Alles benaderen behalve DSM

[djdez]

Hallo allemaal,

Ik heb gezocht maar kon mijn vraag nog niet vinden in de verschillende forums.

Ik wil namelijk mijn DS benaderen vanaf internet, maar ik wil niet dat de inlogpagina van DSM wordt weergegeven.
Wanneer ik gebruik maak van QuickConnect kan ik aangeven in de advanced opties dat DSM niet moet worden doorgegeven, maar als ik gebruik maak van DDNS en Portforwarding, dan heb ik die optie niet. Als ik dus naar mijn DDNS naam ga, dan wordt ik automatisch doorgestuurd naar de inlog pagina op port 5001.

Nou is de simpelste methode om de portforwarding voor port 5000 en 5001 uit te zetten, maar dan werken file station, audio station, etc. ook niet meer en die wil ik nou juist wel vanaf afstand benaderen.

Ik heb nergens een optie gezien dat ik DSM kan uitschakelen voor toegang van buitenaf. Wel heb ik gezien dat ik de porten voor DSM kan wijzigen, maar ik ben bang dat dan ook de poorten voor file station, audio station, etc. mee wijzigen en dan zit ik dus nog steeds met hetzelfde probleem.

Een andere optie die ik zag was om in Control Panel --> Application Portal de verschillende applicaties in te stellen op een custom port en die dan open te zetten in de portforwarding van mijn router.

Heeft iemand hier ervaring mee, of weet iemand nog andere opties hoe ik dit op een nette manier kan oplossen?

Thanks

N.B. Ik draai de laatste versie van DSM (DSM 5.2-5644 Update 5).

[Stephan296]

Wat wil je dan benaderen want dat is mij niet duidelijk.
Je wil je nas benaderen maar geen inlogpagina.......

[djdez]

Ik wil gebruik maken van de applicaties DS video, DS audio, DS file, DS cam en DS cloud over het internet.
Los van deze services wil ik geen toegang verschaffen tot mijn NAS vanaf het internet, dus geen direct shares, login pagina's, of andere dingen die aangeboden kunnen worden door de Synology.

Het probleem zit hem erin dat nu (naar mijn weten) alles wordt aangeboden op port 5000 en 5001. Dat is voor de eerst genoemde applicaties geen probleem, maar ik wil niet dat daar ook de inlogpagina van DSM op wordt getoond i.v.m. security.
Ik ben dus op zoek naar een manier om alleen de applicaties/services beschikbaar te stellen die ik kies en zoals het er nu naar uit ziet is dat door elke applicatie zijn eigen port te geven omdat op de gezamenlijke port DSM standaard wordt enabled.

[Briolet]

Hallo allemaal,Nou is de simpelste methode om de portforwarding voor port 5000 en 5001 uit te zetten, maar dan werken file station, audio station, etc. ook niet meer en die wil ik nou juist wel vanaf afstand benaderen.

Ik zou de handleiding eens doorlezen, want poort 5000/5001 zijn echt niet nodig voor die andere 2 pakketten.

[djdez]

Dat heb ik gedaan, zie Synology Service & Support
Daar staan de volgende porten genoemd voor mobiele applicaties:
Mobile Applications
Type   Port Number    Protocol
DS photo   80, 443 (HTTPS)    TCP
DS audio   5000, 5001 (HTTPS)    TCP
DS cam   5000, 5001 (HTTPS)    TCP
DS file     5000, 5001 (HTTPS)
DS finder   5000 (HTTP), 5001 (HTTPS)    TCP
DS video    5000 (HTTP), 5001 (HTTPS)    TCP
DS download    5000 (HTTP), 5001 (HTTPS)    TCP
DS cloud    6690    TCP
DS note    5000 (HTTP), 5001 (HTTPS)    TCP

Voor DS photo en cloudstation worden inderdaad andere porten gebruikt, maar de overige lijken dus allemaal over 5000 en 5001 te gaan.

[Babylonia]

Benader je NAS dan beter via een VPN-verbinding.
Hoef je alleen de poorten van de VPN-verbinding open te zetten / door te sturen.

De rest benader je dan alsof je "thuis" binnen je eigen LAN de applicaties benadert.

[Stephan296]

Of gewoon via quickconnect maar ja dan is de snelheid bagger

[Babylonia]

Nee, via QuickConnect kun je evengoed bij de inlogpagina / DSM van de NAS uitkomen. Dus dat is geen oplossing.
Integendeel zelfs, je kunt bij DSM uitkomen zonder port forwarders in te stellen in de router.

EDIT:
Herstel, er is inderdaad een geavanceerde set-up, om bepaalde opties in- of uit te schakelen.
Bovendien als men alsnog teven port forwarders heeft ingesteld, is er na het eerste contact via QuickConnect met de Synology server, alsnog een "normale" snelheid mogelijk, omdat de rest alsnog meer vergelijkbaar met een DDNS service de verbinding via port forwarding wordt afgehandeld.

[Stephan296]

Kun je die poorten niet ergens wijzigen?
ik snap niet wat het probleem is qua inlogpagina.
Want als je andere poorten openzet kunnen ze ook via die weg proberen binnen te komen.

[Babylonia]

Vandaar de suggestie om VPN te gebruiken.
Gebruik je bijv. Open VPN, is alleen poort 1194 doorgestuurd. Verder niets.
Heb je verder nog een web-server draaien, of een openbaar toegankelijke Photo Station, zet je tevens de poorten 80 en 443 nog door.

[djdez]

Het probleem met een inlogpagina is dat het een inbraakpoging vergemakkelijkt, ondanks de instellingen voor automatische blocklists na een bepaald aantal pogingen. Aangezien straks al mijn data op mijn NAS staat wil ik het wel zo veilig mogelijk doen en dus zo min mogelijk porten open en geen inlogpagina's waar elke scriptkiddy op los kan gaan.

De porten van de afzonderlijke applicaties kunnen worden gewijzigd onder de Application Portal (zie afbeelding hieronder), maar ik zie dat elke applicatie dan zijn eigen inlogpagina krijgt en dat is ook niet de bedoeling.
" alt="" class="bbc_img" />

De beste optie lijkt dan inderdaad om een VPN op te zetten zoals Babylonia voorstelt. Nadeel daarvan is dat je op elke mobiel device VPN software moet hebben en je een extra handeling moet doen voor je je apps kan gebruiken.

Het ziet er dus naar uit dat er niet veel andere mogelijkheden zijn. Als laatste dan de vraag: weten jullie of, wanneer je de standaard port instelling van DSM wijzigt (onder Control Panel --> Network --> DSM Settings), de porten van de andere applicaties automatisch mee wijzigen of blijven deze op port 5000 en 5001 actief?

[Stephan296]

Probeer het uit zou ik zeggen ;-)

[Babylonia]

De beste optie lijkt dan inderdaad om een VPN op te zetten zoals Babylonia voorstelt. Nadeel daarvan is dat je op elke mobiel device VPN software moet hebben en je een extra handeling moet doen voor je je apps kan gebruiken.

Voor wat betreft  LT2P/IPSec  zit dat standaard op een mobiele telefoon (althans onder Android).
Daar hoef je geen extra app en certificaten/configuratiebestanden voor te installeren. Uiteraard wel apart inschakelen.

Voor wat betreft een andere poort toewijzen voor DSM, heb ik dat zelf wel eens eerder geprobeerd, maar merkte erna geen naadloze werking met de andere applicaties.  Van wat ik me nog dacht te herinneren, moet je expliciet in bijv. DS File de afwijkende poort opgeven, terwijl dat bij de standaardpoorten niet het geval is, omdat de DS File app ervan uitgaat dat het om die standaard poorten gaat.
Heb om die reden DSM weer terug gezet naar de standaard poorten 5000/5001

Stel de instellingen zodanig in dat DSM / Photo Station / Web-server e.d. automatisch overgaan naar een beveiligde https verbinding.

De beveiliging kun je tevens strakker instellen door Firewall-regels "per regio" af te stemmen, zie o.a.  < Deze draad >

Bedenk dat hackers bijna uitsluitend vanuit het buitenland opereren omdat ze op die wijze nauwelijks strafrechtelijk te vervolgen zijn.
De grootste gevaren kun je praktisch gezien dan ook bijna volledig uitsluiten met die regio-filtering.
Zie ook uitgebreide test via "ShieldsUp" in  < Deze draad >