Synology-Forum.nl
Overige software => DDNS / Quick Connect / EZ-Internet / Portforwarding => Topic gestart door: Niels37 op 06 oktober 2017, 21:32:30
-
Goedemiddag,
Ik ben al een tijd aan het stoeien met de beveiliging van mn synology nas en ik denk dat er meerdere mensen dat zijn die tegen dezelfde zaken aanlopen. Vandaar dat ik wellicht wat overvloedig ben met info , ik hoop echter dat dit meer inzicht geeft en ik zelf krijg in de opbouw naar een veilige nas. Ik ben tenslotte maar een eenvoudige gebruiker die eigenlijk geavanceerde netwerk kennis nodig heeft ;-) en dan met nadruk op Kennis waarom het werkt zoals het werkt want alleen daarvan kan je nl leren.
Ik wil graag vanaf buiten mijn lan direct naar oa dsm.mijndomein.nl ; file..mijndomein.nl ; audio.mijndomein.nl ; video.mijn domein.nl en note.mijndomein.nl.. Echter zonder dat ik poortnummers te zien krijg cq in moet tikken.
Ik heb een Comodo certificaat (tbv1 domein) geinstalleerd en dat werkt opzich wel.
Voor ssl op de bovenstaande subdomeinen weet ik dat ik een wildcard certifcaat nodig! Dat ga ik ook regelen zodra ik diverse zaken op een rijtje heb ( zodat ik ook eindelijk mezelf kan concentreren op het eigelijke gbruik van de nas!)
Graag hoor ik of wat ik aan het doen ben goed is cq veranderingen moet aanbrengen of eventuele fouten heb gemaakt op wat voor vlak dan ook. Ik sta uiteraard open voor commentaar.
Daarom eerst even wat aanvullende info :
DSM vers is 6.1 laatste versie up to date tot op vandaag.
Bij mijn webhosting provider de diverse subdomeinen ( oa file.mijndomein.nl )aangemaakt en verwezen naar mijn externe ipadres van mijn router .
De Standaard poorten van de nas heb ik gewijzigd bij configuratie algemeen
poorten zijn nu (fictief) :
http van 5000 8500
https van 5001 8501
Dmv portforwarding is mijn nas op het externe ipadres te bereiken. Op bv 12345
De volgende Poorten op mijn router zijn geforward naar interne ipadres vd synology Nas 6789
Dus van Router 12345 naar Nas 6789
80 80
443 443
5000 8500
5001 8501 ( dit ivm de DSAPPS ANDROID die deze poorten standaard gebruiken)
Om mijn vraag deels zelf deels te beantwoorden ;-) zal ik gebruik moeten maken van ( voor zover ik weet dan) Reverse Proxy…. Welke te bereiken is via DSM 6 “ Toepassingsportaal”.
Nu komt het :
Als ik Dsm.mijndomein.nl of note.mijndomein.nl intik kom ik op de inlogpagina van DSM terecht. Uiteraard wil ik dat ook met dsm.mijndomein.nl !
Echter note.mijndomein.nl moet naar de inlogpagina gaan van NoteStation en dat allemaal zonder poortnummer in te tikken cq te laten zien in de url.
Bij Toepassing NOTESTATION klik ik op bewerken en vink aangepaste poort aan ( 9351) en OK.
Bij Reverse Proxy wil ik nieuwe regels aanmaken
Beschrijving : Note
BRON : ( ik lees dit als ….ik binnenkom met deze hostnaam en op poort 443 van de NAS)
protocol: https
hostnaam : note.mijndomein.nl
poort: 443
BESTEMMING : ( ik lees dit als….ga ik naar de Synology NAS op poort 9351)
protocol : https
Hostnaam : localhost
poort : 9351
Ook voor DSM moet ik een regel maken aangezien ik met https binnenkom op poort 443
Beschrijving : DSM
BRON : ( ik lees dit als ….ik binnenkom met deze hostnaam en op poort 443 van de NAS)
protocol: https
hostnaam : dsm.mijndomein.nl
poort: 443
BESTEMMING : ( ik lees dit als….ga ik naar de Synology NAS op poort 8501)
protocol : https
Hostnaam : localhost
poort : 8501 ( dit poort nr is normaal gesproken standaard 5001 https van de nas)
Als ik nu nog een reverse proxy regel voor bv video.mijndomein.nl wil toevoegen krijg ik een foutmelding bij de BRON bij hostnaam…………… Dat de domeinnaam al wordt gebruikt , gebruik een andere naam .
Kijk en dat snap ik dus niet want voor zover ik weet wordt video.mijndomein.nl niet gebruikt . Ik krijg deze melding nl ook als ik FILE.mijndomein.nl gbebruik ( uiteraard met andere poort bij bestemming).
Wie kan mij zeggen wat er dan fout gaat of dat ik iets verkeerds doe ?
Erg verwarrende materie als ik eerlijk ben ;-)
zie afbeeldingen :
(http://)
-
Als ik nu nog een reverse proxy regel voor bv video.mijndomein.nl wil toevoegen krijg ik een foutmelding bij de BRON bij hostnaam…………… Dat de domeinnaam al wordt gebruikt , gebruik een andere naam .
Meestal klopt de melding wel. Waarschijnlijk heb je dit subdomein ook al in toepassingsportaal gebruikt. Hoewel het er niet bij staat, maak je daar ook reverse proxys aan als je subdomeinen gebruikt.
BESTEMMING : ( ik lees dit als….ga ik naar de Synology NAS op poort 9351)
protocol : https
Hostnaam : localhost
poort : 9351
De bestemming blijft hier binnen de nas, dus kun je gerust http gebruiken. Anders moet de reverse proxy ook de interne verbinding opnieuw coderen. https is alleen verstandig als je de verbinding naar een ander apparaat doorstuurt.
-
Het klopt dat ik bv Note.mijndomein.nl in toepassing heb staan en de toepassingsregel ook heb ingevuld.
Is dit dan hetzelfde als ik een reverse proxy ergel maak voor dsm.mijndomijn.nl ?( DSM staat nl niet standaard bij toepassingportaal omdat het geen toepassing is denk ik zo)
dsm heb ik aangemaakt en verwezen naar inderdaad een https poort , waarvan jij zegt dat dit toch al intern is en dus gewoon over http kan gaan.
maw : toepassingsregel is hetzelfde als een reverse proxyregel al zie ik wel verschil in de velden die ik in moet vullen. en juist dit vind ik verwarrend maar dat ligt hoogstwaarschijnlijk aan mezelf ;-)
zie screenshots allebei AUDIO.mijndomein.nl de ene staat standaard erin als toepassing ( uiteraard heb ik zelf mijn domeinnaam ingevuld)
EN ook een regel gemaakt in reverseproxy tabblad.
ik zie wel dat je in reverse proxy regel kan kiezen uit http of https , cq beide regels aan kan maken.
Overigens bedankt voor de reactie ;-)
-
maw : toepassingsregel is hetzelfde als een reverse proxyregel al zie ik wel verschil in de velden die ik in moet vullen. en juist dit vind ik verwarrend maar dat ligt hoogstwaarschijnlijk aan mezelf ;-)
Toepassingsportaal is wel iets anders, maar de laatste optie om een domeinnaam in te stellen is eigenlijk het instellen van een reverse proxy. Dat gebeurt dan in één keer voor poort 80 en 443. Bij de Reverse Proxy tab moet je voor beide poorten een aparte regel aanmaken.
Beide opties zijn ook gelijktijdig in DSM gekomen omdat ze eigenlijk hetzelfde doen.
Overigens bedankt voor de reactie ;-)
En jij bedankt voor het stellen van de vraag. Ik moet bekennen dat ik maar ⅓ van die lap tekst gelezen heb. Maar bij het nadenken over een antwoord schoot me een oplossing van een eigen probleem in gedachten die hier mee te maken had. Dat is nu ook opgelost zoals ik net elders (https://www.synology-forum.nl/firmware-algemeen/probleem-met-toepassingsportaal-en-certificaten/msg232828/#new) gemeld heb. ;)
-
Kan je eens kijken bij je eigen link....elders (https://www.synology-forum.nl/firmware-algemeen/probleem-met-toepassingsportaal-en-certificaten/)
Ik heb geprobeerd er wat van te maken....al blijft het lastige , lees verwarrende, materie ::)
-
Aloha,
al met al lukt het om reverse proxy toe te passen, MAAR ....er is altijd wel een maar :|
Als ik bij het toepassingsportaal SUB.mijndomein.nl invul en aangepaste poort op HTTP aanvink EN bij NETWERK DSM http naar https omleiden aanvink. Krijg ik op de een of andere manier de REVERSE PROXY REGELS die ik zelf heb aangemaakt niet werkend....
reverse proxy regel : BRON dsm.mijndomein.nl https 443 naar aangepaste poort op de DSM
via https:// dsm.mijndomein.nl kom ik inderdaad op de inlogpagina van de dsm
ECHTER via http:// dsm.mijndomein.nl kom ik op de webpagina terrecht , welke niet bestaat ( webstation is ingeschakeld).
Wat zie ik over het hoofd ? ( alleen met https : // mijndomein.nl op inlogpagina vd dsm komen vind ik prima hoor , ik snap alleen niet waarom het werkt zoals het nu werkt.
En wat als ik ( met die reverse proxy's in het achterhoofd ) 2 of meerdere websites wil hosten
Ik zou graag hier wat hulp bij willen hebben om dit te doorgronden, aangezien ik via google heel veel zie maar de klepel helaas niet ziet.
443 en 80 zijn uiteraard forwarded. ;)
Alvast bedankt voor de moeite die genomen wordt!
IK beloof hierbij dat als ik echt snap hoe t werkt ( met hulp van anderen) ik met screenshots en al een uitleg zal posten, zodat het voor mijzelf en anderen nog eens van dienst kan zijn.