Toegang vanaf internet tot meerder NAS'en

[nick2405]

Hallo,

I heb op dit moment twee Synology NAS producten in een netwerk;
1. DS107+ met een statisch IP adres 192.168.1.XX0
2. CS-407e met een statisch IP adres 192.168.1.XX3

Verder zijn beide NAS verbonen met een Linksys WRT54GS router die eveneens
als Gateway naar het internet fungeert.
In de router is poort 443 geforward naar de DS107+

Nu, wat ik graag zou willen is dat ik beide NAS vanaf mijn werk kan bereiken.
Dat is nu slecht mogelijk voor een NAS. De belemmering hier is dat de
server van mijn werk het NIET toestaat om een URL in te voeren met een
poortnummer, dus het navolgende werkt niet;
https://www.mijnhuis.nl:5000

Het is wel toegestaan om naar een "https" te surfen, dus daardoor ben ik
wel in staat om 1 NAS te bereiken.

Is er een mogelijkheid om dit op e.e.a. manier te omzeilen?

Nick

[Plerry]

De belemmering hier is dat de server van mijn werk het NIET toestaat om een URL in te voeren
met een poortnummer, dus het navolgende werkt niet;
https://www.mijnhuis.nl:5000

Het is maar de vraag of het klopt dat je geen poort mag specificeren.
Wellicht staat de genoemde poort (hier: 5000) op het werk gewoon dicht.
Om zeker te weten of de toevoegong van een poortnummer echt niet mag,
zou je vanaf het werk naar iedere willekeurige site kunnen browsen en expliciet
aangeven dat dat via poort 80 moet gebeuren, de default http-poort.
dus: http://[willekeurige_externe_site]:80
Als dit laatste werkt, mag je de poort specificeren, en moet je gewoon een open poort
zien te vinden.
Zie ook http://www.synology-forum.nl/viewtopic.php?f=67&t=3566&p=15081

Plerry

[nick2405]

je hebt gelijk het is natuurlijk wel gewoon mogelijk om de poort in de URL meet te geven....
Heb een online scan tool gebruikt vandaag om wat standaard poorten te scannen.....
Hieronder het resultaat;

Scanning ports on 199.64.72.252
199.64.72.252 isn't responding on port 21 (ftp).
199.64.72.252 isn't responding on port 23 (telnet).
199.64.72.252 isn't responding on port 25 (smtp).
199.64.72.252 isn't responding on port 80 (http).
199.64.72.252 isn't responding on port 110 (pop3).
199.64.72.252 isn't responding on port 139 (netbios-ssn).
199.64.72.252 isn't responding on port 445 (microsoft-ds).
199.64.72.252 isn't responding on port 1433 (ms-sql-s).
199.64.72.252 isn't responding on port 1521 (ncube-lm).
199.64.72.252 isn't responding on port 1723 (pptp).
199.64.72.252 isn't responding on port 3306 (mysql).
199.64.72.252 isn't responding on port 3389 (ms-wbt-server).
199.64.72.252 isn't responding on port 5900 ().
199.64.72.252 isn't responding on port 8080 (webcache).

Het zijn de "gebruikelijke" poorten waarvan je in ieder geval zou verwachten dat 25, en 80 op zouden moeten zijn...
Echter de scantool zegt van niet....

Ik kan wel op internet (dit bericht schrijf ik nu vanaf mijn werkplek).....is er een andere manier om achter te komen
welke poorten open staan?
En.....kan ik op mijn NAS verbinding krijgen op poort 5001 die via een ANDERE poort binnenkomt dan de 443?

Nick

[Plerry]

Een poortscan kijkt of poorten open (lijken te) staan voor van buiten binnenkomend verkeer.
De meeste scantools gebruiken daarvoor een ping op een specifiek poortnummer.
De meeste firwalls zijn zodanig ingesteld dat geen antwoord wordt gegeven op een ping.

Dat betekent echter niet dat die poort dicht staat.
De beste illustratie is waarschijnlijk poort 80. Je scan laat zien dat die dicht zou staan.
Niettemin vindt jullie naar buiten gaande http-verkeer bijna zeker plaats via diezelfde poort 80.
Er kan dus best uitgaand verkeer via die poort plaatsvinden en antwoorden op uitgaande requests op die poort binnekomen.

Het kan zelfs zo zijn dat een binnenkomende request op een als "dicht" gescande poort keurig door de router wordt doodgesluisd
naar een intern IP nummer, waarachter een server bepaalde services afhandelt (bijv. http, ftp etc.).

Met andere woorden:
Een poortscan vertelt je niet dat het niet mogelijk is via andere poorten dan poort 80 een http(s) verbinding naar thuis op te zetten.

Plerry

[xburchartz]

Als je 1 NAS wel kunt bereiken van buitenaf, zou een workaround kunnen zijn om vanuit die NAS een NFS-mount op te zetten naar de andere NAS. Je kunt dan vanuit NAS1, de benodigde folders van NAS2 gewoon benaderen. De webinterface van NAS2 kun je uiteraard zo niet bereiken, maar de data is beschikbaar.
(Mocht je ook onderhoud willen plegen op NAS2, dan kun je via telnet/ssh vanuit NAS1 op NAS2 inloggen)

Mocht je meer willen weten over de te ondernemen stappen, laat het dan maar weten...

[nick2405]

HI xburchartz,

Komende dagen wat tijd dus maak ik graag gebruik van je aanbod om via NFS toegang te krijgen tot beide NAS'en.
Graag hoor ik van je hoe ik te werk moet gaan.....

Groeten
Nick

[Wim J]

Je zou ook DDWRT op je router kunnen draaien ( alternatieve software) Er is een variant waarbij je router als VPN server kan fungeren,... Wellicht kan je dan vanop je werk een VPN tunnel opzetten naar je eigen huis, en is het alsof je thuis bent. Je PC gedraagd zich dan alsof hij op het thuisnetwerk zit, en dat op het werk.