Synology extern benaderen werkt niet.

Vraag

zondag 12 mei 2019 23:20

Acties:

0 Henk 'm!

Topicstarter

Mensen,
Veel gegoogeld maar ik kom er niet uit.

Synology
KPN experiabox V10A

Ik wil mijn Synology extern benaderen, intern gaat het wel goed.
In mijn Experiabox heb ik een vast ipadres toegewezen aan mijn Synology via DHCP
portmapping: 80, 443, 5000 open gezet via TCP
Mijn ipadres staat gelinkt met een domeinnaam.

Maar als ik DS photo of DS file wil inloggen op mijn iPhone lukt dit niet extern.
Jullie een idee? waar kijk ik nu overheen?

Alle reacties

zondag 12 mei 2019 23:22

Acties:

0 Henk 'm!

maratropa

zit je met je iphone via wifi op hetzelfde netwerk toevallig?

specs

zondag 12 mei 2019 23:28

Acties:

0 Henk 'm!

Patweb78

Topicstarter

maratropa schreef op zondag 12 mei 2019 @ 23:22:
zit je met je iphone via wifi op hetzelfde netwerk toevallig?

Met wifi aan werkt het wel, zet ik mijn wifi op mijn iPhone uit kan ik niet meer inloggen

zondag 12 mei 2019 23:40

Acties:

0 Henk 'm!

Taab

Kan je de NAS lokaal benaderen via 5000 en linkt hij dan niet automatisch door naar 5001? Die van mij linkt namelijk automatisch door naar 5001.

Mocht dat wal het geval zijn dan moet je in plaats van 5000, 5001 naar buiten open zetten.

Ik wil alleen adviseren om vanwege veiligheid een ander poortnummer naar buiten te hanteren.

[ Voor 39% gewijzigd door Taab op 12-05-2019 23:42 ]

zondag 12 mei 2019 23:45

Acties:

+1 Henk 'm!

MewBie

Patweb78 schreef op zondag 12 mei 2019 @ 23:28:
[...]

Met wifi aan werkt het wel, zet ik mijn wifi op mijn iPhone uit kan ik niet meer inloggen

Je gebruikt wel je externe ip adres?

Please leave a message after the beep.
*beeeeep*

maandag 13 mei 2019 07:57

Acties:

+2 Henk 'm!

Cpt.Morgan

Patweb78 schreef op zondag 12 mei 2019 @ 23:20:
portmapping: 80, 443, 5000 open gezet via TCP

Overweeg gebruik te maken van Synology Quickconnect (https://www.synology.com/...cloud_set_up_quickconnect ). Je stelt dan via de settings van synology een ID in ([naam]) en kunt daarna in alle Synology apps verbinding maken door gewoon [naam] in te voeren, in plaats van het IP adres. Natuurlijk heb je nog wel gewoon ook logingegevens nodig.

De communicatie loopt (afhankelijk van je instellingen en situatie) dan (soms/deels) via een Synology proxy server, maar het werkt wel zonder portmapping. Hier uitleg hoe e.e.a technisch werkt: https://global.download.s...ckConnect_White_Paper.pdf

Mocht je het toch echt via port forwarding willen doen, check dan even of je de port forwards wel echt goed hebt ingesteld: https://www.synology.com/...used_by_Synology_services en/of post je exacte settings van je portforwards in je router eens.

[ Voor 31% gewijzigd door Cpt.Morgan op 13-05-2019 08:04 ]

maandag 13 mei 2019 15:34

Acties:

+1 Henk 'm!

Kasper1985

Een offtopic veiligheidstip. Als je je nas perse naar buiten open wilt zetten overweeg dan de volgende dingen:
-poort 5001 is veilig je kan dmv letsencrypt een gratis certificaat aanvragen (zit ingebouwd in dsm)
-maak een niet admin gebruiker aan en log daarmee extern in.
-DSM biedt de optie voor 2fa (2 factor authentication) dmv de gratis app google authenticator. Zéker als je je nas extern open zet is dit sterk aan te raden.
-zet automatisch updaten aan zodat eventuele security issues die door synology gepatched zijn ook direct worden toegepast.
Hoe heb je geportforward? Er is nog weleens verwarring tussen portforwarding en port triggering.

Kijk eens of die poorten idd open staan. Google op nmap scan en voer een scan uit op je externe IP op die poorten. Dan krijg je als resultaat open filtered of closed

[ Voor 20% gewijzigd door Kasper1985 op 13-05-2019 15:40 ]

maandag 13 mei 2019 15:49

Acties:

0 Henk 'm!

Patweb78

Topicstarter

Kasper1985 schreef op maandag 13 mei 2019 @ 15:34:
Een offtopic veiligheidstip. Als je je nas perse naar buiten open wilt zetten overweeg dan de volgende dingen:
-poort 5001 is veilig je kan dmv letsencrypt een gratis certificaat aanvragen (zit ingebouwd in dsm)
-maak een niet admin gebruiker aan en log daarmee extern in.
-DSM biedt de optie voor 2fa (2 factor authentication) dmv de gratis app google authenticator. Zéker als je je nas extern open zet is dit sterk aan te raden.
-zet automatisch updaten aan zodat eventuele security issues die door synology gepatched zijn ook direct worden toegepast.
Hoe heb je geportforward? Er is nog weleens verwarring tussen portforwarding en port triggering.

Kijk eens of die poorten idd open staan. Google op nmap scan en voer een scan uit op je externe IP op die poorten. Dan krijg je als resultaat open filtered of closed

Thanks, poorten heb ik via portmapping op de experiabox open gezet op het ipadres.
Zojuist poorten gescand op mijn ipadres, deze poorten staan open:
Discovered open port 53/tcp
Discovered open port 443/tcp
Discovered open port 80/tcp
Discovered open port 9003/tcp
Discovered open port 9000/tcp
Discovered open port 9004/tcp
Discovered open port 5001/tcp
Discovered open port 9001/tcp
Discovered open port 5000/tcp
Discovered open port 9002/tcp
Discovered open port 7547/tcp
dus dat moet goed zijn, toch?!

maandag 13 mei 2019 15:51

Acties:

0 Henk 'm!

Patweb78

Topicstarter

Cpt.Morgan schreef op maandag 13 mei 2019 @ 07:57:
[...]

Overweeg gebruik te maken van Synology Quickconnect (https://www.synology.com/...cloud_set_up_quickconnect ). Je stelt dan via de settings van synology een ID in ([naam]) en kunt daarna in alle Synology apps verbinding maken door gewoon [naam] in te voeren, in plaats van het IP adres. Natuurlijk heb je nog wel gewoon ook logingegevens nodig.

De communicatie loopt (afhankelijk van je instellingen en situatie) dan (soms/deels) via een Synology proxy server, maar het werkt wel zonder portmapping. Hier uitleg hoe e.e.a technisch werkt: https://global.download.s...ckConnect_White_Paper.pdf

Mocht je het toch echt via port forwarding willen doen, check dan even of je de port forwards wel echt goed hebt ingesteld: https://www.synology.com/...used_by_Synology_services en/of post je exacte settings van je portforwards in je router eens.

Thanks,
Het liefst gebruik ik mijn domeinnaam om in te loggen.
Maar quickconnect is plan B 😉
Heb de juiste poorten open gezet, 5001 net ook erbij gezet.
Het ging even goed en daarna niet meer te bereiken

maandag 13 mei 2019 16:13

Acties:

+1 Henk 'm!

lier

MikroTik nerd

Haak toch even in op wat @Kasper1985 al eerder heeft gezegd...denk aan veiligheid. Persoonlijk heb ik voor VPN gekozen om services van buitenaf beschikbaar te stellen. Je Synology is een prima doos om (onder andere) OpenVPN mee te draaien. Dan hoef je niet allerhande poorten publiek aan te bieden maar kan je je beperken tot een klein aantal poorten. Wat mij betreft veel beter (en in zijn geheel niet offtopic)

Eerst het probleem, dan de oplossing

maandag 13 mei 2019 18:30

Acties:

+1 Henk 'm!

Kasper1985

Patweb78 schreef op maandag 13 mei 2019 @ 15:49:
[...]

Thanks, poorten heb ik via portmapping op de experiabox open gezet op het ipadres.
Zojuist poorten gescand op mijn ipadres, deze poorten staan open:
Discovered open port 53/tcp
Discovered open port 443/tcp
Discovered open port 80/tcp
Discovered open port 9003/tcp
Discovered open port 9000/tcp
Discovered open port 9004/tcp
Discovered open port 5001/tcp
Discovered open port 9001/tcp
Discovered open port 5000/tcp
Discovered open port 9002/tcp
Discovered open port 7547/tcp
dus dat moet goed zijn, toch?!

Ik wil je niet ongerust maken maar kan je vertellen waarom je poorten 53, 900x en 7547 open hebt staan? 53 is voor DNS er is (over het algemeen tenzij je ECHT weet wat je doet) geen enkele reden waarom deze open zou moeten staan naar buiten.

7547 ken ik niet maar een simpele google zoektocht levert het volgende op:
https://www.liquidvpn.com...overed-targets-port-7547/

Tenzij je goede wel doordachte redenen hebt om deze open te hebben adviseer ik je even alles dicht te zetten en opnieuw te beginnen. Zadel de abuse desk van KPN niet met extra werk op :-)

Dit soort dingen testen vanaf huis is lastig. Vraag anders een vriend om te kijken of die de boel wel kan benaderen. De juiste poorten staan iig open. Tenzij je letsencrypt gebruikt (zie mijn eerdere advies)of hier andere redenen voor hebt hoeven poort 80 en 443 niet open te staan. 5001 is voldoende voor een (semi veilige want self signed cert) verbinding.

De tip mbt VPN is een hele goede. Neem die ter harte

Enige nadeel wat ik zelf vind is dat dat prima werkt vanaf een telefoon. Maar iedere keer een nieuwe PC opzetten om met OpenVPN te verbinden is best gedoe.

Als je vanaf veel verschillende plekken gaat verbinden dan is poort 5001 (mits voorzien van non admin user/letsencrypt/2fa) een prima alternatief.

[ Voor 10% gewijzigd door Kasper1985 op 13-05-2019 18:35 ]

maandag 13 mei 2019 19:01

Acties:

+1 Henk 'm!

laurens0619

@Patweb78 heb je naast het vaste ip adres wel de gateway (en dns) opgenomen? Anders werkt portmapping en quickconnect niet

CISSP! Drop your encryption keys!

dinsdag 14 mei 2019 15:54

Acties:

0 Henk 'm!

Patweb78

Topicstarter

laurens0619 schreef op maandag 13 mei 2019 @ 19:01:
@Patweb78 heb je naast het vaste ip adres wel de gateway (en dns) opgenomen? Anders werkt portmapping en quickconnect niet

Ik ben een leek, dus wat bedoel je met ' gateway opgenomen' ?

Ik heb wel in de NAS onder configuratiescherm-netwerk-domein mijn domeinnaam ingevoerd.

[ Voor 13% gewijzigd door Patweb78 op 14-05-2019 16:05 ]

dinsdag 14 mei 2019 15:56

Acties:

0 Henk 'm!

Patweb78

Topicstarter

Kasper1985 schreef op maandag 13 mei 2019 @ 18:30:
[...]

Ik wil je niet ongerust maken maar kan je vertellen waarom je poorten 53, 900x en 7547 open hebt staan? 53 is voor DNS er is (over het algemeen tenzij je ECHT weet wat je doet) geen enkele reden waarom deze open zou moeten staan naar buiten.

7547 ken ik niet maar een simpele google zoektocht levert het volgende op:
https://www.liquidvpn.com...overed-targets-port-7547/

Tenzij je goede wel doordachte redenen hebt om deze open te hebben adviseer ik je even alles dicht te zetten en opnieuw te beginnen. Zadel de abuse desk van KPN niet met extra werk op :-)

Dit soort dingen testen vanaf huis is lastig. Vraag anders een vriend om te kijken of die de boel wel kan benaderen. De juiste poorten staan iig open. Tenzij je letsencrypt gebruikt (zie mijn eerdere advies)of hier andere redenen voor hebt hoeven poort 80 en 443 niet open te staan. 5001 is voldoende voor een (semi veilige want self signed cert) verbinding.

De tip mbt VPN is een hele goede. Neem die ter harte Enige nadeel wat ik zelf vind is dat dat prima werkt vanaf een telefoon. Maar iedere keer een nieuwe PC opzetten om met OpenVPN te verbinden is best gedoe.

Als je vanaf veel verschillende plekken gaat verbinden dan is poort 5001 (mits voorzien van non admin user/letsencrypt/2fa) een prima alternatief.

Thanks, Heb de 7545 gelijk verwijderd ! $_/-\o_$
Ik ga even kijken wat VPN is, ik werk op een Macbook en iPhone dus ga het even uitzoeken.

PS:De NAS is nu ook lokaal niet meer te benaderen via het domeinnaam

[ Voor 5% gewijzigd door Patweb78 op 14-05-2019 16:01 ]

dinsdag 14 mei 2019 16:44

Acties:

0 Henk 'm!

lier

MikroTik nerd

Patweb78 schreef op dinsdag 14 mei 2019 @ 15:56:
PS:De NAS is nu ook lokaal niet meer te benaderen via het domeinnaam

Dat heeft iets met DNS te maken...staat los van je vraag.

Eerst het probleem, dan de oplossing

dinsdag 14 mei 2019 16:51

Acties:

+1 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

lier schreef op dinsdag 14 mei 2019 @ 16:44:
[...]

Dat heeft iets met DNS te maken...staat los van je vraag.

Of met NAT-loopback. Vanaf je lokale netwerk je externe IP benaderen incl. portforwards werkt lang niet altijd even goed met alle routers/modemrouters.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 14 mei 2019 17:08

Acties:

+1 Henk 'm!

lier

MikroTik nerd

Orion84 schreef op dinsdag 14 mei 2019 @ 16:51:
Of met NAT-loopback. Vanaf je lokale netwerk je externe IP benaderen incl. portforwards werkt lang niet altijd even goed met alle routers/modemrouters.

Kwestie van interpretatie (of vanaf welke kant je het bekijkt): ik vind het niet logisch om services via een publiek IP te benaderen als deze intern draaien. Bij mij worden ze "gewoon" op hun interne IP adres geresolved.

Eerst het probleem, dan de oplossing

dinsdag 14 mei 2019 17:10

Acties:

0 Henk 'm!

Kasper1985

lier schreef op dinsdag 14 mei 2019 @ 17:08:
[...]

Kwestie van interpretatie (of vanaf welke kant je het bekijkt): ik vind het niet logisch om services via een publiek IP te benaderen als deze intern draaien. Bij mij worden ze "gewoon" op hun interne IP adres geresolved.

Betwijfel of de v10 daar toe in staat is.

Ik kan online weinig informatie vinden over de v10 mbt loopback/hairpin NAT helaas. Misschien iets voor de KPN helpdesk of het KPN forum?

dinsdag 14 mei 2019 18:59

Acties:

0 Henk 'm!

Patweb78

Topicstarter

lier schreef op dinsdag 14 mei 2019 @ 16:44:
[...]

Dat heeft iets met DNS te maken...staat los van je vraag.

De NAS is niet meer te bereiken nadat ik de 7547 poort dicht gegooid heb

dinsdag 14 mei 2019 19:20

Acties:

0 Henk 'm!

Patweb78

Topicstarter

Mensen,
Ik ben er achter waar het mis gaat.
Mijn poorten zijn toegewezen aan de nas.
MAAR...de toegewezen poorten verspringen naar andere ip adressen.

Voorbeeld poort 80 toegewezen aan .50 en even later staat hij op .5 of .3 !!

dinsdag 14 mei 2019 19:46

Acties:

+1 Henk 'm!

Kasper1985

Het lijkt me heel vreemd als poort 7547 en het intern bereiken van de synology wat met elkaar te maken hebben.

Als de experiabox zo omgaat met port forwarding... Je hebt niet aangegeven of je op glas zit. Maar als dat zo is dan zou ik overwegen de experiabox te vervangen voor een degelijke router.

Er zijn talloze routers te vinden die beter functioneren en dat hoeft niet duur te zijn.

dinsdag 14 mei 2019 19:49

Acties:

0 Henk 'm!

Patweb78

Topicstarter

Kasper1985 schreef op dinsdag 14 mei 2019 @ 19:46:
Het lijkt me heel vreemd als poort 7547 en het intern bereiken van de synology wat met elkaar te maken hebben.

Als de experiabox zo omgaat met port forwarding... Je hebt niet aangegeven of je op glas zit. Maar als dat zo is dan zou ik overwegen de experiabox te vervangen voor een degelijke router.

Er zijn talloze routers te vinden die beter functioneren en dat hoeft niet duur te zijn.

ok, dan bedoel je dat er nog een router achter moet?
Want de experiabox regelt ook mijn tv.
Ik zal mijn vraag ook op het KPN forum melden.
Als ik een oplossing heb, laat ik het weten

dinsdag 14 mei 2019 19:56

Acties:

+2 Henk 'm!

FlipFluitketel

Frontpage Admin

@Patweb78 Nee, je hoeft niet nog een router erachter te zetten, dan ga je het jezelf helemaal moeilijk maken met dubbele portforwards. Kasper1985 bedoelt je Experiabox vervangen door een eigen router maar dan moet je met vlan's enz gaan werken en ik vermoed dat dat een stap te ver zal gaan voor jou.

https://forum.kpn.com/int...deren-uit-zichzelf-463873
Lijkt wel verdacht veel op jouw probleem

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

dinsdag 14 mei 2019 19:59

Acties:

+1 Henk 'm!

Kasper1985

@Patweb78 Nee een router erachter heeft geen zin. Dan krijg je dubbele NAT dat lost je probleem zeker niet op.

Vraag eens aan KPN of er misschien een update voor de experiabox is als dit een bekend probleem is. Port forwarden is wel een vrij elementaire functie van een router.

De experiabox vervangen is heel goed mogelijk ook met behoud van TV:

https://forum.kpn.com/thu...p-v-de-experia-box-458609

KPN Experiabox vervangen voor eigen modem/router

Helaas ligt de site netwerkje.com eruit zo te zien maar daar stond prima uitleg op. Misschien gaat het wat ver. Maar niet kunnen port forwarden gaat ook ver. Ook voor de VPN oplossing zal je poort 1194 moeten forwarden. Dus in alle gevallen kom je er niet onderuit.

dinsdag 14 mei 2019 20:01

Acties:

0 Henk 'm!

tomic

Smexylittlebabe!

hm... Het lijkt erop dat er iets niet goed gaat in de Experiabox. Ik heb zelf na behoorlijk wat uren mijn Nas beschikbaar via mijn domein op een aantal subdomeinen.

Wat je eigenlijk wil is dit:

bestanden.domein.nl A record naar je IP adres (mitst dat niet (veel) veranderd
Certificaat van Let's Encrypt voor bestanden.domein.nl
Poort 443 forwarden naar je NAS ip Intern (192.168.x.x) ook op poort 443
Reversed Proxy entry aanmaken voor bestanden.domein.nl die verwijst naar NAS ip intern uit stap 3

Op het toepassingsportaal moet filestation alleen beschikbaar zijn via het 192.168.x.x:5001 en dus niet "Aangepast domein inschakelen". (Dat doe je immers via de Reverse proxy.

File station is zo bereikbaar extern via bestanden.domein.nl mét HTTPS encryptie.

Toch maar een weblog?

dinsdag 14 mei 2019 21:23

Acties:

0 Henk 'm!

Patweb78

Topicstarter

tomic schreef op dinsdag 14 mei 2019 @ 20:01:
hm... Het lijkt erop dat er iets niet goed gaat in de Experiabox. Ik heb zelf na behoorlijk wat uren mijn Nas beschikbaar via mijn domein op een aantal subdomeinen.

Wat je eigenlijk wil is dit:
bestanden.domein.nl A record naar je IP adres (mitst dat niet (veel) veranderd
Certificaat van Let's Encrypt voor bestanden.domein.nl
Poort 443 forwarden naar je NAS ip Intern (192.168.x.x) ook op poort 443
Reversed Proxy entry aanmaken voor bestanden.domein.nl die verwijst naar NAS ip intern uit stap 3
Op het toepassingsportaal moet filestation alleen beschikbaar zijn via het 192.168.x.x:5001 en dus niet "Aangepast domein inschakelen". (Dat doe je immers via de Reverse proxy.

File station is zo bereikbaar extern via bestanden.domein.nl mét HTTPS encryptie.

Ja inderdaad.
Ik ben een leek, maar a record is gegeven.
Certificaat zojuist in de NAS aangemaakt
Portforwarding 443 is ook gedaan
Reversed proxy entry ???? hoe en waar doe ik dat?

[ Voor 10% gewijzigd door Patweb78 op 14-05-2019 22:50 ]

dinsdag 14 mei 2019 22:19

Acties:

0 Henk 'm!

Patweb78

Topicstarter

FlipFluitketel schreef op dinsdag 14 mei 2019 @ 19:56:
@Patweb78 Nee, je hoeft niet nog een router erachter te zetten, dan ga je het jezelf helemaal moeilijk maken met dubbele portforwards. Kasper1985 bedoelt je Experiabox vervangen door een eigen router maar dan moet je met vlan's enz gaan werken en ik vermoed dat dat een stap te ver zal gaan voor jou.

https://forum.kpn.com/int...deren-uit-zichzelf-463873
Lijkt wel verdacht veel op jouw probleem

Zeker, bedankt voor de tip !!
Ik heb hem gereset, hoop dat het verholpen is !

Pagina: 1

Reageer

Onderwerpen

Vraag

Alle reacties