1
Vraag
2
Reacties
Mr. Goochie

Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Externe poort 443 naar interne poort forward in Connectbox & Synology NAS statisch IP?!

Goedendag, ik heb een Synology NAS geconfigureerd en aangesloten. De beveiligde verbinding loopt niet standaard via poort 5001, maar via poort 6661. Nu ben ik bezig om de server direct te bereiken via gebruikersnaam.synology.me en als ik dat wil doen, dan moet ik er ook nog: 6661 achter zetten. Ik wil graag dat de NAS bereikbaar is via gebruikersnaam.synology.me zonder de :6661, en daarvoor moet ik de externe poort 443 forwarden naar de interne poort 6661. Via de normale handleiding lukt me dit niet. Kan iemand me vertellen hoe ik een externe poort (443) kan forwarden naar een interne poort (6661)? Moet dat via port triggering bijvoorbeeld? Ik weet dat het op niet ziggo routers wel relatief makkelijk kan worden ingesteld.

 

Tweede vraag: de NAS heeft automatisch een IP adres toegewezen gekregen. Doe ik er verstandig aan om hier in de Ziggo modem een statische IP adres voor te reserveren? En zo ja, welk IP adres kan ik dan het beste gebruiken? Ik geloof dat het nu IP.192 is geworden. Kan ik gewoon IP.192 aanhouden en daar via de module IP reserveren een statisch IP adres van maken? En welk voordeel heb ik daarbij? Dank voor de reacties.

Uitgelicht
Karel.

Level 16
  • 2236Reacties
  • 283Oplossingen
  • 1562Likes

Gelet op je vraagstelling en wat je wil en wat ik gelezen op internet heb het je volgens onderstaande afbeelding en configuratie moeten kunnen werken. De rode portforward regels alleen gebruiken als je het ook absoluut noodzakelijk vind. Immers iedereen kan via die poorten naar binnen. Gebruik indien mogelijk ipv de forward regels quickconnect, dat is op die manier veel veiliger.

 

Wel zal je in de url voor beheer :6661 moet toevoegen maar dat maakt juist het veiliger dan zonder oftewel de standaard 443 poort. Desnoods maak een favoriet daarvoor aan in je webbrowser. Mijn NAS is nog standaard voor beheer ingesteld op poort 5001. Als ik dan op mijn LAN de url met het IPadres en zonder :5001 intik wordt verbinding gezocht met https poort 443 en door de NAS automatisch geredirect naar poort 5001. Of dat ook nog werkt met een aangepaste poort :6661 weet ik niet.

 

Voor webdav zou je voor de externe kant ook een andere poort dan 5006 kunnen kiezen maar dan moet je in de url daarvoor ook de : met alternatieve poortnummer moeten gebruiken.

 

Geef de NAS’en ook een fixed IP adres DHCP reservering in de routers.

 

Als de router geen hairpin ondersteund en/of portforward niet actief is, zal je lokaal de NAS via het lokale LAN IP adres moeten benaderen. De webrowser kan dat dan blokkeren of met privé waarschuwing komen omdat het (self signed) certificaat niet overeenkomt de host.domeinnaam of ipadres. Moderne browser zijn tegenwoordig beperkt in het gebruik van self signed certificaten.

 

NAS.png

39 Reacties 39
Meldingen
Aan Uit
tobiastheebe

Level 20
T.E.A.M.
  • 34310Posts
  • 2510Oplossingen
  • 17290Likes

Het is mogelijk dat poort 443 extern gebruiken impliciet wordt geblokkeerd. Ik begrijp dat het wel lukt als je poort 6661 naast intern ook extern gebruikt? Port triggering is niet de juiste functie.

 

Voor port forwarding wordt inderdaad aanbevolen om een statische lease te gebruiken. Je kunt de huidige dynamische lease inderdaad omzetten naar een statische lease. Voordeel is dat dit adres nooit wordt ingezet voor een ander apparaat, wat voorkomt dat je port forwarding-regel moet aanpassen.

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Dank voor de snelle reactie @tobiastheebe. Ik heb nu gewoon middels portforwarding 6661 open gezet door begin en eindpoorten intern en extern steevast 6661 in te vullen. Dat werkt, ten minste, ik neem aan dat het werkt, omdat ik de NAS kan bereiken met Quickconnect van Synology.

 

Als je dan gaat invullen bij:

 

Lokale beginpoort: Voer hier het te forwarden poortnummer in. In ons voorbeeld dus 2020. In het geval van een reeks poorten, zet je hier het eerste poortnummer neer.
Lokale eindpoort: Hier voer je ook het te forwarden poortnummer in. Gaat het om een reeks? Voer hier dan het laatste poortnummer van de reeks toe.
Externe beginpoort: Doorgaans voer je hier hetzelfde poortnummer in als bij de lokale beginpoort.
Externe eindpoort: Doorgaans voer je hier hetzelfde poortnummer in als bij de lokale beginpoort.

 

6661 

6661

443

443

 

Dan krijg je een foutmelding. Mij is niet goed duidelijk hoe dit zo in te stellen, dat ik 443 kan forwarden naar 6661.

 

Porttriggering kan dus sowieso uit, daar had ik het wat ingesteld, maar dat was dus niet hiervoor bedoel.

 

Mijn broertje had het op zijn router (merk even onbekend) wel makkelijk voor elkaar gekregen, external port 443 en dan internal port 6661. En dan werkt hetgeen ik wil, perfect. Volg je dan XXX.synology.me in dan kom je op de aanmeldpagina uit. Alleen deze NAS zit dus nu achter een Ziggo modem. En daar kan ik niet zo 1,2,3 achterhalen hoe 443 geforward te krijgen naar die 6661. 

tobiastheebe

Level 20
T.E.A.M.
  • 34310Posts
  • 2510Oplossingen
  • 17290Likes

Welke foutmelding zie je?

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Ik geloof "er staan dubbele poorten ingesteld" of zoiets. In ieder geval rood gekleurd. De modem staat ergens anders, vandaar. Maar in ieder geval iets waaruit blijkt dat het niet mogelijk was om:

 

6661 

6661

443

443

 

In te stellen. Iets met dubbele nummers.

tobiastheebe

Level 20
T.E.A.M.
  • 34310Posts
  • 2510Oplossingen
  • 17290Likes

Je dient de regel met 6661 → 6661 te verwijderen voordat je de nieuwe regel met extern 443 → intern 6661 aanmaakt.

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Ok. En heeft dat dan geen invloed op de bereikbaarheid van 6661 via de standaardweg (Quickconnect)?!

 

En welke poorten moet ik waar precies invullen?

tobiastheebe

Level 20
T.E.A.M.
  • 34310Posts
  • 2510Oplossingen
  • 17290Likes

Dit heeft geen effect op het bereiken van de NAS binnen het LAN.

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Ja ok. Maar, die NAS moet van buiten de LAN gewoon bereikt kunnen worden, vandaar dat ik 6661 naar 6661 heb geportforward in eerste instantie.

tobiastheebe

Level 20
T.E.A.M.
  • 34310Posts
  • 2510Oplossingen
  • 17290Likes

QuickConnect maakt geen gebruik van port forwarding, hiervoor wordt een uitgaande verbinding opgezet naar een server van Synology.

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Ik ga het proberen en later terugkoppelen. Dank tot zover. Maar waarom heb ik dan 6661 via portfowarding "open" moeten zetten? Ik dacht dat dat moest om zo de toegang tot de NAS vlekkeloos te laten verlopen... Te meer nu ik de standaard poorten 5000 en 5001 niet gebruik. Maar in de NAS heb omgezet naar 6660 en 6661. 

tobiastheebe

Level 20
T.E.A.M.
  • 34310Posts
  • 2510Oplossingen
  • 17290Likes

Port forwarding heeft alleen betrekking op inkomende verbindingen vanuit internet naar LAN. Om verbinding te maken met de NAS, direct op intern(e) hostname/IP-adres (ongeacht welke poorten) of via QuickConnect, is geen port forwarding vereist.

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Duidelijk. Laatste vraag: wat moet ik precies invullen bij:

 

Lokale beginpoort: Voer hier het te forwarden poortnummer in. In ons voorbeeld dus 2020. In het geval van een reeks poorten, zet je hier het eerste poortnummer neer.
Lokale eindpoort: Hier voer je ook het te forwarden poortnummer in. Gaat het om een reeks? Voer hier dan het laatste poortnummer van de reeks toe.
Externe beginpoort: Doorgaans voer je hier hetzelfde poortnummer in als bij de lokale beginpoort.
Externe eindpoort: Doorgaans voer je hier hetzelfde poortnummer in als bij de lokale beginpoort.

 

6661

6661

443

443

 

Of 6661

443

6661

443?

tobiastheebe

Level 20
T.E.A.M.
  • 34310Posts
  • 2510Oplossingen
  • 17290Likes

Lokaal beide 6661, extern beide 443, dus de eerste combinatie.

Karel.

Level 16
  • 2236Posts
  • 283Oplossingen
  • 1562Likes

Ik zelf heb op mijn LAN voor mijn synology gewoon de standaard poorten. Dat maakt het bij foutzoeken of NAS wissel voor jezelf gemakkelijker. Maar aan de internet zijde gebruik ik juist afwijkende poorten en alleen op het moment als ik het wil. M.a.w. portforwarding is alleen actief op moment dat ik het nodig heb. Alleen mijn Wireguard VPN heb ik meestal actief, en dan is mijn synology gewoon bereikbaar alsof ik direct op mijn LAN werk.

 

Afwijkende poorten op de internet zijde maakt het voor potentiële verdachte figuren vanaf het internet moeilijker. Poort 80 en 443 zullen als eerste getest worden op zwakheden. Gebruik 80 en 443 alleen als je een publiek toegankelijke website moet hosten. Zelf heb ik heb deze poorten alleen even geforward als ik mijn Let’s Encrypt certificaat moet vernieuwen.

Jamyla
Community Moderator
Community Moderator
  • 6093Posts
  • 725Oplossingen
  • 2601Likes

Goedemiddag @Mr. Goochie 

 

Een hoop tips zijn er hier in je topic voorbij gekomen. Super om te zien dat er zo adequaat gehandeld wordt vanuit onze experts.

Hoe staat het er momenteel voor bij jou? Heeft 1 van deze tips je geholpen de Synology NAS goed te configureren?

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

@tobiastheebe de voorgestelde oplossing (lokaal beiden 6661, extern beiden 443) werkt niet. Krijgt de foutmelding van de eindpoorten hoger moeten zijn dan de beginpoorten. Heb het IP adres inmiddels wel kunnen reserveren, dus dat is gelukt. Het lijkt echter onmogelijk om een externe poort (443) te port forwarden naar een interne poort (die 6661) op een ziggo modem. Verdere gedachten hierbij?

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

@Karel. dank voor de toevoeging. Begrijp ik het nou goed dat ik er verkeerd aan heb gedaan de poorten zoals weergegeven op onderstaand schema, 'open' te zetten in de router? Ik was in de veronderstelling dat voor een correcte werking van de diverse functionaliteiten, je bepaalde poorten moet port forwarden, maar begin nu te twijfelen of ik voldoende goed begrip heb van de NAS en de bijbehorende instellingen.

 

Deze NAS staat op een externe locatie en dus van belang om de NAS te kunnen bereiken van buiten het LAN netwerk. Ik heb er juist voor gekozen om de standaardpoorten 5000 en 5001 om te zetten naar 6660 en 6661 vanuit veiligheidsoverwegingen (DSM). Zoals het nu staat ingesteld kan de NAS worden bereikt via Quick Connect en met 22 (Hyper backup), 6281 (Hyper Backup), 80 (Photo Station), 143 (moet 443 zijn geloof ik) en 5006 (Webdav). Doe ik het nou verkeerd? En zo ja, hoe moet ik het dan instellen voor een correcte werking? Het opzetten van een VPN server via OpenVPN is mij te ingewikkeld, laat staat Wireguard.  

ZIGGO portforward schema.jpg

tobiastheebe

Level 20
T.E.A.M.
  • 34310Posts
  • 2510Oplossingen
  • 17290Likes
de voorgestelde oplossing (lokaal beiden 6661, extern beiden 443) werkt niet. Krijgt de foutmelding van de eindpoorten hoger moeten zijn dan de beginpoorten.

Kun je de exacte foutmelding plaatsen? Dit zou namelijk wel degelijk moeten werken. Mogelijk moet je de bestaande regel voor 6661 naar 6661 eerst nog verwijderen.

 

De huidige port forwarding-regels zijn vrij riskant, met name SSH. Gebruik je een sterk wachtwoord voor je gebruikersaccount? Je zou de toegang kunnen beperken tot specifieke IP-adressen/subnets d.m.v. de firewall op de NAS.

Karel.

Level 16
  • 2236Posts
  • 283Oplossingen
  • 1562Likes

Er is niks mis mee om af te wijken van standaard poorten. Maar bij problemen of het opzetten van functionaliteiten zijn de Synology knowledge base of internet artikelen bijna altijd gebaseerd op de standaard poorten. Dat maakt het configureren en testen op je LAN een stuk makkelijker.

 

Zelf maak ik geen gebruik van Quickconnect, maar als je daar gebruikt van maakt hoef je toch al die andere poorten niet meer open te zetten. Alles gaat dan via die Quickconnect verbinding. En het beperkt ook nog eens wie er toegang krijgt tot je NAS.

 

Het is onzinnig om een standaard poort op het LAN anders in te stellen en op de WAN zijde weer de standaard poort te gebruiken, daar haal je geen veiligheids winst mee, maar wel ongemak op je LAN. Dan kan je net zo goed een portforwarding doen van standaard poort naar standaard poort.

 

Bedenk goed wie mogen allemaal verbinding kunnen maken met je NAS en met welke toepassingen. M.a.w alleen toegang geven tot het hoogst noodzakelijke. Als je enigzins veiligheid wil toepassen is dan om vanaf de WAN kant een niet standaard poort te forwarden naar een standaard poort op je LAN zijde. De standaard poorten 22, 5000 en 5001 moet je zeker niet gebruiken op WAN zijde, dat is een uitnodiging om de zwakheden in DSM uit te laten buiten door hackers.

 

Ik maak gebruik van een Fritzbox kabel modem en die heeft een Wireguard VPN server ingebouwd. Daarnaast heb ik ook een RaspberryPi (moeilijk verkrijgbaar) met PiVPN-Wireguard. Wireguard is eenvoudiger dan OpenVPN.