Hoe firewall instellen in de router.

[Babylonia]

ik gebruik verder geen services om van buitenaf te gebruiken

Je geeft ervoor net aan dat je vanuit werklocaties  in Londen (en wellicht nog een andere plek) contact legt met je NAS.
Dan gebruik je dus services om van buitenaf de NAS te kunnen bereiken.

Wat me daarbij opvalt dat de 3e en 4e regel kennelijk de IP-adressen omvatten "buiten Nederland" voor dezelfde services als die je erboven alleen voor Nederland hebt ingesteld.  (Dus mogelijk nog Engeland erbij en nog een ander land ?).
Maar kennelijk gebruik je nog iets extra.  Waarom benoem je de 4e regel "VPN" ??

Als je een VPN-verbinding gebruikt horen daarbij tevens de "VPN-services" om op te nemen in de Firewall, en de gebruikte Virtuele VPN IP sub-nets.

Verder vraag ik me af of voor e-mail je mogelijk niet meer "buitenland" toegang moet toestaan. Dat loopt soms via omwegen.
Er is hierover meer op het forum beschreven. Zou je op kunnen zoeken. (Zelf gebruik ik geen e-mail server in mijn thuis netwerk).

[spencer_830]

Met services dacht ik dat je VPN, FTP of iets dergelijks bedoelde.

Ik heb een betere afdruk gemaakt van mijn firewall instellingen.
Regel 3:
Als ik op kantoor werk heb ik via http://whatismyipaddress.com gekeken welk IP-adres ik krijg.
Deze verschilt wel eens en heb een range aangemaakt met de IP-adressen die ik krijg.

Regel 4:
Als ik bij een klant zit kan ik via een VPN connectie verbinding maken met het netwerk van mijn werk.
Hier heb ik ook gekeken welke IP-adressen ik krijg, deze twee staat in regel 4.

ik zal op het forum kijken welke route mijn verbinding thuis aflegt, als ik op http://whatismyipaddress.com kijk, zie ik mijn dorp als locatie.

[Babylonia]

Met alle respect, maar ik denk dat je totaal niet begrijpt wat belangrijk is in je instellingen en hoe internet data-stromen lopen.
(Of het moet zijn dat je de informatie wat "onbeholpen" beschrijft waardoor het een andere door mij onbegrepen voorstelling van zaken geeft).

Regel 3:
Als ik op kantoor werk heb ik via http://whatismyipaddress.com gekeken welk IP-adres ik krijg.
Deze verschilt wel eens en heb een range aangemaakt met de IP-adressen die ik krijg.

Als het vanuit Nederland is, wordt dat reeds meegenomen met de regel ervoor vanuit de regio "Nederland".
Als dat vanuit "Londen" is, en mogelijk nog andere adressen in Engeland of andere landen, om geen "bot" te vangen als dat adres toevallig toch weer anders is, zou je beter de regio's van die andere landen erbij kunnen nemen.  Of je moet wel heel zeker zijn dat die IP-adressen op die buitenlandse locaties echt "vaste" IP-adressen betreffen en niet veranderen (binnen die gegeven reeks).

Regel 4:
Als ik bij een klant zit kan ik via een VPN connectie verbinding maken met het netwerk van mijn werk.
Hier heb ik ook gekeken welke IP-adressen ik krijg, deze twee staat in regel 4.

Als je bij een klant zit en een VPN-connectie maakt naar je werk (wat naar ik aanneem dan NIET thuis is), heeft je router thuis geen enkele connectie in die VPN-verbinding. Het heeft dus geen enkele zin daarvan IP-adressen van op te nemen voor je router thuis.


Maar om op de basis terug te komen van je eerste vraag.
Zet je Firewall eens uit. (Alle regels uitschakelen). wat houdt je dan over met je loopback functie?

[wideko]

Het lukt me niet om de firewall en portforwarding ingesteld te krijgen. Wie kan me helpen?
Ik heb een poging gedaan om firewall-regels in te stellen in de router. En daarnaast een aantal regels voor port-forwarding. Zeker nog niet klaar, maar nu lukt het al niet.

SRM draait onder 1.1.4-6509 Update 2 = up to date (zie 00_SRM_Versie.png

Waar kom ik vandaan:
Ziggo-modem (router is uitgeschakeld)
D-link-router volgens mij zonder firewall-regels, maar wel met port-forwarding. Een hele lijst, onder andere voor Beheer (port 5001), maar ook 6690 voor Cloud. Dit werkte goed. Net zoals VPN-service met poorten 500,1701,4500.

Wat heb ik nu gedaan:
De D-link is verwijderd en daarvoor in de plaats is de RT2600 gekomen.
Op de RT2600 zijn een aantal firewall-regels gemaakt en een aantal port-forward regels.

Ik kom wel via mijn ddns bij alle drie de systemen. Dus die port-forward/firewall-regels zouden goed moeten zijn.
Maar de cloud naar de DS212 krijg ik niet actief. Terwijl er op de DS212 wat dat betreft niets gewijzigd is, of het moet zijn dat het wijzigen van het IP-adres intern van de DS een oorzaak kan zijn.
Ook de VPN naar de DS212 krijg ik niet meer aan de praat.

Zie 01_FireWall.png / 02_PortForward.png en 03_PoortenCheck.png


Wat wil ik bereiken:
- cloud bereikbaar
- vpn
- photo- audio- station etc bereikbaar (nog niets aan gedaan)

Wat??? doe ik verkeerd?


++++++
Wat me overigens ook opvalt is dat ik maar op één apparaat tegelijk ingelogd kan zijn, als ik gebruik maak van de ddns-route. Maak ik gebruik van het account bij Synology, dan mag ik er bij 2 ingelogd zijn. Iemand een idee waarom dat is? Waarom mag ik niet bij alle drie tegelijk ingelogd zijn? (Ik gebruik Chrome als webbrowser)
++++++

gr.
Willie

[Babylonia]

Ik zie verschillende instellingen die door elkaar heenlopen / in conflict zijn met hetgeen je als service instelt voor de router versus NAS(sen).

VPN (Plus) heb je kennelijk in gebruik als service in de router.
Toch heb je port forwarders nog steeds actief ingesteld voor een "oude" VPN instelling, die je kennelijk op een van je twee NAS'sen had draaien.
Als je de VPN-server van de router wilt benutten, haal de port forwarders voor VPN die verwijzen naar een NAS dan weg, of schakel ze minimaal uit.

Regel 8 komt me ook vreemd over, waar je voor alle externe connecties voor specifieke poorten die alleen intern via een LAN van toepassing zijn, toegang zou willen verschaffen?

Verder vind ik de opbouw van wat je wel als connectie toelaat "voor heel de wereld" en waar je beperkingen legt alleen voor connectie vanuit bepaalde regio's erg onlogisch. Bedenk ook als je vanuit een externe locatie verbindingen expliciet alleen via VPN zou willen opzetten, hoef je in de firewall regels alleen voor VPN toegang te verschaffen voor externe IP-adressen, niet voor de andere services.

Wat wil je eigenlijk bereiken met die Firewall regels?
Bepaal eerst voor welke services je toegang wilt verschaffen, en vanuit welke regio's. Pas daar je firewall regels op aan.

[wideko]

Babylonia,

Ik wil eerst de oude toepassingen weer in de lucht hebben, alvorens ik de functies op de router en nieuwe NAS ga inzetten.
Dus ja, het klopt dat ik op de router VPN-server wil gaan draaien, maar dat is nog niet ingesteld. Op de DS212 heb ik de 'oude' VPN nog actief, maar ik kan dus geen VPN-verbinding van buiten opgezet krijgen.
De Cloud station drive krijg ik ook niet actief, niet op de PC thuis en ook niet op de laptop vanuit extern. Cloud station wordt bij het opstarten van PC/laptop wel gestart en meldt zich actief. Maar meteen komt daar de melding 'Bezig met verbinden'.

Graag wil ik eerst dit werkend krijgen, voordat ik de andere toepassingen ga verzinnen.

Ik wil graag het beheerders-account van de router en de Nassen alleen vanuit Nederland (België en Duitsland voor het geval dat) toegankelijk maken. Maar andere toepassingen zullen eigenlijk vanaf de wereld toegankelijk moeten zijn. Zoals VPN, maar ook cloud.

Kun je dus aangeven waar het hier mis gaat, zodat ik dat eerst op kan lossen en zodoende inzicht krijg hoe het werkt?

Latere toepassingen zijn:
- VPN om bij de klant geen 'gegevens' achter te laten over het surfen en lezen van de mail. Maar ook om straks vanuit China überhaupt mijn gmail te kunnen openen  .
- Cloud voor het synchroniseren van 'mijn' data tussen PC en laptop. Maar ook voor het bestuur van onze vereniging. En die gaan niet via VPN verbinding maken, maar via mijn ddns-adres.

gr.
Willie

[Babylonia]

Ik wil eerst de oude toepassingen weer in de lucht hebben, alvorens ik de functies op de router en nieuwe NAS ga inzetten.
Dus ja, het klopt dat ik op de router VPN-server wil gaan draaien, maar dat is nog niet ingesteld. Op de DS212 heb ik de 'oude' VPN nog actief, maar ik kan dus geen VPN-verbinding van buiten opgezet krijgen.

OK,  VPN dus nog actief op je DS212.
Toch zie ik in de firewall regels bij regel 3. voor VPN staan m.b.t. VPN Plus, maar zie niet wat er nog meer aanvullend aan VPN services is ingevuld.
Maar die verwijzen allen naar VPN services die gelden onder "SRM", dus alsof ze draaien op de router zelf, en niet de NAS.  Die zal je voor de doelpoort (althans VPN volgens het L2TP/IPSec protocol) dan toch expliciet moeten instellen voor het IP adres van de DS212.
Tevens onder Beveiliging ----> voor "VPN Pass-through" voor de betreffende VPN protocollen dat aanvinken.

Met wat je verder benoemt, zou je de regels 1, 2, 4, 5 en 8 weg kunnen halen, en specifiek regels erbij moeten plaatsen voor toegang naar SRM en DSM met regio-selectie, en toegang voor het fysieke lokale IP-bereik en de gebruikte VPN VLAN IP-bereiken.
Ten aanzien van regel 9, Cloud Station, kun je dat extern via VPN benaderen.
Dus dat hoef je niet expliciet voor externe benadering in te stellen (is veiliger).

De volgorde van de firewall regels is ook belangrijk, omdat alles in volgorde wordt afgewerkt.

Een en ander wat je als voorbeeld en beschrijving kunt vinden ergens aan het begin van deze draad, zie die voorbeelden < DAAR >
Bestudeer dat eens eerst!!  Verder zou ik je ook aanraden de PDF handleiding te downloaden en HELP-bestanden te bestuderen zodat je beter de basis begrijpt hoe een en ander funtioneert, want eigenlijk klopt er nauwelijks iets met je instellingen.

[wideko]

quote: "Verder zou ik je ook aanraden de PDF handleiding te downloaden"
Welke handleiding bedoel je en waar kan ik die vinden?

quote: " HELP-bestanden te bestuderen"
Als je daar de '?'-knop voor de firewall-configuratie mee bedoeld, dan vind ik daar niet de informatie om het goed in te richten. De help geeft alleen aan dat je firewall-regels aan kunt maken, maar er wordt bijvoorbeeld al niet aangegeven dat de volgorde belangrijk is. En al helemaal niet hoe dit werkt, samen met port-forwarding.

Vanmorgen nog een poging ondernomen door trial en error.... resultaat is nog steeds error.

[Babylonia]

Klik op de tab "Documenten":

https://www.synology.com/nl-nl/support/download/RT1900ac
https://www.synology.com/nl-nl/support/download/RT2600ac

Tezamen met de eerdere voorbeelden die zijn gegeven en andere berichten hier op het forum met voorbeelden, zou dat toch wel wat inzicht moeten geven, hoe je het een en ander opzet.  < HIER >  een aantal verwijzingen bij elkaar.

Verder heel belangrijk om te beseffen, zijn de Firewall instellingen in een NAS zelf. Die kunnen ook het een en ander afblokken. Het "totaalbeeld" kan vertekent overkomen van wat er zich aan processen afspeelt. (Twee Firewalls achter elkaar). Om de specifieke Firewall regels in de router af te stemmen en te controleren, zou je die in de NAS (tijdelijk) kunnen uitschakelen. Krijg je beter inzicht van wat enkel de Firewall in de router doet.