1
Vraag
2
Reageer en help mee
Mr. Goochie

Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Externe poort 443 naar interne poort forward in Connectbox & Synology NAS statisch IP?!

Goedendag, ik heb een Synology NAS geconfigureerd en aangesloten. De beveiligde verbinding loopt niet standaard via poort 5001, maar via poort 6661. Nu ben ik bezig om de server direct te bereiken via gebruikersnaam.synology.me en als ik dat wil doen, dan moet ik er ook nog: 6661 achter zetten. Ik wil graag dat de NAS bereikbaar is via gebruikersnaam.synology.me zonder de :6661, en daarvoor moet ik de externe poort 443 forwarden naar de interne poort 6661. Via de normale handleiding lukt me dit niet. Kan iemand me vertellen hoe ik een externe poort (443) kan forwarden naar een interne poort (6661)? Moet dat via port triggering bijvoorbeeld? Ik weet dat het op niet ziggo routers wel relatief makkelijk kan worden ingesteld.

 

Tweede vraag: de NAS heeft automatisch een IP adres toegewezen gekregen. Doe ik er verstandig aan om hier in de Ziggo modem een statische IP adres voor te reserveren? En zo ja, welk IP adres kan ik dan het beste gebruiken? Ik geloof dat het nu IP.192 is geworden. Kan ik gewoon IP.192 aanhouden en daar via de module IP reserveren een statisch IP adres van maken? En welk voordeel heb ik daarbij? Dank voor de reacties.

Uitgelicht
Karel.

Level 16
  • 2105Reacties
  • 268Oplossingen
  • 1456Likes

Gelet op je vraagstelling en wat je wil en wat ik gelezen op internet heb het je volgens onderstaande afbeelding en configuratie moeten kunnen werken. De rode portforward regels alleen gebruiken als je het ook absoluut noodzakelijk vind. Immers iedereen kan via die poorten naar binnen. Gebruik indien mogelijk ipv de forward regels quickconnect, dat is op die manier veel veiliger.

 

Wel zal je in de url voor beheer :6661 moet toevoegen maar dat maakt juist het veiliger dan zonder oftewel de standaard 443 poort. Desnoods maak een favoriet daarvoor aan in je webbrowser. Mijn NAS is nog standaard voor beheer ingesteld op poort 5001. Als ik dan op mijn LAN de url met het IPadres en zonder :5001 intik wordt verbinding gezocht met https poort 443 en door de NAS automatisch geredirect naar poort 5001. Of dat ook nog werkt met een aangepaste poort :6661 weet ik niet.

 

Voor webdav zou je voor de externe kant ook een andere poort dan 5006 kunnen kiezen maar dan moet je in de url daarvoor ook de : met alternatieve poortnummer moeten gebruiken.

 

Geef de NAS’en ook een fixed IP adres DHCP reservering in de routers.

 

Als de router geen hairpin ondersteund en/of portforward niet actief is, zal je lokaal de NAS via het lokale LAN IP adres moeten benaderen. De webrowser kan dat dan blokkeren of met privé waarschuwing komen omdat het (self signed) certificaat niet overeenkomt de host.domeinnaam of ipadres. Moderne browser zijn tegenwoordig beperkt in het gebruik van self signed certificaten.

 

NAS.png

39 Reacties 39
Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Ok. Dat eerste van niet standaard poorten gebruiken is duidelijk en niet onoverkomelijk. 

 

Op dit moment gebruik ik nog Quick Connect, maar wil dus eigenlijk standaard met XXX.synology.me gaan werken. Aangezien ik nog in de configuratie fase zit, heb ik nog niet bedacht wat de meest correcte aanvliegroute is. Ik heb twee NAS servers op verschillende locaties, en op die tweede, die als Backup server gaat fungeren, is het wél gelukt om 443 te forwarden naar 6661, en kan ik dus gewoon XXX.synology.me gebruiken. Juist ook om Quick Connect te vermijden. Voor huis, tuin en keuken consumenten is Quick connect prima, begreep ik, maar voor meer veiligheid, kun je beter anders toegang krijgen tot je NAS.

 

Uit wat je schrijft, begrijp ik in ieder geval dat het portforwarden van 6661 naar 6661 nu niet nodig is (voor toegang met Quick Connect) en dus net zo goed kan worden uitgezet?! 

 

En verder dus alles uitzetten met uitzondering van 6281 (wat nodig zal zijn om met Hyper Backup de bestanden te backkuppen van NAS 1, naar NAS 2) en eventueel WebDav, die ik met name nodig denk te hebben om NAS 1 te kunnen bereiken via mijn Windows Verkenner, netwerk locatie. Klopt dit laatste?

 

Tot slot: een VPN Server opzetten zou helemaal maximale veiligheid zijn, maar kan het kloppen dat dit nog best een ingewikkelde exercitie is voor een leek, zoals ik eigenlijk stiekem wel ben (behoudend wat Youtube en kennispagina kennis)?!  

Karel.

Level 16
  • 2105Posts
  • 268Oplossingen
  • 1456Likes

Hyperbackup over internet heb ik geen ervaring mee. Je kan beter op synology forum op zoek gaan naar antwoorden hoe je veilig een backup kan maken tussen twee NASsen op gescheiden netwerken en over het internet. 

 

bijvoorbeeld dit artikel https://www.synology-forum.nl/data-replicator-overige-backupsoftware/hyper-backup-naar-een-andere-sy... waar alleen over poort  6281 gesproken wordt.

 

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Inmiddels alle port fowards verwijderd, en die 6661 ingesteld op de locale poorten (begin en eind), en de 443 op de externe poorten (begin en eind). Die is alsnog aangemaakt nu, maar krijg evenwel géén connectie met de NAS via XXX.synology.me. Dat terwijl de instellingen op de NAS identiek zijn als op de back-up NAS waar ik wel toegang toe krijg via XXX.synology.me. Nog aanvullende gedachten hierover waarom dit niet zou werken?  

tobiastheebe

Level 20
T.E.A.M.
  • 33264Posts
  • 2391Oplossingen
  • 16848Likes

Kun je met bijvoorbeeld deze site eens testen of poort 443 antwoord geeft?

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Alle poorten dicht. Niet alleen 443, maar bijv. ook 5006 die ik portfoward heb laten staan vanwege Webdav. Melding is: Port XXX op IP is closed.

tobiastheebe

Level 20
T.E.A.M.
  • 33264Posts
  • 2391Oplossingen
  • 16848Likes

Maak je op dit moment gebruik van een statische lease op de modemrouter voor de NAS of een statische IP-configuratie op de NAS?

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Op dit moment heb ik het IP adres op de Ziggo modemrouter gereserveerd, zoals eerder besproken in dit topic. En op de NAS zelf heb ik onder DSM, 6660 en 6661 ingevoerd. Een Reverse proxy regel aangemaakt van https 443, XXX.synology.me, HSTS aangevinkt, naar https 6661 local host. 

 

Verder staat Quickconnect ingeschakeld, en is de Quick connect relay service aangevinkt. En wat services voor Quickconnect staan aan. En tot slot, onder geavanceerd, staat bij hostnaam/statische IP: XXX.synology.me aan, met poorten http 6660 en https 6661.

 

Bij de Backup nas die achter een niet Ziggo modem zit, kun je XXX.synology.me gebruiken, dan redirect ie met exact dezelfde instellingen automatisch naar XXX.Synology.me:6661. En door daar intern 443 te port forwarden naar 6661 in die niet-Ziggo router, pakte die XXX.synology.me zonder :6661. Dat was en is het doel. In dit specifieke geval pakt ie ook XXX.Synology.me:6661 NIET, en kan er geen verbinding worden gelegd via Synology.me. Alleen via Quickconnect.

tobiastheebe

Level 20
T.E.A.M.
  • 33264Posts
  • 2391Oplossingen
  • 16848Likes

Je gaf aan dat poort 443 ook niet bereikbaar is op het externe IPv4-adres van de Ziggo-modemrouter, het probleem ligt dus niet bij de FQDN xxx.synology.me. Voor de zekerheid: de NAS is binnen het LAN wel bereikbaar op 6660 en 6661, op het IP-adres van de port forwarding-regel? Een reverse proxy is overigens niet hetzelfde als port forwarding.

Karel.

Level 16
  • 2105Posts
  • 268Oplossingen
  • 1456Likes

Een reverse proxy heb je in principe niet nodig en maakt het alleen maar ingewikkelder. Een reverse proxy gebruik je normaliter als je een verbinding op zet naar je NAS welke dan de verbinding doorzet naar de echte server op een ander ip adres in je LAN. Dat kan een fysieke server, VM virtuele machine of Docker image zijn.

https://seahawkmedia.com/nl/tech/understanding-the-reverse-proxy-server/

 

Controleer ook je Firewall in je Synology NAS, staat die wel extern verkeer toe op je NAS.

 

Waarom je perse port 443 wil forwarden naar je NAS beheer poort snap ik niet, tenzij je graag hackers uitnodigt om je NAS te hacken en het totale beheer te laten overnemen. 

 

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Binnen de LAN is de NAS wél bereikbaar onder XXX.synology.me. Kies je voor IP-adres:6661 (en ook zonder :6661) dan krijg je een melding dat de verbinding niet privé is en criminelen er met je kostbare gegevens vandoor zullen gaan enz enz.

tobiastheebe

Level 20
T.E.A.M.
  • 33264Posts
  • 2391Oplossingen
  • 16848Likes

Als x.synology.me naar het externe IPv4-adres verwijst, dan is port forwarding werkend. Binnen het LAN wordt hiervoor hairpin/loopback NAT gebruikt.

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Ok. Gecontroleerd. En je hebt gelijk. Firewall was niet open gezet, nu alsnog gedaan net als op de NAS die wel werkt met xxx.synology.me vanaf buiten de LAN. Top! Alleen, NAS blijft onbereikbaar vanaf buiten de LAN met xxx.synology.me. 

 

Dat ik de reverse proxy had ingeschakeld, was omdat als je xxx.synology.me intikte voor de reverse proxy regel, je standaard xxx.synology.me:6661 te zien kreeg. Na het instellen van die proxy regel was het alleen xxx.synology.me en geen :6661 erachter.

 

En, om toegang te krijgen tot de NAS via xxx.synology.me moest ik wel 443 portforwarden naar 6661 zag ik, juist vanuit veiligheidsredenen. Ik ging er standaard vanuit dat zonder deze portforward, je gebruikt maakt van 443, en dat was zoals je terecht opmerkt, onveilig, althans dat meende ik. Nu door al jullie input niet alleen meer inzicht in wat ik aan het doen ben, maar ook twijfel of dat wat ik aan het doen ben, correct is.

Karel.

Level 16
  • 2105Posts
  • 268Oplossingen
  • 1456Likes

De privé melding van de browser kan komen door het (self signed) certificaat bij de HTTPS verbinding, die is verbonden aan xxx.synology.me en niet aan het (LAN) IP adres.

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Als ik x.synology.me van de BACKUP NAS invoer op die link van yougetsignal, dan zijn 443 en 6661 open. Voer ik daar in het IP adres dan zijn 443 en 6661 gesloten.

 

Op de NAS waar het hier om gaat zijn de poorten 443 en 6661 gesloten ongeacht x.synology.me dan wel het IP adres. Met andere woorden, 443 lijkt gewoon dicht te zijn, dus niet werkend. 

tobiastheebe

Level 20
T.E.A.M.
  • 33264Posts
  • 2391Oplossingen
  • 16848Likes

Forwarding van 6661 naar 6661 levert dus ook 'closed' op het externe IPv4-adres op? "Voer ik daar in het IP adres dan zijn 443 en 6661 gesloten." Welk IPv4-adres (intern/extern) van welke NAS? Uiteraard kun je alleen het externe IPv4-adres gebruiken op deze site.

 

"Firewall was niet open gezet, nu alsnog gedaan net als op de NAS die wel werkt met xxx.synology.me vanaf buiten de LAN. Top! Alleen, NAS blijft onbereikbaar vanaf buiten de LAN met xxx.synology.me. " Dit is tegenstrijdige informatie.

 

Bij gebruik van x.synology.me binnen het LAN kun je met gebrek aan ondersteuning voor hairpin/loopback NAT te maken krijgen, port forwarding gebruiken is in dat het geval niet mogelijk.

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Als je met externe IPv4-adres bedoelt het IP nummer dat je onderaan geconnect ziet in je DSM (192.168. etc), dan staat poort 5006 (nu alleen ingesteld, 6661 naar 6661 had ik uitgeschakeld op jullie advies) op gesloten! Terwijl ik daar wel een portforward regel van heb opengesteld in de modem. 443 en 6661 idem. Die staan van 443 geportforward naar 6661 volgens jouw aanwijzingen.

tobiastheebe

Level 20
T.E.A.M.
  • 33264Posts
  • 2391Oplossingen
  • 16848Likes

Het externe IPv4-adres is zichtbaar wanneer je de eerder genoemde site opent. De NAS binnen hetzelfde LAN als jouw PC (waarop de site zichtbaar is) maakt gebruik van hetzelfde IPv4-adres. Normaliter kun je dit adres dus laten staan bij testen. De backup NAS achter de router van de andere provider maakt gebruik van een ander extern IPv4-adres. Voor beide NAS'en is dus ook een andere FQDN nodig, 'x1'.synology.me en 'x2'.synology.me.

 

192.168 is een intern IP-adres en is alleen binnen het LAN bruikbaar.

Karel.

Level 16
  • 2105Posts
  • 268Oplossingen
  • 1456Likes

Gelet op je vraagstelling en wat je wil en wat ik gelezen op internet heb het je volgens onderstaande afbeelding en configuratie moeten kunnen werken. De rode portforward regels alleen gebruiken als je het ook absoluut noodzakelijk vind. Immers iedereen kan via die poorten naar binnen. Gebruik indien mogelijk ipv de forward regels quickconnect, dat is op die manier veel veiliger.

 

Wel zal je in de url voor beheer :6661 moet toevoegen maar dat maakt juist het veiliger dan zonder oftewel de standaard 443 poort. Desnoods maak een favoriet daarvoor aan in je webbrowser. Mijn NAS is nog standaard voor beheer ingesteld op poort 5001. Als ik dan op mijn LAN de url met het IPadres en zonder :5001 intik wordt verbinding gezocht met https poort 443 en door de NAS automatisch geredirect naar poort 5001. Of dat ook nog werkt met een aangepaste poort :6661 weet ik niet.

 

Voor webdav zou je voor de externe kant ook een andere poort dan 5006 kunnen kiezen maar dan moet je in de url daarvoor ook de : met alternatieve poortnummer moeten gebruiken.

 

Geef de NAS’en ook een fixed IP adres DHCP reservering in de routers.

 

Als de router geen hairpin ondersteund en/of portforward niet actief is, zal je lokaal de NAS via het lokale LAN IP adres moeten benaderen. De webrowser kan dat dan blokkeren of met privé waarschuwing komen omdat het (self signed) certificaat niet overeenkomt de host.domeinnaam of ipadres. Moderne browser zijn tegenwoordig beperkt in het gebruik van self signed certificaten.

 

NAS.png

Mr. Goochie
Topicstarter
Level 2
  • 18Posts
  • 0Oplossingen
  • 2Likes

Hartelijk dank voor de uitgebreide reactie. Ik ga ermee aan de slag. Aan beiden @Karel. en @tobiastheebe veel gehad en meer inzicht verkregen in de werking van NAS, poorten enz enz. Superbedankt nogmaals! 

Random

Level 16
  • 2168Posts
  • 102Oplossingen
  • 1126Likes

Ik zou ook een of andere VPN oplossing sterk aanbevelen.

 

Je kan erop wachten dat een of andere onverlaat d.m.v. port scannen je NAS poorten vind en daarmee aan de slag gaat.

 

Het is veel veiliger.

En je kan bepalen wie toegang heeft.

 

E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic