Auteur Topic: Synology SSL VPN instellen op RT2600AC router-achter-een-router  (gelezen 1077 keer)

Offline peter.venkman

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 2
  • Berichten: 12
Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Gepost op: 20 juli 2020, 12:13:12 »
Ik heb een Synology RT2600AC router aangesloten via de WAN-poort op de LAN-poort van de router van mijn internet provider (Tele2). Dit werkt prima. Daarnaast heb ik "Synology SSL VPN" ingesteld op de router. Ik heb hiervoor een persoonlijk Synology adres voor geregistreerd; <mijnnaam>.synology.me:443.
Toen ik voor de eerste keer via deze link verbinding maakte kwam ik automatisch op de beheerderspagina van mijn Tele2-router uit. Ik heb toen een port-forwarding op de Tele2-router ingesteld waarbij externe aanvragen op poort <mijnnaam>.synology.me:443 automatisch worden doorgelinkt naar de RT2600AC. Dit werkt ook prima.
Het probleem blijft echter dat als ik het poort-nr weghaal (dus: <mijnnaam>.synology.me) dan kom ik alsnog op de Tele2-router uit. Het liefst wil ik deze Tele2 router helemaal niet toegankelijk maken via het internet. Weet iemand of mogelijk is om een extern verzoek direct op de RT2600AC router te laten uitkomen?

  • Mijn Synology: RT2600AC

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1139
  • -Ontvangen: 6812
  • Berichten: 39.582
  • Synology is awesome.
    • RAID = BACKUP?
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #1 Gepost op: 20 juli 2020, 12:23:01 »
Je hebt dus 2 Routers, dan moet je de Tele2-router in Bridge modes zetten, dan gaat de data direct door naar de RT2600ac en daarmee de baas over je netwerk.


CS406     DSM 2.0-0731
DS107+    DSM 3.1-1639
DS107+    DSM 3.1-1639
DS508     DSM 4.0-2265
DS111     DSM 6.1.7-15284-3
DS411slim DSM 6.2.4-25556
DS411+II  DSM 6.2.4-25556-2
DS413J    DSM 6.2.3-25426-2
DS1515+   DSM 6.2.4-25556
DS716+II  DSM 6.2.4-25556-3
DS918+    DSM 6.2.4-25556-3
DS220+    DSM 6.2.4-25556-3
-----VMM  DSM 7.0.1-42218-2
RT2600ac  SRM 1.2.5-8227-2
MR2200ac  SRM 1.2.5-8227-2

Offline peter.venkman

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 2
  • Berichten: 12
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #2 Gepost op: 20 juli 2020, 13:28:37 »
Dank je voor jouw antwoord. Bridge mode is helaas een probleem bij Tele2. DMZ is wel mogelijk maar dat schijnt een paardenmiddel te zijn. Heb je enige ervaring of het verstandiger is om te leven met de huidige beperking (de beheerderspagina van tele2 is openbaar toegankelijk) of kiezen voor een DMZ waarbij de RT2600AC volledig verantwoordelijk is voor de security?
  • Mijn Synology: RT2600AC

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1139
  • -Ontvangen: 6812
  • Berichten: 39.582
  • Synology is awesome.
    • RAID = BACKUP?
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #3 Gepost op: 20 juli 2020, 13:37:41 »
DMZ is ook goed, de RT wordt je beveiliging.


CS406     DSM 2.0-0731
DS107+    DSM 3.1-1639
DS107+    DSM 3.1-1639
DS508     DSM 4.0-2265
DS111     DSM 6.1.7-15284-3
DS411slim DSM 6.2.4-25556
DS411+II  DSM 6.2.4-25556-2
DS413J    DSM 6.2.3-25426-2
DS1515+   DSM 6.2.4-25556
DS716+II  DSM 6.2.4-25556-3
DS918+    DSM 6.2.4-25556-3
DS220+    DSM 6.2.4-25556-3
-----VMM  DSM 7.0.1-42218-2
RT2600ac  SRM 1.2.5-8227-2
MR2200ac  SRM 1.2.5-8227-2

Offline Plerry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 17
  • -Ontvangen: 273
  • Berichten: 1.442
  • Tom Poes, verzin een list ...
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #4 Gepost op: 20 juli 2020, 14:27:30 »
Een router waarbij je via de WAN poort in de router management uitkomt (ook al moet je daar eventueel nog wel inloggen) is doorgaans een slecht idee. Dit kan ook bijna zeker worden uitgezet, zodat management alleen vanuit de LAN-zijde kan. Soms kan zelfs worden aangegeven dat dit slechts via een bedrade LAN poort kan, dus niet via de (ingebouwde) WiFi. Dan kan je alleen in de router management komen terwijl je fysiek toegang hebt tot het bedrade LAN (of eventueel middels VPN).

De DMZ die Birdy suggereert zou prima moeten werken.
Als alternatief kan je naast poort 443 ook slechts de andere poort(en) die van buitenaf persé open moeten staan (en niet meer dan die paar poorten) in je Tele2 router forwarden naar je RT2600 WAN-ip. Op niet in de Tele2 router geforwarde poorten strandt binnenkomend verkeer dan reeds daar. Dubbel genaaid houdt beter ... 

There are only 10 kinds of people: ... those who understand binary, and those who don't.

Offline peter.venkman

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 2
  • Berichten: 12
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #5 Gepost op: 20 juli 2020, 14:37:30 »
Hartelijk dank beiden voor jullie hulp. Zoals Plerry aan gaf wil ik zowel de management portal van de Synology als Tele2 modem niet publiekelijk toegankelijk maken. Alleen de VPN zelf zou actief moeten zijn. In DSM is dat makkelijk in te stellen maar bij de Tele2 router heb je hier geen controle over; je kunt alleen wlan configureren, port forwarding instellen of DMZ aan- of uitzetten.

Ik heb besloten de DMZ weg in te slaan. Gezien port-forwarding het gevaar meebrengt dat de tele2 router extern benaderbaar is, leek de DMZ me de beste keuze.
Nogmaals heel veel dank!
  • Mijn Synology: RT2600AC

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 484
  • -Ontvangen: 1026
  • Berichten: 5.947
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #6 Gepost op: 20 juli 2020, 14:38:16 »
Met wat @Plerry ook al aangeeft, vermoed ik dat de Tele-2 router zodanig staat ingesteld,
dat die via externe toegang, te benaderen zou zijn. Inderdaad slecht idee.
Kijk in de router welke instellingen daar mogelijk ongewild / onbedoeld "verkeerd" staan ingesteld.

In bridge-mode zetten is niet noodzakelijk.
Thuis gebruik ik hier ook een NAT achter NAT set-up, maar kom echt nooit op de eerste router van de provider uit.

M.b.t. Synology VPN via SSL kun je evt. ook andere poorten instellen. Zelf heb ik poort 442 daarvoor ingesteld.
Omdat ik ook nog een (beperkte) web-server heb draaien op de NAS, die poort 443 reeds benut.

DMZ doorzetten vind ik persoonlijk een slecht idee.
Er worden vaak vergissingen gemaakt met instellingen en Firewalls.
Toevallig nog geen 2 uur terug op het forum bij Telfort iemand daarvoor gewaarschuwd.
Via persoonlijk bericht en port-scan erna, had ik in pakweg 30 seconden zo toegang tot diens netwerk en printer.
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 160
  • -Ontvangen: 2337
  • Berichten: 15.031
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #7 Gepost op: 20 juli 2020, 16:37:35 »
DMZ doorzetten vind ik persoonlijk een slecht idee.

Daar ben ik het niet mee eens. Als dat een slecht idee is, dan is bridge mode een even slecht idee. Effectief zit er heel weinig verschil tussen beide methodes. En dat zou tevens betekenen dat je het onverstandig vind om de Synology router rechtstreeks aan het internet te hangen.
Alleen zijn bij DMZ soms nog firewall instellingen van de router actief. (DeMilitarized Zone")
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 484
  • -Ontvangen: 1026
  • Berichten: 5.947
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #8 Gepost op: 20 juli 2020, 17:03:05 »
Dat kan dat je het er niet mee eens bent.  Je hoeft het er ook helemaal niet mee eens te zijn.
Ik geef ook niet voor niets aan dat het een "persoonlijke" opvatting is.

Als je de mogelijkheid hebt twee firewalls in te zetten omdat je nu eenmaal twee apparaten achter elkaar hebt aangesloten,
neem dan ook beter van beide de beveiliging in acht.  Biedt altijd een betere zekerheid.
Veiligheidslekken bij de een of de ander, wat altijd een mogelijkheid is, zullen zelden op hetzelfde niveau liggen.
Wordt het bij de een doorgelaten, dan bij de ander alsnog tegengehouden, en andersom.

Het vertrouwen leggen bij één apparaat, neem je meer risico's.
Vergissingen in instellingen e.d. zijn snel gemaakt.  Dat is nu eenmaal een menselijke zwakheid.
Valt de beveiliging weg.  Zie het vaak genoeg terug.
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline peter.venkman

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 2
  • Berichten: 12
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #9 Gepost op: 20 juli 2020, 17:12:32 »
Sorry allemaal maar ik zie nu dat de Tele2-beheerpagina alleen getoond wordt als ik <mijnnaam>.synology.me:443 binnen mijn eigen netwerk bezoek. Vanaf een ander netwerk is <mijnnaam>.synology.me (zonder een specifiek poortnr) niet toegankelijk.
Stom van me, ik had er niet aan gedacht om dit in een ander netwerk te testen.
Ik wil toch iedereen bedanken voor de input, dat was heel waardevol.
  • Mijn Synology: RT2600AC

Offline Plerry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 17
  • -Ontvangen: 273
  • Berichten: 1.442
  • Tom Poes, verzin een list ...
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #10 Gepost op: 20 juli 2020, 17:48:10 »
Het vertrouwen leggen bij één apparaat, neem je meer risico's.
Vandaar ook mijn eerdere "dubbel genaaid houdt beter"  :)
There are only 10 kinds of people: ... those who understand binary, and those who don't.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1139
  • -Ontvangen: 6812
  • Berichten: 39.582
  • Synology is awesome.
    • RAID = BACKUP?
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #11 Gepost op: 20 juli 2020, 18:27:48 »
Dus iedereen moet dan 2 routers hebben? ::)
Nou, ik heb dus alleen een RT2600ac, maar bij mij komt er echt niemand binnen hoor. ;)


CS406     DSM 2.0-0731
DS107+    DSM 3.1-1639
DS107+    DSM 3.1-1639
DS508     DSM 4.0-2265
DS111     DSM 6.1.7-15284-3
DS411slim DSM 6.2.4-25556
DS411+II  DSM 6.2.4-25556-2
DS413J    DSM 6.2.3-25426-2
DS1515+   DSM 6.2.4-25556
DS716+II  DSM 6.2.4-25556-3
DS918+    DSM 6.2.4-25556-3
DS220+    DSM 6.2.4-25556-3
-----VMM  DSM 7.0.1-42218-2
RT2600ac  SRM 1.2.5-8227-2
MR2200ac  SRM 1.2.5-8227-2

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 484
  • -Ontvangen: 1026
  • Berichten: 5.947
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #12 Gepost op: 20 juli 2020, 19:23:01 »
Dus iedereen moet dan 2 routers hebben? ::)

Dat schrijf ik niet. Maar als je al twee apparaten achter elkaar gebruikt, IMO maak er dan ook optimaal gebruik van m.b.t. beveiliging.

Ondanks een goede firewall mogelijkheid van bijv. een Synology router, schakel ik de firewall van mij PC's ook niet uit.
Evenmin die op mijn NAS.

En ieder apparaat op zijn niveau pikt er dingen uit die worden tegen gehouden / eruit gefilterd,
die niet in de router worden geblokkeerd.  Wat bij mij geld zal naar alle waarschijnlijkheid bij een ander weinig anders zijn.

DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 160
  • -Ontvangen: 2337
  • Berichten: 15.031
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #13 Gepost op: 20 juli 2020, 19:46:43 »
Ik ken de tele-2 router niet, maar bij mijn Ziggo Ubee blijft de firewall gewoon actief in de DMZ zone. En juist niet als hij in bridge staat.

Dat neemt niet weg dat ik zelf geen DMZ gebruik, maar per poort dubbel forward. Voor veel mensen is dat, maar mijn mening, te veel gevraagd. In elk geval voor de mensen die hierover hulp zoeken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)


 

2 Synology NAS systemen synchroniseren

Gestart door Johanv67Board Synology DSM 5.1 en eerder

Reacties: 7
Gelezen: 6132
Laatste bericht 13 mei 2011, 10:15:21
door ronaldvh
Merkloze Pan/Tilt camera Toevoegen in synology

Gestart door normelBoard Surveillance Station

Reacties: 7
Gelezen: 4974
Laatste bericht 24 augustus 2011, 02:38:24
door normel
Hoe verwijder ik alle data van mijn Synology

Gestart door camilleBoard NAS hardware vragen

Reacties: 3
Gelezen: 10172
Laatste bericht 05 november 2011, 18:39:39
door peter.de.groote
Synology Benaderen via internet i.c.m. Airport Extreme

Gestart door ajlaBoard Mac OS X

Reacties: 26
Gelezen: 16862
Laatste bericht 29 juni 2014, 13:18:19
door Babylonia
beste all-in-one voor de Synology

Gestart door geeweeBoard Externe harddisks en Printers

Reacties: 7
Gelezen: 6792
Laatste bericht 13 april 2012, 20:19:12
door geewee