Vraag

donderdag 1 maart 2018 15:02

Acties:
  • 0 Henk 'm!
  • misterdaan
  • Registratie: April 2012
  • Laatst online: 02-06 15:53

misterdaan

Topicstarter
Mijn vraag
In heb een NAS (Synology DS216j) in mijn netwerk, waarop ik graag een certificaat van Let's Encrypt wil hebben. Hiervoor moet verkeer op poort 80 van de WAN geleid worden naar poort 80 van de NAS. Dit heb ik netjes gedaan met een DNS A-record in onze hosting en een port forward op de router (Unifi Security Gateway), welke werkt.

Helaas kan de NAS geen verbinding krijgen met de Let's Encrypt. Vermoedelijk is dit omdat op onze server, die ook zorgt voor de DHCP(/NAT?), is ingesteld dat verkeer op port 80 omgeleid wordt naar de beheersoftware ILO 4 van onze HP server. Deze software wordt overigens niet gebruikt maar ik kan er niet in en kan deze niet uitschakelen.

Wanneer ik vanaf mijn mobiel (via 4G) naar het IP-adres van de WAN ga, kom ik op de NAS terecht (y).
Wanneer ik vanaf mijn pc (en dus ook vanaf de NAS) naar het IP-adres van de WAN ga, kom ik bij ILO 4. :'(

Vermoedelijk 'kaapt' de server dus het interne verkeer naar poort 80. Eigenlijk wil ik dat het verkeer van de NAS op poort 80 de server overslaat en naar de router geleidt wordt.

Ik heb al gezocht en denk dat het kan met netsh. Weet iemand of dit klopt en hoe ik dit dan kan doen?

Alle reacties

donderdag 1 maart 2018 15:05

Acties:
  • 0 Henk 'm!
  • Starck
  • Registratie: September 2004
  • Niet online

Starck

Is het niet handiger om poort 443 (https) te forwarden naar de NAS ipv 80 (http)?

donderdag 1 maart 2018 15:06

Acties:
  • 0 Henk 'm!
  • misterdaan
  • Registratie: April 2012
  • Laatst online: 02-06 15:53

misterdaan

Topicstarter
Dus op de router port 443 forwarden naar port 80 van de NAS?

donderdag 1 maart 2018 15:06

Acties:
  • 0 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 14:34

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

misterdaan schreef op donderdag 1 maart 2018 @ 15:02:
Hiervoor moet verkeer op poort 80 van de WAN geleid worden naar poort 80 van de NAS.
Wat is het doel hiervan? Als je het certificaat wilt gaan gebruiken om SSL te kunnen gebruiken, loopt dit meestal via poort 443.
Helaas kan de NAS geen verbinding krijgen met de Let's Encrypt.
Wat bedoel je hiermee? Waarom wil je dat je NAS ergens connectie mee gaat maken?
Vermoedelijk is dit omdat op onze server, die ook zorgt voor de DHCP(/NAT?), is ingesteld dat verkeer op port 80 omgeleid wordt naar de beheersoftware ILO 4 van onze HP server.t en hoe ik dit dan kan doen?
Zoek nu eerst eens uit waarom dit lijkt te gebeuren. Dan heb je de oplossing ook al. Je kunt geen aanpassingen gaan implementeren op basis van een vermoeden.
misterdaan schreef op donderdag 1 maart 2018 @ 15:06:
Dus op de router port 443 forwarden naar port 80 van de NAS?
Wat wil je nu exact bereiken? Wat is je einddoel. Een certificaat installeren is een middel, geen doel.

[ Voor 14% gewijzigd door Question Mark op 01-03-2018 15:08 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 1 maart 2018 15:09

Acties:
  • 0 Henk 'm!
  • misterdaan
  • Registratie: April 2012
  • Laatst online: 02-06 15:53

misterdaan

Topicstarter
Voor het vernieuwen van het certificaat (en ook voor het aanvragen) moet poort 80 openstaan, zoals ook te lezen is op de site van Synology:
Vergewis u ervan dat poort 80 van uw Synology NAS en router open staat om het certificaat te vernieuwen.
bron: https://www.synology.com/...er/connection_certificate

Deze melding wordt ook weergegeven wanneer ik in DSM het certificaat wil aanvragen.

donderdag 1 maart 2018 23:09

Acties:
  • 0 Henk 'm!
  • Enforcer
  • Registratie: Februari 2001
  • Niet online

Enforcer

Kan de NAS de Lets Encrypt server niet benaderen of andersom ? Wat voor foutmelding krijg je?

Mogelijke oplossing: Port 80 en 443 toevoegen aan je firewall zodat deze op je NAS binnenkomt. Als je die van buitenaf kan benaderen (via je mobiel op 4G) en je vult dan http://wan_ip en https://wan_ip in en je komt op beiden uit op je NAS dan zou het gewoon goed moeten gaan. Controleer ook of je NAS naar buiten kan internetten, als er b.v. geen default gateway en/of DNS in staat dan zal de NAS ook geen verzoeken naar buiten kunnen doen maar dat is standaard networking.

[ Voor 66% gewijzigd door Enforcer op 01-03-2018 23:28 ]

vrijdag 2 maart 2018 08:20

Acties:
  • 0 Henk 'm!
  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024

Zoetjuh

Het klinkt als "wil de NAS het certificaat kunnen vernieuwen, dan moet daarvoor poort 80 voor uitgaand verkeer vanaf de NAS open staan" (ofwel: controleer of in je firewall er geen blokkade staat op uitgaand verkeerd naar poort 80 vanaf het IP van je NAS). Ik zou het persoonlijk onlogisch vinden wanneer dit zo is (tenzij je heel netjes het concept of least privilege toekomst).

Aan de andere kant, hoop ik niet dat je NAS via poortje 80 certificaten gaat renwen e.d.
Dat zou mijns inziens volledig tegen het concept van veiligheid in gaan omdat dit verkeer niet encrypted is (en ik zou je certificaat dan al meteen niet vertrouwen)

Anyway, certificaten installer je normaliter voor HTTPS verbindingen (of andere beveiligde verbindingen; maar in jou geval zal het waarschijnlijk om je HTTPS verbindingen NAAR je NAS gaan). Ofwel, poort 443 moet geNAT worden naar je NAS toe; tenzij je de webinterface verstopt achter een ander poortje natuurlijk.

vrijdag 2 maart 2018 08:28

Acties:
  • 0 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 27-05 17:27

MAX3400

XBL: OctagonQontrol

Domme opmerking maar of je poort 80 nou naar je NAS of naar ILO open hebt staan (al dan niet geNAT), vind ik wel een dingetje; iedereen die dus HTTP (unencrypted) naar jouw IP praat, komt dus uit op ILO of, in jouw gewenste situatie, op je NAS... Als script-kiddie scan ik natuurlijk eerst "unencrypted" ports zoals 21, 80, 137 en noem maar op.

Andersom, wat nou als je aan de buitenkant 2 andere poorten pakt bijvoorbeeld 10080 en 10443 en die op de router forward naar NAS:80 en NAS:443?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 2 maart 2018 08:54

Acties:
  • 0 Henk 'm!
  • Enforcer
  • Registratie: Februari 2001
  • Niet online

Enforcer

Domme opmerking maar of je poort 80 nou naar je NAS of naar ILO open hebt staan (al dan niet geNAT), vind ik wel een dingetje;
Waarom is dat een dingetje? Dus je scant een ip-range en je vindt een heleboel webservers. So what? Zolang die webservers beveiligt zijn met een complexe username/password en/of 2FA en er geen exploits zijn is er niet echt veel aan de hand. Dictionary scanning op een webserver (phpbb/vbulletin/exchange webmail) is dan veel interessanter dan een Synology Webserver :)

Port 80 en 443 heb je initieel nodig voor LetsEncrypt om de certificaten überhaupt aan te kunnen maken, ik durf even niet te zeggen of je daarna port80 dicht kan zetten en al het verkeer (dus ook de renewal van de certificaten na 3maanden) over port 443 gaat. Maar dat merk je t.z.t. wel als de verlenging er aan komt, en er bestaat volgens mij ook een optie in Synology om al het HTTP (80) verkeer om te leiden naar HTTPS (443)
-edit-
En disable ipv6 als je dat niet gebruikt (dus in de netwerkconfiguratie van je NAS op Off zetten), dit schijnt wel vaker een probleem te zijn omdat ipv6 preferred is bij Lets Encrypt.

[ Voor 24% gewijzigd door Enforcer op 02-03-2018 10:49 ]

vrijdag 2 maart 2018 09:22

Acties:
  • 0 Henk 'm!
  • rens-br
  • Registratie: December 2009
  • Laatst online: 08:49

rens-br

Admin IN & Moderator Mobile
Schopje naar NT, aangezien dit weinig met PNS te maken heeft.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq