Synology-Forum.nl
Overige software => Overige software => Topic gestart door: robinmull112 op 09 januari 2018, 18:54:51
-
Hallo iedereen,
Sinds vandaag heb ik een VPN server opgezet via mijn NAS.
Hierbij wil ik een firewall in de NAS opzetten, waarbij interne apparaten alle toegang hebben en ik via de VPN toegang heb tot File Station en Surveillance Station, mits het apparaat wat een VPN opvraagt zich binnen Nederland bevind.
Alle andere apparaten/verbindingen/toepassingen/landen moeten geblokt worden.
Ik heb op dit forum en het internet gekeken en ben de volgende instellingen tegengekomen (zie foto).
Alles werkt zowel via binnen als buiten het netwerk (vpn), mits de laatste regel uit staat. Als ik de laatste regel aan zet heb ik wel toegang van binnenuit het huis, maar via de VPN niet meer.
Wat doe ik fout? Ziet een van jullie het toevallig?
Bedankt voor de hulp!
Groet,
Robin
-
Volgens mij gaan deny-regels boven de allow-regels en maak je dus in feite alle allows ongedaan.
-
Heb je de IP range van de VPN apparaten ook toegestaan? Het is nu niet te zien of ze ook onder de eerste regel vallen.
@dirklammers: zoek eerst eens op hoe de firewall werkt.
-
Pas regel 2 eens aan met het ip adres welke wordt uitgedeeld bij VPN.
I.p.v. Netherlands maak je daar een range aan van bv 10.8.0.0 tm 10.8.0.24 (voorbeeld voor OpenVPN). Welk ip adres je gebruikt bij welk protocol zie je in het VPN pakket.
-
Met verschillen voor Firewall instellingen voor een router en een NAS, met updates in firmware, staat infomatie inmiddels wat versnippert op het forum. < HIER > (https://www.synology-forum.nl/firmware-algemeen/ip-adres-geblokkeerd-viassh/msg203461/#msg203461) een aantal verwijzingen bij elkaar.
Hoewel de uitleg in de volgende link de wijze is zoals gebruikt in een router, is het met de nummering misschien makkelijker te begrijpen hoe je dat vergelijkbaar ook bij een NAS inregelt. (Kleine verschillen in menu's zijn er uiteraard wel met die van een router. Het gaat om het principe).
Zie uitleg < HIER > (https://www.synology-forum.nl/synology-router/hoe-firewall-instellen-in-de-router/msg200596/#msg200596)
-
1. ALL ALL ALL DENY wegdoen
2. Kies de LAN interface, onderaan Als niet ..... toegang blokkeren, aanvinken
3. Kies de VPN interface, daar het Dynamisch IP bereik toestaan en onderaan Als ..... toegang blokkeren, aanvinken
Succes
Edit:
Je eerste regel kun je ook verplaatsen naar de LAN interface, is wat "juister".
-
Heb je de IP range van de VPN apparaten ook toegestaan? Het is nu niet te zien of ze ook onder de eerste regel vallen.
Hmm goede. Mijn iPhone (daarmee heb ik getest of alles ook buitenshuis werkt) krijgt natuurlijk een ander IP nummer zodra deze over gaat op 4g en VPN. Het LAN IP nummer komt dan te vervallen neem ik?
Maar als hij door de eerste regel wordt 'afgewezen' zou hij toch door de tweede regel geaccepteerd moeten worden? Hij heeft immers een Nederlands IP nummer. (dit heb ik online getest, ik kom uit bij een server van Vodafone in het Oosten van het land.
Pas regel 2 eens aan met het ip adres welke wordt uitgedeeld bij VPN.
I.p.v. Netherlands maak je daar een range aan van bv 10.8.0.0 tm 10.8.0.24 (voorbeeld voor OpenVPN). Welk ip adres je gebruikt bij welk protocol zie je in het VPN pakket.
Thanks! Ik heb dit gedaan en het werkt! Hoe kan ik de firewall nu testen? Want nu werkt alles binnen mijn LAN en alles wat met mijn VPN verbonden is, maar hoe kan ik testen of een ander apparaat wat buiten mijn LAN staat en niet verbonden is met de VPN wordt geblokkeerd?
Met verschillen voor Firewall instellingen voor een router en een NAS, met updates in firmware, staat infomatie inmiddels wat versnippert op het forum. < HIER > (https://www.synology-forum.nl/firmware-algemeen/ip-adres-geblokkeerd-viassh/msg203461/#msg203461) een aantal verwijzingen bij elkaar.
Hoewel de uitleg in de volgende link de wijze is zoals gebruikt in een router, is het met de nummering misschien makkelijker te begrijpen hoe je dat vergelijkbaar ook bij een NAS inregelt. (Kleine verschillen in menu's zijn er uiteraard wel met die van een router. Het gaat om het principe).
Zie uitleg < HIER > (https://www.synology-forum.nl/synology-router/hoe-firewall-instellen-in-de-router/msg200596/#msg200596)
Thanks! Ik zal alles zo eventjes doornemen.
-
1. ALL ALL ALL DENY wegdoen
2. Kies de LAN interface, onderaan Als niet ..... toegang blokkeren, aanvinken
3. Kies de VPN interface, daar het Dynamisch IP bereik toestaan en onderaan Als ..... toegang blokkeren, aanvinken
Succes
Edit:
Je eerste regel kun je ook verplaatsen naar de LAN interface, is wat "juister".
Bedankt voor je hulp. Misschien een beetje dom, maar ik volg je even niet. Ik krijg de opties ' Als.... toegang blokkeren niet.
Zie foto's voor hoe de regels er nu uitzien en welke opties ik heb.
-
In je tweede screenshot.... wat staat er in het drop down menu..... :?:
-
Ohh wacht, ik denk dat ik het snap.
Mijn LAN interface (Bond 1) is leeg. Hier kan ik dan alle poorten open zetten voor de interne apparaten?
Mijn VPN interface kan ik de poorten voor Surveillance Station en File Station open zetten voor de VPN apparaten met IP adres 10.0.8.0 t/m 10.0.8.20 ofzo? Is het trouwens mogelijk om de verbonden clients een vast IP te geven, zodat ik de hiervoor genoemde range kan verkleinen?
-
Wanneer je VPN uitzet krijg je een ip via je provider via 3 of 4G. In dat geval zou je geblokkeerd moeten worden. Je zou het ook kunnen testen via een WiFi bi je buurman etc.
Je kunt je apparaten een vast ip geven door in je router adres reserveringen toe te kennen icm het MAC adres.
BV, je router 192.168.1.1
Je nas 192.168.1.10
Telefoon 192.168.11
Pc ......... 12 etc
Zo kan je bv aangeven dat 1 tm 12 toegang heeft.
In je router kan je dan bv een gastennetwerk aanmaken dat start met 192.168.1.20 en hoger (DHCP). Deze kan je dan beperkte toegang verlenen...
Voor meer info omtrent firewall en VPN zie: https://www.sparklabs.com/support/kb/article/setting-up-an-openvpn-server-with-synology-and-viscosity/
-
Als je NAS 2 poorten heeft en je zet die in een bond heb je inderdaad onder interfaces alleen een Bond1.
Bond1 is dan het punt waar alle verkeer binnenkomt en uitgaat, dus ja daar kun je poorten/IP`s/landen toelaten.
Op de VPN interface is alleen wat ik hierboven schreef nodig. Je kunt de diensten op de NAS bereiken door regels op Bond1.
Om OpenVPN clients een vast IP te geven zie mijn handtekening.
Edit:
Je hebt je post aangepast.
zodat ik de hiervoor genoemde range kan verkleinen?
Dat is niet nodig. Slechts OpenVPN clients en applicaties/packages die op de NAS draaien hebben toegang tot de VPN interface.
De VPN interface ligt namelijk "achter" de Bond/LANx/PPPoE/enz.
-
Ik heb het eventjes geprobeerd, maar het wil niet lukken.
Zodra ik de LAN/BOND firewall opzet krijg ik geen toegang meer via de VPN.
Waarschijnlijk omdat mijn telefoon dan buiten de LAN ip range valt neem ik aan?
-
Dit is wat ik heb ingesteld onder de VPN dropdown.
Aangezien 'if no rules are matched allow acces' aanstaat, lijkt het mij dat het probleem bij de LAN/BOND ligt?
Daar wordt mijn telefoon waarschijnlijk al geblokt.
-
Toch vreemd. Als ik alles onder BOND en VPN weghaal en de rules weer opbouw onder All Interfaces werkt het ook niet.
Mijn iPhone krijgt geen LAN IP, dus met die regel kan het niks te maken hebben. Als ik een nieuwe regel aanmaak met de IP range van 10.8.0.0 t/m 10.8.0.255 (of iets daar tussenin) werkt het ook niet. Als ik vervolgens een regel aanmaak waarin ik aangeef dat alles binnen NL toegang krijg werkt het ineens wel.
Iemand ideeen hoe of wat want ik snap het niet meer.
-
Op je Bond1 dien je wel poort 1194 toe te staan zodat OpenVPN bereikbaar is.
1194 UDP Alles Toestaan
Alles kan ook een land zijn of meerdere landen.
-
Je bent een held! Ergens had ik al het idee dat het met poorten te maken had, maar ik kwam er echt niet uit.
Ik heb nu poort 1194 toegang gegeven tot alles als de source IP uit Nederland komt.
Ik heb ook geprobeerd om de Source IP van 10.8.0.0 tot 10.8.0.255 te laten lopen, maar dan blokkeert hij de boel weer.
Het werkt nu in ieder geval weer, echt ontzettend bedankt! Ik neem aan dat ik met deze regels een vrij strakke firewall heb?
-
Maar als hij door de eerste regel wordt 'afgewezen' zou hij toch door de tweede regel geaccepteerd moeten worden? Hij heeft immers een Nederlands IP nummer. (dit heb ik online getest, ik kom uit bij een server van Vodafone in het Oosten van het land.
Als je via een VPN binnenkomt, heb je geen Nederlands IP. Je krijgt een IP in de range die je ingesteld hebt voor VPN. Dat is een range voor intern gebruik.
-
Ter verduidelijking een afbeelding:
(https://www.synology-forum.nl/vpn-server/openvpn-'redirect-gateway-def1'-werkt-niet-met-gecomprimeerde-data-overdracht/?action=dlattach;attach=40484)
Kijk links naar de SERVER zijde.
SERVER = NAS
Apps = applicaties en packages
WAN = in jou geval je thuisnetwerk, fysiek de kabel naar je modem.
eth0 = in jou geval Bond 1 - 192.168.178.x
tun0 = VPN - 10.8.0.0/30
iptables = firewall
Voor een OpenVPN client dient dus poort 1194 op de Bond 1 toegelaten te zijn zodat OpenVPN bereikbaar is voor clients die uit NL komen, wel opletten als je op vakantie gaat ;)
Het Dynamisch IP bereik (10.8.0.0/24) op de VPN interface dient toegelaten te zijn.
Op de Bond 1 dient ook nog je lokale IP bereik (192.168.178.x/24) toegelaten te zijn.
Bij beide interfaces If no rules match: Deny access, dan is er bij beide geen Deny ALL regel aan het einde nodig.
-
Mooi plaatje :thumbup:
-
Bedankt voor alle hulp! De VPN draait nog steeds als een zonnetje. Super.