Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: trebor op 27 augustus 2016, 18:01:33
-
Hallo allen,
Ben in het bezit van een Synology Router en heb een vraag over het instellen van de firewall.
Mijn firewall is ingesteld zoals in de bijlage is te zien.(dit is door de router zo ingesteld bij installatie)
Ik ben een redelijke leek hier in dus is mijn vraag wat is een goede instelling voor mijn firewall.
alvast bedankt voor jullie reactie.
-
Dat is alleen maar om de gebruiksinterface van de router ook van buiten uit te benaderen. Op deze manier "vanuit de hele wereld". Lijkt me geen goed plan.
Sinds de update naar firmware 1.1 zijn er een aantal zaken in veranderd, die wat verwarrend zijn, en in mijn ogen zeker nog bijstelling behoeven door het Synology software ontwikkelteam. Nu zou je wat "trucjes" moeten gebruiken om het op een betere manier in te stellen.
Ik zit nu op een externe locatie, en vanaf een tablet met beperkte mogelijkheden.
Wil er op een later tijdstip komende week (na woensdag) wel op terugkomen.
Maar je kunt enigszins de methodiek bestuderen in de werking bij het volgende draadje < HIER > (http://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg125496/#msg125496).
Let op dat de Firewall van de router iets anders is van opzet, en werking als die van een NAS,
die op haar beurt ook al weer is aangepast in de loop van de tijd.
In grote lijnen is de basis echter wel vergelijkbaar.
Belangrijk punt om te onthouden is dat Port Forwarding in de router boven die van Firewallregels gaan. Ofwel die hebben een hogere prioriteit.
Praktisch houdt dat in, dat alles wat je aan services doorstuurt naar apparaten achter de Synology router, Firewallregels daar NIET voor gelden.
Daarvoor moet je in de achterliggende apparaten (zoals een NAS) een goede Firewall voor instellen.
Sinds firmware 1.1. heeft men er tevens een andere "schil" bijgehaald, die IMO alleen maar meer verwarrend is, en ingewikkelder maakt, en niet nodig zou zijn geweest als men de basis-opzet van de Firewall daarin verandert, om Firewall regels een hogere prioriteit te geven nog voor Port Forwarders.
-
Hallo Babylonia,
Sorry voor mijn trage reactie, maar bedankt voor je uitleg. ik zal me er even in proberen te verdiepen.
ik laat mijn vorderingen wel even weten.
groet Trebor
-
Ik zit nu op een externe locatie, en vanaf een tablet met beperkte mogelijkheden.
Ik ben inmiddels weer terug zal later op de avond wat schermafbeeldingen geven, heb je een beter startpunt voor de Synology router.
-
ok, thanks, dan hou ik dat even in de gaten.
groet.
-
Sinds de update naar firmware 1.1 zijn er een aantal zaken in veranderd, die wat verwarrend zijn, en in mijn ogen zeker nog bijstelling behoeven door het Synology software ontwikkelteam. Nu zou je wat "trucjes" moeten gebruiken om het op een betere manier in te stellen.
En dan gaat het alleen nog om de aanpassingen met de firewall zoals die ervoor werd gebruikt in voorgaande firmware versies.
Vreemd is dat Synology afwijkende principes hanteert voor de firewall zoals die in de router wordt toegepast, en zoals die bij een NAS. Gebruik je alle twee de producten van Synology kan dat erg verwarrend zijn, als je alleen de hoognodige regels in zou stellen, omdat er dan verschillende regels worden opgenomen voor de router of een NAS om tot eenzelfde werking te komen.
Om voor mezelf een meer consistent gebruik van beide firewalls met evenwaardige instellingen te gebruiken, vul ik wel eens extra Firewall regels in, die voor de router eigenlijk helemaal niet nodig zijn, maar voor het begrip tegenover die welke in de NAS zijn ingevuld dan wel gelijkwaardig van opzet zijn. Op die wijze houd ik het "in het begrip" gelijk, en heb ik beter overzicht met wat er in de router is ingesteld en wat in de NAS.
Verder gebruik ik voor schermafdrukken even de Engelstalige interface, want zo kan ik met diezelfde afbeeldingen over dit onderwerp tevens op het internationale forum van Synology erover schrijven en vragen stellen.
Twee Firewall regels zijn gekoppeld met een instelling elders in het Configuratiescherm.
En dan gaat het om de SRM interface wel- of niet van buiten uit te kunnen benaderen.
[attach=1]
EDIT 4 oktober 2016:
Er zijn een aantal nieuwe settings vanaf firmware 1.1 en 1.1.1 die eerder ontbraken, waarbij een aantal kritiekpunten en wensen van gebruikers ten aanzien van de werking van de firewall kennelijk nu zijn meegenomen. De functionaliteit wordt daarmee verder verbeterd.
Met name ten aanzien van achterliggende apparaten om services van buiten uit te benaderen, waarvoor port forwarders zijn ingesteld.
Die extra functionaliteit had ik eerder nog niet opgemerkt. De uitleg is aangepast aan die nieuwe functionaliteit.
Die instelling van de afbeelding hierboven schakelt de twee regels van de firewall uit of in (met vinkje) bij Firewall-regels 1.
[attach=2]
Firewall-regels 1.
Als je goed kijkt zijn de teksten van die twee regels iets grijziger van tint. Sinds firmware SRM 1.1 kun je die twee regels op zichzelf niet meer aanpassen. Ze zijn ofwel uitgeschakeld (zoals in de schermafbeelding), ofwel ingeschakeld. Echter ingeschakeld heb je geen enkele mogelijkheid daarin nuances in aan te brengen voor bepaalde IP-bereiken of expliciete IP-adressen van waar je vandaan de mogelijkheid wilt geven van buiten uit in te loggen. Inschakeling betekent gelijk toegang "vanuit de hele wereld". Zeer onbevredigend.
Firewall-regels 2.
Door met een trucje handmatig diezelfde regels vanuit 1. extra aan te vullen, kan ik die nuance wel aanbrengen.
In dit geval alleen voor toegang vanuit de regio Nederland.
Werkt alleen goed samen met de instelling helemaal onderaan rechts. "If IPv4 WAN to SRM traffic matches no rules: Deny access"
Als ik zou willen zou ik de voorwaarden ervoor m.b.t. poorten 8000 en 8001 ook in één firewall-regel kunnen samenvatten/instellen, maar om aan te sluiten in de stijl van de twee door Synology zelf aangevulde regels, heb ik dat ook in twee regels vastgelegd.
Firewall-regels 3.
Deze regel om toegang vanuit je eigen LAN thuisnetwerk mogelijk te maken voor alle protocollen en services.
Hier zit de inconsequentie van Synology in hun filosofie tegenover het gebruik van firewallregels bij een NAS.
Bij een NAS is het mogelijk jezelf buiten te sluiten als je die regel er niet bijzet en onderaan rechts "Deny access" aanvinkt.
(Dat is wel afhankelijk welke versie DSM, en op welk niveau (http://www.synology-forum.nl/vpn-server/vpn-l2tpipsec-werkt-niet-meer/msg188448/#msg188448) je firewall regels instelt of de optie van "Deny access" wel of niet aanwezig is).
Voor de router kan die regel gewoon worden weggelaten. Vanuit je eigen LAN kun je altijd in de router komen.
Maar zoals eerder uitgelegd, om niet in verwarring te worden gebracht met de wijze zoals het bij een NAS werkt, heb ik het hier ook ingevuld.
Firewall-regels 4.
In mijn situatie heb ik een VPN-server package geïnstalleerd op de router en ingesteld voor alle VPN-protocollen.
Vergelijkbaar zoals bij regels 3. maar nu voor alle virtuele VPN IP-bereiken.
In dit geval PPTP wel ingesteld, maar uitgeschakeld. (Geldt ook voor de VPN-server in het PPTP protocol zelf die is uitgeschakeld).
PPTP is namelijk het minst veilige VPN-protocol. Beter om het normaal niet te gebruiken.
In mijn situatie wordt het alleen gebruikt voor test-doeleinden, en kan het op deze wijze makkelijk in- en uitschakelen.
Firewall-regels 5.
Idem zoals bij regels 4., maar nu voor de VPN services en poorten zelf zoals die van buiten uit worden benaderd.
In dit geval ingesteld enkel voor de regio Nederland.
Firewall-regels 6.
- Een regel voor een webserver op een achterliggende NAS
- Een regel voor benadering gebruiksinterface DSM van de NAS
LET OP !
Voorheen in oudere firmware versies waarbij voor deze achterliggende services poorten moesten worden doorgestuurd naar de achterliggende NAS, had het doorsturen van poorten een hogere prioriteit dan firewall-regels. Die twee regels kon je toen net zo goed weglaten, hadden feitelijk helemaal geen functie. Dat is nu inmiddels bijgesteld in de extra regels ondergebracht bij punt 7.
Firewall-regels 7.
Extra regels die in oudere firmwareversies niet voorhanden waren.
Hiermee kun je o.a. specifiek regelen of je services bedoeld voor achterliggende apparaten waarvoor port forwarders zijn ingesteld wel of niet met aanvullende firewall regels wilt laten gelden.
Met deze nieuwe firewall functionaliteit heb ik met bovenstaand ingevulde firewall regels exclusief connectie "vanuit Nederland",
inclusief geldend voor een achterliggend aangesloten NAS waarbij de firewall van de NAS zelf NIET is ingeschakeld.
Controle vanuit de in USA gesitueerde website "Shields Up" (https://www.grc.com/shieldsup) geeft dan een volledig "stealth" resultaat.
Precies wat de bedoeling is met deze instellingen. Slechts beperkte toegang van Nederland, verder "onzichtbaar" voor de rest van de wereld.
https://www.grc.com/shieldsup (https://www.grc.com/shieldsup)
[attach=4]
Ter controle ook even andere instellingen gedaan voor die genoemde services op de achterliggende NAS,
waarbij de firewall-regels zijn uitgeschakeld, en de functie "Allow access" alleen is ingesteld voor WAN-to-LAN, niet voor WAN-to-SRM....
[attach=5]
....en typisch alleen voor de services WAN-to-LAN zijn nu toegankelijk, niet voor WAN-to-SRM
[attach=6]
Opmerkingen - andere onderdelen m.b.t. de firewall - vragen:
De wijze van firewall instellingen zoals hiervoor een voorbeeld is gegeven is met name afgestemd voor connecties van buiten uit naar binnen.
De specifieke onderdelen erin met sub-menu's maken echter ook instellingen mogelijk om "andersom" te werken, van binnen naar buiten,
of voor onderling verkeer binnen het thuisnetwerk zelf.
Bijvoorbeeld "Source IP" en "Destination ID" zijn in te vullen als een "intern LAN IP-adres" tegenover een "extern internet IP-adres".
Compleet met mogelijkheden om een regio te kiezen voor "Destination ID". Dezelfde mogelijkheden ook met poorten om die in te stellen.
Het is me niet duidelijk waarom bepaalde settings zoals ze (standaard) door de router worden ingevuld,
zijn te rijmen als juiste instelling om het correct werkend te hebben in relatie tot bepaalde services.
Bijvoorbeeld voor de connecties van buiten uit naar binnen staan de "Source Ports" op "All"
Beperk ik die poorten slechts tot de expliciete waarden zoals voor de achterliggende service gebruikt, werkt de firewall-regel niet meer.
Voor de "Destination Port" zijn de poorten evenwel expliciet ingesteld voor die achterliggende services.
Dus "Source Port" ----> ALL versus "Destination Port" ----> alleen specifieke poorten. Alleen zo werkt het.
Dan heeft de router firewall nog een extra tab met aanvullende instellingen die is gekoppeld met de "firewall-regels" instellingen.
[attach=3]
Bepaalde services die hier als "Enabled" zijn aangegeven, zijn op hun beurt weer gekoppeld met in te schakelen services op de router zelf.
De router heeft mini-NAS achtige functionaliteiten. Daar hebben deze instellingen betrekking op, NIET op een achterliggend aangesloten NAS.
Ten aanzien van WebDAV is dat als functionaliteit nu niet ingesteld op de router, die staat om die reden dan op "Disabled".
Dat poorten van een WebDAV service op een achterliggende NAS worden doorgestuurd, staat daar dus los van.
Tot zover de uitleg. Ik hoop dat je het enigszins kunt doorgronden als nieuwe gebruiker.
Succes, Babylonia@
-
Beste Babylonia,
Bedankt voor je zeer uitgebreide uitleg(en de tijd die je er in gestopt hebt).
Zal het eerst even een paar keer doornemen en ga het dan proberen te reproduceren in mijn eigen router.
ik laat mijn vorderingen nog wel even weten.
Groet Trebor
-
Reproduceren geeft mogelijk niet de juiste opties. Ik geef je enkel een voorbeeld van mijn situatie met uitleg hoe en waarom.
Misschien gebruik jezelf andere services of geïnstalleerde packages die je wilt inzetten en van buiten uit wilt benaderen?
Dat zul je dan in de opties van in te stellen firewall-regels moeten betrekken.
-
er zijn al weer een aantal updates geweest, nu zijn de in het verleden de niet aan te passen firewall regels weg en kan je zelf alles naar je eigen hand zetten.
ik zie dat jij nogal veel doet met je firewall, doe je dan niks met portforwarding ?
-
Jawel, ik heb ook een aantal poorten doorgestuurd. Maar dat heeft op zichzelf een andere functie dan een firewall instellen.
Als je goed naar de eerdere schermweergave kijkt, kun je overigens opmaken dat er andere apparatuur actief is.
-
Nou ik vraag mij af waarom je de toegang van je nas ook bij de firewall hebt ingesteld.
En hoe zit het met je VPN, beheer je deze op je router of op de NAS ?
De vorige opmerking mer dat de beheers regel er niet meer staat klopt niet, ik moest het beher van buitenaf nog aan vinken waardoor de regels er vanzelf kwamen, deze kan je dus idd niet verwijderen.
-
Ik wil alles zo overzichtelijk en veilig mogelijk hebben. Met tevens de firewall ook in de NAS ingesteld, feitelijk een dubbele bescherming.
VPN-server heb ik op de router draaien. Dat is trouwens vanuit de firewall regels op te maken, omdat de "destination" SRM is.
Verder de door de router gebruikte beheersregels voor toegang van buitenaf voor SRM heb ik "uitgeschakeld" omdat die voor alle IP-adressen gelden zonder filtering per regio. In mijn geval heb ik extra regels erbij gezet die alleen voor Nederland gelden.
Zie de eerdere omschrijving (https://www.synology-forum.nl/synology-router/hoe-firewall-instellen-in-de-router/msg200596/#msg200596) in het bericht per onderdeel.
Het werkt in de huidige firmware SRM 1.1.3 nog steeds precies zoals het eerder is beschreven.
(Laatste edit van het bericht met beschrijving en afbeeldingen gelden vanaf 4 oktober 2016 - SRM 1.1.1).
-
Ik zelf hou er ook van om alles zo overzichtelijk en veilig mogelijk in te stellen, ikzelf heb de standaard beheersregels van SRM ook uitgeschakeld in de firewall, en er een aparte regel voor aangemaakt die alleen vanuit NL te benaderen is.
Maar is het niet zo doordat je regels aan de firewall toevoegt voor de nas, je juist de werking van de portforwarding omzeilt/overneemt die je eigenlijk net zo goed in portforwarding kan instellen?
-
Port Forwarding regelt geen firewall functies. Dat moet je dus apart instellen.
Alleen bij een "oudere" firmware hadden port forwarders prioriteit boven firewall regels. (Firewall regels hadden dan geen effect).
Dat kun je nu zelf regelen met wat je zelf wenst. Maar dat is hierboven (https://www.synology-forum.nl/synology-router/hoe-firewall-instellen-in-de-router/msg200596/#msg200596) allemaal uitvoerig beschreven.
Dus een kwestie van goed doorlezen en in je opnemen.
"Firewall-regels 6.
....
LET OP !
Voorheen in oudere firmware versies....."
-
Dat heb ik gedaan, ik heb dit echt niet zo ingesteld en heb ik de zelfde ''stealth'' resultaten als bij jou.
-
Wat heb je gedaan en wat heb je niet zo ingesteld?
Bedenk dat als je de firewall in een achterliggende NAS "aan" hebt staan, dat je die firewall tevens meeneemt in een "Stealth test".
Dus het kan zijn dat bij "verkeerde" instellingen van de router, data op router niveau wordt doorgelaten, maar alsnog erna bij de NAS wordt tegengehouden. Dat verschil is niet uit een stealth-test op te maken.
Wil je puur de firewall functies van de router op correcte werking testen, moet je de firewall van de NAS uitschakelen.
(En van andere apparaten waar je port forwarders voor hebt ingesteld en data naar toe wordt gestuurd).
De voorbeelden met "stealth-testen" op de vorige pagina zijn gedaan met de firewall van de NAS uitgeschakeld.
Het gaat in deze draad puur om de werking en resultaten van de firewall enkel die van de router alleen.
-
Ik wil me niet met jullie topic bemoeien hoor, maar alleen even opmerken dat stealth testen helemaal niets zeggen.
Als je een willekeurige poort forward naar een device en op dat device draait helemaal niets dat reageert op een request naar die poort dan zal die stealth test weergeven dat die poort stealth is, maar hij staat echt geforward en je lan is dan dus wel kwetsbaar.
-
Dat is verder tevens afhankelijk van achterliggende functies van de router en of het daarin "goed" is geregeld.
Eerder bij oudere firmware van de Synology router, en toen nog met "versimpelde" functies van de firewall.
Rechtstreekse aansluiting van de Synology router aan de glasvezelaansluiting.
Poorten toen werden als actief "aanwezig" maar wel "closed" opgemerkt (= niet stealth), als de NAS erachter was uitgeschakeld !!
Zie eerdere reactie over dit onderwerp indertijd < HIER > (https://www.synology-forum.nl/synology-router/tefort-experia-box-v8-vervangen-door-rt1900ac/msg182257/#msg182257) het 2e plaatje.
(Was voor mij reden om de Synology router niet rechtstreeks te verbinden met internet).
Bij de latere firmware (vanaf versie 1.1.1) werkt het wel als zodanig, dat een stealth wordt gegeven, bij uitgeschakelde NAS.
Dezelfde test "toen" met de router van de ISP (een Experia Box V8), en de NAS uitgeschakeld
(en dus ook met port forwarders naar de NAS) gaf ook toen een stealth.
Bij een setup van twee routers achter elkaar, die van de ISP (Experia Box V8) en daarachter de Synology router.
Bijv. een DMZ naar een "leeg" IP-adres waar niets achter zit, in de 1e router, + port forwarders naar de 2e router.
Wordt als "stealth" weergegeven voor alle niet gebruikte services van die "DMZ. (Er hangt namelijk niets achter wat erop kan reageren).
Actieve VPN-poorten worden eveneens niet juist getest. Die geven een "stealth" ondanks functioneel.
Voor "normale" andere diensten die ik gebruik wordt de test wel juist uitgevoerd.
Dus je moet nog steeds wel goed je koppie erbij houden, met wat je doet.
Het gaat er mij om, om wel "actieve diensten" te gebruiken, --dus in principe "kwetsbaar"--, maar voor de buitenwereld toch zoveel mogelijk anoniem en onbekend te blijven, alsof ik niet besta. Dat is de enige reden voor mij van die "stealth" test.
Als een test "vanuit Amerika" stealth geeft, geldt dat evenzeer voor een eerste test "van een potentiële hacker" vanuit een ander "buitenland".
Die gaat dan niet meer verder testen. Lijkt me namelijk wat onzinnig als die niets ontdekt en ogenschijnlijk "lege" aansluitingen treft, om dan toch een verbinding proberen op te zetten.
-
Stealth bestaat niet, vals gevoel van veiligheid.
Een poort is open of dicht.
FF doorlezen:
https://www.wilderssecurity.com/threads/rant-grcs-shields-up-and-true-stealth-firewall-test-or-harmful-fud.216892/
-
Stealth bestaat niet, vals gevoel van veiligheid.
Dat zeg ik:
"Het gaat er mij om, om wel "actieve diensten" te gebruiken, --dus in principe "kwetsbaar"--, maar voor de buitenwereld toch zoveel mogelijk anoniem en onbekend te blijven, alsof ik niet besta. Dat is de enige reden voor mij van die "stealth" test."
En lees dan ook nog eens de laatste alinea van mijn vorige reactie.
De instellingen zoals ik ze gebruik geven toch echt aanzienlijk minder "poort kloppertjes" aan mijn WAN-poort, dan zonder die verdergaande firewall instellingen. (Kan ik namelijk terugzien in de logfiles van mijn 1e router). Dat is nu precies de bedoeling van die instellingen !!
Zie ook eerder beschreven effecten vanaf < HIER > (https://www.synology-forum.nl/firmware-algemeen/ip-adres-geblokkeerd-viassh/msg203464/#msg203464) en vervolgreacties.
-
1. Poort is open, moge duidelijk zijn.
2. Poort is closed, betekent er werd direct een reply teruggestuurd met de boodschap "poort gesloten".
3. Poort is stealth, betekent er kwam geen reply.
Nu zou je denken door het zogenaamde stealth resultaat de poort dicht is.
Echter de reply blijft uit, er is dus een time-out. Die time-out is de indicatie dat de poort open is ;)
-
minder "poort kloppertjes"
:) Betekent niet dat er minder kloppers zijn maar misschien meer dat de logging het niet meer logt...
In pfSense zie ik ze gewoon voorbij komen hoor.
Verreweg de meeste zijn geautomatiseerde "poort kloppertjes" die geen snars geven of een poort open/gesloten/stealth is.
-
Nu zou je denken door het zogenaamde stealth resultaat de poort dicht is.
Nee, ik denk niet alleen dat het niet zo is, het is ook daadwerkelijk niet zo.
Ik heb die poorten namelijk zelf open gezet om services van buiten uit te kunnen benaderen !!
Alleen de firewall instellingen zorgen er in dat geval voor dat "buitenlandse" poort kloppertjes geen respons krijgen.
Die worden buiten gehouden, nog voordat ze bij de open poorten aankomen.
Daar is een firewall --en dan met name die regio blocking instelling-- voor bedoeld !!
minder "poort kloppertjes"
:) Betekent niet dat er minder kloppers zijn maar misschien meer dat de logging het niet meer logt...
De Synology router logt het inderdaad niet.
Vandaar dat ik het heb over de 1e router, nog voordat het bij de 2e router, de Synology aankomt.
Die 1e router logt dat in mijn geval namelijk wel !!
Ik heb het gevoel dat je de achterliggende gedachte van die firewall instellingen in het geheel niet begrijpt, en wat de bedoeling ervan is?
-
Feelings can be deceiving :)
Hoe dan ook, stealth biedt geen meerwaarde t.o.v. closed.
Het kan zelfs bepaalde applicaties ervan weerhouden goed te functioneren.
-
Stealth biedt wel degelijk meerwaarde tegenover "closed".
Bij "closed" weet een potentiële hacker dat er een functionele verbinding bestaat.
Zelfs welke poorten kritisch zijn. Kan daar dus gericht actie op ondernemen.
Dan gaat hij verder andere opties uitproberen om toch binnen te kunnen komen.
Bij "stealth" (alsof het is dat er überhaupt geen functionele verbinding bestaat) wordt er niet verder gekeken, en haakt een potentiële hacker af. Het is gewoon meetbaar. Heeft dus niets met het "gevoel "te maken.
Sinds de verscherping van de firewall regels zijn er (in mijn 1e router) aanzienlijk minder "poortkloppertjes" gelogd.
(Over twee dagen zegge en schrijven één onbekend IP gelogd. En die werd in mijn geval doorgeleid naar een "leeg" DMZ IP adres).
-
Laatste keer :)
Je lijkt het feit te negeren dat verreweg de meeste scans door bots gebeurt, b.v. elk uur, 3x per dag, 1x per dag, enz.
Komen gewoon elke dag terug hoor, dat ze niet gelogd worden, tja.....
Poorten doorsturen breekt sowieso al het fabeltje stealth, daar al eens aan gedacht?
Ik ping een IP waar niets te vinden is.
De respons die ik krijg is "ICMP Unreachable", zo heurt het.
Ik ping een IP die de pakketjes gewoon dropt, zogenaamd stealth, er volgt een time-out.
De time-out zegt mij dat daar wat is want geen er komt geen "ICMP Unreachable"
Dat kan een reden zijn om verder "onderzoek" te doen en misbruik te gaan maken van een eventuele service die er draait.
Men zou zich drukker moeten maken over of men er in komt of niet i.p.v. of men zichtbaar is want dat ben je toch wel.
Simpeler kan ik het niet maken want toveren met woorden is niet mijn sterkste kant ;)
-
Filtering met blocking en verder dat je "onzichtbaar bent" (dat is namelijk het resultaat van die filtering met blocking + aanvullende instellingen), zonder enige respons terug is "hetzelfde" als de internet stekker eruit trekken.
Het resultaat van die scan is hetzelfde, het effect op een verbinding ook. Of dat met bots gebeurt 1x per dag of elke 10 minuten maakt niet uit.
Die filtering en resultaat van een scan verandert er niet door. Ofwel "geen verbinding". Hoe hoog of laag dat je ook springt.
De instellingen zijn 24/7 actief. De kans op een hack (via die verscherpte firewall en router instellingen) is in ieder geval een stuk afgenomen.
Afgezien van eventuele veiligheidslekken waar ik nu niet in kan voorzien.
Maar dat is iets voor de heren ingenieurs van Synology, die dat geregeld weer bijstellen in nieuwe firmware.
Met mooie woorden heeft het allemaal niet te maken. Het zijn gewoon concrete zaken die de heren ingenieurs van Synology hebben bedacht en er als zodanig vorm aan hebben gegeven om daarmee de veiligheid van hun producten mee te verhogen. Maak er simpel gebruik van.
-
Beste Babylonia,
ik ben pas overgestapt van KPN naar Ziggo.
Net als op de Experiabox heb ik op het Ziggo modem een aantal poorten doorgestuurd naar mijn Synology router.
Alleen kan ik sinds de overstap naar Ziggo kan ik mijn Synology NAS niet meer bereiken via DDNS vanuit mijn eigen netwerk.
Als ik mijn telefoon overschakel van Wifi naar data is dit wel mogelijk.
Ook vanaf mijn werk kom ik gewoon op mijn NAS.
Als ik de optie " Wanneer IPv4 WAN-naar-LAN-verkeer met geen enkele regel overeenkomt" naar toestaan zet ipv weigeren kan ik weer mijn NAS bereiken vanuit mijn eigen WIFI netwerk.
Ik heb gezocht naar instellingen die nog naar KPN verwijzen, maar deze niet gevonden. Heb jij nog ideeën ?
-
Als ik de optie " Wanneer IPv4 WAN-naar-LAN-verkeer met geen enkele regel overeenkomt" naar toestaan zet ipv weigeren kan ik weer mijn NAS bereiken vanuit mijn eigen WIFI netwerk.
Het zou kunnen dat bij Ziggo de "loopback" functie om domeinen binnen het interne LAN te verwijzen niet goed functioneert??
Of de Firewall regels zijn niet compleet, vandaar dat het wordt doorgelaten met die laatste regel die je hebt veranderd.
Maar dat zou niet de juiste optie moeten zijn om in te zetten. Niet veilig, want wat wordt er dan nog meer doorgelaten??
Kun je een schermafdruk van je complete Firewall regels weergeven + een beschrijving van evt. extra services die je hebt draaien,
en wat je van buiten als connectie wilt bereiken?
-
Hieronder zie je mijn firewall regels.
Als eerste staat mijn lokale gebruik. Hier laat ik alles toe van mijn lokale IP-adressen.
Op de 2e regel heb ik regio Nederland staan.
3e en 4e regel is om vanaf mijn werk thuis te kunnen inloggen op mijn NAS. Op het werk gaan we namelijk in London internet op.
Poort 25 en 993 gebruik ik voor mijn e-mail.
Poort 80 voor webmail en photo station
poort 6690 voor cloud station
ik gebruik verder geen services om van buitenaf te gebruiken
-
ik gebruik verder geen services om van buitenaf te gebruiken
???
Je geeft ervoor net aan dat je vanuit werklocaties in Londen (en wellicht nog een andere plek) contact legt met je NAS.
Dan gebruik je dus services om van buitenaf de NAS te kunnen bereiken.
Wat me daarbij opvalt dat de 3e en 4e regel kennelijk de IP-adressen omvatten "buiten Nederland" voor dezelfde services als die je erboven alleen voor Nederland hebt ingesteld. (Dus mogelijk nog Engeland erbij en nog een ander land ?).
Maar kennelijk gebruik je nog iets extra. Waarom benoem je de 4e regel "VPN" ??
Als je een VPN-verbinding gebruikt horen daarbij tevens de "VPN-services" om op te nemen in de Firewall, en de gebruikte Virtuele VPN IP sub-nets.
Verder vraag ik me af of voor e-mail je mogelijk niet meer "buitenland" toegang moet toestaan. Dat loopt soms via omwegen.
Er is hierover meer op het forum beschreven. Zou je op kunnen zoeken. (Zelf gebruik ik geen e-mail server in mijn thuis netwerk).
-
Met services dacht ik dat je VPN, FTP of iets dergelijks bedoelde.
Ik heb een betere afdruk gemaakt van mijn firewall instellingen.
Regel 3:
Als ik op kantoor werk heb ik via http://whatismyipaddress.com gekeken welk IP-adres ik krijg.
Deze verschilt wel eens en heb een range aangemaakt met de IP-adressen die ik krijg.
Regel 4:
Als ik bij een klant zit kan ik via een VPN connectie verbinding maken met het netwerk van mijn werk.
Hier heb ik ook gekeken welke IP-adressen ik krijg, deze twee staat in regel 4.
ik zal op het forum kijken welke route mijn verbinding thuis aflegt, als ik op http://whatismyipaddress.com kijk, zie ik mijn dorp als locatie.
-
Met alle respect, maar ik denk dat je totaal niet begrijpt wat belangrijk is in je instellingen en hoe internet data-stromen lopen.
(Of het moet zijn dat je de informatie wat "onbeholpen" beschrijft waardoor het een andere door mij onbegrepen voorstelling van zaken geeft).
Regel 3:
Als ik op kantoor werk heb ik via http://whatismyipaddress.com gekeken welk IP-adres ik krijg.
Deze verschilt wel eens en heb een range aangemaakt met de IP-adressen die ik krijg.
Als het vanuit Nederland is, wordt dat reeds meegenomen met de regel ervoor vanuit de regio "Nederland".
Als dat vanuit "Londen" is, en mogelijk nog andere adressen in Engeland of andere landen, om geen "bot" te vangen als dat adres toevallig toch weer anders is, zou je beter de regio's van die andere landen erbij kunnen nemen. Of je moet wel heel zeker zijn dat die IP-adressen op die buitenlandse locaties echt "vaste" IP-adressen betreffen en niet veranderen (binnen die gegeven reeks).
Regel 4:
Als ik bij een klant zit kan ik via een VPN connectie verbinding maken met het netwerk van mijn werk.
Hier heb ik ook gekeken welke IP-adressen ik krijg, deze twee staat in regel 4.
Als je bij een klant zit en een VPN-connectie maakt naar je werk (wat naar ik aanneem dan NIET thuis is), heeft je router thuis geen enkele connectie in die VPN-verbinding. Het heeft dus geen enkele zin daarvan IP-adressen van op te nemen voor je router thuis.
Maar om op de basis terug te komen van je eerste vraag.
Zet je Firewall eens uit. (Alle regels uitschakelen). wat houdt je dan over met je loopback functie?
-
::) :o
Het lukt me niet om de firewall en portforwarding ingesteld te krijgen. Wie kan me helpen?
Ik heb een poging gedaan om firewall-regels in te stellen in de router. En daarnaast een aantal regels voor port-forwarding. Zeker nog niet klaar, maar nu lukt het al niet.
SRM draait onder 1.1.4-6509 Update 2 = up to date (zie 00_SRM_Versie.png
Waar kom ik vandaan:
Ziggo-modem (router is uitgeschakeld)
D-link-router volgens mij zonder firewall-regels, maar wel met port-forwarding. Een hele lijst, onder andere voor Beheer (port 5001), maar ook 6690 voor Cloud. Dit werkte goed. Net zoals VPN-service met poorten 500,1701,4500.
Wat heb ik nu gedaan:
De D-link is verwijderd en daarvoor in de plaats is de RT2600 gekomen.
Op de RT2600 zijn een aantal firewall-regels gemaakt en een aantal port-forward regels.
Ik kom wel via mijn ddns bij alle drie de systemen. Dus die port-forward/firewall-regels zouden goed moeten zijn.
Maar de cloud naar de DS212 krijg ik niet actief. Terwijl er op de DS212 wat dat betreft niets gewijzigd is, of het moet zijn dat het wijzigen van het IP-adres intern van de DS een oorzaak kan zijn.
Ook de VPN naar de DS212 krijg ik niet meer aan de praat.
Zie 01_FireWall.png / 02_PortForward.png en 03_PoortenCheck.png
Wat wil ik bereiken:
- cloud bereikbaar
- vpn
- photo- audio- station etc bereikbaar (nog niets aan gedaan)
Wat??? doe ik verkeerd?
++++++
Wat me overigens ook opvalt is dat ik maar op één apparaat tegelijk ingelogd kan zijn, als ik gebruik maak van de ddns-route. Maak ik gebruik van het account bij Synology, dan mag ik er bij 2 ingelogd zijn. Iemand een idee waarom dat is? Waarom mag ik niet bij alle drie tegelijk ingelogd zijn? (Ik gebruik Chrome als webbrowser)
++++++
gr.
Willie
-
Ik zie verschillende instellingen die door elkaar heenlopen / in conflict zijn met hetgeen je als service instelt voor de router versus NAS(sen).
VPN (Plus) heb je kennelijk in gebruik als service in de router.
Toch heb je port forwarders nog steeds actief ingesteld voor een "oude" VPN instelling, die je kennelijk op een van je twee NAS'sen had draaien.
Als je de VPN-server van de router wilt benutten, haal de port forwarders voor VPN die verwijzen naar een NAS dan weg, of schakel ze minimaal uit.
Regel 8 komt me ook vreemd over, waar je voor alle externe connecties voor specifieke poorten die alleen intern via een LAN van toepassing zijn, toegang zou willen verschaffen?
Verder vind ik de opbouw van wat je wel als connectie toelaat "voor heel de wereld" en waar je beperkingen legt alleen voor connectie vanuit bepaalde regio's erg onlogisch. Bedenk ook als je vanuit een externe locatie verbindingen expliciet alleen via VPN zou willen opzetten, hoef je in de firewall regels alleen voor VPN toegang te verschaffen voor externe IP-adressen, niet voor de andere services.
Wat wil je eigenlijk bereiken met die Firewall regels?
Bepaal eerst voor welke services je toegang wilt verschaffen, en vanuit welke regio's. Pas daar je firewall regels op aan.
-
Babylonia,
Ik wil eerst de oude toepassingen weer in de lucht hebben, alvorens ik de functies op de router en nieuwe NAS ga inzetten.
Dus ja, het klopt dat ik op de router VPN-server wil gaan draaien, maar dat is nog niet ingesteld. Op de DS212 heb ik de 'oude' VPN nog actief, maar ik kan dus geen VPN-verbinding van buiten opgezet krijgen.
De Cloud station drive krijg ik ook niet actief, niet op de PC thuis en ook niet op de laptop vanuit extern. Cloud station wordt bij het opstarten van PC/laptop wel gestart en meldt zich actief. Maar meteen komt daar de melding 'Bezig met verbinden'.
Graag wil ik eerst dit werkend krijgen, voordat ik de andere toepassingen ga verzinnen.
Ik wil graag het beheerders-account van de router en de Nassen alleen vanuit Nederland (België en Duitsland voor het geval dat) toegankelijk maken. Maar andere toepassingen zullen eigenlijk vanaf de wereld toegankelijk moeten zijn. Zoals VPN, maar ook cloud.
Kun je dus aangeven waar het hier mis gaat, zodat ik dat eerst op kan lossen en zodoende inzicht krijg hoe het werkt?
Latere toepassingen zijn:
- VPN om bij de klant geen 'gegevens' achter te laten over het surfen en lezen van de mail. Maar ook om straks vanuit China überhaupt mijn gmail te kunnen openen :).
- Cloud voor het synchroniseren van 'mijn' data tussen PC en laptop. Maar ook voor het bestuur van onze vereniging. En die gaan niet via VPN verbinding maken, maar via mijn ddns-adres.
gr.
Willie
-
Ik wil eerst de oude toepassingen weer in de lucht hebben, alvorens ik de functies op de router en nieuwe NAS ga inzetten.
Dus ja, het klopt dat ik op de router VPN-server wil gaan draaien, maar dat is nog niet ingesteld. Op de DS212 heb ik de 'oude' VPN nog actief, maar ik kan dus geen VPN-verbinding van buiten opgezet krijgen.
OK, VPN dus nog actief op je DS212.
Toch zie ik in de firewall regels bij regel 3. voor VPN staan m.b.t. VPN Plus, maar zie niet wat er nog meer aanvullend aan VPN services is ingevuld.
Maar die verwijzen allen naar VPN services die gelden onder "SRM", dus alsof ze draaien op de router zelf, en niet de NAS. Die zal je voor de doelpoort (althans VPN volgens het L2TP/IPSec protocol) dan toch expliciet moeten instellen voor het IP adres van de DS212.
Tevens onder Beveiliging ----> voor "VPN Pass-through" voor de betreffende VPN protocollen dat aanvinken.
Met wat je verder benoemt, zou je de regels 1, 2, 4, 5 en 8 weg kunnen halen, en specifiek regels erbij moeten plaatsen voor toegang naar SRM en DSM met regio-selectie, en toegang voor het fysieke lokale IP-bereik en de gebruikte VPN VLAN IP-bereiken.
Ten aanzien van regel 9, Cloud Station, kun je dat extern via VPN benaderen.
Dus dat hoef je niet expliciet voor externe benadering in te stellen (is veiliger).
De volgorde van de firewall regels is ook belangrijk, omdat alles in volgorde wordt afgewerkt.
Een en ander wat je als voorbeeld en beschrijving kunt vinden ergens aan het begin van deze draad, zie die voorbeelden < DAAR > (https://www.synology-forum.nl/synology-router/hoe-firewall-instellen-in-de-router/msg200596/#msg200596)
Bestudeer dat eens eerst!! Verder zou ik je ook aanraden de PDF handleiding te downloaden en HELP-bestanden te bestuderen zodat je beter de basis begrijpt hoe een en ander funtioneert, want eigenlijk klopt er nauwelijks iets met je instellingen.
-
quote: "Verder zou ik je ook aanraden de PDF handleiding te downloaden"
Welke handleiding bedoel je en waar kan ik die vinden?
quote: " HELP-bestanden te bestuderen"
Als je daar de '?'-knop voor de firewall-configuratie mee bedoeld, dan vind ik daar niet de informatie om het goed in te richten. De help geeft alleen aan dat je firewall-regels aan kunt maken, maar er wordt bijvoorbeeld al niet aangegeven dat de volgorde belangrijk is. En al helemaal niet hoe dit werkt, samen met port-forwarding.
Vanmorgen nog een poging ondernomen door trial en error.... resultaat is nog steeds error.
-
Klik op de tab "Documenten":
https://www.synology.com/nl-nl/support/download/RT1900ac
https://www.synology.com/nl-nl/support/download/RT2600ac
Tezamen met de eerdere voorbeelden die zijn gegeven en andere berichten hier op het forum met voorbeelden, zou dat toch wel wat inzicht moeten geven, hoe je het een en ander opzet. < HIER > (https://www.synology-forum.nl/firmware-algemeen/ip-adres-geblokkeerd-viassh/msg203461/#msg203461) een aantal verwijzingen bij elkaar.
Verder heel belangrijk om te beseffen, zijn de Firewall instellingen in een NAS zelf. Die kunnen ook het een en ander afblokken. Het "totaalbeeld" kan vertekent overkomen van wat er zich aan processen afspeelt. (Twee Firewalls achter elkaar). Om de specifieke Firewall regels in de router af te stemmen en te controleren, zou je die in de NAS (tijdelijk) kunnen uitschakelen. Krijg je beter inzicht van wat enkel de Firewall in de router doet.