Synology-Forum.nl
Overige software => FTP, NFS and Samba Server => Topic gestart door: jelleruben op 18 oktober 2023, 16:52:54
-
Hallo allemaal,
Sinds een tijdje heb ik een nieuwe internet provider (KPN) met een "Modem KPN Box 12" als modem/router.
Nu wil ik mijn Synology bereiken via een FTP client.
Ik heb nu dan op de Synology de FTP-service aangezet. En gekozen voor de standaard
poortbereik van 55536-55663.
Ik weet het even niet meer, maar moet ik nu in de router elke poort vrij gaan geven?
Want in de KPN modem kan ik geen poortenbereik aangeven.
Hoop dat iemand mij dit kan vertellen.
Groeten,
Jelle Ruben
-
Port 21 = ftp
Port 22 = sftp
Meer porten
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
-
En hier: https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services
-
Heren, bedankt voor het delen van deze informatie bron. Leek wel dat ik ern black out had. Maar de SFTP werkt weer.
Off topic wel @Birdy who wat heb jij een verzameling aan NAS producten.
-
Die poorten zijn standaarden, dus niet alleen voor een NAS.
-
Off topic wel @Birdy who wat heb jij een verzameling aan NAS producten.
Off Topic: IDD, vind het gewoon leuk om te verzamelen (Synology hobby), vooral de oudere NASsen met hun oude DSM versies. ;D
-
Oeps ::) ik denk dat ik te hard gegild heb.
Ik kan wel een SFTP verbinding maken. Maar was het vergeten dat ik op hetzelfde netwerk zit.
Van buitenaf kan ik het niet bereiken. Ik weet dat ik aantal poorten in de modem/router open moet zetten.
Ik heb nu de poorten 22, 55536 & 55663 open gezet in de Modem. Of ben iets vergeten, dacht dat poort 21 niet nodig is, omdat die toch
voor een normale FTP verbinding gaat?
Onderstaand zien jullie hoe ik het nu in de modem heb staan.
(https://www.jelleruben.nl/images/KPNBox12.png)
-
Poort 22 (SSH) is alleen intern ?
Ik zie ook dat je best al veel poortje hebt geforward, heb je de NAS beveiliging ook wel op orde (https://kb.synology.com/nl-nl/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS) ?
dacht dat poort 21 niet nodig is, omdat die toch voor een normale FTP verbinding gaat?
IDD
-
Poort 22 (SSH) is alleen intern ?
Nou ik had gehoop dat dit ook alleen extern zou zijn.
Ik zie ook dat je best al veel poortje hebt geforward, heb je de NAS beveiliging ook wel op orde (https://kb.synology.com/nl-nl/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS) ?
Klopt dat wat aantal poorten vrij zijn gegeven. En dit was even voor een tijdelijke aard. Om te kijken of ik de SFTP vanaf buiten af
ook werkend kan krijgen. Helaas nog zonder eninge succes..
IDD
Dus poort 21 hoef ik niet vrij te geven, als ik zeg maar van buiten af mijn NAS wil bereiken via SFTP.
-
Poort 22 (SSH) is alleen intern ?
Nou ik had gehoop dat dit ook alleen extern zou zijn.
Bedoelde eigenlijk, de NAS wijst naar zichzelf:
[attachimg=1]
Poort 21 is voor FTP, kijk maar nog eens: https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services
-
instellingen kun je ook controleren met GRC.com > Services > ShieldsUP! > Proceed > All Service Ports (https://www.grc.com/) om te controleren wat de status van je firewall van jouw KPN Box 12 is.
This Internet service ports "grid scan" determines the status — Open, Closed, or Stealth — of your system's first 1056 TCP ports.
-
@jelleruben
Een poortbereik van "55536-55663" is heel anders dan "55536 & 55663".
-
Dat is waar echter, SFTP gebruikt alleen msar 1 poort nl 22, tenzij je een andere poort configureert.
Lees deze KB (https://kb.synology.com/nl-nl/DSM/help/DSM/AdminCenter/file_ftp_sftp?version=7) even.
-
Flingle: Dat viel me ook op. Verder zijn die hoge poorten niet nodig bij sftp. Volgens mij zijn de extra hoge poorten alleen nodig bij passive ftp.
-
Iedereen bedankt voor de input. Zal er eens mee gaan stoeien.
-
Die KB is er duidelijk over.
-
Ja het klopt dat ik aantal poorten open had staan, dit was om van alles
te testen. de grote nummers zijn er nu uit.
En de poort 22 staat er nu alleen in. volgens mij nu ook goed
(https://www.jelleruben.nl/images/KPNBox12a.png)
Ik heb een poorten scan op 22 gedaan, en die staat open.
Echter kan mijn werklaptop, die via 5G (via mijn telefoon) een verbinding heeft
geen connectie maken met de FTP server.
Ik heb het ook via poort 24 geprobeerd. Dus poort nummer bij
[Bestandservices -> FTP -> SFTP] aangepast.
Vervolgens de poortnummer in de router open gezet. (weet het staat niet in de screenshot)
Helaas geeft het niet de gewenste resultaat.
Op de werklaptop krijg ik steeds de melding:
Fout: Verbinding verlopen na 20 seconden inactiviteit
Fout: Kan niet verbinden met server
-
Echter kan mijn werklaptop, die via 5G (via mijn telefoon) een verbinding heeft
geen connectie maken met de FTP server.
En die "werklaptop" is dat gewoon een eigen laptop die je doorgaans inzet om te gebruiken - "om ermee te werken".
Of is het een laptop door je werkgever verstrekt, om daarmee echt specifiek werkzaamheden "voor je werk" te verrichten?
Door werkgevers verstrekte laptops, zijn uit veiligheidsoverwegingen vaak zodanig geconfigureerd, dat bepaalde services niet functioneren.
Is dat niet aan de hand, kun je met die laptop wel verbinding maken binnen je eigen thuisnetwerk met die FTP-server?
Verder, indien je een ander poortnummer inzet voor FTP, afgezien van de aanpassing van de port forwarding in je router,
heb je ook de firewall regels van je NAS daarbij aangepast, voor dat afwijkende poortnummer voor externe toegang?
(Nadien, als je zover bent gekomen dat het allemaal functioneert, heb ik nog wel een aantal suggesties m.b.t. beveiliging.
Want dat lijkt me binnen het traject wat je nu inzet, beslist onvoldoende. Maar eerst maar eens zien om het "werkend" te krijgen).
-
Het is een werklaptop van mijn werkgever, er zijn geen beperkingen erop gezet. De laptops zijn namelijk niet gekoppeld aan een zakelijke accounty of zo. Andere SFTP verbindingen (van Strato) werken wel.
-
Heb in mijn vorige bericht nog een aanvulling gegeven m.b.t. firewall en bereik in eigen netwerk. Is dat nog gecontroleerd?
(En nog wat info tussen haakjes. Maar dat komt later aan de orde).
-
Is dat niet aan de hand, kun je met die laptop wel verbinding maken binnen je eigen thuisnetwerk met die FTP-server?
Ja dan werkt het wel.
Heb in mijn vorige bericht nog een aanvulling gegeven m.b.t. firewall en bereik in eigen netwerk. Is dat nog gecontroleerd?
(En nog wat info tussen haakjes. Maar dat komt later aan de orde).
In de Windows Defender moet ik dan even gaan kijken hoe dat er dan staat.
-
Nee, de firewall regels van je NAS zelf.
Meer over firewall regels voor Synology routers en NAS (= vergaand hetzelfde principe), < HIER > (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/)
Met onderaan in het eerste bericht een aantal verwijzingen naar voorbeelden met opstellen firewall regels specifiek voor een NAS.
-
Op de werklaptop krijg ik steeds de melding:
Fout: Verbinding verlopen na 20 seconden inactiviteit
Fout: Kan niet verbinden met server
Welk ftp programma gebruik je? Bij iets als FileZilla zie je de inlogprocedure in veel meer detail. Dan zie je beter in welke stap het mis gaat. Dus of of het inloggen op de nas mis gaat, of dat hij de nas geheel niet bereikt.
Of zet de log functie aan in de instellingen. In dat logbestand zie je de inlogprocedure in nog meer detail.
-
Misschien dat bij al dat testen -bij tussenkomst van mobiel / 5G- teveel inlogpogingen zijn gedaan via het "mobiele WAN IP adres" ?
Zolang mobiele data tussendoor niet wordt uitgeschakeld en mobiele verbindingen niet op andere wijze wordt onderbroken,
blijft hetzelfde WAN IP-adres gelden.
Kijk eens bij het menu van geblokkeerde IP adressen, of je daar IP adressen ziet in een reeks die door je mobiele provider wordt gebruikt?
Bijv. KPN gebruikt voor haar mobiele netwerk o.a. WAN IP-reeksen tussen 188.206.64.0 - 188.206.127.255 (info whois.com) (https://www.whois.com/whois/188.206.64.0)
Mogelijk ook nog andere IP reeksen ??
-
Nee, de firewall regels van je NAS zelf.
De Firewall in mijn Synology heb ik hiervoor tijdelijk uit gezet, ik weet het het is niet veilig, maar puur om te kijken of er wel een verbinding tot standkomt.
Kijk eens bij het menu van geblokkeerde IP adressen, of je daar IP adressen ziet in een reeks die door je mobiele provider wordt gebruikt?
Verder heb ik gekeken welke IP adress de laptop heeft gekregen via 5G, dit IP adres staat niet op de lijst van geblokkeerde IP adressen.
Dit pobleem heb ik ook als ik met mijn werklaptop op kantoor zit, dan kan ik ook geen verbinding maken. Wellicht dat men dat geblokkeerd heeft, terwijl een SFTP verbinding met Strato weer wel werkt.
Welk ftp programma gebruik je? Bij iets als FileZilla zie je de inlogprocedure in veel meer detail. Dan zie je beter in welke stap het mis gaat. Dus of of het inloggen op de nas mis gaat, of dat hij de nas geheel niet bereikt.
Of zet de log functie aan in de instellingen. In dat logbestand zie je de inlogprocedure in nog meer detail.
Ik maak gebruik van FileZilla, als ik het logboek kijk, dan staat er:
2023-10-21 13:40:26 21580 1 Status: Verbinden met nas.jelleruben.nl:24...
2023-10-21 13:40:26 21580 1 Antwoord: fzSftp started, protocol_version=11
2023-10-21 13:40:26 21580 1 Opdracht: open "jelleruben@nas.jelleruben.nl" 24
2023-10-21 13:40:46 21580 1 Fout: Verbinding verlopen na 20 seconden inactiviteit
2023-10-21 13:40:46 21580 1 Fout: Kan niet verbinden met server
Die inactiviteit van 20 seconden, heb ik zelfs even op 40 seconden gezet.
Ik zie echt iets over het hoofd, maar ik kom er niet achter wat het is.
-
Doordat je de melding:
2023-10-21 13:40:26 21580 1 Antwoord: fzSftp started, protocol_version=11in je log hebt staan, lijkt het geen firewall probleem. Je krijgt verbinding met de nas en deze geeft een antwoord waarin staat welk protocol_versie hij gaat gebruiken. Even getest. Deze melding krijg je ook bij een niet bestaande host, die dus nooit een antwoord kan geven. Vreemd dus dat hij zoiets logt als antwoord.
In mijn log staat:
2023-10-21 12:08:07 79352 1 Status: Verbinden met nas.local...
2023-10-21 12:08:07 79352 1 Antwoord: fzSftp started, protocol_version=11
2023-10-21 12:08:07 79352 1 Opdracht: open "Briolet@nas.local" 22
2023-10-21 12:08:07 79352 1 Status: Using username "Briolet". <--------- Hier begint het verschil
2023-10-21 12:08:07 79352 1 Opdracht: Pass: *****************
2023-10-21 12:08:08 79352 1 Status: Connected to nas.local
2023-10-21 12:08:08 79352 1 Status: Mappenlijst ophalen...
2023-10-21 12:08:08 79352 1 Opdracht: pwd
2023-10-21 12:08:08 79352 1 Antwoord: Current directory is: "/"
2023-10-21 12:08:08 79352 1 Opdracht: ls
2023-10-21 12:08:08 79352 1 Status: Listing directory /
Alsof hij de user bij jou niet kan vinden of die user geen sftp rechten heeft. Maar omdat het wel lokaal werkt, behoren de rechten goed te zijn. Dat zal het niet zijn.
-
Heb je ook je IPv6 adres naar de nas open gezet in de router?
Als ik jouw domeinnaam test, zie ik dat je ook een IPv6 adres hebt.
$ host nas.jell***ben.nl
nas.jell***ben.nl is an alias for ****.synology.me.
****.synology.me has address 84.***.***.36
****.synology.me has IPv6 address 2a02:a464:712c:***:***:***:fe20:fe33
Telefoons hebben eigenlijk altijd een IPv6 adres en zullen dus proberen via IPv6 te verbinden.
PS: Misschien toch een ander probleem. Als ik expliciet jouw IPv4 adres invul, krijg ik ook die 20 sec timeout.
-
Dit is even lastig om de speld te zoeken waar het aan kan liggen. Ik heb ook naar de account gekeken, en die heeft alle rechten.
Heb net toch voor de zekerheid. de gebruiker heeft ook echt recht op SFTP.
Ik snap het effe niet waar het echt aan kan liggen.
-
Ik heb de gebruikersaccount verwijderd, en een nieuwe toegevoegd. En deze werkt dus wel.
Dus het zal een gebruikersrecht zijn geweest.
Wat eigelijk veel vaag is, omdat hij op hetzelfde netwerk wel werkte, maar van buitenaf niet.
En nu werkt het weer wel. ( morgen nog wel even testen op kantoor), ik hou jullie wel even op de hoogte..
Ik wil iedereen erg bedanken, voor de vele informatie, en waar ik in de toekomst ook om moet denken.
Vooral als ik rond december een nieuwe Synology ga aanschaffen, maar daar zal ik een nieuwe topic in "aankoop advies" starten.
-
Goedemorgen allen,
Ik zit momenteel op kantoor (netwerk van mijn werkgever) en ik kan mijn NAS via SFTP bereiken.
Ik denk dat er een probleem is geweest met het account van de gebruiker die ik gebruikte.
Terwijl hij wel de admin rechten had. heel vreemd, tja kan zijn dat ergen een vinkje niet goed stond.
-
Maar misschien toch naar IPv6 op je router kijken. Als ik jouw domein op IP6.nl (http://IP6.nl) invul, krijg ik de melding dat er geen verbinding gelegd kan worden. Je hebt wel geen website, maar via IPv4 krijg ik de default webserver te zien, dus zou ik verwachten dat die test wel zou moeten slagen als IPv6 bij de nas uitkomt.
-
Daar moet ik me ook zeker nog even naar kijken, Het viel mij ook op dat de websites die op de NAS stasn niet bereikbaar zijn.
Ik moet even kijken hoe en waar ik precies die IPv6 moet instellen.
-
Een probleem zit erin dat als IPv4 in gebruik is, en tevens ook IPv6 '"tot aan de voordeur" actief is ingeschakeld,
maar IPv6 niet verder is doorgetrokken naar het achterliggende thuisnetwerk en hun apparaten.
Er géén verbinding wordt gelegd. IPv6 heeft kennelijk voorrang boven IPv4.
Controle van systemen voorzien niet dat als de connectie met IPv6 niet lukt,
er nog eens extra gekeken / geprobeerd wordt of het met IPv4 dan nog wel zou kunnen lukken.
Vergelijkbaar probleem, zie ander onderwerp:
https://www.synology-forum.nl/synology-router/ssl-vpn-werkt-niet-in-eigen-land-belgie/msg318791/#msg318791
Of systemen volledig op IPv4 afstemmen (IPv6 in de router uitschakelen), of indien IPv6 tevens ook wordt gebruikt "bij de voordeur".
Dat IPv6 als zodanig ook doortrekken naar het achterliggende thuisnetwerk.
-
Okay, daar moet ik me ook even goed inverdiepen, en dit is denk ik ook het probleem waarom mijn webserver niet werkt. Deze is uit lucht gegaan, toen ik van Ziggo naar KPN ging (Ik weet het officieel is dit een andere onderdeel van het forum).