Firewall regels foutief ?

[ph_nas]

Naar aanleiding van de nota rond de ransomware van Synology heb ik een aantal aanbevelingen doorgevoerd :
* nieuwe user met adminrechten
* admin uitgeschakeld
* Eigen domeinnaam aangemaakt xxx.synology.me een certificaat verkregen van Lets Encrypt
* HTTPS ingeschakeld
* Defaultpoorten 5000 en 5001 gewijzigd naar X en Y

So far so good, telkens even getest of alles bleef werken.

Bij het instellen van de Firewall is het echter misgelopen : Ik heb slechts 3 regels ingesteld :
* Poorten naar "courante" toepassingen (waaronder Management UI, Assistant, Drive,....) voor IP-adressen uit Nederland en België opengezet
* Poort 80 opengezet voor alle IP (voor Lets Encrypt)
* Als laatste regel alle poorten, alle IP, weigeren.

Probeer in te loggen op DSM : toegang geweigerd door Firewall. Assistant en Find.synology.com vinden de NAS ook niet, Drive werkt dan weer wel...

Ik heb hierbij volgende vragen :
* Is de enige mogelijkheid om terug in te kunnen loggen een reset uit te voeren ?
* Wat heb ik fout gedaan met de firewallregels ? Moest ik poorten X en Y ook opengezet hebben zoals poort 80 ? Ik ging er vanuit dat DSM weet dat voor de management UI die poorten gebruikt worden... Ik kan dat nu niet meer controleren, maar in het filmpje met de aanbevelingen worden bij de management UI wel de gewijzigde poortnummers weergegeven.
Dank voor jullie antwoord.

[Babylonia]

Met de firewall regels vergeten je eigen LAN-netwerk als toegang erbij te zetten.
En je probeert nu mogelijk vanuit je LAN in te loggen?

find.synology.com  werkt via een NAT loopback aanroep met het  synology.com  domein.   Dat domein is in de USA gevestigd.
Hoewel ik dacht dat juist deze functie daar wel een uitzondering op zou maken, betreffende regio-instellingen.

     Moest ik poorten X en Y ook opengezet hebben zoals poort 80 ?

Bij verandering van de standaardpoorten, is het de vraag of dat wel overgenomen wordt in de firewall?
Altijd controleren door dieper te klikken naar de details, of de juiste poorten er ook daadwerkelijk bijstaan.

[André PE1PQX]

Let's Encrypt heeft ook poort 443 nodig voor HTTPS.... Die zie ik niet in je lijstje staan.

[Briolet]

* Eigen domeinnaam aangemaakt xxx.synology.me een certificaat verkregen van Lets Encrypt
…
* Poort 80 opengezet voor alle IP (voor Lets Encrypt)

Poort 80 mag bij deze ddns dienst rustig dicht zitten voor Let's Encrypt

[Briolet]

find.synology.com  werkt via een NAT loopback aanroep met het  synology.com  domein.   Dat domein is in de USA gevestigd.
Hoewel ik dacht dat juist deze functie daar wel een uitzondering op zou maken, betreffende regio-instellingen.

find.synology.com roep je vanuit de browser aan en niet vanuit de nas. Dus dat heeft niets met de firewall op de nas van doen.


Verder is het geen NAT-loopback, maar gewoon een externe webpagina die de browser ophaalt en op die manier een JS script in de browser laad die het werk verder zelfstandig binnen de lan uitvoert.

[ph_nas]

Bedankt voor jullie antwoorden.

Daarnet terug geprobeerd, en na toevoeging van poortnummer xxx.synology.me:(poort Y) raakte ik wel op de inlogpagina (oef).
Ik heb wel de netwerkshares en drive-verbindingen op de PC's en de DSphoto op de smartphones terug moeten opzetten met de xxx.synology.me-naam. De Quick-Connect werkte niet meer. Wel raar, want op synology.com staat de Quick Connect nog hetzelfde en de DDNS xxx.synology.me.
Poort 443 heb ik ook toegevoegd.
Alles werkt nu terug, behalve de assistant en de find.synology.com. Die vinden de NAS niet in mijn LAN. Iemand een idee waarom ?
Bedankt.

[Babylonia]

Alles werkt nu terug, behalve de assistant en de find.synology.com. Die vinden de NAS niet in mijn LAN. Iemand een idee waarom ?
Bedankt.

Misschien omdat je afwijkende poorten hebt ingesteld?  Daar is het tooltje mogelijk niet op afgestemd?
Kun je uitproberen door de normale poorten weer in te stellen, en te zien of het dan wel werkt?

[ph_nas]

Ik had ondertussen het subnet van mijn LAN toegevoegd op de firewall. De Assistant vindt de NAS nu wel, maar bij status zegt hij "De verbinding is mislukt". Als ik daar op klik dan opent er een netwerkwizard "om de basisconfiguratie van de NAS te voltooien". Er komt een soort loginschermpje met gebruiker "admin" al ingevuld, wachtwoord moet eronder. Vind ik wel een raar schermpje en ik ben niet geneigd mijn inloggegevens daarop in te vullen...

Find.synology.com vindt hem nog niet...

[Briolet]

Alles werkt nu terug, behalve de assistant en de find.synology.com.

find.synology.com is gewoon een zeer complex gedrocht. In het verleden das het zo dat als je de nas naam aanpast, hij niets meer kan vinden. (Waarschijnlijk nog zo). Het is er vooral voor installatie van een nieuw apparaat. Voor een standaard inlog wil je het echt niet gebruiken.