Auteur Topic: Firewall instellen  (gelezen 5878 keer)

Offline robinmull112

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 22
Firewall instellen
« Gepost op: 09 januari 2018, 18:54:51 »
Hallo iedereen,

Sinds vandaag heb ik een VPN server opgezet via mijn NAS.
Hierbij wil ik een firewall in de NAS opzetten, waarbij interne apparaten alle toegang hebben en ik via de VPN toegang heb tot File Station en Surveillance Station, mits het apparaat wat een VPN opvraagt zich binnen Nederland bevind.
Alle andere apparaten/verbindingen/toepassingen/landen moeten geblokt worden.

Ik heb op dit forum en het internet gekeken en ben de volgende instellingen tegengekomen (zie foto).
Alles werkt zowel via binnen als buiten het netwerk (vpn), mits de laatste regel uit staat. Als ik de laatste regel aan zet heb ik wel toegang van binnenuit het huis, maar via de VPN niet meer.

Wat doe ik fout? Ziet een van jullie het toevallig?

Bedankt voor de hulp!

Groet,

Robin

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 128
  • Berichten: 1.033
Re: Firewall instellen
« Reactie #1 Gepost op: 09 januari 2018, 19:53:55 »
Volgens mij gaan deny-regels boven de allow-regels en maak je dus in feite alle allows ongedaan.
DS1821+ met 8 X WD30EFZX in SHR-2 configuratie BTRFS als fileserver
DS923+ met nu nog allegaartje van 4 schijven VPN/SS/Backup/Caldav/Carddav
DS118 met WD20EFRX als test-NAS
DS220+ als Cloudserver
DS220+ als backupserver

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Firewall instellen
« Reactie #2 Gepost op: 09 januari 2018, 19:54:01 »
Heb je de IP range van de VPN apparaten ook toegestaan? Het is nu niet te zien of ze ook onder de eerste regel vallen.

@dirklammers: zoek eerst eens op hoe de firewall werkt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline langetopper

  • Bedankjes
  • -Gegeven: 21
  • -Ontvangen: 10
  • Berichten: 138
Re: Firewall instellen
« Reactie #3 Gepost op: 09 januari 2018, 19:56:16 »
Pas regel 2 eens aan met het ip adres welke wordt uitgedeeld bij VPN.

I.p.v. Netherlands maak je daar een range aan van bv 10.8.0.0 tm 10.8.0.24 (voorbeeld voor OpenVPN). Welk ip adres je gebruikt bij welk protocol zie je in het VPN pakket.
  • Mijn Synology: DS1517+

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Firewall instellen
« Reactie #4 Gepost op: 09 januari 2018, 20:12:46 »
Met verschillen voor Firewall instellingen voor een router en een NAS, met updates in firmware, staat infomatie inmiddels wat versnippert op het forum.     < HIER >  een aantal verwijzingen bij elkaar.

Hoewel de uitleg in de volgende link de wijze is zoals gebruikt in een router, is het met de nummering misschien makkelijker te begrijpen hoe je dat vergelijkbaar ook bij een NAS inregelt. (Kleine verschillen in menu's zijn er uiteraard wel met die van een router. Het gaat om het principe).
Zie uitleg < HIER > 
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Firewall instellen
« Reactie #5 Gepost op: 09 januari 2018, 21:44:45 »
1. ALL ALL ALL DENY wegdoen
2. Kies de LAN interface, onderaan Als niet ..... toegang blokkeren, aanvinken
3. Kies de VPN interface, daar het Dynamisch IP bereik toestaan en onderaan Als ..... toegang blokkeren, aanvinken

Succes

Edit:
Je eerste regel kun je ook verplaatsen naar de LAN interface, is wat "juister".
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline robinmull112

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 22
Re: Firewall instellen
« Reactie #6 Gepost op: 09 januari 2018, 21:49:57 »
Heb je de IP range van de VPN apparaten ook toegestaan? Het is nu niet te zien of ze ook onder de eerste regel vallen.
Hmm goede. Mijn iPhone (daarmee heb ik getest of alles ook buitenshuis werkt) krijgt natuurlijk een ander IP nummer zodra deze over gaat op 4g en VPN. Het LAN IP nummer komt dan te vervallen neem ik?

Maar als hij door de eerste regel wordt 'afgewezen' zou hij toch door de tweede regel geaccepteerd moeten worden? Hij heeft immers een Nederlands IP nummer. (dit heb ik online getest, ik kom uit bij een server van Vodafone in het Oosten van het land.

Pas regel 2 eens aan met het ip adres welke wordt uitgedeeld bij VPN.

I.p.v. Netherlands maak je daar een range aan van bv 10.8.0.0 tm 10.8.0.24 (voorbeeld voor OpenVPN). Welk ip adres je gebruikt bij welk protocol zie je in het VPN pakket.
Thanks! Ik heb dit gedaan en het werkt! Hoe kan ik de firewall nu testen? Want nu werkt alles binnen mijn LAN en alles wat met mijn VPN verbonden is, maar hoe kan ik testen of een ander apparaat wat buiten mijn LAN staat en niet verbonden is met de VPN wordt geblokkeerd?

Met verschillen voor Firewall instellingen voor een router en een NAS, met updates in firmware, staat infomatie inmiddels wat versnippert op het forum.     < HIER >  een aantal verwijzingen bij elkaar.

Hoewel de uitleg in de volgende link de wijze is zoals gebruikt in een router, is het met de nummering misschien makkelijker te begrijpen hoe je dat vergelijkbaar ook bij een NAS inregelt. (Kleine verschillen in menu's zijn er uiteraard wel met die van een router. Het gaat om het principe).
Zie uitleg < HIER > 
Thanks! Ik zal alles zo eventjes doornemen.

Offline robinmull112

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 22
Re: Firewall instellen
« Reactie #7 Gepost op: 09 januari 2018, 21:55:27 »
1. ALL ALL ALL DENY wegdoen
2. Kies de LAN interface, onderaan Als niet ..... toegang blokkeren, aanvinken
3. Kies de VPN interface, daar het Dynamisch IP bereik toestaan en onderaan Als ..... toegang blokkeren, aanvinken

Succes

Edit:
Je eerste regel kun je ook verplaatsen naar de LAN interface, is wat "juister".
Bedankt voor je hulp. Misschien een beetje dom, maar ik volg je even niet. Ik krijg de opties ' Als.... toegang blokkeren niet.
Zie foto's voor hoe de regels er nu uitzien en welke opties ik heb.


Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Firewall instellen
« Reactie #8 Gepost op: 09 januari 2018, 21:56:45 »
In je tweede screenshot.... wat staat er in het drop down menu..... :?:
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline robinmull112

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 22
Re: Firewall instellen
« Reactie #9 Gepost op: 09 januari 2018, 22:01:00 »
Ohh wacht, ik denk dat ik het snap.

Mijn LAN interface (Bond 1) is leeg. Hier kan ik dan alle poorten open zetten voor de interne apparaten?
Mijn VPN interface kan ik de poorten voor Surveillance Station en File Station open zetten voor de VPN apparaten met IP adres 10.0.8.0 t/m 10.0.8.20 ofzo? Is het trouwens mogelijk om de verbonden clients een vast IP te geven, zodat ik de hiervoor genoemde range kan verkleinen?

Offline langetopper

  • Bedankjes
  • -Gegeven: 21
  • -Ontvangen: 10
  • Berichten: 138
Re: Firewall instellen
« Reactie #10 Gepost op: 09 januari 2018, 22:14:22 »
Wanneer je VPN uitzet krijg je een ip via je provider via 3 of 4G. In dat geval zou je geblokkeerd moeten worden. Je zou het ook kunnen testen via een WiFi bi je buurman etc.

Je kunt je apparaten een vast ip geven door in je router adres reserveringen toe te kennen icm het MAC adres.

BV, je router 192.168.1.1
Je nas 192.168.1.10
Telefoon 192.168.11
Pc ......... 12 etc
Zo kan je bv aangeven dat 1 tm 12 toegang heeft.

In je router kan je dan bv een gastennetwerk aanmaken dat start met 192.168.1.20 en hoger (DHCP). Deze kan je dan beperkte toegang verlenen...

Voor meer info omtrent firewall en VPN zie: https://www.sparklabs.com/support/kb/article/setting-up-an-openvpn-server-with-synology-and-viscosity/
  • Mijn Synology: DS1517+

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Firewall instellen
« Reactie #11 Gepost op: 09 januari 2018, 22:19:50 »
Als je NAS 2 poorten heeft en je zet die in een bond heb je inderdaad onder interfaces alleen een Bond1.
Bond1 is dan het punt waar alle verkeer binnenkomt en uitgaat, dus ja daar kun je poorten/IP`s/landen toelaten.

Op de VPN interface is alleen wat ik hierboven schreef nodig. Je kunt de diensten op de NAS bereiken door regels op Bond1.

Om OpenVPN clients een vast IP te geven zie mijn handtekening.

Edit:
Je hebt je post aangepast.
Citaat
zodat ik de hiervoor genoemde range kan verkleinen?
Dat is niet nodig. Slechts OpenVPN clients en applicaties/packages die op de NAS draaien hebben toegang tot de VPN interface.
De VPN interface ligt namelijk "achter" de Bond/LANx/PPPoE/enz.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline robinmull112

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 22
Re: Firewall instellen
« Reactie #12 Gepost op: 09 januari 2018, 22:51:13 »
Ik heb het eventjes geprobeerd, maar het wil niet lukken.
Zodra ik de LAN/BOND firewall opzet krijg ik geen toegang meer via de VPN.
Waarschijnlijk omdat mijn telefoon dan buiten de LAN ip range valt neem ik aan?

Offline robinmull112

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 22
Re: Firewall instellen
« Reactie #13 Gepost op: 09 januari 2018, 22:58:55 »
Dit is wat ik heb ingesteld onder de VPN dropdown.
Aangezien 'if no rules are matched allow acces' aanstaat, lijkt het mij dat het probleem bij de LAN/BOND ligt?
Daar wordt mijn telefoon waarschijnlijk al geblokt.


Offline robinmull112

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 22
Re: Firewall instellen
« Reactie #14 Gepost op: 09 januari 2018, 23:14:14 »
Toch vreemd. Als ik alles onder BOND en VPN weghaal en de rules weer opbouw onder All Interfaces werkt het ook niet.
Mijn iPhone krijgt geen LAN IP, dus met die regel kan het niks te maken hebben. Als ik een nieuwe regel aanmaak met de IP range van 10.8.0.0 t/m 10.8.0.255 (of iets daar tussenin) werkt het ook niet. Als ik vervolgens een regel aanmaak waarin ik aangeef dat alles binnen NL toegang krijg werkt het ineens wel.

Iemand ideeen hoe of wat want ik snap het niet meer.


 

firewall & UDP Broadcast

Gestart door aliazzzBoard Synology Router

Reacties: 19
Gelezen: 1659
Laatste bericht 13 mei 2024, 10:54:39
door Babylonia
Firewall

Gestart door aardBoard Synology DSM algemeen

Reacties: 6
Gelezen: 4143
Laatste bericht 27 december 2013, 11:30:03
door TonVH
firewall regio blokkade werkt niet meer

Gestart door bouwman8171Board Synology DSM 6.0

Reacties: 2
Gelezen: 1864
Laatste bericht 27 maart 2016, 23:10:55
door Babylonia
Synology firewall LOGS router?

Gestart door NoFateBoard Synology Router

Reacties: 24
Gelezen: 5858
Laatste bericht 03 maart 2019, 22:35:17
door Babylonia
Firewall houdt mail tegen

Gestart door Erwin1Board Mail Station

Reacties: 2
Gelezen: 2610
Laatste bericht 08 mei 2014, 19:07:23
door Erwin1