Auteur Topic: Synology bereiken van buitenaf  (gelezen 1542 keer)

Offline B.Kreder

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 22
Synology bereiken van buitenaf
« Gepost op: 13 augustus 2022, 07:38:34 »
Hi guys,

Ik wil mijn synology beveiligen door hem enkel bereikbaar te maken met een VPN (of als je in het netwerk zit uiteraard)

Nu heb ik mensen die synology photos gebruiken buiten mijn huishouden.. kan ik een extern IP toevoegen aan mijn NAS die hij moet toelaten?? Of heeft iemand hier nog een slimme oplossing voor!?

Voor de opheldering, ik wil dus niet dat deze mensen gebruik moeten maken van de VPN (dat is te ingewikkeld voor ze en irritant omdat het enkelen voor uploaden foto’s is)

Thanks in advance! 
  • Mijn Synology: DS2116j
  • Extra's: 512MB

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7772
  • Berichten: 43.100
  • FIFO / LIFO
    • Truebase
Re: Synology bereiken van buitenaf
« Reactie #1 Gepost op: 13 augustus 2022, 09:07:42 »
Ik adviseer om QuickConnect te gebruiken.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline B.Kreder

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 22
Re: Synology bereiken van buitenaf
« Reactie #2 Gepost op: 13 augustus 2022, 09:11:43 »
Ik wil dit juist ivm beveiliging dichtzitten. Daarom zoek ik een manier om (bijvoorbeeld) het externe IP toegang te geven tot mijn NAS
  • Mijn Synology: DS2116j
  • Extra's: 512MB

Offline Bobo

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 38
  • -Ontvangen: 191
  • Berichten: 843
Re: Synology bereiken van buitenaf
« Reactie #3 Gepost op: 13 augustus 2022, 09:12:55 »
Lijkt me dat je dat met de regels in de nas-firewall kunt regelen,
maar dan hebben die externe gebruikers wel een vast ip-adres nodig.
Let wel op de volgorde in de firewall-regels, anders gaat het niet.

Regel-voorbeeld:
1e: ip-range van je eigen netwerk toestaan
2e: vpn verbinding toestaan
3e: ip-adres van externe gebruiker A toestaan
4e: ip-adres van volgende externe gebruiker toestaan
5e: al het andere weigeren
DS224+             - dsm 7.2   - 69057 u3 - wd40EFPX
DS116               - dsm 7.2   - 69057 u3 - wd20EFRX
DS111 (backup) - dsm 6.2.4 - 25556 u7 - wd40EFZX

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7772
  • Berichten: 43.100
  • FIFO / LIFO
    • Truebase
Re: Synology bereiken van buitenaf
« Reactie #4 Gepost op: 13 augustus 2022, 09:28:05 »
Ik wil dit juist ivm beveiliging dichtzitten.
QC soms niet veilig? Je hoeft hiervoor namelijk geen poorten te forwarden.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.243
Re: Synology bereiken van buitenaf
« Reactie #5 Gepost op: 13 augustus 2022, 10:24:55 »
Ik wil dit juist ivm beveiliging dichtzitten. Daarom zoek ik een manier om (bijvoorbeeld) het externe IP toegang te geven tot mijn NAS

Veel routers hebben de optie om slechts specifieke externe IP adressen te forwarden. Voor de rest van de wereld is die poort dan niet bruikbaar.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 116
  • Berichten: 730
Re: Synology bereiken van buitenaf
« Reactie #6 Gepost op: 13 augustus 2022, 16:22:22 »
QuickConnect IS veilig! Zeker als je de optie tot versleutelen van de data opzet.
Ja de data gaat via een "relay" , maar verder is dit wel een veilige "vpn"
Qua performantie zal het moeilijk te voorspellen zijn, maar voor gewoon gebruik zal het wel meevallen.

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Synology bereiken van buitenaf
« Reactie #7 Gepost op: 14 augustus 2022, 02:14:21 »
Citaat
QuickConnect IS veilig!
Dat kun je eigenlijk niet zo stellen...


P.S.
Een tijd geleden al:
https://www.synology-forum.nl/ddns-extern-benaderen/toegang-naar-nas-vanuit-internet-afhankelijk-van-provider/msg162760/#msg162760

Ben destijds niet op het idee gekomen om eens een nmap scan te doen over het QC netwerk (wist nog niet genoeg van netwerken) want dan had ik waarschijnlijk deze kwetsbaarheden (complete misconfiguratie door Synology dekt de lading beter) gevonden:
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1064
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1066

Ach ja, als de gebruiker maar het gevoel heeft....
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline B.Kreder

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 22
Re: Synology bereiken van buitenaf
« Reactie #8 Gepost op: 14 augustus 2022, 07:21:17 »
Uiteraard zet quickconnect ook poorten open, dus echt veilig kan je het inderdaad niet noemen.

Ik mijn netwerk op verschillende manieren beveiligd, dus gelukkig komen ze bij mij niet zomaar binnen maar je kan geen beveiliging genoeg hebben naar mijn mening!
  • Mijn Synology: DS2116j
  • Extra's: 512MB

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 116
  • Berichten: 730
Re: Synology bereiken van buitenaf
« Reactie #9 Gepost op: 14 augustus 2022, 07:26:17 »
Citaat
QuickConnect IS veilig!
Dat kun je eigenlijk niet zo stellen...
...anno 2022 dan.
Je geeft hier links naar relatief oude artikels.
Elk product, ook van de meest gerenommeerde security vendors heeft security issues gehad over de jaren heen. (Cisco,Fortinet,F5,...)
(en mogelijks zijn er nog, gewoon nog niet gevonden)
Synology zijn ook geen kiekens en hebben de laatste jaren hun cyber-security serieus aangezwengeld.

Het risico bij de gebruiker mbt het kiezen van simpele usernames/password is vele malen een groter risico dan "gehacked" worden via QC.

Ik gebruik het zelf al een tijd niet meer, omdat ik voldoende kennis heb om een VPN op m'n Mikrotik router te voorzien waarna ik toegang hebt tot m'n interne LAN met de services die ik nodig heb (vb Plex, Logitech Media Server etc)

My 2 cents.





Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 116
  • Berichten: 730
Re: Synology bereiken van buitenaf
« Reactie #10 Gepost op: 14 augustus 2022, 07:30:00 »
Neen, QC zet geen poorten open, enkel als je die checkbox aanvinkt "Automatically create port forwarding rules"
Het meest veilige is dan nog via de "relay servers" te gaan denk ik.

Dan heb je dus uitgaande versleutelde verbinding van NAS -> Synology-Relay
...en dan als iemand connectie maakt is het van "Internet" -> Synology-Relay (ook versleuteld)

Schijnt wel dat de relay-server decrypt doet (werkt als een proxy/man-in-the-middle) en dus 2 versleutelde sessies aan elkaar stitched.
Dus "end-to-end" versleuteling als je via de relay gaat dus niet.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7772
  • Berichten: 43.100
  • FIFO / LIFO
    • Truebase
Re: Synology bereiken van buitenaf
« Reactie #11 Gepost op: 14 augustus 2022, 10:27:14 »
Neen, QC zet geen poorten open, enkel als je die checkbox aanvinkt "Automatically create port forwarding rules"
Dat werkt alleen als je Routerconfiguratie (EZ) in werking hebt maar, UPnP aanzetten op je Router, dat is pas onverstandig.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7772
  • Berichten: 43.100
  • FIFO / LIFO
    • Truebase
Re: Synology bereiken van buitenaf
« Reactie #12 Gepost op: 14 augustus 2022, 13:13:35 »


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.243
Re: Synology bereiken van buitenaf
« Reactie #13 Gepost op: 14 augustus 2022, 17:56:42 »
Uiteraard zet quickconnect ook poorten open, dus echt veilig kan je het inderdaad niet noemen.

Nee, je term 'uiteraard' is foutief.  Het poorten open zetten gebeurd alleen als de nas bij deze optie kan. Het is de functie van UPnP op routers die het mogelijk maakt om zonder authenticatie een poort open te kunnen zetten.

Voor QC is het niet nodig, maar als er poorten open gezet worden is dat minder belastend voor de synology servers. Dus heeft het open zetten de voorkeur bij Synology. Staat UPnP op de router uit, dan worden er geen poorten open gezet en kun je er nog steeds van buiten bij.

(Zie die white paper link van Birdy)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)


 

SMB3 Multichannel werkt blijkbaar met Synology..

Gestart door hYpBoard FTP, NFS and Samba Server

Reacties: 2
Gelezen: 2256
Laatste bericht 23 januari 2020, 14:06:33
door Briolet
Overstappen naar andere Synology NAS

Gestart door meh1965Board NAS hardware vragen

Reacties: 3
Gelezen: 1265
Laatste bericht 23 mei 2020, 11:13:56
door meh1965
Amazon gaat toegang van Synology-diensten tot Amazon Drive blokkeren

Gestart door niekniek89Board Data replicator & overige backupsoftware

Reacties: 13
Gelezen: 2526
Laatste bericht 15 november 2020, 13:10:04
door HenkGroen
Synology chat aanmelden op de server.

Gestart door Brainbox72Board Officiële Packages

Reacties: 7
Gelezen: 1598
Laatste bericht 12 november 2020, 11:29:01
door Brainbox72
Backup van Synology naar andere NAS

Gestart door PURBoard Data replicator & overige backupsoftware

Reacties: 4
Gelezen: 1169
Laatste bericht 17 januari 2021, 18:13:58
door Briolet