Auteur Topic: Synology SSL VPN instellen op RT2600AC router-achter-een-router  (gelezen 2057 keer)

Offline peter.venkman

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 2
  • Berichten: 12
Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Gepost op: 20 juli 2020, 12:13:12 »
Ik heb een Synology RT2600AC router aangesloten via de WAN-poort op de LAN-poort van de router van mijn internet provider (Tele2). Dit werkt prima. Daarnaast heb ik "Synology SSL VPN" ingesteld op de router. Ik heb hiervoor een persoonlijk Synology adres voor geregistreerd; <mijnnaam>.synology.me:443.
Toen ik voor de eerste keer via deze link verbinding maakte kwam ik automatisch op de beheerderspagina van mijn Tele2-router uit. Ik heb toen een port-forwarding op de Tele2-router ingesteld waarbij externe aanvragen op poort <mijnnaam>.synology.me:443 automatisch worden doorgelinkt naar de RT2600AC. Dit werkt ook prima.
Het probleem blijft echter dat als ik het poort-nr weghaal (dus: <mijnnaam>.synology.me) dan kom ik alsnog op de Tele2-router uit. Het liefst wil ik deze Tele2 router helemaal niet toegankelijk maken via het internet. Weet iemand of mogelijk is om een extern verzoek direct op de RT2600AC router te laten uitkomen?

  • Mijn Synology: RT2600AC

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7768
  • Berichten: 43.094
  • FIFO / LIFO
    • Truebase
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #1 Gepost op: 20 juli 2020, 12:23:01 »
Je hebt dus 2 Routers, dan moet je de Tele2-router in Bridge modes zetten, dan gaat de data direct door naar de RT2600ac en daarmee de baas over je netwerk.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline peter.venkman

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 2
  • Berichten: 12
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #2 Gepost op: 20 juli 2020, 13:28:37 »
Dank je voor jouw antwoord. Bridge mode is helaas een probleem bij Tele2. DMZ is wel mogelijk maar dat schijnt een paardenmiddel te zijn. Heb je enige ervaring of het verstandiger is om te leven met de huidige beperking (de beheerderspagina van tele2 is openbaar toegankelijk) of kiezen voor een DMZ waarbij de RT2600AC volledig verantwoordelijk is voor de security?
  • Mijn Synology: RT2600AC

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7768
  • Berichten: 43.094
  • FIFO / LIFO
    • Truebase
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #3 Gepost op: 20 juli 2020, 13:37:41 »
DMZ is ook goed, de RT wordt je beveiliging.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Plerry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 17
  • -Ontvangen: 288
  • Berichten: 1.489
  • Tom Poes, verzin een list ...
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #4 Gepost op: 20 juli 2020, 14:27:30 »
Een router waarbij je via de WAN poort in de router management uitkomt (ook al moet je daar eventueel nog wel inloggen) is doorgaans een slecht idee. Dit kan ook bijna zeker worden uitgezet, zodat management alleen vanuit de LAN-zijde kan. Soms kan zelfs worden aangegeven dat dit slechts via een bedrade LAN poort kan, dus niet via de (ingebouwde) WiFi. Dan kan je alleen in de router management komen terwijl je fysiek toegang hebt tot het bedrade LAN (of eventueel middels VPN).

De DMZ die Birdy suggereert zou prima moeten werken.
Als alternatief kan je naast poort 443 ook slechts de andere poort(en) die van buitenaf persé open moeten staan (en niet meer dan die paar poorten) in je Tele2 router forwarden naar je RT2600 WAN-ip. Op niet in de Tele2 router geforwarde poorten strandt binnenkomend verkeer dan reeds daar. Dubbel genaaid houdt beter ... 

There are only 10 kinds of people: ... those who understand binary, and those who don't.

Offline peter.venkman

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 2
  • Berichten: 12
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #5 Gepost op: 20 juli 2020, 14:37:30 »
Hartelijk dank beiden voor jullie hulp. Zoals Plerry aan gaf wil ik zowel de management portal van de Synology als Tele2 modem niet publiekelijk toegankelijk maken. Alleen de VPN zelf zou actief moeten zijn. In DSM is dat makkelijk in te stellen maar bij de Tele2 router heb je hier geen controle over; je kunt alleen wlan configureren, port forwarding instellen of DMZ aan- of uitzetten.

Ik heb besloten de DMZ weg in te slaan. Gezien port-forwarding het gevaar meebrengt dat de tele2 router extern benaderbaar is, leek de DMZ me de beste keuze.
Nogmaals heel veel dank!
  • Mijn Synology: RT2600AC

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 802
  • -Ontvangen: 1382
  • Berichten: 7.507
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #6 Gepost op: 20 juli 2020, 14:38:16 »
Met wat @Plerry ook al aangeeft, vermoed ik dat de Tele-2 router zodanig staat ingesteld,
dat die via externe toegang, te benaderen zou zijn. Inderdaad slecht idee.
Kijk in de router welke instellingen daar mogelijk ongewild / onbedoeld "verkeerd" staan ingesteld.

In bridge-mode zetten is niet noodzakelijk.
Thuis gebruik ik hier ook een NAT achter NAT set-up, maar kom echt nooit op de eerste router van de provider uit.

M.b.t. Synology VPN via SSL kun je evt. ook andere poorten instellen. Zelf heb ik poort 442 daarvoor ingesteld.
Omdat ik ook nog een (beperkte) web-server heb draaien op de NAS, die poort 443 reeds benut.

DMZ doorzetten vind ik persoonlijk een slecht idee.
Er worden vaak vergissingen gemaakt met instellingen en Firewalls.
Toevallig nog geen 2 uur terug op het forum bij Telfort iemand daarvoor gewaarschuwd.
Via persoonlijk bericht en port-scan erna, had ik in pakweg 30 seconden zo toegang tot diens netwerk en printer.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #7 Gepost op: 20 juli 2020, 16:37:35 »
DMZ doorzetten vind ik persoonlijk een slecht idee.

Daar ben ik het niet mee eens. Als dat een slecht idee is, dan is bridge mode een even slecht idee. Effectief zit er heel weinig verschil tussen beide methodes. En dat zou tevens betekenen dat je het onverstandig vind om de Synology router rechtstreeks aan het internet te hangen.
Alleen zijn bij DMZ soms nog firewall instellingen van de router actief. (DeMilitarized Zone")
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 802
  • -Ontvangen: 1382
  • Berichten: 7.507
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #8 Gepost op: 20 juli 2020, 17:03:05 »
Dat kan dat je het er niet mee eens bent.  Je hoeft het er ook helemaal niet mee eens te zijn.
Ik geef ook niet voor niets aan dat het een "persoonlijke" opvatting is.

Als je de mogelijkheid hebt twee firewalls in te zetten omdat je nu eenmaal twee apparaten achter elkaar hebt aangesloten,
neem dan ook beter van beide de beveiliging in acht.  Biedt altijd een betere zekerheid.
Veiligheidslekken bij de een of de ander, wat altijd een mogelijkheid is, zullen zelden op hetzelfde niveau liggen.
Wordt het bij de een doorgelaten, dan bij de ander alsnog tegengehouden, en andersom.

Het vertrouwen leggen bij één apparaat, neem je meer risico's.
Vergissingen in instellingen e.d. zijn snel gemaakt.  Dat is nu eenmaal een menselijke zwakheid.
Valt de beveiliging weg.  Zie het vaak genoeg terug.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline peter.venkman

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 2
  • Berichten: 12
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #9 Gepost op: 20 juli 2020, 17:12:32 »
Sorry allemaal maar ik zie nu dat de Tele2-beheerpagina alleen getoond wordt als ik <mijnnaam>.synology.me:443 binnen mijn eigen netwerk bezoek. Vanaf een ander netwerk is <mijnnaam>.synology.me (zonder een specifiek poortnr) niet toegankelijk.
Stom van me, ik had er niet aan gedacht om dit in een ander netwerk te testen.
Ik wil toch iedereen bedanken voor de input, dat was heel waardevol.
  • Mijn Synology: RT2600AC

Offline Plerry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 17
  • -Ontvangen: 288
  • Berichten: 1.489
  • Tom Poes, verzin een list ...
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #10 Gepost op: 20 juli 2020, 17:48:10 »
Het vertrouwen leggen bij één apparaat, neem je meer risico's.
Vandaar ook mijn eerdere "dubbel genaaid houdt beter"  :)
There are only 10 kinds of people: ... those who understand binary, and those who don't.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7768
  • Berichten: 43.094
  • FIFO / LIFO
    • Truebase
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #11 Gepost op: 20 juli 2020, 18:27:48 »
Dus iedereen moet dan 2 routers hebben? ::)
Nou, ik heb dus alleen een RT2600ac, maar bij mij komt er echt niemand binnen hoor. ;)


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 802
  • -Ontvangen: 1382
  • Berichten: 7.507
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #12 Gepost op: 20 juli 2020, 19:23:01 »
Dus iedereen moet dan 2 routers hebben? ::)

Dat schrijf ik niet. Maar als je al twee apparaten achter elkaar gebruikt, IMO maak er dan ook optimaal gebruik van m.b.t. beveiliging.

Ondanks een goede firewall mogelijkheid van bijv. een Synology router, schakel ik de firewall van mij PC's ook niet uit.
Evenmin die op mijn NAS.

En ieder apparaat op zijn niveau pikt er dingen uit die worden tegen gehouden / eruit gefilterd,
die niet in de router worden geblokkeerd.  Wat bij mij geld zal naar alle waarschijnlijkheid bij een ander weinig anders zijn.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Synology SSL VPN instellen op RT2600AC router-achter-een-router
« Reactie #13 Gepost op: 20 juli 2020, 19:46:43 »
Ik ken de tele-2 router niet, maar bij mijn Ziggo Ubee blijft de firewall gewoon actief in de DMZ zone. En juist niet als hij in bridge staat.

Dat neemt niet weg dat ik zelf geen DMZ gebruik, maar per poort dubbel forward. Voor veel mensen is dat, maar mijn mening, te veel gevraagd. In elk geval voor de mensen die hierover hulp zoeken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)


 

TVIX mediaplayer verbinden met Synology

Gestart door Sander75Board Netwerk algemeen

Reacties: 5
Gelezen: 930
Laatste bericht 02 november 2019, 20:16:47
door Sander75
SMB3 Multichannel werkt blijkbaar met Synology..

Gestart door hYpBoard FTP, NFS and Samba Server

Reacties: 2
Gelezen: 2253
Laatste bericht 23 januari 2020, 14:06:33
door Briolet
Overstappen naar andere Synology NAS

Gestart door meh1965Board NAS hardware vragen

Reacties: 3
Gelezen: 1260
Laatste bericht 23 mei 2020, 11:13:56
door meh1965
Kodi 18.7 geeft error Operation not permitted (Synology DS218+)

Gestart door Johnny72Board FTP, NFS and Samba Server

Reacties: 6
Gelezen: 3462
Laatste bericht 05 september 2020, 22:52:32
door DSGebruiker
TKA Synology DS916+ met 8 GB

Gestart door jlkBoard Verkocht

Reacties: 2
Gelezen: 806
Laatste bericht 17 november 2020, 14:31:32
door jlk