Synology SSL VPN instellen op RT2600AC router-achter-een-router

[peter.venkman]

Ik heb een Synology RT2600AC router aangesloten via de WAN-poort op de LAN-poort van de router van mijn internet provider (Tele2). Dit werkt prima. Daarnaast heb ik "Synology SSL VPN" ingesteld op de router. Ik heb hiervoor een persoonlijk Synology adres voor geregistreerd; <mijnnaam>.synology.me:443.
Toen ik voor de eerste keer via deze link verbinding maakte kwam ik automatisch op de beheerderspagina van mijn Tele2-router uit. Ik heb toen een port-forwarding op de Tele2-router ingesteld waarbij externe aanvragen op poort <mijnnaam>.synology.me:443 automatisch worden doorgelinkt naar de RT2600AC. Dit werkt ook prima.
Het probleem blijft echter dat als ik het poort-nr weghaal (dus: <mijnnaam>.synology.me) dan kom ik alsnog op de Tele2-router uit. Het liefst wil ik deze Tele2 router helemaal niet toegankelijk maken via het internet. Weet iemand of mogelijk is om een extern verzoek direct op de RT2600AC router te laten uitkomen?

[Birdy]

Je hebt dus 2 Routers, dan moet je de Tele2-router in Bridge modes zetten, dan gaat de data direct door naar de RT2600ac en daarmee de baas over je netwerk.

[peter.venkman]

Dank je voor jouw antwoord. Bridge mode is helaas een probleem bij Tele2. DMZ is wel mogelijk maar dat schijnt een paardenmiddel te zijn. Heb je enige ervaring of het verstandiger is om te leven met de huidige beperking (de beheerderspagina van tele2 is openbaar toegankelijk) of kiezen voor een DMZ waarbij de RT2600AC volledig verantwoordelijk is voor de security?

[Birdy]

DMZ is ook goed, de RT wordt je beveiliging.

[Plerry]

Een router waarbij je via de WAN poort in de router management uitkomt (ook al moet je daar eventueel nog wel inloggen) is doorgaans een slecht idee. Dit kan ook bijna zeker worden uitgezet, zodat management alleen vanuit de LAN-zijde kan. Soms kan zelfs worden aangegeven dat dit slechts via een bedrade LAN poort kan, dus niet via de (ingebouwde) WiFi. Dan kan je alleen in de router management komen terwijl je fysiek toegang hebt tot het bedrade LAN (of eventueel middels VPN).

De DMZ die Birdy suggereert zou prima moeten werken.
Als alternatief kan je naast poort 443 ook slechts de andere poort(en) die van buitenaf persé open moeten staan (en niet meer dan die paar poorten) in je Tele2 router forwarden naar je RT2600 WAN-ip. Op niet in de Tele2 router geforwarde poorten strandt binnenkomend verkeer dan reeds daar. Dubbel genaaid houdt beter ... 

[peter.venkman]

Hartelijk dank beiden voor jullie hulp. Zoals Plerry aan gaf wil ik zowel de management portal van de Synology als Tele2 modem niet publiekelijk toegankelijk maken. Alleen de VPN zelf zou actief moeten zijn. In DSM is dat makkelijk in te stellen maar bij de Tele2 router heb je hier geen controle over; je kunt alleen wlan configureren, port forwarding instellen of DMZ aan- of uitzetten.

Ik heb besloten de DMZ weg in te slaan. Gezien port-forwarding het gevaar meebrengt dat de tele2 router extern benaderbaar is, leek de DMZ me de beste keuze.
Nogmaals heel veel dank!

[Babylonia]

Met wat @Plerry ook al aangeeft, vermoed ik dat de Tele-2 router zodanig staat ingesteld,
dat die via externe toegang, te benaderen zou zijn. Inderdaad slecht idee.
Kijk in de router welke instellingen daar mogelijk ongewild / onbedoeld "verkeerd" staan ingesteld.

In bridge-mode zetten is niet noodzakelijk.
Thuis gebruik ik hier ook een NAT achter NAT set-up, maar kom echt nooit op de eerste router van de provider uit.

M.b.t. Synology VPN via SSL kun je evt. ook andere poorten instellen. Zelf heb ik poort 442 daarvoor ingesteld.
Omdat ik ook nog een (beperkte) web-server heb draaien op de NAS, die poort 443 reeds benut.

DMZ doorzetten vind ik persoonlijk een slecht idee.
Er worden vaak vergissingen gemaakt met instellingen en Firewalls.
Toevallig nog geen 2 uur terug op het forum bij Telfort iemand daarvoor gewaarschuwd.
Via persoonlijk bericht en port-scan erna, had ik in pakweg 30 seconden zo toegang tot diens netwerk en printer.

[Briolet]

DMZ doorzetten vind ik persoonlijk een slecht idee.

Daar ben ik het niet mee eens. Als dat een slecht idee is, dan is bridge mode een even slecht idee. Effectief zit er heel weinig verschil tussen beide methodes. En dat zou tevens betekenen dat je het onverstandig vind om de Synology router rechtstreeks aan het internet te hangen.
Alleen zijn bij DMZ soms nog firewall instellingen van de router actief. (DeMilitarized Zone")

[Babylonia]

Dat kan dat je het er niet mee eens bent.  Je hoeft het er ook helemaal niet mee eens te zijn.
Ik geef ook niet voor niets aan dat het een "persoonlijke" opvatting is.

Als je de mogelijkheid hebt twee firewalls in te zetten omdat je nu eenmaal twee apparaten achter elkaar hebt aangesloten,
neem dan ook beter van beide de beveiliging in acht.  Biedt altijd een betere zekerheid.
Veiligheidslekken bij de een of de ander, wat altijd een mogelijkheid is, zullen zelden op hetzelfde niveau liggen.
Wordt het bij de een doorgelaten, dan bij de ander alsnog tegengehouden, en andersom.

Het vertrouwen leggen bij één apparaat, neem je meer risico's.
Vergissingen in instellingen e.d. zijn snel gemaakt.  Dat is nu eenmaal een menselijke zwakheid.
Valt de beveiliging weg.  Zie het vaak genoeg terug.

[peter.venkman]

Sorry allemaal maar ik zie nu dat de Tele2-beheerpagina alleen getoond wordt als ik <mijnnaam>.synology.me:443 binnen mijn eigen netwerk bezoek. Vanaf een ander netwerk is <mijnnaam>.synology.me (zonder een specifiek poortnr) niet toegankelijk.
Stom van me, ik had er niet aan gedacht om dit in een ander netwerk te testen.
Ik wil toch iedereen bedanken voor de input, dat was heel waardevol.

[Plerry]

Het vertrouwen leggen bij één apparaat, neem je meer risico's.

Vandaar ook mijn eerdere "dubbel genaaid houdt beter" 

[Birdy]

Dus iedereen moet dan 2 routers hebben?
Nou, ik heb dus alleen een RT2600ac, maar bij mij komt er echt niemand binnen hoor.

[Babylonia]

Dus iedereen moet dan 2 routers hebben?

Dat schrijf ik niet. Maar als je al twee apparaten achter elkaar gebruikt, IMO maak er dan ook optimaal gebruik van m.b.t. beveiliging.

Ondanks een goede firewall mogelijkheid van bijv. een Synology router, schakel ik de firewall van mij PC's ook niet uit.
Evenmin die op mijn NAS.

En ieder apparaat op zijn niveau pikt er dingen uit die worden tegen gehouden / eruit gefilterd,
die niet in de router worden geblokkeerd.  Wat bij mij geld zal naar alle waarschijnlijkheid bij een ander weinig anders zijn.

[Briolet]

Ik ken de tele-2 router niet, maar bij mijn Ziggo Ubee blijft de firewall gewoon actief in de DMZ zone. En juist niet als hij in bridge staat.

Dat neemt niet weg dat ik zelf geen DMZ gebruik, maar per poort dubbel forward. Voor veel mensen is dat, maar mijn mening, te veel gevraagd. In elk geval voor de mensen die hierover hulp zoeken.