Diverse bugs gevonden

[B3rt]

Heb de router sinds gisteren in huis en ben al enkele bugs tegen gekomen..

1.
forward regels: indien je een range wilt forwarden naar een lokaal IP dan kan je maar 1 destination poort ingeven....
bv range 1000 t/m 2000 wil je door sturen naar intern IP 192.168.1.2, je geeft dan naast het interne IP op de public ports range: 1000-2000, echter in de private range veld kan je maar 1 poort invullen, geen range of leeg laten.. Je moet dus 1000 regels gaan aanmaken...

2.
Firewall regel, als je hier een DOEL ip ingeeft wordt deze inkomen regel NIET door gestuurd naar het DOEL ip.
Voorbeeld, je wilt web verkeer (poort 80 en 443) door sturen naar je webserver op IP 192.168.1.2
Je geeft in: poort 80,443 afkomstig van ALLE ip adressen, DOEL IP: 192.168.1.2
Zodra je de firewall regel opslaat dan gaat je web verkeer nog steeds naar de eigen SRM of als je uPNP hebt aanstaan naar een willekeurig device in je netwerk wat poort 80 draait. Het zou eigenlijk naar het IP moeten gaan, maar dat gebeurd niet, je moet naast de firewall dus ook nog eens gaan portforwarden....

3.
(inkomende) VPN, je installeerd de VPN app, stelt alles in, deze werkt, je krijgt netjes verbinding maar vervolgens kan je niets je hebt geen internet.... Gebruik je dezelfde instellingen op je (synology) NAS en je verbind naar deze dan werkt alles wel.....

4.
Je kan niet je quickconnect ID van je NAS gebruiken, ook kun je niet inloggen met je synology account in SRM, je krijgt een connectie error, zo ook als je een support request instuurt.

Herkend iemand dit, weet toevallig een oplossing of work around (of toch instelling probleem)?

Ik heb uiteraard al een support ticket bij synology aangemaakt, geen idee hoelang het duurt voordat deze reageren.

[Björn]

1. Heb ik ook gemeld, wordt als het goed is in volgende SRM update gefixt
4. Quickconnect is per device naar mijn weten. Je maakt dus een nieuwe quickconnect aan binnen je huidige Synology account.
Ik kan overigens wel gewoon inloggen met Synology account en ticket aanmaken vanuit SRM.

[Hofstede]

Ik vindt 2 absoluut geen bug. In de firewall geef je aan dat verkeer op een bepaalde poort alleen naar een bepaald IP adres mag.
Als verkeer naar een ander IP gaat wordt het tegengehouden.

Dat extern verkeer ook naar een bepaald ip moet worden gestuurd is een functie van portforwarding en niet van de firewall.

[B3rt]

MOD: Onnodige citaat is verwijderd, lees even.

Niet??? 

Situatie:
- ik wil dat ik vanaf 1 specifieke locatie(extern IP) poort 65003 kan benaderen (op mijn NAS), de rest van internet dus niet!
- maak ik dan alleen een firewall regel aan dat poort 65003 afkomstig van extern IP X  naar internet IP Y moet, dan werkt dit weer niet..
- als ik een poort forwading instel van poort 65003 naar mijn intern IP kan IEDEREEN naar die poort verbinden, port forwarding overruled blijkbaar namelijk de firewall!
- maak ik een firewall regel dat alleen extern IP X toegang heeft tot die specifiiek poort aan maak dan een forwarder aan dat die poort naar dat interne ip Y moet dan werkt dat ook niet, de forwarder overruled namelijk blijkbaar weer de firewall met als resultaat dat iedereen er weer bij kan!

Maw je kan dus niet per IP of poort een firewall instellen, dit is dus zeer zeker wel een bug...

[Hofstede]

De laatste optie die je omschrijft zou inderdaad moeten werken. De firewall moet ook verkeer dat geforward wordt monitoren en filteren. Als dat niet zo is, is het een bug.

Maar dat is iets anders dan je oorspronkelijk beschreef. Daar geef je aan dat je wil dat de firewall ook het forwarden voor zijn rekening neemt, en dat kan niet.

Maar kun je in het forward scherm geen bronadres opgeven? In mijn router kan ik opgeven of alles van het internet op een bepaalde poort geforward wordt naar de interne machine, of alleen een specifiek internet adres dat die poort aanspreekt. Dus een source IP en destination IP.

[B3rt]

dat dacht ik in begin ook, de forward rule gaat altijd voor in de router.

Dus ik dacht, dan moet je in de firewall regel dit als doel IP opgeven, dan heb je die forward regel niet nodig.
Maarja, beide werkt niet zoals het hoort...

Je kan dus niet iets forwarden en dat begrenzen van 1 specifiek IP...

Mijn VPN probleem is inmiddels ook 'opgelost', zodra je ipsec gebruikt werkt alles normaal, pptp maakt ie alleen verbinding maar kan je verders niets....  Gebruik dus nu maar ipsec

Maar dat de forwarders niet werken vind ik echt een DIKKE bug, hoop niet dat ze daar lang over doen om dat te fixen.

[spikehome]

Ik wilde eerst mijn asus rt-ac68u vervangen voor deze router.
Maar ik houd het wel daar nog even bij met de Merlin firmware (tomato gaf rare bug).
En anders haal ik mijn alix bordje weer uit de kast met pfsense erop.
Het is verrekt jammer dat pfsense geen betere hardware ondersteuning heeft.

[Babylonia]

Alle beweringen die bovenaan worden genoemd als bug  KLOPPEN NIET   

Kennelijk nog net te weinig ervaring met de router hoe je het een en ander instelt of gebruikt.
Het is misschien een goed gebruik om eerst te kijken wat er reeds aan informatie op het forum voorhanden is, om zodoende onnodige onrust van andere (potentiële) gebruikers te vermijden.   

Alleen punt 1   het invullen van port forwarders, is niet zozeer een bug, maar had wel een stuk efficiënter gekund.
Daar is door mij en anderen al eerder op gewezen. Opmerking doorsturen van poorten zie   < HIER >   en    < HIER >  (+  vervolgreactie).

Firewall regels. Heb ik op een paar plekken wat over geschreven.
Misschien het meest uitgebreid en het makkelijkste te begrijpen, juist in combinatie met VPN, zie reactie  < HIER > en vervolgreacties naar beneden (voor de Firewall) en ervoor voor resultaten met ALLE VPN-protocollen. Ook specifiek de opties om connectie met internet te hebben bij VPN.

Bij QuickConnect gebruik ik gewoon het ID wat ik reeds voor mijn NAS had ingesteld, (nog niet een nieuwe)
aangevuld met poortnummer  :8000  om bij de router uit te komen.  Idem de DDNS domein-service werkt als zodanig.
Zonder ingave van poortnummer kom ik uit op de webserver van mijn NAS  (precies wat de bedoeling is).

De wijze van hoe poorten door te sturen en Firewall regels op te stellen zoals eerder in de reactie hierboven geopperd, is een verkeerde werkwijze. Poorten doorsturen staat los van Firewall regels en andersom.

Wil je expliciet van één enkel extern IP de toegang geven tot je NAS op één poort, en niet van "al het internetverkeer",
kun je dat regelen met een goede invulling van Firewall regels.
Algemene uitleg hoe Firewallregels in te stellen zie  < HIER > met uitgebreide  Jip- en Janneke  voorbeelden bij vervolgreacties.

[B3rt]

punt 1 is wel absoluut een bug hoor.
Het is nu simpelweg onmogelijk om 1 of meerdere specifieke poorten te forwarden voor enkel 1 of meerdere specifieke IP adressen zodat alle andere IP adressen geen toegang krijgen tot deze poorten.
Deze functionaliteit is toch echt een basis onderdeel van een firewall.
Zodra je nu een forwarder instelt staat deze open voor iedereen en deze kun je dus ook niet dicht zetten zonder de forwarder te verwijderen, je kan zeggen wat je wilt dat is een bug, helaas vind ik  in jou artikel nergens terug hoe dit wel zou moeten werken.

Heb zelf veel ervaring met linux firewalls etc, wat ik omschrijf is een basic functionaliteit van elke firewall en dat kan hier niet. Als het wel kan dan is dit ERG onduidelijk en wordt niet tot nu toe nergens uitgelegd hoe, tenminste ik heb het nog niet kunnen vinden...

Punt 2 vond ik zelf ook al vreemd maar dit komt omdat punt 1 niet werkt en je andere manieren gaat zoeken om je firewall dicht te timmeren.
punt 3 had ik al eerder gemeld werkt inmiddels door eenvoudig een ander protocol te kiezen.
Blijft wel vreemd dat als je exact dezelfde VPN APP installeert op je NAS en exact deze instellingen gebruikt en dan daar naar toe verbind wel werkt en connect je naar de router dan niet, gebruik je een ander protocol werkt het probleemloos...

[Babylonia]

Nee hoor, je snapt de werking zeer duidelijk niet.  Wel of geen ervaring met Linux, je bewering snijdt geen hout !!

Doorsturen van poorten staat verder  helemaal LOS  van Firewallregels om expliciet een bepaald IP-wel of geen toegang te verschaffen.
Omdat je je reactie redelijk snel achter die van mij hebt geplaatst, vermoed ik dat je (nog) niet de moeite hebt genomen de uitleg naar werkende oplossingen zoals eerder aangehaald hebt gelezen, bestudeerd en hebt uitgeprobeerd.

[Briolet]

punt 1 is wel absoluut een bug hoor.
Het is nu simpelweg onmogelijk om …

Nee, zoiets is geen bug. Dan snap je niet wat een bug is: Een bug is een feature die niet werkt zoals hij bedoeld is.

Deze forwards werken gewoon zoals de programmeurs het bedoeld hebben.

[B3rt]

ik had je stuk al eerder gelezen voordat ik de post heb gestart.

Kijk de forwarders zelf werken wel echter de firewall weer niet als een forwarder is ingesteld en dat hoort niet......
Wellicht zit de bug dan niet in de forwarder maar meer in de firewall, maar het feit blijft dat het nu onmogelijk is om 1 poort te forwarden en dat dan enkel voor 1 extern IP adres....

Ik zou zeggen probeer het zelf ook maar eens, het werkt gewoon niet en dat is volgens mij toch echt wel een bug en ik kan me niet voorstellen dat zoals de moderator zo leuk zegt 'bedoeld door de ontwikkelaar' bij design zo is, indien wel dan zou het nut van de firewall een stuk minder zijn.. 
Een firewall is er immers voor om regels in te stellen wat wel en niet mag en nu dus geen firewall regels aanmaken voor een forwarder en bij een forwarder kun je weer niet instellen dat deze enkel door een extern IP te gebruiken is.

Als jij zeker weet hoe dit wel werkt mag je mij dit dan uitleggen, zoals ik al zei in jou stukje lees ik nergens hoe je dus een port forwarding kunt instellen en deze enkel toegang geven vanaf 1 extern ipadres.

Ben erg benieuwd naar jou uitleg hoe dit dan zou moeten werken, want ik kan dit dus echt niet vinden.

[Babylonia]

Je beredenering klopt gewoon niet. Het is zuiver een kwestie van instellen.
Geef eerst eens wat meer informatie wat er aan modem/router vóór de RT1900ac zit.
Staat die in bridge-mode, of gebruik je wel het lokale LAN van die modem/router en heb je de RT1900ac bijv. in DMZ staan??
Wat heb je verder aan zaken achter je RT1900ac gehangen (o.a. een NAS begrijp ik)?

Wat wil je bereiken?
- 1.  In ieder geval toegang vanuit je PC's aangesloten binnen je RT1900ac LAN neem ik aan?
- 2.  VPN, welk protocol?
- 3.  Wil jezelf van buiten alleen connectie via VPN of ook nog "gewoon" remote van je RT1900ac ?
- 4.  En zoals ik denk te begrijpen van buiten uit enkel toegang voor één IP-adres  voor een service die poort 65003 gebruikt.
       Die service voor poort 65003 staat die op de NAS of geldt dat nog voor een ander apparaat?
- 5.  Wil je nog andere services van buitenaf kunnen benaderen voor bijv. een NAS, XBOX e.d.?

Nog andere opties die ik vergeten ben?

[B3rt]

het hangt achter een ziggo modem (bridge mode is helaas niet mogelijk, deze functie is uitgeschakeld door ziggo).

Hij heeft een (gereserveerd) DHCP adres en zit in een DMZ van het ziggo modem, uiteraard stat alles UIT op het ziggo modem, er zitten geen andere apparaten op aangesloten en ook geen firewall/forward regels ingesteld.
Wel dus de DMZ voor het IP adres van de synology router.

1. ca 30 apparaten, waaronder pc's, laptop's, rasperrypy, nuc, camera's tablets, telefoons, homeautomation en natuurlijk de synology NAS
2. VPN werkt inmiddels via ipsec protocol, bij PPTP kreeg ik alleen verbinding maar geen internet of LAN.
3. zoals ik al zei, via VPN werkt het al, maar ik wil ook 'gewoon' verbinding kunnen maken
4. Poort 65003 (maar zo zijn er nog veel meer poorten en diensten) dient verbinding te maken met inderdaad de synology NAS, niet met andere apparaten.
5. yep, ook de TV (streaming) en homeautomation
6. de firewall van de nas moet UIT blijven, daarvoor heb ik immers de router gekocht.......

De volgende applicaties op de NAS dienen toegankelijk te zijn vanaf specifieke IP adressen:
sabnzb 65000 en 65001
mailserver (poort 25, 2 verschillende IP's)
sickbeardb 65002
couchpotato 65003
SSH

de volgende diensten dienen voor iedereen te bereiken zijn (ook op de nas)
ftp (incl passive port range) 2121, 5666
webdav (5006)
survaillance station
cloud station
DSM (5001)

De nas zelf heeft ip 192.168.1.2 in het netwerk, de router 192.168.1.1 (lan) en 192.168.0.100 (wan)

Ben erg benieuwd wat je hiermee kunt...

[Robbedoes]

Volgens <dit filmpje> (vanaf 7:15) kun je gewoon 1 IP toewijzen als bron voor de port forwarding, dus daarmee dien je de rest uit te kunnen sluiten. Als dat niet werkt lijkt het wel een bug.

Je geeft dan 1 IP vrij, maar als je de rest niet blokkeert dan kan ik me voorstellen dat lijkt alsof het niet werkt.
Heb je wel ingesteld dat als er niet aan de regel voldaan wordt dat toegang dan geweigerd wordt? Dat werkt tenminste zo op DSM.

Als je een range poorten forward en je laat de destination poort leeg dan werkt dat toch gewoon?
Enkel als je een poortwissel wilt doorvoeren vul je wat in.