Bericht door: Irene op 24 augustus 2014, 14:54:59
Webdav aangezet, alle packages geinstalleerd en proberen in te loggen vanaf andere plek dan thuis.
Lukt dus niet ( niet gemachtigd) alles staat hetzelfde als voorheen behalve de firewall regels dus het moet hierin zitten.
Ik wil alleen adressen Uit nederland toestaan.
In firewall staat dus in volgorde:
- de regels van de toegang van packages die synology zelf heeft toegestaan
- dan alle adressen uit nederland toegang
- en dan de ip range 192.168.1.x tm 192.168.2.xx
Toch kan ik vanaf buiten niet inloggen.
Wat doe ik fout?
Alle portforward regels , vaste ip adressen , verwijzing naar mac etc. Staat allemaal goed, zoals in verleden ook werkte.
Bericht door: JSSL op 24 augustus 2014, 16:10:58
Het lijkt mij dat de range op 192.168.1.xx-->192.168.1.254 moet staan? en niet 192.168.1.xx-->192.168.2.xx dan zit je namelijk in een andere range. Lijkt mij overigens niet het problem hier i.v.m. extern inloggen.
Bericht door: Irene op 24 augustus 2014, 16:15:16
Vreemde is dat als ik de NAS thuis benader met mijn externe <ipadres:portnr > er gewoon in kom, maar doe ik dat via een ander wifi punt dan thuis hij zegt dat ik geen machtiging heb.
Zal wel een firewall probleem zijn.
Handleiding is waardeloos op dit gebied.
Bericht door: Birdy op 24 augustus 2014, 16:32:55
Bericht door: Irene op 24 augustus 2014, 16:39:33
Bericht door: Irene op 24 augustus 2014, 16:51:50
Zag dat Webdav op port 5005 staat, was dat in verleden ook zo?
Die staat n.l. niet in mijn router. ( in verleden ook niet,mtoen werkte het wel, maar misschien stond die toen op andere geforwarde port). Zou dit het kunnen zijn?
Anderzijds klopt de melding geen machtiging dan toch niet?
Bericht door: Birdy op 24 augustus 2014, 16:54:50
WebDAV, CalDAV 5005, 5006 (HTTPS) TCP
Bericht door: Irene op 24 augustus 2014, 16:58:53
Bericht door: Birdy op 24 augustus 2014, 16:59:47
Citaat
Hoeven ze dan niet in de router te staan als het standaard is?Ja, je moet immers forwarden.
Bericht door: Irene op 24 augustus 2014, 17:03:31
Ik verleden heeft deze port ook nooit open gestaan,men toch via de apps via NAS dsm port 5000 benaderd.
Bericht door: Birdy op 24 augustus 2014, 17:24:22
Hier alle poorten (http://www.synology.com/nl-nl/support/faq/299)die je dient te forwarden als dat nodig is.
Bericht door: Irene op 24 augustus 2014, 17:33:22
Type Poortnummer Protocol
DSM 5000 (HTTP), 5001 (HTTPS) TCP
Download Station 5000 TCP
Photo Station, Web Station 80 (extra poort kan worden toegevoegd), 443 (HTTPS) TCP
Mail Station 80 (HTTP), 443 (HTTPS) TCP
Audio Station 5000 (HTTP, extra poort kan worden toegevoegd), 5001 (HTTPS, extra poort kan worden toegevoegd), 5353(Bonjour Service), 6001-6010(AirPlay control/timing) TCP/UDP
File Station 5000 (HTTP, extra poort kan worden toegevoegd), 5001(HTTPS, extra poort kan worden toegevoegd) TCP
Surveillance Station 9900 (HTTP), 9901 (HTTPS) TCP
Media Server 1900 (UPnP), 50001 (Content browsing), 50002 (Content streaming) TCP/UDP
Video Station 5000 (HTTP), 5001 (HTTPS), 9025-9040,
5002, 5004, 65001 (voor gebruik van de HDHomeRun-netwerkspeler) TCP
Staat dus 5005 niet tussen voor de Webtoepassingen, alleen voor bestandsoverdracht moet 5005 geforwrd worden.
Had 5005 in verleden bij dsm 4 ook niet geforward, en toen werkte alles perfect.
Wel 80 voor photo enzo
Denk toch dat de firewall het probleem is.
Bedankt voor het meedenken. Zet morgen even alles uit bij de firewall, en dan langzaam stuk voor stuk aanzetten. Het is een machtigingsprobleem en geen port probleem volgens mij.
Bericht door: Birdy op 24 augustus 2014, 17:56:28
Ik kan die Firewall Topic niet meer vinden, waarin dit uitvoerig wordt besproken :S
En, graag gedaan hoor en we zien het wel die test is gegaan, neem ik aan. ;)
Bericht door: Irene op 24 augustus 2014, 18:32:29
Ik heb overigens ook al het hele forum doorgespit naar allerlei firewall verhalen, kon antwoord ook niet vinden.
Wel dat er regelmatig conflicterende situaties ontstaan. :lol:
Bericht door: Briolet op 24 augustus 2014, 18:59:19
Voor externe toegang zou ik overigens alleen poort 5006 gebruiken. Poort 5005 is niet gecodeerd en stuurt het wachtwoord leesbaar over het internet tijdens het inloggen.
Bericht door: Irene op 24 augustus 2014, 19:17:13
Alleen 5006 is https, toch?
Ik heb al zitten lezen hoe ik dat moet doen, dan moet ik wel een domein aanvragen. Ziet er allemaal niet simpel uit.
Heb ook gekeken om het via Quickconnect te doen van Synology, maar dan hoef je helemaal geen wachtwoord meer in te geven. Vind ik ook geen prettig idee.
Bericht door: Briolet op 24 augustus 2014, 19:51:00
Alleen 5006 is https, toch?
Het is wel https, maar er zit geen webserver achter, dus kun je niet met een browser op inloggen. Die poort kun je alleen als een share benaderen vanaf een PC die WebDav ondersteun. Bij de mac zit dat in het OS en bij windows moet je iets extras installeren. Bij de DS apps zit dat alles in de app ingebouwd.
Citaat
om het via Quickconnect te doen van Synology, maar dan hoef je helemaal geen wachtwoord meer in te geven.
Volgens mij moet je bij QC nog steeds een wachtwoord in geven. QC is alleen een methode om de nas te vinden en te benaderen, niet om op een account in te loggen. Of zit ik er naast. Een QC is toch aan de nas gekoppeld en niet aan een gebruiker?
Bericht door: Irene op 24 augustus 2014, 20:08:46
Oké, dus webdav in Nas op 5006 zetten, 5006 portforwarden in router: en dan klaar voor de apps op de IPAD zoal Dsphoto, DSfile, DSM mobile etc?
Ik dacht dat ik daar een domein voor moest maken en certificaten? Waarom is die handleiding toch zo onduidelijk en summier?
QC
Eerste keer moest ik wel wachtwoord ingeven, daarna ging ik op de pc rechtstreeks naar de NAS. Misschien dat het nog ergens in te stellen is. Dus weer uitgezet.
Begreep dat er dan geen portforwarding gedaan moest worden, maar dat dat niet met alle routers goed ging. Vind het geen probleem om dat zelf in de router te doen, dus mijn inziens geen meerwaarde voor mij.
Bericht door: Irene op 25 augustus 2014, 09:50:57
Vervolgens de regels gewoon verwijderd: zelfde melding.
Daarna onder de regels ipv niet toestaan, op toestaan gezet. Dat is wel doorgevoerd.
Kan nog steeds niet op afstand inloggen.
Geeft steeds de melding dat ik niet ben gemachtigd.
Raar dat ik de firewall regels niet kan wegvinken.
NAS opnieuw opgestart. Nu lukt het wel om de firewall regels uit te zetten. Blijkbaar houdt hij iets vast in geheugen wat na restart weg is.
Nu maar weer elders proberen om in te loggen. Via de 3G , met ander ip dan thuis dus, lukt het , dus theoretisch moet het elders nu ook gaan.
Dus toch een firewall probleem. Maakt het mij toch nieuwsgierig hoe het dan wel goed is in te stellen. Zo ingewikkeld waren de regels niet.
Wie heeft een goed werkende firewall en wat is er precies vastgelegd en in welke volgorde ?
Groetjes
Irene
Bericht door: Babylonia op 25 augustus 2014, 16:08:43
Dus toch een firewall probleem. Maakt het mij toch nieuwsgierig hoe het dan wel goed is in te stellen. Zo ingewikkeld waren de regels niet. Wie heeft een goed werkende firewall en wat is er precies vastgelegd en in welke volgorde ?
Ik weet niet of het bij jou alleen een firewall probleem zou zijn?
Zelf heb ik hier geen enkel probleem om ongeacht vanuit welk device van buiten op de NAS in te loggen. Mobiele telefoons Android, iPhone, iPad, met de bijbehorende apps voor de services die we gebruiken. Vanaf PC's via webbrowser of bijv met het WebDav protocol (NetDrive).
In de router heb ik de meest uiteenlopende port forwards gedaan die ik misschien wel eens denk nodig te hebben. Zelfs voor printen e.d. omdat ik inschat dat de mede gezinsleden thuis niet altijd via het interne netwerk inloggen, maar misschien ook wel eens "van buiten". In de router heb ik een lijst van 30 forward regels opgesteld. (Het maximum voor een Ziggo Ubee modem/router).
In de NAS beperk ik een aantal opties dan weer d.m.v. Firewall regels. Zo heb ik bijv. de poorten voor Telnet, en FTP geblokkeerd. (Sinds het blokkeren van poort 22 komen er geen rijen lang Chinese anonieme inlogpogingen meer voor bij de inlogfiles die geblokt worden).
Mocht ik die services alsnog "van buiten" willen toepassen, kan ikzelf als admin binnen DSM de poortnummers voor de betreffende services alsnog tijdelijk even open zetten. De router kan ik van buitenaf niet benaderen. Vandaar dat die dus reeds bij voorbaat wel de betreffende poorten moet doorsturen.
Verder in de Firewall alleen toegang vanuit Nederland en België, waar ik voor België minder services heb opengesteld dan die voor Nederland. (De situatie die voor mij van toepassing is). Plus daarbij alle poorten open voor het intern lokale netwerk binnen een bepaald bereik.
Om te testen of er iets in je port forwarding ontbreekt, kun je tijdelijk een regel in de router aanmaken, om alle poortnummers tussen bijv. 10-65.000 zowel via TCP als UDP te forwarden. Als dat dan wel werkt, heb je in de normaal gebruikte "beperkt ingestelde forward regels" dan ergens toch nog een instelling over het hoofd gezien.
Babylonia@
Bericht door: Irene op 25 augustus 2014, 16:59:44
Tijdens de installatie van de packages vroeg DSM ook steeds of hij regels aan de firewall mocht toevoegen. Mogelijk zou daar een conflict in hebben gezeten.
Ik heb die nu ook uit gezet, en ga nu regel voor regel aanzetten.
Te beginnen met nederland toestaan, en daarna de interne ip range ( of moet het andersom),
en uiteraard onderaan indien niet voldoet aan regels dat niet toestaan.
Klopt die volgorde of moet het andersom.
Bericht door: Babylonia op 25 augustus 2014, 17:06:17
Onderaan indien niet voldoet aan regels dat niet toestaan.
Bericht door: Irene op 25 augustus 2014, 17:44:39
Welke velden van ingebouwde toepassingen moeten minimaal aanstaan om via DSCam de cameras te benaderen en om DSM te benaderen?
Welke mag ik zeker niet uitzetten?
Ik wil niet meer openzetten dan de functionaliteit die ik werkelijk van buitenaf gebruik.
Bericht door: Babylonia op 25 augustus 2014, 18:25:08
Dezelfde poorten zijn uiteraard ook van toepassing voor het openstellen in de Firewall.
Voor DS Cam zie ik poortnummer 5000 (http) en 5001 (https).
Dat zijn de standaard poorten die je ook al nodig hebt voor benadering van de DSM zelf.
Voor de verdere rest komen naar ik vermoed in de Firewall min of meer de meest voor de hand liggende opties naar voren om aan of uit te vinken, voor die services die je hebt geïnstalleerd, wel of niet gebruikt.
Bericht door: Irene op 25 augustus 2014, 18:48:17
Maar bijvoorbeeld in toepassingen staat UPnP aangevinkt , maar het lijkt mij niet dat op afstand deze functie nodig is. Volgens mij wordt daar zelfs voor gewaarschuwd.
Dus ik hoopte op een lijstje wat anderen allemaal uitgeschakeld hebben en om welke redenen.
Ik ben namelijk geen systeembeheerder, dus kan niet goed overzien wat allemaal in elkaar grijpt in de firewall regels.
Dus wie heeft zo n firewall lijstje?
Bericht door: Handige Harry op 25 augustus 2014, 19:33:45
Want ik heb schijnbaar ook wat veranderd.
Al mijn poorten staan dicht als ik die controleer via een website, terwijl ze in de router wel geforward zijn.
Bericht door: Briolet op 25 augustus 2014, 20:34:17
Bericht door: Handige Harry op 25 augustus 2014, 20:41:10
Heb zelfs modem opnieuw opgestart, en firewall van de nas uitgezet.
Nog geen nut schijnbaar.
Bedenk me net dat het misschien wel aan mijn virusscanner van de pc kan liggen, dat die nog gek doet.
Maar ik lees gewoon nog even stilletjes mee, want dit is mijn draadje niet.
Misschien komen er nog 'verstandige' oplossingen voorbij.
Bericht door: Babylonia op 26 augustus 2014, 02:05:00
Bericht door: Babylonia op 26 augustus 2014, 02:14:33
Dus ik hoopte op een lijstje wat anderen allemaal uitgeschakeld hebben en om welke redenen.
Dus wie heeft zo n firewall lijstje?
Dat is zeer afhankelijk welke applicaties mensen gebruiken. Wat de een gebruikt, en de typische poorten die erbij horen daarvoor moet openzetten, gebruikt een ander misschien helemaal niet. Die kan die poorten dan ook rustig dichthouden. Het is tevens afhankelijk of je binnen DSM de standaard poorten om wat voor reden dan ook hebt veranderd naar andere waarden.
Wat gebruik jezelf aan applicaties wat je van buitenaf wilt benaderen? Dan kunnen we misschien aangeven wat je in ieder geval zou moeten aanvinken. In hetgeen jezelf aan applicaties hebt geïnstalleerd komen binnen de Firewall daar in ieder geval ook de opties aan regels voorbij, die daar betrekking op hebben.
Zelf heb ik op dit moment de volgende opties aangevinkt voor regio Nederland. Daarbij in acht te nemen met wat ik eerder opmerkte waarom bepaalde poorten wel of niet gebruikt in het bericht < HIER > (http://www.synology-forum.nl/ddns-extern-benaderen/via-internet-nas-benaderen-icm-firewall-instellingen/msg122728/#msg122728):
- Netwerkprinter, Airprint poort 631
- Bonjour poort 5353
- Bestanden delen met Mac poort 548
- Windows bestandsserver poort 137, 138, 139, 445, 137 (Bronpoort)
- Mac/Linux bestandsserver poort 111, 2049, 892
- WebDav poort 5006 (https)
- Web Station, Photo Station.... poort 443
- Web Station, Photo Station.... poort 80
- Synology Assistant...... poort 1234, 9997, 9998, 9999
- Beheer gebruikersinterface..... poort 5001
- Beheer gebruikersinterface..... poort 5000
Voor België het bovenstaande lijstje, uitgezonderd:
- Netwerkprinter, Airprint poort 631
- Bonjour poort 5353
- Synology Assistant...... poort 1234, 9997, 9998, 9999
Voor het interne netwerk, een bepaald bereik opgegeven voor 99 IP-nummers:
- Alle poorten open
Algemeen onderaan buiten de aparte schermen van de individuele regels:
Indien niet voldaan wordt aan de regels: Rondje aangevinkt bij "Toegang weigeren".
-
Bericht door: Irene op 26 augustus 2014, 15:28:30
Ik wil vanaf extern alleen mijn cameras benaderen ( surveillance station) , photo station en video station.
Rest gaat op slot.
Bij de toepassingen in de firewall staat nu aangevinkt ( is door de packages installatie gedaan)
- NTP
- surveillance station
- Airplay *
-Dnla/upnp *
- video station
- visual station
- upnp sevice*
- windows bestanden*
- webdav
- webstation/ photo
Kan ik diegenen waar ik nu een sterretje achter heb gezet gewoon uitzetten?
Verder heb ik nu alleen nederland, de bovenstaande toepassingen aangevinkt staan, en interne IP bereik . Volgorde gebruikt zoals je hebt opgegegeven.
Daarnaast de rest niet toestaan.
Ook nog een extra gebruiker aangemaakt in de groep users met alleen machtigingen voor deze functies, zodat de gebruiker met admin rechten nooit van buitenaf gebruikt hoeft te worden ( voor het geval dat de verbinding op de camping niet helemaal veilig is ofzo).
Bericht door: Babylonia op 26 augustus 2014, 17:05:10
Je kunt het altijd proberen en kijken wat je dan niet meer aankunt.
- Airplay heb je misschien nodig als je vanaf een Apple mobiel apparaat (iPhone, iPad) muziek wilt afspelen.
- Dnla/upnp als je van functies gebruik maakt om video en muziek af te spelen naar apparaten die DNLA functies gebruiken (TV, receiver ?)
- windows bestanden voor uitwisseling via het netwerk met een Windows PC.
Deze heb je in ieder geval ook nodig, anders kun je via een webbrowser je DSM niet benaderen:
- Beheer gebruikersinterface..... poort 5001
- Beheer gebruikersinterface..... poort 5000
Verder een extra gebruiker aanmaken met admin rechten, met een andere naam dan "admin".
Daarna inloggen met die andere admin-naam, en het gebruikers account "admin" uitschakelen.
Dit i.v.m. veiligheidsredenen. (Benadering van buitenaf ligt de gebruikersnaam "admin" voor de hand. Dan hoeft men alleen nog maar een wachtwoord te vinden om binnen te komen).
Bericht door: Irene op 26 augustus 2014, 17:19:55
Bericht door: Babylonia op 26 augustus 2014, 18:21:52
Voor wat betreft
- Airplay *
- Dnla/upnp *
Dat zijn typisch functies voor gebruik binnen het interne netwerk thuis. Voor benadering van buitenaf (NL) kun je die functies in de firewall voor toegang dus uitschakelen.
Of je Windows bestandsserver dan ook kunt uitschakelen, weet eigenlijk niet. Misschien dat iemand anders daar nog iets over kan aangeven. Zelf benader ik van buitenaf de NAS via het WebDav protocol (onder Windows met NetDrive (http://www.netdrive.net/)).
Bericht door: Irene op 26 augustus 2014, 18:55:14
Bericht door: Briolet op 26 augustus 2014, 18:56:43
Verder heb ik nu alleen nederland, …, en interne IP bereik . Volgorde gebruikt zoals je hebt opgegegeven.
Daarnaast de rest niet toestaan.
Alleen Nederland en Interne IP adressen kun je niet in 1 keer definiëren. Dus alle andere poorten die je met beide wilt gebruiken moet je voor elk IP range definiëren.
Dus niet eerst een regel met alleen alle Nederlendse adressen en geen poorten erbij. Anders open je alle poorten voor Nederlandse adressen.
Je zult het wel goed gedaan hebben maar zoals je schrijft lijkt het van niet.
Bericht door: Babylonia op 26 augustus 2014, 19:00:52
Bericht door: Irene op 26 augustus 2014, 19:03:34
Wel super dat er meegedacht wordt!
Bericht door: Babylonia op 26 augustus 2014, 19:10:45
Zo had ik eerder met de berichten van de Synolocker aanval/hack bij het verscherpen van de Firewall regels mijn ex aanvankelijk buitengesloten vanuit het interne netwerk. Maar ik kon wel bij de NAS via externe ingang. :lol:
Ik had toen vergeten de toegangsregels van het interne netwerk erbij te zetten. ;)
(Ik beheer de technische kant van de NAS die bij mijn ex staat).
Bericht door: Irene op 26 augustus 2014, 19:16:14
Voordeel is wel dat alles weer mooi en netjes opnieuw is opgebouwd.
Zag net dat er weer een update van DSM is, en nieuwe firmware voor mijn camera, dus we blijven bezig ;)