[Synology] Vraag en antwoord - deel 3

Jieve schreef op maandag 29 december 2025 @ 15:41:
[...]

haha, okee okee, was benieuwd idd of je ook SSD's kon gebruiken ipv HDD's.
Voor nu niets met docker doen, wellicht in de toekomst wel.

Voor dat kleine prijsverschil kan ik beste voor de 925 gaan.

Begin dit jaar ook voor 923 gekozen gezien prijsverschil met 423 en 723. Heb nu een all SSD 923plus die van buiten netwerk via Tailscale wordt benaderd. Van de week in België geweest en je merkt dat Tailscale veel sneller laadt dan quixkconnect.

Ik zit na te denken over het vervangen van (voor nu) 2 van mijn 6TB schijven. Ik heb 4x 6TB in SHR draaien op mijn DS920+. Achteraf had ik dit beter eerder kunnen doen, gezien de recente prijsstijgingen.

Ik zit in dubio om te gaan voor de uitvoering: WD Red Plus (512MB cache), 12TB of de uitvoering: Seagate IronWolf, 12TB (ST12000VN0008, per stuk)

Het verschil is zo'n 55 euro per stuk.

Nu las ik dat de WD Red gevuld is met lucht ipv helium en dat dit best wat extra geluid geeft:Daarnaast ga ik 2 soorten merken harde schijven en 2 soorten snelheden door elkaar gebruiken als ik kies voor de Toshiba. Een vluchtige Google leerde mij dat dit niet zoveel uitmaakt, maar toch twijfel ik.
De WD Red 12TB die nog met helium gevuld is, is moeilijk te krijgen.
En de uitstap na 2x 14TB WD Red met helium (WD140EFGX) is wel wat duurder.

Kortom, was is jullie advies? Of zijn er betere alternatieven? Mijn nas staat in de meterkast, er zit tussen de meterkast een deur naar mijn woonkamer. Als het stil is in huis, hoor je de schijven soms een beetje 'snorren'. Het liefste zou ik willen dat dit geluid niet toeneemt.

Mk23 schreef op maandag 29 december 2025 @ 20:59:
[...]


Begin dit jaar ook voor 923 gekozen gezien prijsverschil met 423 en 723. Heb nu een all SSD 923plus die van buiten netwerk via Tailscale wordt benaderd. Van de week in België geweest en je merkt dat Tailscale veel sneller laadt dan quixkconnect.

Ligt dan aan Tailscale dan of omdat je alleen SSD's hebt?

@Binnetie
De ironwolf disken specificeren 28dBA en de Westen Digital 30dBA dus dat is echt niet erg veel verschil.
Als je echt veel stiller wilt koop je de 12TB Westen Digital plus die met helium gevuld is (WB120EFBX) die is maar 20dBA.
Je huidige disk is 23dBA(WD120EFPX) of 25dBA(WD120EFZX) afhankelijk van welk type je hebt.

En verschil in disk snelheid merk je echt niet in een NAS.

Ben(V) schreef op dinsdag 30 december 2025 @ 10:11:
@Binnetie
De ironwolf disken specificeren 28dBA en de Westen Digital 30dBA dus dat is echt niet erg veel verschil.
Als je echt veel stiller wilt koop je de 12TB Westen Digital plus die met helium gevuld is (WB120BFBX) die is maar 20dBA.
Je huidige disk is 23dBA(WDEFPX) of 25dBA(WD60EFZX) afhankelijk van welk type je hebt.

En verschil in disk snelheid merk je echt niet in een NAS.

Ik heb 4x de WD60EFZX, die van 25dBA.
Ik denk dat je de WD120EFBX bedoeld? De BFBX kom ik niet tegen. Helaas is de WD120EFBX bij 1 winkel te krijgen en 550 euro.

Als ik de 12TB en de 14TB vergelijk dan kan ik voor 2 tientjes meer, beter direct voor 14TB gaan: https://tweakers.net/pric.../1989484;2135746;2216174/

Die 14TB is een pro geen plus.
Ik denk dat WD is overgegaan op helium in de pro's en de helium versies van de plus gestopt heeft.
Die pro's zijn namelijk allemaal met helium gevuld en in rust stiller (20dBA) maar maken veel herrie bij het zoeken (30dBA).

Ben(V) schreef op dinsdag 30 december 2025 @ 11:03:
Die 14TB is een pro geen plus.
Ik denk dat WD is overgegaan op helium in de pro's en de helium versies van de plus gestopt heeft.
Die pro's zijn namelijk allemaal met helium gevuld en in rust stiller (20dBA) maar maken veel herrie bij het zoeken (30dBA).

Dankjewel, @Ben(V)
Ik draai veel docker containers en eigenlijk is de nas altijd wel bezig. Met de huidige WD60EFZX hoor ik ze soms vanuit de meterkast, als de nas druk is of het heel stil is in huis.
Wat is dan het advies? Met helium zijn ze stiller maar met zoeken juist niet. Hoe verhoudt zich dat met lucht gevulde HDD's?

Het is de pro versie die luider is bij het bewegen van de koppen, als er geen helium in zou zitten zou het nog veel erger zijn.

Jieve schreef op maandag 29 december 2025 @ 22:16:
[...]

Ligt dan aan Tailscale dan of omdat je alleen SSD's hebt?

Nee, dat ligt echt aan Tailscale. Ook mijn 1817+ is sneller te benaderen.

Ik kan ook bevestigen dat twee NASsen sneller met elkaar babbelen via TailScale dan via QuickConnect.

Momenteel bezit ik een 214+ met daarin 2 seagate harddisks(ironwolf) van 3 TB in Raid 1. Dit jaar zal ik upgraden naar een 925+. Ik heb reeds 2 synology hd's gekocht van 6 TB.
Ik vraag me af hoe ik best de migratie aanpak om zeker te zijn dat mijn 2 seagate hd's nog bruikbaar zijn in de nieuwe nas. Het is niet noodzakelijk dat de configuratie van mijn 214+ meegaat naar de nieuwe 925+, ik zou een verse installatie van DSM kunnen doen rechtstreeks op de nieuwe 925+.
Als ik de 925+ zou opstarten met de synology disks, ga ik dan nog de oude seagate's kunnen bijsteken in de 925+ ?
Kan de volume pool met de nieuwe synology hd's kunnen uitgebreid worden met de oude seagate hd's ? Of kan ik de oude hd's enkel in een nieuwe volume pool steken ?

taxman69 schreef op vrijdag 2 januari 2026 @ 18:52:
Momenteel bezit ik een 214+ met daarin 2 seagate harddisks(ironwolf) van 3 TB in Raid 1. Dit jaar zal ik upgraden naar een 925+. Ik heb reeds 2 synology hd's gekocht van 6 TB.
Ik vraag me af hoe ik best de migratie aanpak om zeker te zijn dat mijn 2 seagate hd's nog bruikbaar zijn in de nieuwe nas. Het is niet noodzakelijk dat de configuratie van mijn 214+ meegaat naar de nieuwe 925+, ik zou een verse installatie van DSM kunnen doen rechtstreeks op de nieuwe 925+.
Als ik de 925+ zou opstarten met de synology disks, ga ik dan nog de oude seagate's kunnen bijsteken in de 925+ ?
Kan de volume pool met de nieuwe synology hd's kunnen uitgebreid worden met de oude seagate hd's ? Of kan ik de oude hd's enkel in een nieuwe volume pool steken ?

Had je deze vraag niet ook al op Reddit gesteld?

DSM staat op elke disk in een eigen systeem partitie met elkaar in een mirror.
Als je dus in die nieuwe Nas een disk stopt er daar DSM op zet wordt dat de DSM waar die NAs op draait.
Als je daar dan een oude disk in stopt zal zijn systeem partitie daar ook meteen een mirror van worden en zal de rest van die disk geïnitialiseerd worden.

[ Voor 45% gewijzigd door Ben(V) op 04-01-2026 09:48 ]

Ik ben in het bezit van een DS416+ met hier 3 harddisks in. Er is 2,7TB in gebruik en 2,7TB is nog vrij.
Ik draai nog op de laatst beschikbare versie van de DSM 6 versie.
Ik gebruikte de DS Audio via de usb uitgang met een usb audio plug. Dat was niet (toen) mogelijk in versie 7.
Ik had het admin account uitgeschakeld.

Nu kon ik enkele weken geleden ineens niet meer bij mijn foto backup via de Android app komen en ben dus even in de nas bezig geweest en heb ook het admin account weer geactiveerd, maar deze dus vergeten weer uit te zetten. Nu zag ik in de historie van de nas dat er enkele pogingen waren gedaan om in te loggen en er stond ook bij, connected. Dat is dus niet goed.

Maar ondertussen kan ik ook Download Station en Foto Station en Audio Station niet meer gebruiken.
Er is dus iets gebeurd.
Ik kon ze wel uitschakelen maar inschakelen werkt niet.
Het pakket deinstalleren van Download station ging wel maar opnieuw installeren dus niet.
Andere pakketten kan ik dus ook niet meer installeren.

Hoe kom ik er achter wat er is gebeurd of wat er eventueel is gedaan op de nas? Alles staat er nog op en ik heb ook nog een groot gedeelte op een backup staan.

Wat is nu een aktie die ik kan uitvoeren om de nas te controleren op bestanden die er niet op horen. En hoe kan ik weer iets installeren?
Of kan ik het beste toch gewoon DSM 7 installeren.

Bedankt alvast.

mike123 schreef op maandag 5 januari 2026 @ 02:21:
Ik ben in het bezit van een DS416+ met hier 3 harddisks in. Er is 2,7TB in gebruik en 2,7TB is nog vrij.
Ik draai nog op de laatst beschikbare versie van de DSM 6 versie.
Ik gebruikte de DS Audio via de usb uitgang met een usb audio plug. Dat was niet (toen) mogelijk in versie 7.
Ik had het admin account uitgeschakeld.

Nu kon ik enkele weken geleden ineens niet meer bij mijn foto backup via de Android app komen en ben dus even in de nas bezig geweest en heb ook het admin account weer geactiveerd, maar deze dus vergeten weer uit te zetten. Nu zag ik in de historie van de nas dat er enkele pogingen waren gedaan om in te loggen en er stond ook bij, connected. Dat is dus niet goed.

Maar ondertussen kan ik ook Download Station en Foto Station en Audio Station niet meer gebruiken.
Er is dus iets gebeurd.
Ik kon ze wel uitschakelen maar inschakelen werkt niet.
Het pakket deinstalleren van Download station ging wel maar opnieuw installeren dus niet.
Andere pakketten kan ik dus ook niet meer installeren.

Hoe kom ik er achter wat er is gebeurd of wat er eventueel is gedaan op de nas? Alles staat er nog op en ik heb ook nog een groot gedeelte op een backup staan.

Wat is nu een aktie die ik kan uitvoeren om de nas te controleren op bestanden die er niet op horen. En hoe kan ik weer iets installeren?
Of kan ik het beste toch gewoon DSM 7 installeren.

Bedankt alvast.

Volgens mij moet je:

1. Die NAS direct van internet afhalen
2. Alles op externe media backuppen
3. De NAS herinstalleren
4. De data terugzetten
5. Nadenken over security en actie op zetten
6. Alleen als punt 5 is gelukt weer aan internet hangen

Ik hoop dat iemand mij verder kan helpen.

ik heb een DS1621+ Synology en merk dat ik vanaf deze week ineens issues heb met het benaderen van sommige bestanden.
Er zit 6 x een 10TB WD gold in het systeem, en met een Smartcheck lijkt hier alles ok.

Zodra ik enkele bestanden wil ophalen, dan loopt de NAs helemaal vast. Inloggen duurt dan soms wel een half uur. Ook bestanden kopieren van de Nas naar een Gekoppelde USB schijf zorgt er voor dat op een gegeven moment het systeem niet meer reageerd.
Broncontrole komt ook niets uit. 1 tot 5 procent CPU usage, en disk usage is dan allemaal onder de 5 MB.

Het enige wat mogelijk een aanknopingspunt is, is dat als ik smartcheck in SSH doe schijf 3 soms langer er over doet om te reageren, maar om die er zo maar even uit te halen om te kijken of dat het probleem is dan zou ik toch wat meer info moeten vergaren.

mijn vraag is dus, kan ik in SSH leesbare debug files aanzetten / eraf halen om mij de juiste richting op te duwen om te kijken waar het probleem precies zit?

Ik hoor het graag als iemand tips heeft.

spaceboy schreef op maandag 5 januari 2026 @ 07:08:
[...]

Volgens mij moet je:

1. Die NAS direct van internet afhalen
2. Alles op externe media backuppen
3. De NAS herinstalleren
4. De data terugzetten
5. Nadenken over security en actie op zetten
6. Alleen als punt 5 is gelukt weer aan internet hangen

Dat was inderdaad ook mijn idee.
Had gisteren ook nog geprobeerd om de virusscanner te downloaden via de nas maar die kon wel geïnstalleerd worden.
Daarna de nas gisteren ook meteen uitgezet en dan nu rustig eerst de boel kopiëren naar een externe hdd of naar de pc.
Daar zit nog wel wat ruimte in.
Nu ook nog even kijken hoe hij niet meer op internet komt maar wel bereikbaar blijft in het netwerk.
Bedankt voor de reaktie.

mike123 schreef op maandag 5 januari 2026 @ 12:09:
[...]

Nu ook nog even kijken hoe hij niet meer op internet komt maar wel bereikbaar blijft in het netwerk.
Bedankt voor de reaktie.

Anders even je NAS direct op een losse switch doen of een 1:1 lan connectie tussen PC en NAS

reinier68 schreef op maandag 5 januari 2026 @ 12:22:
[...]


Anders even je NAS direct op een losse switch doen of een 1:1 lan connectie tussen PC en NAS

Dat kan natuurlijk ook. Heb nog wel een switch liggen en anders even een kabeltje er tussen als ik nog een poort op mijn moederbord over heb.

Peter F schreef op maandag 5 januari 2026 @ 10:16:
Er zit 6 x een 10TB WD gold in het systeem, en met een Smartcheck lijkt hier alles ok.

Heb je al een test / check gedaan op het volume van de NAS? Dus op de data zelf?

Ben(V) schreef op dinsdag 30 december 2025 @ 10:11:
@Binnetie
[..]
En verschil in disk snelheid merk je echt niet in een NAS.

Als je op een 1Gbit-verbinding zit, idd. Ik merk echt wel verschil sinds ik mijn 923+ van een 10Gbe NIC heb voorzien (en beide PC's en LAN ook 10Gbit doen). Nu haal ik het maximale uit mijn WD Red Pro 8TB's, zo tussen de 375 en 400 MB/s ipv 110-112MB/s over 1Gbit.

FooLsKi schreef op maandag 5 januari 2026 @ 16:23:
[...]

Als je op een 1Gbit-verbinding zit, idd. Ik merk echt wel verschil sinds ik mijn 923+ van een 10Gbe NIC heb voorzien (en beide PC's en LAN ook 10Gbit doen). Nu haal ik het maximale uit mijn WD Red Pro 8TB's, zo tussen de 375 en 400 MB/s ipv 110-112MB/s over 1Gbit.

Met 4xSATA SSD gaat het helemaal als de brandweer. Die 10GBe is een mooie nice to have, gewoon omdat het kan:)
Zelfs een 2.5GBe usb adapter is al flinke versnelling en relatief goedkoop ten opzichte van de 10GBe update

[ Voor 9% gewijzigd door Mk23 op 05-01-2026 16:53 ]

Mk23 schreef op maandag 5 januari 2026 @ 16:24:
[...]

Met 4xSATA SSD gaat het helemaal als de brandweer. Die 10GBe is een mooie nice to have, gewoon omdat het kan:)
Zelfs een 2.5GBe usb adapter is al flinke versnelling en relatief goedkoop ten opzichte van de 10GBe update

True, maar 8TB SATA SSDs zijn een beetje prijziger dan HDDs

RonnieKo schreef op maandag 5 januari 2026 @ 16:58:
[...]


Dat verschil merk je wel. Maar als je de boel via "Wifi" in huis laat praten met de NAS zal het niet zoveel uitmaken. Daar zitten dan zoveel afhankelijkheden in dat de snelheidswinst van een aantal schijven in de NAS niet te merken is.

Met WiFi zal ik hier (op de Galaxy Tab S11 Ultra) idd max rond de 2500Mbit halen, als ik van de speedtests over mijn 4Gbit KPN-lijn mag uitgaan

mike123 schreef op maandag 5 januari 2026 @ 12:09:
[...]


Dat was inderdaad ook mijn idee.
Had gisteren ook nog geprobeerd om de virusscanner te downloaden via de nas maar die kon wel geïnstalleerd worden.
Daarna de nas gisteren ook meteen uitgezet en dan nu rustig eerst de boel kopiëren naar een externe hdd of naar de pc.
Daar zit nog wel wat ruimte in.
Nu ook nog even kijken hoe hij niet meer op internet komt maar wel bereikbaar blijft in het netwerk.
Bedankt voor de reaktie.

Gsterenvde nas uitgeschakeld en vandaag rechtstreeks aan de pc gehangen.
Ben nu dus toch de l*l denk ik. Diverse bestanden hebben de extensie .encrypted.
Dus dan maar helemaal opnieuw beginnen. Van het meeste heb ik een backup dus dat valt mee. Films zijn ook encrypted, muziek niet.

Maar in hoeverre is het verstandig de nas aan de pc te hangen, voordat ik mijn eigen pc om zeep help.
De muziek wil ik er wel graag af hebben natuurlijk.

@FooLsKi : mijn 923 heeft 4x2TB SATA SSD's in SHR1 en 2x2 TB NVMe en dat is voldoende, want mijn backups en complete mediatheek staan op mijn 1817+. Vanavond paar grote directories over gezet en dan gaat 140GB met gemiddeld 500-600MB/s.
Blijft een hobby, maar wel blij dat ik de 923+ met SSD's heb uitgerust en de 10GBe adapter heb gekocht.

Mk23 schreef op maandag 5 januari 2026 @ 20:54:
@FooLsKi : mijn 923 heeft 4x2TB SATA SSD's in SHR1 en 2x2 TB NVMe en dat is voldoende, want mijn backups en complete mediatheek staan op mijn 1817+. Vanavond paar grote directories over gezet en dan gaat 140GB met gemiddeld 500-600MB/s.
Blijft een hobby, maar wel blij dat ik de 923+ met SSD's heb uitgerust en de 10GBe adapter heb gekocht.

Ik heb naast de 4x 8TB WD Red Pro's in de 923+ ook nog een DX517 eraan hangen met 5x hetzelfde type als in de 923+ voor mijn mediatheek
Edit: en 2x 2TB NVMe als cache in de 923+

[ Voor 3% gewijzigd door FooLsKi op 05-01-2026 21:09 ]

FooLsKi schreef op maandag 5 januari 2026 @ 21:08:
[...]

Ik heb naast de 4x 8TB WD Red Pro's in de 923+ ook nog een DX517 eraan hangen met 5x hetzelfde type als in de 923+ voor mijn mediatheek
Edit: en 2x 2TB NVMe als cache in de 923+

Met de DX517 + DX513 + 1817+ heb ik 145TB aan opslag. Twee jaar geleden zat ik nog op 12TB:)

Waarvoor heb je die NVMe cache? Merk je dat? Ik heb cache gehad in mijn 1817+ maar dat geen enkel voordeel.

spaceboy schreef op dinsdag 6 januari 2026 @ 07:18:
[...]

Key blijft: hang je NAS niet (meer) aan internet. En -met alle respect- misschien goed om je een beetje te verdiepen in security want het klinkt of het allemaal niet enorm doordacht is. Je wilt echt niet opeens ook je pc of laptop .encrypted hebben lijkt me.

Misschien kun je een andere laptop gebruiken, maar ik verwacht geen extra risico bij rechtstreeks koppelen. Ga geen executables of scripts aanraken zou ik zeggen.

Op zich had ik het standaard admin account uitgeschakeld maar toch even ingeschakeld en vergeten.
Dus dat gaan we zeker anders doen.
Ik zat er al aan te denken om een oude laptop te pakken en via een usb aansluiting een nieuwe externe hd aan te sluiten en daar de muziek op te zetten.en andere bestanden die niet encrypted zijn.
.exe en .bat blijft ik zeker vanaf.

Heeft het nog zin om een versleuteld bestand naar de website nomoreransom.org te sturen?
En dan niet om speciaal mijn bestanden mogelijk te decrypten maar zodat ze er misschien iets mee kunnen?

mike123 schreef op dinsdag 6 januari 2026 @ 08:38:
[...]

Op zich had ik het standaard admin account uitgeschakeld maar toch even ingeschakeld en vergeten.
Dus dat gaan we zeker anders doen.
Ik zat er al aan te denken om een oude laptop te pakken en via een usb aansluiting een nieuwe externe hd aan te sluiten en daar de muziek op te zetten.en andere bestanden die niet encrypted zijn.
.exe en .bat blijft ik zeker vanaf.

Heeft het nog zin om een versleuteld bestand naar de website nomoreransom.org te sturen?
En dan niet om speciaal mijn bestanden mogelijk te decrypten maar zodat ze er misschien iets mee kunnen?

Je moet je ook afvragen: was dat dé reden dat je nu in de shit zit? Want een standaard admin account heeft nog steeds een wachtwoord, toch? Of heb je die op Welkom01 gezet ofzo?

Sowieso is het slim om geen admin account te hebben (die admin heet), maar misschien zijn ze wel op een heel andere manier bij je NAS gekomen. Zo op afstand klinkt het als een raar verhaal, maar misschien is dat beroepsdeformatie en klooit iedereen maar wat aan met devices aan internet hangen enzo. Je kunt echt meer dan prima een NAS gewoon in je interne netwerk hebben zonder dat je daar uberhaupt van buiten bij kan. En als het ECHT moet, regel dan een VPN-verbinding met certificaat. Dat klinkt moeilijker dan het is.

Het mooiste zou zijn als je de schijven van je NAS kan benaderen zonder NAS (dus: eruit schroeven en in een PC hangen), dan heb je niet het (wellicht gecompromitteerde) operating system van Synology (=DSM). Ik heb daar nog niet eerder van gehoord, dat dat uberhaupt kan, maar het is theoretisch wel een risico. Als je de bestanden zelf gewoon kunt pakken vanaf een schone laptop / PC / VM zonder gebruik te hoeven maken van DSM ben je in elk geval zeker van je zaak (mits je geen executables of scripts gaat terugzetten).

Zo'n .encrypted opsturen kan nooit kwaad (tenzij het persoonlijke data is, dan zou ik dat niet zo snel doen, tenzij je weer echt dolgraag decryptie wilt). Ik zou focussen op mijn eigen interne netwerk en de hardening daarvan.

Ik been geen expert, maar persoonlijk vind ik dat de VPN optie overkill zou moeten zijn. Ja, het is een tweede beveiligingslaag (als ze niet de VPN inlog hebben, komen ze sowieso niet bij je NAS), maar de standaard mogelijkheden van DSM zouden toch ook al heel wat moeten bieden?

- alleen de nodige poorten open op route (80 / 443, evt VPN).
- losse diensten via reverse proxy / gebruiken afwijkende poorten (security through obscurity, maar voorkomt port scans wat veel wordt ingezet bij known security issues). Sowieso aantal diensten beperken tot noodzakelijke (SMB, FTP, SSH etc heb ik allemaal uit staan)
- 2FA (ook is de standaard admin account natuurlijk uitgeschakeld, maar met 2FA zou ik me zelfs daar nite zo druk over maken)
- updates installeren

Als er een security issue is, dan moet een attacker eerst de url weten (of het moet een security issue in de reverse proxy zijn).

Is dit volledig veilig? Nee, als er een security issue in PHP wordt gevonden met escalatie naar het OS dan ben ik de pineut. In theorie kunnen ze dan ook de cloud backup en backup naar USB hdd verwijderen. Een horror-scenario voor mij. Dit zou echter wel een groter gevolg hebben dan mijn (voor hackers) niet zo interessante NAS...

@spaceboy Het is ongeveer 60TB mediabibliotheek, 5TB foto's en administratie, 30TB aan backups van familie en de rest is nog spare.
Voor een goede werking van de NAS wil je eigenlijk niet boven de 80% gebruik van je opslagcapacitiet gaan.

Mk23 schreef op dinsdag 6 januari 2026 @ 10:20:
@spaceboy Het is ongeveer 60TB mediabibliotheek, 5TB foto's en administratie, 30TB aan backups van familie en de rest is nog spare.
Voor een goede werking van de NAS wil je eigenlijk niet boven de 80% gebruik van je opslagcapacitiet gaan.

Ah ok. Thanks voor de uitleg. Misschien kom ik ook ooit zover. Zoiets groeit waarschijnlijk ook per jaar.

spaceboy schreef op dinsdag 6 januari 2026 @ 09:20:
[...]
<KNIP>
Het mooiste zou zijn als je de schijven van je NAS kan benaderen zonder NAS (dus: eruit schroeven en in een PC hangen), dan heb je niet het (wellicht gecompromitteerde) operating system van Synology (=DSM). Ik heb daar nog niet eerder van gehoord, dat dat uberhaupt kan, maar het is theoretisch wel een risico. Als je de bestanden zelf gewoon kunt pakken vanaf een schone laptop / PC / VM zonder gebruik te hoeven maken van DSM ben je in elk geval zeker van je zaak (mits je geen executables of scripts gaat terugzetten).
<KNIP>

Dat kan. Ik heb eens een schijf uit een NAS gehaald (2-bay NAS van Synology met gespiegelde schijven) en aan een Linux machine gehangen om de data veilig te stellen. De reden was dat het moederbord van de NAS kapot was gegaan en mijn vrouw bij haar bestanden moest van de studie. Ik zat toen zelf in de fuik van Windows, dus kan mij nog herinneren dat ik met een portable Linux Mint een laptop heb opgestart en via copy-paste de bestanden voor haar kon 'toveren' .

GEi schreef op dinsdag 6 januari 2026 @ 11:09:
[...]


Dat kan. Ik heb eens een schijf uit een NAS gehaald (2-bay NAS van Synology met gespiegelde schijven) en aan een Linux machine gehangen om de data veilig te stellen. De reden was dat het moederbord van de NAS kapot was gegaan en mijn vrouw bij haar bestanden moest van de studie. Ik zat toen zelf in de fuik van Windows, dus kan mij nog herinneren dat ik met een portable Linux Mint een laptop heb opgestart en via copy-paste de bestanden voor haar kon 'toveren' .

Kan me voorstellen dat het standaard filesystems (BTRFS) wel mountable is op Linux of Windows.

spaceboy schreef op dinsdag 6 januari 2026 @ 09:20:
[...]

Je moet je ook afvragen: was dat dé reden dat je nu in de shit zit? Want een standaard admin account heeft nog steeds een wachtwoord, toch? Of heb je die op Welkom01 gezet ofzo?

Sowieso is het slim om geen admin account te hebben (die admin heet), maar misschien zijn ze wel op een heel andere manier bij je NAS gekomen. Zo op afstand klinkt het als een raar verhaal, maar misschien is dat beroepsdeformatie en klooit iedereen maar wat aan met devices aan internet hangen enzo. Je kunt echt meer dan prima een NAS gewoon in je interne netwerk hebben zonder dat je daar uberhaupt van buiten bij kan. En als het ECHT moet, regel dan een VPN-verbinding met certificaat. Dat klinkt moeilijker dan het is.

Het mooiste zou zijn als je de schijven van je NAS kan benaderen zonder NAS (dus: eruit schroeven en in een PC hangen), dan heb je niet het (wellicht gecompromitteerde) operating system van Synology (=DSM). Ik heb daar nog niet eerder van gehoord, dat dat uberhaupt kan, maar het is theoretisch wel een risico. Als je de bestanden zelf gewoon kunt pakken vanaf een schone laptop / PC / VM zonder gebruik te hoeven maken van DSM ben je in elk geval zeker van je zaak (mits je geen executables of scripts gaat terugzetten).

Zo'n .encrypted opsturen kan nooit kwaad (tenzij het persoonlijke data is, dan zou ik dat niet zo snel doen, tenzij je weer echt dolgraag decryptie wilt). Ik zou focussen op mijn eigen interne netwerk en de hardening daarvan.

Het wachtwoord was niet een standaard dingetje dus of dat het was geweest weet ik niet. Hij heette wel admin, daar was ik standaard mee begonnen met het inrichten van de nas. Misschien dat maar niet meer doen maar opnieuw beginnen, nieuwe admin aanmaken en de origine admin maar meteen uitschakelen.
Ik heb enkele weken geleden de laatste versie van DSM 6 erop gezet. Dus geen 7. Voor de update ook nergens in de log terug kunnen vinden dat er ook maar een poging is geweest om de nas te benaderen vanaf een vreemd ip adres.

Ik heb nog een laptop liggen en een externe hdd kast waar ik eventueel de hdd in kan doen om te kijken of ik de individuele bestanden eraf kan halen die nog goed zijn.

Ik heb ook een paar foto's, plaatjes van WhatsApp die encrypted zijn, dat is niet echte persoonlijke data, die kan ik wel opsturen.

Eerst even een paar hdd's bestellen. Dan begin ik compleet opnieuw en leg ik deze huidige hdd's uit de nas opzij. Die zou ik ik op een later moment weer een keer terug kunnen doen om te kijken of ik er nog iets van kan redden van de bestanden waar ik nu dus geen backup van heb.

mike123 schreef op dinsdag 6 januari 2026 @ 11:25:
[...]

Het wachtwoord was niet een standaard dingetje dus of dat het was geweest weet ik niet. Hij heette wel admin, daar was ik standaard mee begonnen met het inrichten van de nas. Misschien dat maar niet meer doen maar opnieuw beginnen, nieuwe admin aanmaken en de origine admin maar meteen uitschakelen.
Ik heb enkele weken geleden de laatste versie van DSM 6 erop gezet. Dus geen 7. Voor de update ook nergens in de log terug kunnen vinden dat er ook maar een poging is geweest om de nas te benaderen vanaf een vreemd ip adres.

Ik heb nog een laptop liggen en een externe hdd kast waar ik eventueel de hdd in kan doen om te kijken of ik de individuele bestanden eraf kan halen die nog goed zijn.

Ik heb ook een paar foto's, plaatjes van WhatsApp die encrypted zijn, dat is niet echte persoonlijke data, die kan ik wel opsturen.

Eerst even een paar hdd's bestellen. Dan begin ik compleet opnieuw en leg ik deze huidige hdd's uit de nas opzij. Die zou ik ik op een later moment weer een keer terug kunnen doen om te kijken of ik er nog iets van kan redden van de bestanden waar ik nu dus geen backup van heb.

Je weet wel dat het niet handig is om alle services die je eventueel hebt draaien op de NAS zo maar naar het internet open te zetten? Ik hoop de je in ieder geval niet de DSM login zelf op internet hebt gehad? Dat is toch meestal de vector waarmee ze binnen komen als ze het admin account hebben kunnen kraken.
Ook moet je dit admin account best niet gebruiken in de apps die je naar buiten toe open zet, zoals synology photo's of drive sync. Succes met het oplossen, man. Altijd knudde als ze binnen weten te komen.

Wat is er zo dramatisch om bv poort 5001 open te hebben. Admin account uitschakelen en 2FA op je normale admin account zetten zou voldoende moeten zijn om random inlogpogingen tegen te gaan.

Ik krijg echt nooit meldingen als iemand in probeert foutief in probeert te loggen met een IP-block als gevolg.

Edit: het blocksysteem werkt prima, net even getest op een extern IP. na vijf pogingen blockt ie het IP zoals het zou moeten.

[ Voor 17% gewijzigd door Gunner op 06-01-2026 12:01 ]

Gunner schreef op dinsdag 6 januari 2026 @ 11:57:
Wat is er zo dramatisch om bv poort 5001 open te hebben. Admin account uitschakelen en 2FA op je normale admin account zetten zou voldoende moeten zijn om random inlogpogingen tegen te gaan.

Ik krijg echt nooit meldingen als iemand in probeert foutief in probeert te loggen met een IP-block als gevolg.

Edit: het blocksysteem werkt prima, net even getest op een extern IP. na vijf pogingen blockt ie het IP zoals het zou moeten.

2FA en automatisch blokkeren zal niet aangestaan hebben vermoed ik.

Maar het kan ook zijn dat er een lek in de DSM portal heeft gezeten, zeker als er nog een 6.x versie gebruikt wordt zoals aangegeven. Ik weet niet of die nog wel alle security patches krijgt.

edit: Nee dus. Geen security patches meer voor 6.x versies. Dat maakt het zeer onverstandig om deze nog online te gebruiken: https://www.synology.com/en-us/products/status/eol-dsm62

DSM 6.2 will reach the end of the Extended Life Phase on October 1, 2024. After which, DSM 6.2 and related packages or applications will no longer receive functionality, security, and package updates..

[ Voor 26% gewijzigd door GaMbiNo op 06-01-2026 12:49 ]

Ik moet ook nog eens met 2FA aan de slag. Ben bezig met bepaalde containers via een reverse proxy te laten lopen. Die van Synology zelf werkt prima, maar ik wilde wat meer beveiliging. En uiteindelijk gaan spelen met NPMPlus en Crowdsec.
Je ziet dat er toch af en toe aan de voordeur gerammeld wordt:


De inlogpagina van DSM is niet van buitenaf beschikbaar. Maar die wil ik ook nog via de reverse proxy laten lopen.

RonnieKo schreef op maandag 5 januari 2026 @ 15:59:
[...]


Heb je al een test / check gedaan op het volume van de NAS? Dus op de data zelf?

Ik was met datascrubbing begonnen, maar die heb ik op hold gezet.
Na 1.5 dagen stond hij op 0,13 procent. Daarnaast duurt dan inloggen ongeveer tussen de 20 en 30 minuten

spaceboy schreef op dinsdag 6 januari 2026 @ 10:22:
[...]

Ah ok. Thanks voor de uitleg. Misschien kom ik ook ooit zover. Zoiets groeit waarschijnlijk ook per jaar.

Bij mij is in twee jaar tijd de mediabibliotheek "geëxplodeerd" omdat ik niet alleen films voor mezelf heb maar ook voor mijn vrouw en de kids. ze kijkt tegenwoordig eerder op Plex dan op een van de streaming diensten. Dus daar gaat ook de schaar in.
En sinds mijn vrouw heeft gemerkt dat het beter is om de foto's niet alleen op je telefoon te hebben als je een foto album maakt, is het best hard gegaan. En vergeet niet dat de camera's steeds beter zijn geworden en de bestanden dus groter.

Ik heb ook de off site backup van de data van mijn zus bij mij op de NAS staan en dan gaat het al met al best wel snel. en hobbies mogen geld kosten:)

Gunner schreef op dinsdag 6 januari 2026 @ 11:57:
Wat is er zo dramatisch om bv poort 5001 open te hebben. Admin account uitschakelen en 2FA op je normale admin account zetten zou voldoende moeten zijn om random inlogpogingen tegen te gaan.

Ik krijg echt nooit meldingen als iemand in probeert foutief in probeert te loggen met een IP-block als gevolg.

Edit: het blocksysteem werkt prima, net even getest op een extern IP. na vijf pogingen blockt ie het IP zoals het zou moeten.

Hele domme opmerking.
Het allerbelangrijkste op security gebied is om geen port forwarding te doen van welke poort dan ook, maar in het bijzonder de poorten 5000 en 5001.
Een aantal jaren gelden was er de beruchte Synolocker die ook via een geforwarde poort 5000 binnenkwam.

Als je perse vanaf het internet bij je Nas moet zijn, gebruik dan een VPN en een enkel portforward naar die VPN server meer niet, die VPN server zit niet voor niks standaard in je Nas en die VPN port wordt extra beveiligd door die VPN server.

En een hack waar je meldingen van krijgt komt niet van een serieuze hacker maar van een "script kiddy".

@mike123
Een admin account uitschakelen is schijn veiligheid, een goed password en 2fa op het admin account is net zo veilig als elk ander account met admin privileges.

Maar het grootste risico zit gewoon in downloaden van bestanden en op je Nas zetten waar een exploit inzit, die dan bijvoorbeeld je bestanden gaat encrypten.

En je Nas aan je PC hangen is niet een erg groot risico tenzij je op je PC een share hebt aangemaakt waar de Nas bij kan, die zou ik dan eerst even disabelen.

[ Voor 5% gewijzigd door Ben(V) op 07-01-2026 09:38 ]

Ben(V) schreef op woensdag 7 januari 2026 @ 09:34:
[...]


Hele domme opmerking.
Het allerbelangrijkste op security gebied is om geen port forwarding te doen van welke poort dan ook, maar in het bijzonder de poorten 5000 en 5001.

Weet ik allemaal wel. maar ik accepteer dat risico.
Maar om het dan maar dom te noemen.... had ook anders gekund.

Ok niet erg slim dan en volkomen onnodig.

En het domme zit in het feit dat je anderen de foute informatie geeft, dat het allemaal niet nodig is.
Wat je zelf doet moet je zelf weten.

[ Voor 63% gewijzigd door Ben(V) op 07-01-2026 09:40 ]

Nogmaals ik ken de risico's en ik accepteer deze voor mijn NAS. Mocht er iets gecomprommiteerd raken zet ik mijn HyperBackup terug die in Frankfurt staat. Zo slim ben ik nog wel.

RDP heb ik bijvoorbeeld wel alleen geaccepteert vanaf een exclusief IP vanuit een firewall rule.

En tegen encrypten door een hacker is het hanteren van 'snapshots' die voor een periode 'immutable' zijn ook een goed idee: een snapshot zorhgt er voor dat je naar een punt in tijd terug kunt gaan voor de data van dat moment, immutable zorgt er voor dat die data niet binnen die periode te veranderen of te verwijderen is. Bij encrypted data door een indringer kun je dus snel terug naar 'gisteren' en die data terug zetten.

Tegelijkertijd: ik heb een hele serie aan gestapelde maatregelen tegen ongewenste 'gebruikers' terwijl de NAS wel openstaat. Ik geloof echt dat je heel veel ellende kan voorkomen door je in allerlei maatregelen te verdiepen en toch kan genieten van diensten op een op afstand bereikbare Synology.
En dan komt het uiteindelijk met toepassen van security altijd neer op een balans van gebruiksgemak vs beperkingen-want-veiligheid. Voor iedereen is dat een andere afweging.
Echter: 'alleen toegang via VPN' is wat mij betreft een te beperkt advies.

[ Voor 22% gewijzigd door jkrol op 07-01-2026 11:37 ]

Eens met @Ben(V), de enige forwardpoort op je router naar het internet, is die van je vpn. De rest staat dicht. Ga er vanuit dat alles zo lek is als een mandje.
Op je NAS-firewall kun je wat meer poorten open hebben voor services maar dat is dan voor je lokale netwerk.