Synology-Forum.nl
Firmware => Synology DSM 6.0 => Topic gestart door: Karine01 op 25 juni 2016, 00:42:21
-
Ik krijg soms de melding IP address [91.224.160.108] of Synology has been blocked by SSH.
Hoe komt dit ?
-
Dan probeerde er iemand via dat IP adres in te loggen via SSH en dat ip adres is nu geblokkeerd.
-
Maar er kan toch pas iemand op mijn nas inloggen wanneer hij op mijn eigen netwerk zit of zie ik dat verkeerd ?
-
Benader je m zelf van buitenaf icm port forwarding?
-
Benader hem alleen via de android app.
-
Anders gevraagd: heb je poorten forwarded in je Router, m.n. poort 22 (SSH), naar je NAS ?
-
Daarop inhakend,
Ik krijg deze melding ook veel, maar voor Backup ( Poort 22 TCP als Gecodeerde netwerkbackups op afstand )
(ik sync tussen 2 NAS(en) over het Internet)
Moet je dus ook poort 22 openzetten, terwijl ik overigens helemaal niets doe met SSH qua sessie naar de 'linux prompt' van de NAS
Of er een andere mogelijkheid voor Poort 22 alszijnde "TCP als Gecodeerde netwerkbackups op afstand"
-
Je moet gewoon een gebruiker hebben/maken (standaar admin account uitzetten) en een sterk wachtwoord kiezen, maak je het 2x zo moeilijk.
Rammelen aan (alle) poorten doen ze toch, ze scannen alle poorten af om te kijken of ze binnen kunnen komen.
-
Birdy,
Mee eens. Heb 'destijds' het Admin account eerst een zeer moeilijk wachtwoord gegeven, en daarna Uitgeschakeld.
(stel je voor dat ze op 1 of andere manier de orginele Admin kunnen inschakelen, dan zit er in ieder geval een moeilijk wachtwoord op)
Daarnaast heb ik een speciale user voor de SYNC tussen de 2 nassen, en deze heeft uiteraard ook een moeilijk wachtwoord.
Was alleen even benieuwd of de poort 22 tbv. backup te 'omzeilen' was met een andere poort. Dit zou dan voorkomen dat er bij mij geen poort 22 naar buiten nodig was.
-
De vraag is niet òf poort 22 geforward is, want als ze vanuit 91.224.160.108 bij de nas kunnen, is poort 22 gewoon geforward. (of een andere poort waarop SSH draait)
Dat is het zoveelste argument om niet de wizzard te gebruiken voor het forwarden, maar dit gewoon zelf met de hand te doen in de router. Dan weet je tenminste wat je forward.
(stel je voor dat ze op 1 of andere manier de orginele Admin kunnen inschakelen, dan zit er in ieder geval een moeilijk wachtwoord op)
Onder DSM 5 kon je via ssh, altijd met root inloggen, ook al was admin uitgeschakeld. Daar was het zeker belangrijk om zelfs voor een uitgeschakelde admin, een sterk WW te gebruiken. Gelukkig is dat nu verleden tijd.
-
Je kunt ook in de router een andere poort naar buiten openzetten, bijvoorbeeld 8022. De interne poort voor de NAS laat je dan op 22. 8022 is geen standaard poort, daar zullen ze dus niet zo snel op scannen.
-
Het volgende is geforward in mijn router : 5000,5001,5005,5006
-
Je kunt ook in de router een andere poort naar buiten openzetten, bijvoorbeeld 8022. De interne poort voor de NAS laat je dan op 22. 8022 is geen standaard poort, daar zullen ze dus niet zo snel op scannen.
Dacht ik vroeger ook. Dus altijd alle poorten aangepast. Aantal pogingen is minder maar blijven er nog volop. Ook valt mij altijd op dat als hetzelfde malafide IP op de ene NAS wordt gemeld hij ook altijd op de andere een poging doet.
-
ps.
Als je de poort 22 omzet (tbv. backup) naar 8022, dan moet je niet vergeten (volgens mij ;)) om je RSYNC poort aan te passen in je configuratiescherm. Die moet dan toch ook op poort 8022
Zie bijlage
En dus moet je volgens mij op de router zowel intern als extern de poort 8022 invullen.
-
Volgens mij wordt alles gescanned maar, altijd goe om geen standaard poorten te gebruiken. ;)
-
Nee, je hoeft in de NAS juist niets aan te passen als je in de router de poort van 8022 extern naar 22 intern laat verwijzen. Als je je NAS dan ook aanpast werkt het niet.
Als je poort in de NAS wijzigt, moet je die uiteraard ook in de router aanpassen.
-
Volgens mij is dit niet zo. Als in rsync poort 22 blijft staan (configscherm, bestandservices), dan probeert hij toch via internet bij de andere op poort 22 aan te kloppen. ? En dat lukt dan niet, omdat de router vanaf de buitenkant alleen maar 8022 doorlaat.
Het is jammer dat SSH op poort 22 zit. (oke, is default), maar dat de Backup RSYNC van Synology naast poort 873 ook poort 22 (voor codering) bij default gebruikt.
Volgens mij is het dus zo, dat de 'ontvangende' NAS voor backups de Rsync aangevinkt moet hebben. En als je de router op poort 8022 zet voor alleen de buitenkant, dan kan toch niemand communiceren ?. Daarom denk ik dus dat je ook Rsync op poort 8022 moet zetten.
Als ik het fout heb, dan hoor ik het graag.
-
Je hebt het fout. :)
Er zijn twee mogelijkheden:
Eerste:
In de NAS de 22 poort veranderen in 8022 en dan in de router poort 8022 intern forwarden naar poort 8022 extern.
Dan krijg je dus:
NAS met poort 8022 Intern -> Router met poort 8022 Extern -> Internet -> Router 2 met poort 8022 Extern-> NAS 2 met poort 8022 Intern.
Tweede:
Configuratie in NAS ongemoeid laten en in router poort 22 intern omzetten naar poort 8022 extern.
Dan krijg je dus:
NAS met poort 22 Intern -> Router met poort 8022 Extern -> Internet -> Router 2 met poort 8022 Extern-> NAS 2 met poort 22 Intern
Hopelijk maak ik het zo duidelijk.
Persoonlijk heeft bij mij de tweede mogelijkheid de voorkeur omdat je dan eigenlijk maar op een plek aanpassingen hoeft te doen, namelijk in de router.
-
Hofstede,
Bedankt voor je uitleg.
Ik heb het 1e gedaan, en dat werkt.
Ik vraag me echter toch af, of jou 2e optie wel kan werken.
Hoe kan de rsync die op poort 22 'praat' over het internet heen aankloppen bij de andere router op het internet over poort 22
De rsync weet dan toch niet van die 8022 af ?. rsync blijft toch vanuit z'n instellingen op poort 22 praten.
ander voorbeeld. Mijn DS Photo praat intern op poort 80, en buitenaf op poort 8015
Dus geef ik in mijn DS Photo op de telefoon aan dat hij via poort 8015 moet communiceren.
Dat gedeelte doe je toch niet met rsync, als je de rsync waarde in configuratiescherm, bestandsservices, rsync tabblad niet aanpast.
(tbv. backup)
(ik probeer te begrijpen waar ik fout zit/denk)
-
rsync blijft toch vanuit z'n instellingen op poort 22 praten.
Ja, en de router zorgt ervoor dat de poort omgeleid wordt naar 8022 maar andersom ook.
Snappie?
-
Oke, dan ga ik optie 2 alsnog instellen/proberen. Want dat scheelt tenslotte een extra handeling (geen wijziging in DSM)
Bedankt, ik ga hem nu snappen.... :S
-
Hoe zit het nu met mijn poorten 5000,5001,5005,5006 die zijn geforward ?
-
Jouw Topic is nogal (onbedoeld) gekaapt door @HenkGroen ;)
-
@Karine01
Omdat dit nogal "standaard" poorten zijn (iedereen met een syn gebruikt die) is t n logisch iets om te proberen door een hacker. Los van een algehele port scan
Bij mij gebeurt t ook wel eens. Doorgaans via FTP pogingen
Gewoon zorgen dat guest en admin account inactief zijn. Wel een ander account met admin rechten maken ;-)
En verder sterke ww. Dan zit je redelijk safe
-
Ok, bedankt.
Ik wist trouwens niet dat men zo intens bezig was om iemand zijn nas te kunnen hacken.
-
Je zegt dat je de NAS alleen op afstand benaderd met de Android App? Welke app? Want persoonlijk zou ik nooit de poorten zoals 5000 en 5001 naar buiten toe open willen hebben staan. En als je het toch wilt, heb je er maar één van de twee nodig, 5000 óf 5001, afhankelijk of je HTTP of HTTPS gebruikt.
-
IK gebruik DS file van Synology daarvoor.
Als 5000,5001,5005,5006 niet open hoeven te staan hoor ik het graag.
-
bij 5000 en 5005 gaat het inlogwachtwoord waarschijnlijk als plain tekst over het internet. Dat wil je niet, dus die zou ik zeker dicht laten. 5001 & 5006 doen hetzelfde, maar dan wel gecodeerd. DS File heeft alleen 5001 nodig. (Alleen heel oude versies gebruiken 5006)
-
Je kunt ook Quick Connect gebruiken voor DS File, heeft geen port forwarding nodig maar, kan wat trager zijn.
-
Maar de TS krijgt nu ongewenst bezoek op poort 22
Daar is nog geen verklaring voor.
-
Ehhh...ja, das waar, zou die geforward kunnen zijn door DSM :evil: kan je volgens mij niet zien in de router ?
-
Net nog eens gekeken in de Telenet router en daar staat bij die 5000 poorten niet actief, dus ik veronderstel dat deze dan toch niet openstaan ?
(https://www.synology-forum.nl/proxy.php?request=http%3A%2F%2Fi66.tinypic.com%2F33bd8xf.jpg&hash=d4ec4b215ed22efcf84bd0e685e3d9692613e91f)
P.S : net nog een melding in DSM IP address [54.174.65.36] of Synology has been blocked by SSH
-
Staat je NAS misschien in de DMZ bij de router?
-
Waar kan ik dat zien ? (ben een leek op dit vlak)
Ik zie in het telenet scherm bij DMZ adres wel het adres van mijn nas staan ja.
-
Ehhh...ja, das waar, zou die geforward kunnen zijn door DSM :evil: kan je volgens mij niet zien in de router ?
Bij sommige routers kun je de via UPnP geforwarde poorten wel zien, bij andere weer niet.
Zelf gebruik ik wel eens het Java programma: "PortMapper-1.9.5". Deze laat van alle UPnP routers ook de UPnP forwards zien. (Je kunt er zelfs forwards mee aanmaken). Voor mij was het eens schrikken toen ik zag dat Skype twee forwards aangebracht had naar de smartphone van mijn zus, terwijl UPnP uit stond in mijn router. Bleek een bug in de Ubee router te zijn dat UPnP na elke stroomonderbreking vanzelf weer aan ging, terwijl de checkbox aangaf dat het nog steeds uit stond.
Ik elk geval kan zo'n forward van poort 22 heel sneeky in je router sluipen.
-
Waar kan ik dat zien ? (ben een leek op dit vlak)
Ik zie in het telenet scherm bij DMZ adres wel het adres van mijn nas staan ja.
Daar heb je het "probleem"
Handig want alle poorten staan open richting de NAS, alle applicaties die internet toegang vereisen werken.
Gevaarlijk omdat de NAS open en bloot aan het internet hangt.
Meestal wordt deze situatie afgeraden.
-
En hoe los ik dit op ?
-
DMZ uitzetten. En dan alleen de poort voor DS File (5005 of 5006) forwarden.
-
Maar hoe kan je DMZ uitzetten in die Telenet router ?
-
Ik ken die router niet, mogelijk gewoon het IP adres in het DMZ scherm wissen?
-
Het enige dat ik daar kan doen is de laatste 3 cijfers aanpassen.
-
Volgens een handleiding die ik vond moet je die laatste drie cijfers op 0 zetten om DMZ uit te schakelen.
-
En anders kun je de DMZ naar een niet gebruikt IP adres sturen. Soms is dat beter omdat de andere kant dan helemaal geen reactie krijgt als hij poorten test omdat de router dan zelf geen reactie teruggeeft. (stealth)
-
Ik heb DMZ nu op een onbestaand adres staan.
De 5000 poorten heb ik allemaal verwijderd.
Vreemd dat alles nu nog werkt. :)
-
Ook van buiten af?
Binnen je lan maakt t niet uit als je die poirten weghaalt
-
Nee, lukt inderdaad niet.
Ik heb nu in de Telenet router poorten 5000 + 5001 geforward en nu lukt het weer wel.
DMZ heb ik op een onbekend adres gezet.
Kan er nu nog veel gebeuren ?
-
Niet echt heel makkelijk
Wel ff admin disablen, guest ook. Want die usernames gokken ze altijd
Dan ook nog sterke ww, en je zit redelijk safe
Ik heb t ook zo, nooit echt last gehad
-
Het lijkt al dat door het adres van DMZ aan te passen er geen inbraakmeldingen meer komen.
Ik heb de acounts ook nog even aangepast.
Alvast bedankt voor de duidelijke ondersteuning.(van iedereen trouwens)
-
Vandaag toch nog een probleem opgemerkt.
De app Synology cam en Synology download station werken niet meer wanneer ik op een ander netwerk zit, dus thuis nog wel.
Hebben deze apps nog een andere poort nodig ?
-
https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/General/What_network_ports_are_used_by_Synology_services
-
Google eens op "synology faq 299"
Dan zie je alle poorten die syn apps gebruiken. Jij moet dan dus die poorten in je router forwarden (voor ziver je die app gebruikt natuurlijk)
-
Waarom zoeken? URL is gegeven toch?
-
Ja, die url was net wat ik zocht.
Heb poort 5000 geforward en kan nu aan beiden apps.
Bedankt voor de info.
-
Waarom zoeken? URL is gegeven toch?
Ik dacht dat die ggl search een andere url opleverde
Nou ja, dubbel gestikt houdt beter, zullen we maar denken :-)
-
Toch nog even inpikken hierop.
Ik heb Security advisor eens gestart en alles is ok behalve dat ik de SSH poort zou moeten wijzigen omdat deze nu op 22 staat.
Maar welke poort moet ik daar dan ingeven ?
-
Je mag zelf verzinnen welke poort maar, hier kun je de poort wijzigen. (https://www.synology.com/nl-nl/knowledgebase/DSM/help/DSM/AdminCenter/system_terminal)
-
Perfect weer, alles groen.
1 ding krijg ik maar niet in orde en dat is om een submap te beveiligen zodat er bij het openen een paswoord wordt gevraagd, jij misschien nog een tip hiervoor ?
-
Vandaag toch iets vreemd opgemerkt.
IK zat op een terras en was ingelogd op de wifi van dat café en probeerde in te loggen in Dscam en Dsfile maar dit lukte niet.
Wanneer ik dan probeerde via 3G lukte het dan weer wel.
Hoe kan dat ?
-
Kan zijn dat de WiFi van dat café de boel blokkeerde.
-
Ja heb dat ook wel eens meegemaakt. Twee opties:
1) aan een vpn connectn en dan aan dsfile. Heb je wel vpn provider nodig
2) quickconnect. Is wel vrij traag
-
Bij twee heb je geen VPN provider nodig, je kan toch je eigen NAS als VPN server inzetten?
Maak je een VPN verbinding en dan testen of de DS applicaties wel werken.
-
Bij een bedoel je
En ik denk dat dat idd ook kan
-
Het maakt nu niet veel uit, het is even snel om even 3G aan te zetten.
Het was maar om te weten wat er achter zat.