DDNS

[Tjitse]

Sinds jaar en dag heb ik 'servernaam.synology.me' als shortcut url, welke uitkomt op mijn NAS. Op een gegeven moment was dat adres niet meer bereikbaar, alleen wél via 'servernaam.synology.me:5000/index.cgi'. Ik zit oude topics op het forum te lezen, settings op mijn router en NAS te bekijken. Maar ik weet niet waar ik moet zoeken. Alles lijkt goed te staan (denk ik natuurlijk). Maar ergens zal er iets verkeerd staan. Maar wat?

Mijn router spuugt een statisch ip-adres uit, zodat de NAS niet telkens een ander ip-adres krijgt.

Overigens heb ik nu een QuickConnect ID aangemaakt, maar toch zou bovenstaande verhaal niet moeten mogen/op te lossen zijn.
Ik probeer toch wat effectiever mijn NAS te gebruiken, want anders staat deze ook maar een beetje enkel te back-uppen.. 

[Benjamin]

Wat (bij mij) wel helpt is in het configuratiescherm van Externe toegang de stappen in Router instellen te doorlopen. Daarna heb ik wel weer verbinding via http://xyz.synology.me:5000/     (waarbij xyz fictief is).

[Briolet]

Dit heeft niets met DDNS te maken, maar alleen met slechte forwarding in je LAN.

Als DDNS niet zou werken zou dat nml. bij alle poorten niet werken.

[Babylonia]

Sinds jaar en dag heb ik 'servernaam.synology.me' als shortcut url, welke uitkomt op mijn NAS. Op een gegeven moment was dat adres niet meer bereikbaar, alleen wél via 'servernaam.synology.me:5000/index.cgi'.

Als je inmiddels bijv. een web-server hebt ingesteld en poort 80 gebruikt en hebt doorgerstuurd, moet vanaf dat moment de toevoeging :5000 voor de gebruiksinterface voor DSM worden gebruikt.

Zonder gebruik van poort 80 voor een achterliggende service, wordt de standaard gebruikelijke "onzichtbare poort 80" van een webbrowser feitelijk omgezet naar poort 5000  en is die toevoeging van dat poortnummer bij een DDNS-domein niet nodig.

Overigens zou ik altijd minimaal een versleutelde verbinding gebruiken, dus poort 5001 voor toegang van DSM.

[Daddy Cools]

Hallo Babylonia,

Je opmerking intrigeerd mij want ik kom het volgende tegen.
Als ik het volgende in mijn browser intyp...

http://sub.domein.nl gaat onbeveiligd naar de juiste plek (DSM en die moet wel via https)
en
https://sub.domein.nl gaat naar de wereldbol/webserver netjes beveiligd.

Nu als ik https://....:poort ingeef gaat het wel goed.
Maar ik wil die poort niet hoeven te onthouden. Hiermee loop ik al even in circeltjes 

Misschien heb jij suggesties.

[Babylonia]

Vreemd, bij mij heb ik tevens een webserver ingesteld (zowel poort 80 als 443)

http   [domein]  loopt bij mij naar de webserver
https [domein]  ook

Precies zoals het feitelijk hoort te zijn.
Mensen van buiten horen niet opgescheept te zitten dat ze dan bij een portaal komen om in een NAS te kunnen inloggen, als er op de thuisbasis tevens een webserver draait. De normale gang van zaken is dan dat je zonder ingave van poorten bij een webserver uitkomt.

Bij elke reguliere website is het ook normaal om geen poorten te hoeven ingeven, dus dat heeft standaard altijd voorrang boven een inlog naar een of ander portaal om in te loggen.

Wil ikzelf naar DSM, moet ik dus echt een poort erbij tikken om daar uit te kunnen komen.

Nu heb ik daar achterliggend wel allemaal foefjes voor met redirects op een eigen website bij een hosting-provider naar de juiste gebruiksinterface (ik heb meerdere inlog-paden thuis), maar dat valt buiten het bestek van dit draadje en de standaard instellingen van een NAS.

Gebruik je die webserver thuis niet echt actief.  (Je komt uit bij een wereldbolletje), en je bent ook niet van plan thuis een website daar op te zetten, kun je die webserver net zo goed opheffen.  Dan speelt het probleem namelijk niet dat je voor DSM een extra poortnummer moet ingeven.

[Briolet]

Tegenwoordig kun je ook een reverse proxy instellen op 'servernaam.synology.me' Dan stuur je poort 80-->5000 en 443-->5001.

Alleen met die 'servernaam.synology.me'  url kom je dan op poort 5000/5001 binnen op de nas. Als een bot via het IP adres (of andere url) probeert binnen te komen, zal hij op de webserver op poort 80/443 terechtkomen. In de router zelf hoeft dan poort 5000/5001 niet geforward te worden.

[Babylonia]

Alleen als je daarbij ook nog een webserver hebt draaien, werkt dat IMO niet.  Hoe wil je voor een "willekeurige" bezoeker op die wijze bepalen of die naar de inlogpagina van de NAS zou willen gaan, of toch bedoeld is om naar de website te gaan??

[Briolet]

De inlog-url bepaalt dan waar je uitkomt.

xxx.symology.me  --> leidt naar de DSM inlogpagina

mijndomen.nl  --> leidt naar je website.

Zelf doe ik dat ook. (Nu nog via redirects overigens, want de reverse proxy optie bestond nog niet toen ik dit opzetten.)
dsm.mijndomein.nl --> dsm
www.mijndomein.nl -->  webpagina

[Babylonia]

OK, ik denk dat ik het nu snap.
In het eerste stukje maak je dan gebruik van de Synology DDNS service met zijn afwijkende verwijzing via die reverse proxy.
Met de website "je gewone domein" wat dan uitkomt bij die website.

Zoals eerder gemeld maak ikzelf ook gebruik van redericts.

start.[ mijn domein ]   (of andere schrijfwijze  [ mijn domein ]/start ) -------> gaat naar het portaal van mijn Synology router
  nas.[ mijn domein ]   (of andere schrijfwijze  [ mijn domein ]/nas   ) -------> gaat naar het portaal van mijn NAS

[Daddy Cools]

Voorlopig heb ik het opgelost door webstation uit te zetten. Mijn website draait toch bij de hosting provider.
Om hem https te laten gaan heb ik dan maar voor een startssl certificaat gekozen omdat die 1 jaar geldig is en dan zien we over een jaar wel weer verder.
Dus het idee was/is.
hoofddomein bij hostingprovider
subdomeinen om bij de verschillende zaken van de nas te komen.

Maar bedankt voor de hulp allemaal.

[Briolet]

Zoals eerder gemeld maak ikzelf ook gebruik van redericts.

Op mijn hoofdnas gebruikte ik ook redirects via de virtual host optie. Op mijn tweede nas maakte ik wel al gebruik van de nieuwe reverse proxy optie.
In beide gevallen log ik in via poort 443 op dsm.mijndomein.nl. Het verschil is dat ik met de redirect in de browser-balk zie dat ik nu naar poort 5001 omgeleid ben. Via de reverse proxy optie blijft de menubalk gewoon poort 443 aangeven (dus geen zichtbaar poortnummer)

Dit lijkt onveiliger omdat ik van buiten nu via een standaardpoort 443 met dsm verbind. Toch denk ik dat dit veiliger is omdat criminelen vaak gewoon IP adressen proberen en er dan eventueel een poortscan op loslaten. Via deze methode wordt alleen deze url naar de DSM inlogpagina doorgestuurd. Elke andere url komt op de webserver terecht. Dus iemand die gewoon probeert, komt niet snel op de dsm inlogpagina.

[Babylonia]

hoofddomein bij hostingprovider
subdomeinen om bij de verschillende zaken van de nas te komen.

Dat is precies de wijze zoals ik mijn redirects heb geregeld.

Ten aanzien van veiligheid en het rammelen aan de poorten van niet uitgenodigde gasten, ga ik er min of meer vanuit dat de animo van dergelijke bezoekers het meest vanuit het buitenland zal gebeuren. Hack- en criminele activiteiten vanuit Nederland zelf zijn juridisch gezien relatief vrij gemakkelijk aan te pakken. Bijna ondoenlijk als het vanuit "Verweggistan" gebeurt.

- Dus gebruik ik met name firewall-regels met regio filtering met toegang alleen vanuit Nederland (+  het land waar je evt. op vakantie bent).
- Uitschakelen van  "Respond to ICMP(ping) on WAN interface"
- DMZ doorsturen naar een niet gebruikt "leeg" IP-adres waar geen apparaat achter hangt. (Met dank aan @Briolet)
- Uitsluiten van IP-adres na een paar verkeerde inlogpogingen.
- Alles omgeleid naar https voor die services die "gewoon" zijn te benaderen (niet via VPN)
  ( + gebruik SSL certificaat op NL-domein op de internetaansluiting om vervelende pop-ups voor wel uitgenodigde gasten te voorkomen).

Babylonia@

[Briolet]

Ten aanzien van veiligheid en het rammelen aan de poorten van niet uitgenodigde gasten, ga ik er min of meer vanuit dat de animo van dergelijke bezoekers het meest vanuit het buitenland zal gebeuren.

Je komt in mijn bovenstaande voorbeeld binnen op poort 80/443 maar de reverse proxy stuurt je door naar poort 5000/5001. Op poort 80/443 (webpaginas) wil je geen wereldweide restrictie gebruiken.

Uiteindelijk kom je dsm binnen op poort 5000/5001, dus de firewall regels voor deze poorten, blijven ook bij de reverse proxy gewoon werken. Ik heb dat toch even getest en de firewall in dsm werkt echt op de uiteindelijke poorten bij een reverse proxy.  Dus niets staat het gebruik van beide methodes in de weg.

[Babylonia]

Op poort 80/443 (webpaginas) wil je geen wereldweide restrictie gebruiken.

Persoonlijk zou ik daar niet zoveel waarde aan hechten dat "Nederlandse" webpagina's in Brazilië of Azië nog zijn te lezen.