De Firewall regels zijn voor mij niet echt helemaal duidelijk met wat je allemaal wilt, maar vind tevens diverse tegenstrijdigheden.
Houd bovendien beter rekening met de volgorde waarin regels worden vastgelegd. Die worden van boven naar beneden afgewerkt.
In die zin is het dan logischer eerst de (vituele) netwerken voor connectie toegang te geven,
en erna pas de VPN services die er gebruik van maken.
Ik vind in de Firewall voor twee verschillende NAS apparaten dezelfde poorten ingesteld. Dat zal niet werken.
Voor een NAS DS212 en DS1817
Een firewall regel voor WOL-service apart gaan instellen voor het ene apparaat naar het andere voor één poort is overbodig,
als je ervoor binnen je eigen netwerk reeds alle poorten en services binnen het eigen netwerk al hebt vrij gegeven.
DS1817 firewall regels toestaan extern voor poorten die uitsluitend intern binnen een LAN worden gebruikt,
lijkt me niet handig (poorten 137, 138, 139).
Nu zijn de port forwarders daarvoor (gelukkig) niet actief. Maar met het "rammelen" van die instellingen,
heb je geen inzicht als er mogelijke veiligheidslekken zijn, wat je dan binnenhaalt?
Mijn stelling is om niet meer zaken toegang te geven dan strikt noodzakelijk.
De work-around die wordt benoemd. Weet niet waar men op doelt, maar mocht het zijn de extra "grijze" firewall regels
m.b.t. port forwarders, die onderaan automatisch worden bijgevoegd, en voor alle regio's geldt, en niet alleen beperkt per regio,
waar men een aparte extra firewall regel voor zou moeten toevoegen om die laatste alle regio's regels te blokkeren,
geldt evenzeer voor de RT2600ac alsook voor RT1900ac. Dat is daarin NIET verschillend.
Die "work-around" correctie firewall-regel is bovendien NIET toegevoegd.
Waardoor "voor de hele wereld" de betreffende services waar port forwarders zijn ingesteld open staan,
en niet alleen binnen de eerder ingestelde regio's (België, Duitsland, Nederland).
Een eventueel gebruik van een extra DNS-server, heeft voor thuis / kleinschalig bedrijfsgebruik,
doorgaans alleen zijn functionaliteit voor "veel" intern gebruikte apparaten, om daar onderscheid in te maken.
Die benoem je dan met intern gebruikte (sub)-domein namen, in plaats van IP-adressen.
Voor het vertalen van extern gebruikte internet domeinnamen met IP-addressen (en visa versa),
wordt een eigen DNS-server in bijna alle gevallen doorgaans NIET gebruikt.
En zou je ook niet moeten willen door er specifiek port forwarders voor in te stellen.
Dan trek je namelijk onwillekeurig ook verkeer van buiten aan, die jouw DNS-server alleen gebruiken om daarmee makkelijker
die conversie van "internet" domeinnamen met IP-adressen te bewerkstelligen. Waar doorgaans alleen zware DNS-servers van providers,
of die van Google of Cloudflare voor gebruikt worden. Als je daarmee teveel data genereert "voor andere gebruikers" zal je provider
vroeg of laat bij je aan de bel trekken met "abuse" meldingen.
(Met zoveel discrepanties heb ik de logfiles maar even gelaten voor wat het is m.b.t. meldingen).