Auteur Topic: Firewall regels foutief ?  (gelezen 1760 keer)

Offline ph_nas

  • Bedankjes
  • -Gegeven: 7
  • -Ontvangen: 0
  • Berichten: 12
Firewall regels foutief ?
« Gepost op: 07 januari 2020, 02:01:23 »
Naar aanleiding van de nota rond de ransomware van Synology heb ik een aantal aanbevelingen doorgevoerd :
* nieuwe user met adminrechten
* admin uitgeschakeld
* Eigen domeinnaam aangemaakt xxx.synology.me een certificaat verkregen van Lets Encrypt
* HTTPS ingeschakeld
* Defaultpoorten 5000 en 5001 gewijzigd naar X en Y

So far so good, telkens even getest of alles bleef werken.

Bij het instellen van de Firewall is het echter misgelopen : Ik heb slechts 3 regels ingesteld :
* Poorten naar "courante" toepassingen (waaronder Management UI, Assistant, Drive,....) voor IP-adressen uit Nederland en België opengezet
* Poort 80 opengezet voor alle IP (voor Lets Encrypt)
* Als laatste regel alle poorten, alle IP, weigeren.

Probeer in te loggen op DSM : toegang geweigerd door Firewall. Assistant en Find.synology.com vinden de NAS ook niet, Drive werkt dan weer wel...

Ik heb hierbij volgende vragen :
* Is de enige mogelijkheid om terug in te kunnen loggen een reset uit te voeren ?
* Wat heb ik fout gedaan met de firewallregels ? Moest ik poorten X en Y ook opengezet hebben zoals poort 80 ? Ik ging er vanuit dat DSM weet dat voor de management UI die poorten gebruikt worden... Ik kan dat nu niet meer controleren, maar in het filmpje met de aanbevelingen worden bij de management UI wel de gewijzigde poortnummers weergegeven.
Dank voor jullie antwoord.

  • Mijn Synology: DS412+
  • HDD's: 4xWD30EFRX

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: Firewall regels foutief ?
« Reactie #1 Gepost op: 07 januari 2020, 02:51:09 »
Met de firewall regels vergeten je eigen LAN-netwerk als toegang erbij te zetten.
En je probeert nu mogelijk vanuit je LAN in te loggen?

find.synology.com  werkt via een NAT loopback aanroep met het  synology.com  domein.   Dat domein is in de USA gevestigd.
Hoewel ik dacht dat juist deze functie daar wel een uitzondering op zou maken, betreffende regio-instellingen.

     Moest ik poorten X en Y ook opengezet hebben zoals poort 80 ?

Bij verandering van de standaardpoorten, is het de vraag of dat wel overgenomen wordt in de firewall?
Altijd controleren door dieper te klikken naar de details, of de juiste poorten er ook daadwerkelijk bijstaan.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.357
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: Firewall regels foutief ?
« Reactie #2 Gepost op: 07 januari 2020, 09:52:13 »
Let's Encrypt heeft ook poort 443 nodig voor HTTPS.... Die zie ik niet in je lijstje staan.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: Firewall regels foutief ?
« Reactie #3 Gepost op: 07 januari 2020, 10:14:26 »
* Eigen domeinnaam aangemaakt xxx.synology.me een certificaat verkregen van Lets Encrypt

* Poort 80 opengezet voor alle IP (voor Lets Encrypt)

Poort 80 mag bij deze ddns dienst rustig dicht zitten voor Let's Encrypt
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: Firewall regels foutief ?
« Reactie #4 Gepost op: 07 januari 2020, 10:18:20 »
find.synology.com  werkt via een NAT loopback aanroep met het  synology.com  domein.   Dat domein is in de USA gevestigd.
Hoewel ik dacht dat juist deze functie daar wel een uitzondering op zou maken, betreffende regio-instellingen.

find.synology.com roep je vanuit de browser aan en niet vanuit de nas. Dus dat heeft niets met de firewall op de nas van doen.


Verder is het geen NAT-loopback, maar gewoon een externe webpagina die de browser ophaalt en op die manier een JS script in de browser laad die het werk verder zelfstandig binnen de lan uitvoert.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline ph_nas

  • Bedankjes
  • -Gegeven: 7
  • -Ontvangen: 0
  • Berichten: 12
Re: Firewall regels foutief ?
« Reactie #5 Gepost op: 07 januari 2020, 21:20:19 »
Bedankt voor jullie antwoorden.

Daarnet terug geprobeerd, en na toevoeging van poortnummer xxx.synology.me:(poort Y) raakte ik wel op de inlogpagina (oef).
Ik heb wel de netwerkshares en drive-verbindingen op de PC's en de DSphoto op de smartphones terug moeten opzetten met de xxx.synology.me-naam. De Quick-Connect werkte niet meer. Wel raar, want op synology.com staat de Quick Connect nog hetzelfde en de DDNS xxx.synology.me.
Poort 443 heb ik ook toegevoegd.
Alles werkt nu terug, behalve de assistant en de find.synology.com. Die vinden de NAS niet in mijn LAN. Iemand een idee waarom ?
Bedankt.
  • Mijn Synology: DS412+
  • HDD's: 4xWD30EFRX

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: Firewall regels foutief ?
« Reactie #6 Gepost op: 07 januari 2020, 21:51:52 »
Alles werkt nu terug, behalve de assistant en de find.synology.com. Die vinden de NAS niet in mijn LAN. Iemand een idee waarom ?
Bedankt.

Misschien omdat je afwijkende poorten hebt ingesteld?  Daar is het tooltje mogelijk niet op afgestemd?
Kun je uitproberen door de normale poorten weer in te stellen, en te zien of het dan wel werkt?
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline ph_nas

  • Bedankjes
  • -Gegeven: 7
  • -Ontvangen: 0
  • Berichten: 12
Re: Firewall regels foutief ?
« Reactie #7 Gepost op: 07 januari 2020, 22:08:03 »
Ik had ondertussen het subnet van mijn LAN toegevoegd op de firewall. De Assistant vindt de NAS nu wel, maar bij status zegt hij "De verbinding is mislukt". Als ik daar op klik dan opent er een netwerkwizard "om de basisconfiguratie van de NAS te voltooien". Er komt een soort loginschermpje met gebruiker "admin" al ingevuld, wachtwoord moet eronder. Vind ik wel een raar schermpje en ik ben niet geneigd mijn inloggegevens daarop in te vullen...

Find.synology.com vindt hem nog niet...
  • Mijn Synology: DS412+
  • HDD's: 4xWD30EFRX

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: Firewall regels foutief ?
« Reactie #8 Gepost op: 07 januari 2020, 22:10:08 »
Alles werkt nu terug, behalve de assistant en de find.synology.com.

find.synology.com is gewoon een zeer complex gedrocht. In het verleden das het zo dat als je de nas naam aanpast, hij niets meer kan vinden. (Waarschijnlijk nog zo). Het is er vooral voor installatie van een nieuw apparaat. Voor een standaard inlog wil je het echt niet gebruiken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

firewall & UDP Broadcast

Gestart door aliazzzBoard Synology Router

Reacties: 19
Gelezen: 1587
Laatste bericht 13 mei 2024, 10:54:39
door Babylonia
Firewall

Gestart door aardBoard Synology DSM algemeen

Reacties: 6
Gelezen: 4115
Laatste bericht 27 december 2013, 11:30:03
door TonVH
firewall regio blokkade werkt niet meer

Gestart door bouwman8171Board Synology DSM 6.0

Reacties: 2
Gelezen: 1838
Laatste bericht 27 maart 2016, 23:10:55
door Babylonia
Firewall regel voor RT2600 Router? Bij geen Web UI toegang

Gestart door UdapBoard Synology Router

Reacties: 4
Gelezen: 1212
Laatste bericht 24 februari 2019, 16:57:34
door Ben(V)
Ondanks firewall blokkade, toch een poging tot inloggen

Gestart door HenkGroenBoard Synology DSM 6.2

Reacties: 28
Gelezen: 4249
Laatste bericht 16 augustus 2019, 10:07:29
door HenkGroen