Na update - vreemd gedrag naar intern en extern netwerk

[wideko]

L.S.,
Uiteindelijk, na de zoveelste melding dat de FirmWare van de RT2600 niet bijgewerkt was, de sprong in het diepe genomen. Berichten op onder andere dit forum hebben me daar eigenlijk van weerhouden.
En nu zit ik met de gebakken problemen...
Vanaf mij laptop lijkt internet te werken (ik zit dit nu hier in te kloppen), maar vanaf mijn mobiel en tablet zie ik de nodige problemen.
Ik heb in de FireWall regels de regel van de workaround van Babylonia toegevoegd, maar dat geeft geen oplossing.
Modem en router opnieuw opgestart heeft ook niet geholpen.
DNS verwijst naar de DNS-server op de router (denk ik) en naar 8.8.8.8 (als reserve). Maar dit werkt denk ik niet (meer)...

Weet iemand wat hier roet in het eten gooit?
De tablet is morgen weer volop nodig....

Probleem gezien / nog actueel:

• laptop > Router (Webpage) = OK
  
• laptop > internet = soms problemen, maar 95% OK
  
• mobiel/tablet > internet = eigenlijk 100% onbereikbaar - DNS_PROBE_FINISHED_BAD_CONFIG
  
• mobiel > DS-cam = Foutmelding dat geen verbinding gemaakt kan worden.
  

[wideko]

Is het mogelijk een probleem met de DNS-server die op de router is geïnstalleerd?
Dat deze na de update en het bijwerken van de app helemaal de weg is kwijtgeraakt?

Hoe kan ik dit nu oplossen???

gr.
Willie

[Birdy]

Ik zit al een tijdje op de laatste SRM versie (RT2600ac) en heb een dergelijk probleem niet gehad.
Maar, even dit:

Ik heb in de FireWall regels de regel van de workaround van Babylonia toegevoegd

Die work arround was alleen van toepassing voor de RT1900ac.

DNS verwijst naar de DNS-server op de router (denk ik)

Dat vind ik nogal vaag uitgedrukt: "denk ik" m.a.w. dat zou je moeten weten, toch ?

Is het mogelijk een probleem met de DNS-server die op de router is geïnstalleerd?
Dat deze na de update en het bijwerken van de app helemaal de weg is kwijtgeraakt?

Dat kan je toch zelf checken of dat zo is ?

PS: Ik gebruik geen DNS-server op m'n RT2600ac dus, ik kan je daarmee niet helpen maar, wilde bovenstaande feiten wel even melden.

[wideko]

Ik heb in de FireWall regels de regel van de workaround van Babylonia toegevoegd
Birdy: Die work arround was alleen van toepassing voor de RT1900ac.

OK, dat heb ik dan wellicht niet goed gelezen?
Verwijderen dan maar weer?

DNS verwijst naar de DNS-server op de router (denk ik)
Birdy: Dat vind ik nogal vaag uitgedrukt: "denk ik" m.a.w. dat zou je moeten weten, toch ?

Nou...
Ik heb op de router de app 'DNS server' geïnstalleerd en gestart, lang voor deze laatste firmware update. Bij geen enkele update voorheen enig probleem bemerkt...tot gisterenavond. En het is nog steeds niet goed.

Is het mogelijk een probleem met de DNS-server die op de router is geïnstalleerd?
Dat deze na de update en het bijwerken van de app helemaal de weg is kwijtgeraakt?
Birdy: Dat kan je toch zelf checken of dat zo is ?

Helaas, ik weet niet hoe ik dat kan controleren.
Is er zoiets als een flush van de DNS-tabel (zoals ook op een Win-PC)?

Kan de DNS-server verwijderd worden? En zo ja, waar moet ik dan op letten met de verwijzing naar de primaire DNS in de configuratie van de router? Gewoon 'even' naar 8.8.8.8 laten kijken en dan later de DNS-server opnieuw installeren?
Yep, nog steeds een noob voor dit soort technieken 

[Babylonia]

De Firewall regels zijn voor mij niet echt helemaal duidelijk met wat je allemaal wilt, maar vind tevens diverse tegenstrijdigheden.
Houd bovendien beter rekening met de volgorde waarin regels worden vastgelegd. Die worden van boven naar beneden afgewerkt.
In die zin is het dan logischer eerst de (vituele) netwerken voor connectie toegang te geven,
en erna pas de VPN services die er gebruik van maken.

Ik vind in de Firewall voor twee verschillende NAS apparaten dezelfde poorten ingesteld. Dat zal niet werken.
Voor een NAS  DS212  en  DS1817

Een firewall regel voor WOL-service apart gaan instellen voor het ene apparaat naar het andere voor één poort is overbodig,
als je ervoor binnen je eigen netwerk reeds alle poorten en services binnen het eigen netwerk al hebt vrij gegeven.

DS1817 firewall regels toestaan extern voor poorten die uitsluitend intern binnen een LAN worden gebruikt,
lijkt me niet handig (poorten 137, 138, 139).
Nu zijn de port forwarders daarvoor (gelukkig) niet actief. Maar met het "rammelen" van die instellingen,
heb je geen inzicht als er mogelijke veiligheidslekken zijn, wat je dan binnenhaalt?
Mijn stelling is om niet meer zaken toegang te geven dan strikt noodzakelijk.

De work-around die wordt benoemd. Weet niet waar men op doelt, maar mocht het zijn de extra "grijze" firewall regels
m.b.t. port forwarders, die onderaan automatisch worden bijgevoegd, en voor alle regio's geldt, en niet alleen beperkt per regio,
waar men een aparte extra firewall regel voor zou moeten toevoegen om die laatste alle regio's regels te blokkeren,
geldt evenzeer voor de RT2600ac alsook voor RT1900ac. Dat is daarin NIET verschillend.

Die "work-around" correctie firewall-regel is bovendien NIET toegevoegd.
Waardoor "voor de hele wereld" de betreffende services waar port forwarders zijn ingesteld open staan,
en niet alleen binnen de eerder ingestelde regio's (België, Duitsland, Nederland).


Een eventueel gebruik van een extra DNS-server, heeft voor thuis / kleinschalig bedrijfsgebruik,
doorgaans alleen zijn functionaliteit voor "veel" intern gebruikte apparaten, om daar onderscheid in te maken.
Die benoem je dan met intern gebruikte (sub)-domein namen, in plaats van IP-adressen.

Voor het vertalen van extern gebruikte internet domeinnamen met IP-addressen (en visa versa),
wordt een eigen DNS-server in bijna alle gevallen doorgaans NIET gebruikt.

En zou je ook niet moeten willen door er specifiek port forwarders voor in te stellen.
Dan trek je namelijk onwillekeurig ook verkeer van buiten aan, die jouw DNS-server alleen gebruiken om daarmee makkelijker
die conversie van "internet" domeinnamen met IP-adressen te bewerkstelligen. Waar doorgaans alleen zware DNS-servers van providers,
of die van Google of Cloudflare voor gebruikt worden. Als je daarmee teveel data genereert "voor andere gebruikers" zal je provider
vroeg of laat bij je aan de bel trekken met "abuse" meldingen.

(Met zoveel discrepanties heb ik de logfiles maar even gelaten voor wat het is m.b.t. meldingen).

[wideko]

Internet binnen de muren doet het weer, nadat ik de DNS gewijzigd heb van het IP-adres van de router naar die van Google. Dus er is iets mis met de DNS-server op de RT2600ac van mij, maar wat .. geen idee.

[wideko]

De Firewall regels zijn voor mij niet echt helemaal duidelijk met wat je allemaal wilt, maar vind tevens diverse tegenstrijdigheden. Houd bovendien beter rekening met de volgorde waarin regels worden vastgelegd. Die worden van boven naar beneden afgewerkt.
In die zin is het dan logischer eerst de (vituele) netwerken voor connectie toegang te geven, en erna pas de VPN services die er gebruik van maken.

Zoals al eerder aangegeven ben ik een rasechte noob op dit gebied.
Hoe pak ik dit nu goed aan? Kan ik je hierover in een PB om concreet advies vragen?
Waarin ik dan mijn hele setup eens kan laten doorlichten/configureren.

Ik vind in de Firewall voor twee verschillende NAS apparaten dezelfde poorten ingesteld. Dat zal niet werken.
Voor een NAS  DS212  en  DS1817

Moet ik daar dan de externe poorten voor opgeven?
Dus voor de DS212 poort 55000 en 55001?

Een firewall regel voor WOL-service apart gaan instellen voor het ene apparaat naar het andere voor één poort is overbodig, als je ervoor binnen je eigen netwerk reeds alle poorten en services binnen het eigen netwerk al hebt vrij gegeven.

Die is ook niet meer actief.
Wil daarbij eigenlijk gebruik maken van de WOL-functie in de router, voor het starten van een pc thuis. Zodat ik mijn Gmail zou kunnen lezen vanuit landen die Google blokkeren (China). Maar ja, dan moet je wel toegang hebben tot de router vanuit China. En laat dat nu net met de landen-blokkade afgeschermd zijn...

De work-around die wordt benoemd. Weet niet waar men op doelt, maar mocht het zijn de extra "grijze" firewall regels m.b.t. port forwarders, die onderaan automatisch worden bijgevoegd, en voor alle regio's geldt, en niet alleen beperkt per regio, waar men een aparte extra firewall regel voor zou moeten toevoegen om die laatste alle regio's regels te blokkeren, geldt evenzeer voor de RT2600ac alsook voor RT1900ac. Dat is daarin NIET verschillend. Die "work-around" correctie firewall-regel is bovendien NIET toegevoegd. Waardoor "voor de hele wereld" de betreffende services waar port forwarders zijn ingesteld open staan, en niet alleen binnen de eerder ingestelde regio's (België, Duitsland, Nederland).

Ja, die bedoelde ik. Dus moet deze er toch in.
Deze zat er in, maar zie nu dat ik het verkeerde plaatje in de eerste vraag erbij geplaatst heb.

Een eventueel gebruik van een extra DNS-server, heeft voor thuis / kleinschalig bedrijfsgebruik,

Dus is het beter om de DNS-server op de router de de-installeren?

[Babylonia]

DNS-server package heb je alleen maar nodig als je een grote lijst aan apparaten hebt, waar je het netwerk voor wilt regelen,
maar daar geen IP-adressen voor wilt inzien/gebruiken, maar intern gebruikte "domein" namen voor die apparaten.

Maar aangezien je in de Synology router alle apparaten sowieso toch al een eigen naam kunt geven,
compleet met icoontjes erbij om aan te geven om wat voor apparaat het gaat.
Lijkt me een DNS-server in de meeste gevallen niet nodig.
Of het overzicht aan apparaten is echt zodanig groot, dat je liever toch met eigen domein namen werkt?

Anders zou ik zeggen, de-installeer dat hele DNS-server package.
Hoe minder je gebruikt aan extra packages die je niet echt nodig hebt, hoe overzichtelijker. 

Misschien een keer met TeamViewer aan de gang?  Kunnen we "op afstand" samen wat dingen doorlopen.
(Inderdaad dan bericht per PB om telefoon gegevens uit te wisselen en een praatje als begin).

[wideko]

Thanks. Ik stuur later een PB, vandaag geen tijd meer.

[Birdy]

@wideko Even dit:

1 - Citeer niet onnodig ALLES, alleen waar een reactie betrekking op heeft.
2 - Antwoord NOOIT in een citaat zelf, maakt het alleen maar onduidelijker.

Pas je reacties daar even op aan.