Synology-Forum.nl
Firmware => Synology DSM 5.1 en eerder => Topic gestart door: Jos van Zanten op 10 augustus 2014, 15:34:36
-
Ik koppel bij opstart mijn mappen op mijn NAS (DS210j) via een CMD-file (NET USE P: \\%nas_ip%\Photo %userdata:"=%/PERSISTENT:NO). Dat werkt prima maar ik zit met een Firewall-probleem. Als ik in de Firewall van de NAS alle poorten van de NAS-toepassingen open zet en voor andere poorten de toegang weiger, dan kan mijn CMD-file de NAS niet vinden. Zet ik in de firewall van de NAS ALLE poorten open dan kan mijn CMD-file de NAS wel vinden en koppelt hij netjes alle mappen naar ieder hun eigen harddisk.
Mijn vraag, welke poort wordt hier gebruikt die niet in de standaard-gebruikspoorten van de NAS staan?
Alvast bedankt voor de hulp.
Met vriendelijke groeten, Jos van Zanten.
-
NET command gebruikt poort 139 (CIFS).
-
Bedankt voor je snelle reactie!
Maar poort 139 staat als CIFS poort voor de Windows bestandsservice al open dus dat is het niet.
Groetjes, Jos.
-
Even uit m'n hoofd dus ik weet het niet helemaal zeker.
Poorten 135, 137, 138, 139 en 445
Edit:
Even gegoogeld en hier vind je een overzicht van alle poorten
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
Zat er dicht bij, maar 135 hoeft misschien niet.
Stond me overigens wel vaag bij dat het toch ergens voor nodig was.
Gewoon even proberen zou ik zeggen.
-
Jij ook bedankt Ben (V),
Maar alle poorten van de standaard toepassingen heb ik open gezet, dus ook deze van de MAC bestandsservice staan open. Het moet dus een poort zijn die niet in de standaard toepassingenlijst van de NAS staan want die staan allemaal open. :)
Groetjes Jos.
-
toch even poort 135 erbij proberen?
-
Hallo Ben (V)
Ik heb er voor de zekerheid een extra regel bij gezet waarin ik de vijf genoemde poorten op zowel TCP, UDP als ICMP heb open gezet maar ondanks dat werkt mijn CMD-opdrachten niet meer, hij kan niet eens naar de NAS pingen.
Op welke poort wordt er eigenlijk gepingd want ik blijf in mijn CMD-file wachten totdat de NAS op een ping reageert.
Groetjes Jos.
-
Toch een gek probleem. Als je de CIFS instellingen in de firewall toestaat, worden vanzelf alle bijbehorende poorten geopend. En volgens mij doet bijna iedereen het op die manier en heeft er geen probleem mee. Het probleem moet elders liggen, al zie ik niet waar. (Wel firewall gerelateerd blijkbaar)
Is er niet een andere regel die expliciet iets sluit? Of heb je een firewall op de PC die dit blokkeert?
-
Hallo Briolet,
Bedankt voor je reactie.
Als ik in de NAS de firewall op "allen" zet dan kan ik de NAS pingen, hij is dan wel bereikbaar. Maar zet ik de firewall in de NAS op "alle toepassingen toestaan" dan kan ik de NAS niet meer pingen.
Ik heb daarna om uit te proberen twee extra regels toegevoegd:
Een die de "Bronpoort" in TCP, UDP en ICMP van poort 1 t/m poort 65535 toestaat en
een die de "Doelpoort" in TCP, UDP en ICMP van poort 1 t/m poort 65535 toestaat.
Alle poorten zouden nu open moeten staan maar ondanks dat kan ik de NAS nog niet pingen????????
Wie helpt mij met het oplossen van dit raadsel?
Alvast bedankt.
Groetjes Jos.
-
Heb je wel gekeken of je "Allow" heb aangevinkt en niet "Deny"
ping gaat via icmp dat kun je bij custom apart insstellen
-
Ping heeft volgen mij niet eens een poort. In de ping-manual kun je in elk geval geen poort instellen. Ook in Wireshark zie ik geen poort genoemd als ik pings verstuur.
-
Volgens mijn gaat icmp/ping via poort 7, maar op je Nas kun je icmp apart instellen in je firewall zonder poort op te geven.
-
Een ping gaat niet verder dan de NIC (Network Interface Card) volgens mij dus, de NIC reageert op een ping.
-
Bedankt beiden voor het meedenken. :)
Volgens mij heeft Ping inderdaad geen poort, daarom begrijp ik helemaal niet dat die Ping niet aankomt.
Een firewall die poorten blokkeert of toestaat hoort geen invloed op een PING te hebben maar hij heeft het blijkbaar wel.
Maar hij staat inderdaad op toestaan en ook op alle IP-adressen toestaan dus daar kan het niet aan liggen.
Ik blijf verder zoeken en hoop dat ik van iemand het antwoord krijgt. :)
Groetjes, Jos.
-
Een ping gaat niet verder dan de NIC (Network Interface Card) volgens mij dus, de NIC reageert op een ping.
Nee dat is onjuist. Het is een tcp/ip message en wordt door de ip stack afgehandelt.
Zoals ik al zei kun je dit apart in de firewall instellen bij "custom".
Als dit door de nic zou worden afgehandelt zou die firewall dat niet kunnen.
Edit Nog even in de wiki met poortnummer gekeken en het is inderdaad poort 7 (echo,icmp en ping).
-
Bingo :!: Waar bemoei ik me ook mee (zucht), tis te lang geleden voor me die Netwerk training :lol:
-
Tijd voor een herhalingscursus ;)
-
Maar hij staat inderdaad op toestaan en ook op alle IP-adressen toestaan dus daar kan het niet aan liggen.
Ik gebruik normaal geen firewall in m'n NAS maar even wat getest.
En bij mij werkt het gewoon prima.
Weet je zeker dat je op het eerste scherm van de firewall tab
if no rules match Deny Access
hebt aangevinkt?
En in de rule zelf bij
Action Allow
Anders werkt het precies andersom dan je denkt.
-
Bedankt Ben (V).
Ik had vandaag op internet ook een uitleg gevonden dat Ping niet door poorten zou gaan, zelf weet ik daar te weinig van.
Maar daarom had ik voor de zekerheid ook de TCP, UDP en ICMP poorten 1 t/m 65535 open gezet maar dan nog komt de ping niet binnen. Meer poorten open zetten kan ik niet..... :) :) :)
Maar ik blijf zoeken en proberen. :)
Groetjes Jos.
-
Ja ben (V),
Op het basisblad geef ik aan dat hij al het overige verkeer moet blokkeren en het firewall-menu geef ik aan dat hij alle ingebouwde toepassingen alle IP-adressen moet toestaan. Ik hang er wel even een schermafdruk aan.
Groetjes Jos,
-
Let op, er kijkt iemand mee :lol: ;)
-
Kijk mensen graag aan als ik met ze "praat"...... :) :) :)
-
Big brother is watching you! ;D
Maar even serieus.
Kun je even in het hoofdscherm op alles toestaan zetten en een rule aanmaken met deny?
Kies dan "Aangepast" en "icmp"
Vul ook even het ipnummer van je pc en geen reeks of zo.
Als die rule aanstaat zul je nu niet meer je Nas kunnen pingen en als de rule uitstaat wel weer.
Even alleen deze rule aanzetten.
Ps Ik durf het haast niet te vragen maar je klikt toch wel op "opslaan" na een aanpassing?
Edit Met firewall testen altijd testen me een source ip adres. Als je een reeks gebruikt en je doet iets fout loop je het risico jezelf volkomen buiten te sluiten
-
Ja klik echt op opslaan. :) :) :)
Maar zal dat even proberen, kijken wat hij doet.
-
Hallo Ben
Heb gedaan wat jij vroeg maar kan in beide situaties niet pingen, raar hoor. :)
Zal even een schermprint er bij hangen.
Volgens mij sta ik nu alles toe en er is geen regel die iets weigert maar hij doet dat toch niet.
Groetjes, Jos
-
Tja alles toestaan en geen rule dan is je firewall uitgeschakeld.
Ligt het aan de firewall van je pc?
-
Tja alles toestaan en geen rule dan is je firewall uitgeschakeld.
En als je die rule weggooit kun je wel pingen?
Ligt het aan de firewall van je pc?
-
Kun je andersom wel pingen dus, met PuTTY SSH pingen vanaf je NAS naar je PC.
(bemoei ik me er toch weer mee :lol: )
-
Voor de zekerheid maar even:
PuTTY:
1 - Zorg ervoor dat SSH-Service aan staat: Configuratiescherm > Terminal.
2 - Download putty.exe
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
3 - Start putty.exe
4 - Geef je IP-adres van je NAS op
5 - Zorg dat SSH aangeklikt is
6 - Save....geef een naam in "Saved Sessions"
7 - Klik op Open
8 - Je krijgt Putty scherm met "login as:"
9 - Geef in: root <enter>
10 - password: <Admin password> <enter> (PS: je ziet de cursor niet verplaatsen).
-
Hallo Ben,
Als ik in de NAS-firewall een regel maak die alles toestaat en in het hoofdscherm alles verder blokkeer dan kan ik wel pingen. Dan is het dus niet de firewall van de PC want anders zou hij het nu nog niet doen.
Ik moet nu wel stoppen dus je andere voorstellen komen morgen wel.
Alvast bedankt voor al je hulp en meedenken!!
Groetjes, Jos.
-
Birdy, jij ook alvast bedankt maar dat wordt morgen pas.
Groetjes Jos.
-
Heb even een testje gedaan.
Eerst zonder Firewall een ping gedaan (voor de zekerheid):
[attachimg=1]
Nu Firewall aangezet volgens:
[attachimg=2]
Ping, Time out:
[attachimg=3]
Ping van NAS naar PC:
[attachimg=4]
-
Toevoeging ICMP:
[attachimg=1]
Nu werkt ping dus wel samen met de regel van alle Ingebouwde toepassingen Ingeschakeld.
(maakt overigens niet uit of ICMP als 1e of 2e regel staat)
-
Bedankt Birdy, het werkt nu inderdaad.
Maar wat staat die regel nu precies toe, ook buiten de ping? :)
Maar nu kan ik de firewall zo dicht mogelijk zetten terwijl het koppelen via mijn CMD-file wel lukt.
Iedereen die meegedacht en meegeholpen heeft heel erg bedankt, vooral Ben (V) en Birdy!!!!!
Groeten, Jos.
-
@Ben(V)
Betekent dit nu dat het "NET" command via ICMP protocol loopt dan ?
-
Mijn vermoeden is dat het NET commando van ICMP gebruik maakt om de NAS te vinden.
-
@Birdy: Dat betekent dat pingen bijna altijd onmogelijk is met de firewall actief, tenzij je ICMP expliciet aanzet.
Dat was me nooit opgevallen omdat ik met een regel begin waarin staat dat alle poorten open staan voor het specifieke IP van mijn PC en laptop.
-
Ping heb je niet nodig om een "Net Use" commando te laten werken.
Ik heb het gisteren getest met de een enkele "Deny" regel voor ICMP.
Met deze regel aan wordt ping geblokkeerd vanaf mijn PC en met die regel uit kan ik mijn NAS weer pingen.
In beide gevallen was er geen enkele blokering van het "net use" commmando.
Zie hieronder:[attachimg=1]
Er is bij jjvanzanten iets anders aan de hand, want toen ik hem vroeg datzelfde te testen werd in beide gevallen ping geblokeerd.
PS Even ter correctie van een ander statement van mij (ik moet me net als Birdy niet overal mee bemoeien :oops:).
ICMP gebruikt geen poort (die wiki is dus ook fout). Het is een datagram protocol dat in het IP deel van TCP/IP wordt afgehandelt en heeft dus niet zoals TCP en UDP (die door het TCP deel worden afgehandelt) een poort nodig.
(Moest even de boeken er weer op nakijken).
-
Ping heb je niet nodig om een "Net Use" commando te laten werken.
Dat is ook niet beweerd, de vraag was Betekent dit nu dat het "NET" command via ICMP protocol loopt dan ?
Omdat het script van jjvanzanten (zie start bericht) nu [ « Gepost op: Gisteren om 22:16:11 » ] wel werkt als ICMP toegelaten wordt.
-
Ok zal iets duidelijker proberen te zijn.
Zoals ik al zei het werkt bij mij prima als ik icmp blokkeer.
"net use" gaat zeker niet via een icmp protocol.
-
Wel leuk wat voor een discussie mijn vraag opwekt. :)
Maar het is niet het NET commando waar hij op hangt, ik wacht via een PING totdat de NAS online is.
PING -n 1 -w 200 %nas_ip% | FIND "Antwoord van %nas_ip%" >NUL
IF %ERRORLEVEL% EQU 0 (SET /a good_pings+=1)
IF %good_pings% EQU %min_good_pings% GOTO :conn_established
SET display=%display:. =.. %
SET /a attempts+=1
IF %attempts% LEQ %max_attempts% GOTO :try_again
En juist door die online-test struikelde hij.
Maar misschien is er een elegantere manier om te testen of de NAS online is, dan hoor ik dat graag. :)
Maar in ieder geval leuk dat jullie helpen en meedenken, bedankt!!
Groetjes, Jos.
-
Waarom gebruik je eigenlijk zo'n ingewikkeld script alleen om schijven aan je NAS te koppelen? Dat gaat toch normaalgesproken helemaal vanzelf als je de netwerkverbinding persistent maakt?
-
Maar het is niet het NET commando waar hij op hangt, ik wacht via een PING totdat de NAS online is.
En dat vertel je NU al ? (of mis ik ergens wat).
Vandaar mijn vragen over ICMP en NET ::)
-
Tja dat had ik ook niet begrepen.
Tis dus te regelen met een extra regeltje waarin icmp wordt toegestaan, zoals Birdy al had laten zien.
Overigens ben ik het helemaal met Hofstede eens. Gewoon persistent maken zo'n drivemapping.
Ik zelf gebruik eigenlijk nooit meer drivemappings, maar altijd de UNC naam van een share.
-
Dacht dat ik had aangegeven dat ik met Ping bezig was maar kan ook te onduidelijk zijn geweest.
Ik heb ze ook wel via Windows gekoppeld maar dan doet hij het niet altijd netjes. De ene keer gaat het prima en zie ik ze staan en soms zie ik ze staan met een rood kruis er door heen. Met dit CMD-filetje gaat het al jaren goed, vandaar dat het eigenlijk altijd zo is gebleven. Ik wilde nu de firewall wat dichter zetten en toen liep ik tegen dit probleem aan, vandaar.
Groetjes Jos.
-
Dacht dat ik had aangegeven dat ik met Ping bezig was maar kan ook te onduidelijk zijn geweest.
Wil niet doorzagen hoor maar, dat had je wel aangegeven maar niet in de context van het script. Dus ja, "te onduidelijk geweest" ;)
Maar goed, je script werkt en dat is wat je wilde in combinatie met de Firewall van je NAS 8)
-
Waarom gebruik je eigenlijk zo'n ingewikkeld script alleen om schijven aan je NAS te koppelen? Dat gaat toch normaalgesproken helemaal vanzelf als je de netwerkverbinding persistent maakt?
Ik ben de aanstichter van dit "kwaad". ;D Zie hier (http://www.synology-forum.nl/windows/wachten-met-netwerk-akties-tot-verbinding-met-nas-ok-is-4839).
Nu we het XP tijdperk sinds kort zijn ontstegen is zo'n script wat minder nodig (WiFi hangt niet meer aan de achterste mem bij het opstarten),
maar in sommige gevallen is zoiets nog steeds nuttig.
Dit is bijv, het geval indien via een VPN met de locatie van de remote drives wordt verbonden.
Omdat bij opstart de VPN nog niet aktief is wanneer het OS de persistent drives probeert te (re)mounten,
faalt dit (re)mounten. Met het script worden de drives pas gemount wanneer de VPN aktief is.
Overigens zou in plaats van het testen d.m.v. een ping mogelijk ook in een loop getest kunnen worden
op het bestaan van een altijd aanwezige file op de share, bijv. door de regels
PING -n 1 -w 200 %nas_ip% | FIND "Antwoord van %nas_ip%" >NUL
IF %ERRORLEVEL% EQU 0 (SET /a good_pings+=1)
IF %good_pings% EQU %min_good_pings% GOTO :conn_establishedte vervangen door
IF EXIST "\\[NAS_IP]\[Share_naam]\[bestaande_file_naam]" GOTO :conn_establishedDe good_pings counter en de min_good_pings test zijn dan overbodig.
Edit: nadeel van deze aanpak is dat je credentials (User/Password) al bekend moeten zijn (bijv. via de Credential Manager) om deze check uit te voeren. Dat is dus voordat de drives worden gemount.
Hierdoor kan wellicht het Firewall ICMP probleem worden omzeild.
-
Bij mij is het altijd zo dat als ik via VPN inlog de shares inderdaad een rood kruis hebben omdat ze op moment van opstarten nog niet verbonden kunnen worden. Maar als ik dan de share aanklik wordt de verbinding alsnog automatisch gelegd en verdwijnt het rode kruis.