Webdav server niet bereikbaar vanuit het buitenland (opgelost)

[HansB]

Beste leden van dit forum,

Ik het volgende probleem. Op mijn Synology heb ik Webdav geactiveerd. De Synology heb ik een vast ip adres gegeven. In mijn internet router heb dit adres toegevoegd aan de DMZ.

Als ik binnen Nederland via de Finder op een Mac, naar verbind met server met adres https://xx.xxx.xxx.xx:5006/DRIVE1 ga dan lukt de verbinding naar de Webdav server wel. Ik krijg dan wel eerst de melding dat ik het certificaat dien te vertrouwen maar eenmaal geaccepteerd wordt de verbinding tot stand gebracht.

Als deze zelfde poging wordt gedaan vanaf een Mac in Canada en een Mac in Italie dan lukt de verbinding niet. Nadat het bovenstaande adres is ingevoerd in Finder (verbind met server) dan schakelt het scherm na het klikken op verbind direct over naar Safari of Chrome, met de melding Not found, the requested url was not found on this server.  Ik heb het ook geprobeerd zonder de naam van de folder te specificeren, dus via https://xx.xxx.xxx.xx:5006 maar dan krijg ik ook dezelfde foutmelding. Een ping van beide systemen naar het desbetreffende ip adres gaat zonder problemen.

Ik hoop dat jullie een verklaring/oplossing kunnen geven voor dit probleem.


Hoor graag van jullie. Mvg, Hans

[Briolet]

Open deur: Gebruik je een landenspecifieke firewall. De enige verklaring die ik kan bedenken.

Er zijn ook andere verklaringen met geblokkeerde poorten, maar dat is dan niet specifiek voor het buitenland.

Zelf gebruik ik WebDav via poort 443 omdat die eigenlijk nooit geblokkeerd wordt. Ik benader de nas via 'webdav.mijndomein.nl' en in de nas stuur ik die URL via een reverse proxy naar poort 5006.

[HansB]

Hoi Briolet,

Bedankt voor je bericht. Een landen specifieke firewall is inderdaad niet aan de orde. Ik zou poort 443 nog eens kunnen proberen al staat de NAS in de DMZ, dan zou er van het blokkeren van een poort of poorten toch geen sprake kunnen zijn. Ik zou, zoals je al schrijft webdav via mijn eigen domein kunnen gaan benaderen. Dat is zeker te proberen waard.

Groet, Hans

[Briolet]

in de DMZ, dan zou er van het blokkeren van een poort of poorten toch geen sprake kunnen zijn.

Ik bedoel ook niet in de nas, maar in het netwerk vanaf waar je verbind. Wifi netwerken in bedrijven of hotels kunnen b.v. niet standaard poorten uitgaand blokkeren als manier om hun netwerk te beveiligen.

[HansB]

Hoi, ja dat is zeker waar. Ik vergat te vermelden dat het 2 particuliere systemen zijn aangesloten op een standaard internetverbinding in huis. Maar dan nog. Kan zijn dat beide providers bepaald verkeer blokken of dat de provider hier in Nederland, T-mobile verkeer vanuit het buitenland blokt. We zijn van plan om de NAS daarom eens aan te sluiten op een Ziggo verbinding.

[Babylonia]

....al staat de NAS in de DMZ,....

Dan moet je wel heel erg kien zijn een juiste keuze van je firewall opties in te stellen, om niet ongewild veiligheidslekken naar je interne netwerk open te zetten. Een paar kleine vergissingen in je firewall, en je systeem staat open om gemakkelijk te kunnen worden gehackt.

Stuur bij voorkeur nooit DMZ door naar intern aangesloten apparaten.
Hooguit in een NAT achter NAT set-up (twee routers achter elkaar).
Kun je voor die 2e router (en nergens anders voor) daar een DMZ instelling voor geven (vastgelegd in de 1e router).

Regel je port forwarding regels expliciet beter voor dat WebDAV protocol alleen.
Als het de bedoeling is die als enige service van buitenaf bereikbaar te maken.
En dan ook nog alleen voor die regio's die van toepassing zijn in je gewenste bereikbaarheid.

[HansB]

Hoi Babylonia,

Bedankt voor je reactie. Die DMZ instelling is tijdelijk en zal later door het systeem van port forwarding worden vervangen.

Groet, Hans

[Babylonia]

Dat tijdelijk kan snel gaan hoor?  Dat "later" is vaak al te laat.

Meer dan een half tot heel uurtje om je netwerk op te merken en binnen te komen hebben hackers niet nodig.
(Er is op TV wel eens ooit een demonstratie gegeven hoe snel zoiets kan gaan met IP-camera's ---> in pakweg 10-20 minuten).

Bedenk dat met DMZ naar de NAS, ook je interne netwerkpoorten open staan - poorten 135, 139, 445 (netwerk / printer delen).
Daarmee andere apparaten ook bereikbaar kunnen zijn + mogelijk nog eens veel meer poorten.

Poorten die ik van buitenaf wel eens bij iemand heb kunnen scannen die ook DMZ naar zijn NAS had doorgezet.
(En dan zitten de UDP poorten er nog niet bij).

[HansB]

Ja goed punt. We zijn wel iets verder gekomen. We hebben het werkend gekregen via Webdav, poort 5006. Nadat we de NAS een ander static IP adres hebben gegeven. Echter, zolang we hem in DMZ laten staan dan werkt het. Zodra DMZ wordt uitgeschakeld dan werkt het niet meer. De router is een T mobile Home GatewayHG659. Als je daar een port forwarding opzet dan zijn er al standaard een aantal poorten (zoals 443 en port 80) geactiveerd. We hebben hieraan poort 5006 toegevoegd. Echter, we kunnen de NAS van buitenaf niet meer pingen en de verbinding lukt dus ook niet meer. Enig idee welke poorten nog meer open moeten om die NAS over het internet te kunnen bereiken?

[Babylonia]

Echter, zolang we hem in DMZ laten staan dan werkt het. Zodra DMZ wordt uitgeschakeld dan werkt het niet meer.

Dan klopt er iets niet met je set-up, zo simpel is het.
Je gaf tevens aan dat je een ander vast IP-adres voor de NAS hebt ingesteld. (In de router naar ik denk??).  Heb je de NAS daarna ook een keer herstart, zodat een oude IP lease worden vrij gegegeven, zodat een nieuw IP-adres zich kan aanmelden??

Zolang dat niet is gebeurd, werken port forwardings ook niet naar een nieuw IP-adres.

[Briolet]

Heb je de NAS daarna ook een keer herstart, zodat een oude IP lease worden vrij gegegeven,

Naar mijn ervaring is het voldoende om de netwerk kabel er even uit te halen. Het apparaat herkent de verbroken verbinding en haalt opnieuw een IP op bij de dhcp server als je de kabel er weer in steekt.

[Babylonia]

Dat kan ook.  Maar afhankelijk waar de NAS staat opgesteld (kelder - meterkast),
kan een herstart via het het menu (en het oude IP-adres wat nog geldig kan zijn), handiger zijn.

[HansB]

Hoi,

Bedankt voor het meedenken. We hebben de NAS opnieuw opgestart. Maar probleem is daarmee niet opgelost. We gaan vandaag nog eens naar de instelling van de poort forwarding kijken op de T mobile Home GatewayHG65. We houden jullie op de hoogte.

Groet, Hans

[HansB]

Het probleem is opgelost.

Bleek toch in een verkeerde port forwarding instelling te zitten. We hadden niet goed gekeken hoewel de port forwarding in deze router van T Mobile nodeloos ingewikkeld is.

Aan een ieder bedankt voor het meedenken en suggesties.

Groet, Hans