Auteur Topic: Werking Synology NAS Firewall  (gelezen 7961 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: Werking Synology NAS Firewall
« Reactie #15 Gepost op: 26 november 2018, 15:28:57 »
Is het advies om DDNS i.p.v. QC te gebruiken verdwenen?

Dat advies is erg persoonlijk.

- Vanuit veiligheid oogpunt is QC het beste omdat je geen poorten open zet. Een aanvaller moet dan alles via je QC naam doen, die hij dus moet kennen. Een simpele poortscan naar open poorten zal niet lukken.

- Qua snelheid heeft QC nadelen. Verder heeft de praktijk bewezen dat er periodiek storingen met hun servers zijn, waardoor hele regio's tijdelijk geen toegang tot hun account hebben. Bij DDNS heb ik nog nooit storingen gezien. (Wel gebruikersfouten)

- Een poort open zetten met goede firewall regels en wachtwoorden is ook gewoon veilig.

Ik heb QC zelf nog nooit geactiveerd, dus ervaring heb ik niet. Ik zie vooral zijn nadelen. Bij Synology is QC tegenwoordig de eerste keus in hun uitleg omdat dit werkt, onafhankelijk van het merk router dat gebruikt wordt. Voor hen is dit gewoon makkelijk uit te leggen aan een groot publiek dat verdere geen kennis heeft en geen handleidingen van routers wil doorspitten.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Dyslexia

  • Bedankjes
  • -Gegeven: 16
  • -Ontvangen: 3
  • Berichten: 71
Re: Werking Synology NAS Firewall
« Reactie #16 Gepost op: 26 november 2018, 21:31:20 »
De "hole punch" methode werkt natuurlijk helemaal niet met poorten.
Een poort is alleen nodig als je van buiten naar de Nas wilt connecten.

With all due respect, hier ben ik het niet helemaal mee eens, Ben en wel omdat ik in de QC Whitepaper, page 4 lees:
"Hole punching works by initiating a virtual tunnel from the client to the NAS with the aid of the QuickConnect Server.
1. The NAS sends out a request to the QuickConnect Server, and keeps the hole - a random external port punched by the request on the NAT in front of the NAS - open to receive a hole punching request.
2. Similarly, the client sends out a request to the QuickConnect Server to create another hole on the NAT in front of the client."

Ik snap wel dat er een virtueel kanaal gecreëerd wordt, maar ook daarvoor heb je nog steeds een poort nodig, ...want voor zover ik mij herinner uit m'n cursus "Networking Principles" eind jaren 90, bestaat netwerk communicatie over TCP en/of UDP, adres-technisch uit een IP-adres+poortnummer, waarbij de te gebruiken poortnummers (zeker de nummers <1024, de system-poortnummers!) zijn 'gestandaardiseerd' -d.w.z. daar zijn afspraken over gemaakt!- voor specifieke services/applicaties/protocollen, zoals 80 voor HTTP, of 995 voor POP3 over TLS/SSL, of 23 voor Telnet, etc.
Deze 'afspraken' worden geregistreerd door IANA.org en in Service Name and Transport Protocol Port Number Registry gedocumenteerd.

Maar dit gaat wellicht in het kader van het onderwerp te ver.  :)
Aan de andere kant -vind ik persoonlijk- is het wel fijn als dingen duidelijk zijn.

Vriendelijke groet
DS1513+ 4GB
5 x WD20EZRX-00D8PB0
DSM 7.1.1-42962 Update 6

Ben(V)

  • Gast
Re: Werking Synology NAS Firewall
« Reactie #17 Gepost op: 26 november 2018, 21:53:19 »
Ik denk dat je de tekst van Synology te letterlijk neemt, maar zeker weten doe ik het ook niet.

Als er random poorten gebruikt zouden worden, dan moet er een mechanisme zijn dat die poorten in de router forward.
Als dat zou is, zou het "hole punching" mechanisme alleen werken als UPnP in de router aan zou staan.

Persoonlijk denk ik dat de sessie die opgezet wordt vanuit de Nas naar de Synology servers gewoon wordt overgedragen en gebruikt wordt.
Die sessie is opgezet vanuit de Nas zelf, dus daar is geen poort voor nodig.

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Werking Synology NAS Firewall
« Reactie #18 Gepost op: 26 november 2018, 22:40:36 »
Zonder poorten geen communicatie.

Een uitgaande verbinding kiest een random poort, in de regel boven de 1024 maar zeker niet altijd.
Beknopt gezegd, beide zijden doen een uitgaande verbinding naar de server, de server "plakt" de beide poorten als het ware aan elkaar waardoor er dan een rechtstreekse verbinding ontstaat.
Dat alles heeft inderdaad niets met UPNP van doen maar UPNP is wel één van de methoden die gebruikt wordt door QC maar dat willen we niet toch?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 272
  • -Ontvangen: 1802
  • Berichten: 10.985
    • http://www.dwvbb.nl
Re: Werking Synology NAS Firewall
« Reactie #19 Gepost op: 27 november 2018, 09:05:30 »
QC werkt toch ook zonder UPnP?
Hier heb ik één NAS die incidenteel QC gebruikt van maakt maar UPnP staat wel degelijk uit in mijn router.
RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 8004
  • Berichten: 44.018
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Werking Synology NAS Firewall
« Reactie #20 Gepost op: 27 november 2018, 09:28:34 »
Citaat
QC werkt toch ook zonder UPnP?
Klopt en ook al zou het wel zo zijn, dan zou ik een melding verwachten, zoiets van: Zet UPnP aan op uw Router.
QC is immers juist om het voor de gebruiker makkelijk te maken, door juist niet in de Router te prutsen.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Ben(V)

  • Gast
Re: Werking Synology NAS Firewall
« Reactie #21 Gepost op: 27 november 2018, 09:36:50 »
Ik heb het even nagezocht, maar het functioneert zoals @MMD uitlegde, dus zonder UPnP.

Quickconnect zet een sessie op vanuit je Nas met een random poort en omdat die vanuit de Lan kant komt zet de NAT router die poort dan open enkel voor retour verkeer vanuit de Quickconnect server van Synology en wordt er is een sessie opgezet.

Als je nu vanuit het internet bij je Nas wilt komen met behulp van QC dan komt je uit bij de QC servers van Synology, die geven jouw die sessie (met die random poort) daarna kun je dus rechtstreeks met je Nas communiceren.
Synology noemt dit in zijn whitepaper de "hole punch" methode.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 8004
  • Berichten: 44.018
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Werking Synology NAS Firewall
« Reactie #22 Gepost op: 27 november 2018, 10:08:18 »
Ik heb dit niet nagezocht maar, je noemt expliciet "NAT router", dus moet NAT dan aanstaan ?
Waarom vraag ik dat, omdat dit niet altijd het geval is en omdat niet alle Routers die optie hebben, volgens mij.
Als die optie wel aanwezig is in de Router en NAT staat uit, dan kan het toch niet zo zijn dat DSM dat voor je doet ?
Of, zou je daar een een melding over krijgen dat je toch effe zelf NAT aan moet zetten in je Router.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Ben(V)

  • Gast
Re: Werking Synology NAS Firewall
« Reactie #23 Gepost op: 27 november 2018, 11:32:39 »
Elke router in een thuissituatie doet NAT, anders heb je geen lokaal Lan.
NAT = Network Adres Translation ofwel de vertaling van het WAN ipadres dat je van je providers krijgt naar je lokale subnet.

Alleen als je de router in Bridge mode zet doet hij geen NAT, maar dan moet je ofwel genoegen nemen met het ene ipadres dat je van je provider krijgt (plus het security risc dat daarbij hoort) ofwel je moet er een andere router achter zetten die wel NAT doet.

Offline Plerry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 17
  • -Ontvangen: 289
  • Berichten: 1.504
  • Tom Poes, verzin een list ...
Re: Werking Synology NAS Firewall
« Reactie #24 Gepost op: 27 november 2018, 12:56:53 »
Citaat
Elke router in een thuissituatie doet NAT, anders heb je geen lokaal Lan.
Althans, voor zover we het over IPv4 hebben ...
There are only 10 kinds of people: ... those who understand binary, and those who don't.

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Ben(V)

  • Gast
Re: Werking Synology NAS Firewall
« Reactie #26 Gepost op: 27 november 2018, 15:27:48 »
Althans, voor zover we het over IPv4 hebben ...

Is er dan iemand die thuis IPv6 gebruikt en geen IPv4?

Als je dat doet ben je de bescherming die Nat brengt ook kwijt en zul je dus ofwel op al je devices een goede firewall moeten hebben ofwel een router met een goede firewall of een centrale firewall achter je router.
Volgens mij ondersteunen heel veel apparaten geen IPv6


 

Werking van Advanced Search Photo Station 4?

Gestart door Ronald60Board Photo Station / Photos

Reacties: 1
Gelezen: 1818
Laatste bericht 19 juni 2010, 22:20:03
door Matr1x
Werking van anti-virus.

Gestart door OlgerBoard Antivirus Essential

Reacties: 9
Gelezen: 9815
Laatste bericht 11 november 2012, 18:33:58
door wbree
werking cloudstation/ds cloud

Gestart door remco65Board Cloud Station & Drive

Reacties: 3
Gelezen: 2439
Laatste bericht 17 maart 2015, 16:45:10
door remco65
JBOD en SHR werking

Gestart door HenkGroenBoard Synology DSM 6.1

Reacties: 4
Gelezen: 5085
Laatste bericht 15 april 2018, 09:11:12
door Ben(V)
Mailserver Juiste Werking

Gestart door G4uBoard Mail Station

Reacties: 3
Gelezen: 2113
Laatste bericht 12 augustus 2011, 10:53:34
door G4u