in te stellen. Zo ingewikkeld waren de regels niet. Wie heeft een goed werkende firewall en wat is er precies vastgelegd en in welke volgorde ?

Ik weet niet of het bij jou alleen een firewall probleem zou zijn?
Zelf heb ik hier geen enkel probleem om ongeacht vanuit welk device van buiten op de NAS in te loggen. Mobiele telefoons Android, iPhone, iPad, met de bijbehorende apps voor de services die we gebruiken. Vanaf PC's via webbrowser of bijv met het WebDav protocol (NetDrive).

In de router heb ik de meest uiteenlopende port forwards gedaan die ik misschien wel eens denk nodig te hebben. Zelfs voor printen e.d. omdat ik inschat dat de mede gezinsleden thuis niet altijd via het interne netwerk inloggen, maar misschien ook wel eens "van buiten". In de router heb ik een lijst van 30 forward regels opgesteld. (Het maximum voor een Ziggo Ubee modem/router).

In de NAS beperk ik een aantal opties dan weer d.m.v. Firewall regels. Zo heb ik bijv. de poorten voor Telnet, en FTP geblokkeerd. (Sinds het blokkeren van poort 22 komen er geen rijen lang Chinese anonieme inlogpogingen meer voor bij de inlogfiles die geblokt worden).

Mocht ik die services alsnog "van buiten" willen toepassen, kan ikzelf als admin binnen DSM de poortnummers voor de betreffende services alsnog tijdelijk even open zetten. De router kan ik van buitenaf niet benaderen. Vandaar dat die dus reeds bij voorbaat wel de betreffende poorten moet doorsturen.

Verder in de Firewall alleen toegang vanuit Nederland en België, waar ik voor België minder services heb opengesteld dan die voor Nederland. (De situatie die voor mij van toepassing is). Plus daarbij alle poorten open voor het intern lokale netwerk binnen een bepaald bereik.

Om te testen of er iets in je port forwarding ontbreekt, kun je tijdelijk een regel in de router aanmaken, om alle poortnummers tussen bijv. 10-65.000 zowel via TCP als UDP te forwarden. Als dat dan wel werkt, heb je in de normaal gebruikte "beperkt ingestelde forward regels" dan ergens toch nog een instelling over het hoofd gezien.

Babylonia@

[Irene]

Bedankt voor je uitgebreide reactie.

Tijdens de installatie van de packages vroeg DSM ook steeds of hij regels aan de firewall mocht toevoegen. Mogelijk zou daar een conflict in hebben gezeten.
Ik heb die nu ook uit gezet, en ga nu regel voor regel aanzetten.
Te beginnen met nederland toestaan, en daarna de interne ip range ( of moet het andersom),
en uiteraard onderaan indien niet voldoet aan regels dat niet toestaan.
Klopt die volgorde of moet het andersom.

[Babylonia]

Ikzelf heb eerst Nederland, en dan de services die je gebruikt wil hebben open gezet, dan België, en als laatste het interne netwerk. Ik denk dat in dit geval de volgorde weinig uitmaakt.
Onderaan indien niet voldoet aan regels dat niet toestaan.

[Irene]

Sinds ik de NAS opnieuw heb opgestart kan ik zelfs de firewall regels weer aanpassen zonder allerlei foutmeldingen.
Welke velden van ingebouwde toepassingen moeten minimaal aanstaan om via DSCam de cameras te benaderen en om DSM te benaderen?
Welke mag ik zeker niet uitzetten?
Ik wil niet meer openzetten dan de functionaliteit die  ik werkelijk van buitenaf gebruik.

[Babylonia]

Er is een port forwarding pagina bij Synology:  http://www.synology.com/nl-nl/support/faq/299
Dezelfde poorten zijn uiteraard ook van toepassing voor het openstellen in de Firewall.
Voor DS Cam zie ik poortnummer 5000 (http) en 5001 (https).
Dat zijn de standaard poorten die je ook al nodig hebt voor benadering van de DSM zelf.
Voor de verdere rest komen naar ik vermoed in de Firewall min of meer de meest voor de hand liggende opties naar voren om aan of uit te vinken, voor die services die je hebt geïnstalleerd, wel of niet gebruikt.

[Irene]

Ja, dat weet ik.
Maar bijvoorbeeld in toepassingen staat UPnP aangevinkt , maar het lijkt mij niet dat op afstand deze functie nodig is. Volgens mij wordt daar zelfs voor gewaarschuwd.
Dus ik hoopte op een lijstje wat anderen allemaal uitgeschakeld hebben en om welke redenen.
Ik ben namelijk geen systeembeheerder, dus kan niet goed overzien wat allemaal in elkaar grijpt in de firewall regels.
Dus wie heeft zo n firewall lijstje?

[Handige Harry]

Ik volg dit draadje ook even stilletjes mee.

Want ik heb schijnbaar ook wat veranderd.
Al mijn poorten staan dicht als ik die controleer via een website, terwijl ze in de router wel geforward zijn.

[Briolet]

@Jurgen: Als je je poorten via een niet-Nederladse site test en in je firewall hen je ingesteld om alleen Nederlandse IP adressen te accepteren, dan krijg je b.v. zo'n reactie van zo'n buitenlandse check-site.

[Handige Harry]

@briolet Klopt als een bus wat je zegt!

Heb zelfs modem opnieuw opgestart, en firewall van de nas uitgezet.
Nog geen nut schijnbaar.

Bedenk me net dat het misschien wel aan mijn virusscanner van de pc kan liggen, dat die nog gek doet.

Maar ik lees gewoon nog even stilletjes mee, want dit is mijn draadje niet.

Misschien komen er nog 'verstandige' oplossingen voorbij.

[Babylonia]

De instellingen van het router-gedeelte van een modem heeft mogelijk ook instellingen om een poortscan te blokkeren. Bijv. de Ubee modem/routers van Ziggo zijn default als zodanig ingesteld. Een poortscan ook vanuit Nederland en zelfs binnen het eigen thuis-netwerk geeft dan nog steeds geen respons, ondanks poorten in de modem/router zijn geforward en de typische Synology gebruiks-applicaties wel gewoon werken.

[Babylonia]

Dus ik hoopte op een lijstje wat anderen allemaal uitgeschakeld hebben en om welke redenen.
Dus wie heeft zo n firewall lijstje?

Dat is zeer afhankelijk welke applicaties mensen gebruiken. Wat de een gebruikt, en de typische poorten die erbij horen daarvoor moet openzetten, gebruikt een ander misschien helemaal niet. Die kan die poorten dan ook rustig dichthouden. Het is tevens afhankelijk of je binnen DSM de standaard poorten om wat voor reden dan ook hebt veranderd naar andere waarden.

Wat gebruik jezelf aan applicaties wat je van buitenaf wilt benaderen? Dan kunnen we misschien aangeven wat je in ieder geval zou moeten aanvinken. In hetgeen jezelf aan applicaties hebt geïnstalleerd komen binnen de Firewall daar in ieder geval ook de opties aan regels voorbij, die daar betrekking op hebben.


Zelf heb ik op dit moment de volgende opties aangevinkt voor regio Nederland. Daarbij in acht te nemen met wat ik eerder opmerkte waarom bepaalde poorten wel of niet gebruikt in het bericht < HIER >:
- Netwerkprinter, Airprint           poort 631
- Bonjour                                poort 5353
- Bestanden delen met Mac       poort 548
- Windows bestandsserver        poort 137, 138, 139, 445, 137 (Bronpoort)
- Mac/Linux bestandsserver       poort 111, 2049, 892
- WebDav                                poort 5006 (https)
- Web Station, Photo Station.... poort 443
- Web Station, Photo Station.... poort 80
- Synology Assistant......           poort 1234, 9997, 9998, 9999
- Beheer gebruikersinterface.....  poort 5001
- Beheer gebruikersinterface.....  poort 5000


Voor België het bovenstaande lijstje, uitgezonderd:
- Netwerkprinter, Airprint           poort 631
- Bonjour                                poort 5353
- Synology Assistant......          poort 1234, 9997, 9998, 9999


Voor het interne netwerk, een bepaald bereik opgegeven voor 99  IP-nummers:
- Alle poorten open


Algemeen onderaan buiten de aparte schermen van de individuele regels:
Indien niet voldaan wordt aan de regels: Rondje aangevinkt bij "Toegang weigeren".
-