Reverse SSH automatiseren in Synology

maandag 28 oktober 2019 13:40

Acties:

0 Henk 'm!

Topicstarter

Goedendag,
De situatie zit als volgt.

Thuis locatie: Synology NAS met daarop een SSH geactiveerd.
Deze kan ik via SSH vanop afstand benaderen via mijnaam.synology.me

Remote locatie: Synology NAS en andere netwerk apparatuur.
Deze locatie is voorzien van internet via 4G, dus geen private IP, geen port forwarding mogelijk etc.

Mijn oorspronkelijk probleem was het kunnen benaderen van de remote NAS & overige netwerk apparatuur via mijn thuis locatie. Ik ben zo ver gekomen dat ik een werkende oplossing heb: Reverse SSH Tunneling van de remote locatie naar de thuis locatie (Synology naar Synology).

Ik doe dit als volgt;
- op de remote locatie via SSH aanmelden op de Synology (de remote synology dus!)
- ssh -R 8080:IP:80 mijnnaam@mijnnaam.synology.me uitvoeren
- Via de thuislocatie kan ik dan"IP" benaderen door te surfen naar http://Thuis-Synology:8080/

Dit werkt dus maar ik heb nog een oplossing nodig om te zorgen dat deze connectie altijd opgezet wordt (bij reboot of na verbreking van deze connectie om welke reden dan ook).
Ik zou er ook mee kunnen leven als de connectie bijvoorbeeld elk uur opnieuw wordt opgezet, dan zou ik maximaal 1 uur geen verbinding hebben als er iets mis gaat.

Ik weet al dat nohup ssh -R 8080:IP:80 mijnnaam@mijnnaam.synology.me kan helpen, aangezien de 'terminal' dan niet moet blijven open staan.

Hoe kan ik dit best automatiseren? Mijn kennis stopt hier volledig....
Ik weet dat je in synology "tasks" hebt waar je script in kan runnen... Maar daar stopt het dan ook.

Alvast bedankt!

maandag 28 oktober 2019 13:52

Acties:

0 Henk 'm!

lier

MikroTik nerd

Heb je misschien de mogelijkheid om een site-to-site vpn op te zetten? Persoonlijk zou ik liever niet mijn ssh poort openzetten voor de buitenwereld (ook niet als dat via een andere poort gaat). Volgens Internet moet dit lukken met twee Synology nassen.

Eerst het probleem, dan de oplossing

maandag 28 oktober 2019 13:55

Acties:

0 Henk 'm!

Breezz

Topicstarter

Ik ben er een hele tijd mee bezig geweest.
Ben vrij zeker dat dat niet gaat tussen 2 Synology NAS'en.
Met 2 Synology routers zou het wel moeten lukken maar dat is helaas geen optie

maandag 28 oktober 2019 14:46

Acties:

0 Henk 'm!

lier

MikroTik nerd

Het hoeft ook niet van mij, gaat me er vooral om dat je bewust bent van je huidige configuratie (en wat de eventuele gevaren zijn).

Overigens heeft Synology hiervoor een hele mooie en duidelijke tutorial:
https://www.synology.com/...nection_network_vpnclient
https://www.synology.com/.../help/VPNCenter/vpn_setup

Overigens gaat dit uit van de gedachte om dit via je nassen op te lossen, wellicht ondersteunen de routers dit ook?

Eerst het probleem, dan de oplossing

maandag 28 oktober 2019 14:53

Acties:

0 Henk 'm!

Breezz

Topicstarter

Bedankt voor de info.
Ik ben echter héél zeker dat je via deze oplossing NIET de overige netwerk apparatuur in je (remote) netwerk kan benaderen.

De 2 Synology NAS'en kunnen misschien wel met elkaar praten via de VPN verbinding, maar ze zullen geen lokale IP's/poorten forwarden. En dat is juist hetgeen ik wil bereiken.

maandag 28 oktober 2019 15:04

Acties:

0 Henk 'm!

lier

MikroTik nerd

Uiteraard niet, maar dat lijkt mij ook evident dat alleen de nassen met elkaar kunnen communiceren.
Wat dit wel oplost is dat je geen SSH poort open hoeft te stellen.

Rest de vraag welke netwerkapparatuur gebruikt wordt.

Eerst het probleem, dan de oplossing

maandag 28 oktober 2019 15:10

Acties:

0 Henk 'm!

Breezz

Topicstarter

Wel er zijn 2 webservers die ik moet kunnen benaderen.
Die van de synology zelf, voor het bekijken van camera beelden.
En die van een Loxone webserver pagina

maandag 28 oktober 2019 15:40

Acties:

0 Henk 'm!

Step

step@tweakers.net#

Je kunt via de CLI van alles doen zoals SSH configureren in een config file zoals hier. Denk ook wel dat de parameters zijn voor Reverse SSH. Daarnaast kun je dit middels een crontab aanroepen oid.

Dat zou moeten lukken.

~Step @ Mac Mini i5 2018 en 13" MacBook Pro i7 2020 - eGPU build

maandag 28 oktober 2019 16:44

Acties:

0 Henk 'm!

valkenier

via Crontab opzetten kan wel, denk ik, maar moet je dan ook niet eerst een evt oude connectie killen? Anders worden er meerdere ssh sessie gepoogd te starten.
Misschien dus een scriptje bouwen wat checkt of de ssh connectie up is, en zoniet dit weer opstarten? En dat elk uur laten runnen. Zoiets zal wel kunnen.

maandag 28 oktober 2019 17:56

Acties:

0 Henk 'm!

Breezz

Topicstarter

Blijkbaar toch allemaal zo simpel niet, dat automatiseren...
Heb er te weinig kaas van gegeten om bovenstaande instructies te kunnen uitvoeren helaas

maandag 28 oktober 2019 18:52

Acties:

+1 Henk 'm!

powerboat

Ik zou dit met openvpn doen, deze probeert nl.altijd een reverse connectie op te zetten naar de server.

maandag 28 oktober 2019 20:03

Acties:

0 Henk 'm!

laurens0619

Als je de package autossh weet te installeren is het niet zo lastig

Alternatief is script zoals hier beschreven
https://unix.stackexchang...tunnel-what-is-correct-wa

Je kunt trouwens ook je 4g toegangspunt wijzigen zodat je een dedicated ip krijgt, meestal kun je dan ook port forwarden. Weet niet of het werkt en welke provider je hebt maar probeer eens als toegangspunt “advancedinternet” bij kpn netwerk en “fms” bij tmobile

[ Voor 4% gewijzigd door laurens0619 op 28-10-2019 20:05 ]

CISSP! Drop your encryption keys!

woensdag 30 oktober 2019 08:12

Acties:

+2 Henk 'm!

nielsl

Gebruik hiervoor openvpn, dan wordt die tunnel door je synology actief gehouden door middel van autoreconnect als hij wegvalt.

NAS thuis instellen als server
NAS remote instellen als client en laten verbinden naar mijnaam.synology.me

Omdat de remote NAS de verbinding initieert kan het verkeer ook teruglopen. Ik heb dit zelf al vaker gedaan met routers die aan 4G hangen en met openwrt zijn geflashed.

Standaard krijgt de NAS remote een adres in de 10.8.0.x range, waarschijnlijk 10.8.0.6, als je thuis zit en vervolgens op je modem een route naar 10.8.0.0/24 toevoegt die wijst naar je synology thuis, dan kun je vanaf de bank de remote synology gewoon benaderen via http://10.8.0.6:5000. Veilig over openvpn, dus op je synology thuis hoef je enkel poort 1194 open te zetten.

Als je vervolgens ook nog een DNS service hebt draaien intern kun je het openvpn IP adres van de remote synology ook nog eens koppelen aan een A record en kun je via een gewone URL bij de synology interface op de remote NAS komen

Heb eenzelfde setup vanuit mijn ouders richting mezelf. Allereerst loopt over die VPN elke nacht een backup heen en weer voor foto's en dingen die we belangrijk vinden. Daarnaast kan ik op die manier zonder te hoeven teamvieweren bij de remote NAS van m'n ouders komen omdat m'n vader weer eens iets heeft geprobeerd waarvan hij dacht dat het goed zou zijn en z'n halve netwerk overhoop heeft getrokken. Scheelt ook veel tijd in de auto kan ik je zeggen.

Situatie met mijn ouders is weleenswaar niet over 4G, maar de logica is hetzelfde. Enkel op mijn router heb ik poort 1194 geforward naar m'n NAS, de synology bij m'n ouders initieert de connectie en prikt door routers en firewalls heen. Zolang uitgaand verkeer op poort 1194 UDP niet wordt geblokkeerd in de keten moet dit gewoon werken. Mocht je gedoe krijgen, kun je ook nog het protocol switchen van UDP naar TCP en de poort wijzigen naar 443, of 8443 als je al een webserver hebt draaien. Kleine kans dat TCP op poorten 443 of 8443 geblokkeerd worden.

*edit* als je hulp nodig hebt, DM me gerust. Altijd leuk om iemand te helpen. Heb zelf menig uur besteed met routers, openvpn en dit soort gefröbel. Leerzaam maar soms ook frustrerend

[ Voor 4% gewijzigd door nielsl op 30-10-2019 08:17 ]

woensdag 30 oktober 2019 13:54

Acties:

0 Henk 'm!

Breezz

Topicstarter

nielsl schreef op woensdag 30 oktober 2019 @ 08:12:
Gebruik hiervoor openvpn, dan wordt die tunnel door je synology actief gehouden door middel van autoreconnect als hij wegvalt.

NAS thuis instellen als server
NAS remote instellen als client en laten verbinden naar mijnaam.synology.me

Omdat de remote NAS de verbinding initieert kan het verkeer ook teruglopen. Ik heb dit zelf al vaker gedaan met routers die aan 4G hangen en met openwrt zijn geflashed.

Standaard krijgt de NAS remote een adres in de 10.8.0.x range, waarschijnlijk 10.8.0.6, als je thuis zit en vervolgens op je modem een route naar 10.8.0.0/24 toevoegt die wijst naar je synology thuis, dan kun je vanaf de bank de remote synology gewoon benaderen via http://10.8.0.6:5000. Veilig over openvpn, dus op je synology thuis hoef je enkel poort 1194 open te zetten.

Als je vervolgens ook nog een DNS service hebt draaien intern kun je het openvpn IP adres van de remote synology ook nog eens koppelen aan een A record en kun je via een gewone URL bij de synology interface op de remote NAS komen

Heb eenzelfde setup vanuit mijn ouders richting mezelf. Allereerst loopt over die VPN elke nacht een backup heen en weer voor foto's en dingen die we belangrijk vinden. Daarnaast kan ik op die manier zonder te hoeven teamvieweren bij de remote NAS van m'n ouders komen omdat m'n vader weer eens iets heeft geprobeerd waarvan hij dacht dat het goed zou zijn en z'n halve netwerk overhoop heeft getrokken. Scheelt ook veel tijd in de auto kan ik je zeggen.

Situatie met mijn ouders is weleenswaar niet over 4G, maar de logica is hetzelfde. Enkel op mijn router heb ik poort 1194 geforward naar m'n NAS, de synology bij m'n ouders initieert de connectie en prikt door routers en firewalls heen. Zolang uitgaand verkeer op poort 1194 UDP niet wordt geblokkeerd in de keten moet dit gewoon werken. Mocht je gedoe krijgen, kun je ook nog het protocol switchen van UDP naar TCP en de poort wijzigen naar 443, of 8443 als je al een webserver hebt draaien. Kleine kans dat TCP op poorten 443 of 8443 geblokkeerd worden.

*edit* als je hulp nodig hebt, DM me gerust. Altijd leuk om iemand te helpen. Heb zelf menig uur besteed met routers, openvpn en dit soort gefröbel. Leerzaam maar soms ook frustrerend

Maar zo kan ik nog steeds niet naar mijn andere netwerk-apparaten browsen

En dat is een beetje het punt....

Ben beginnen experimenteren met AutoSSH. Dit werkt voorlopig, nu alleen zo instellen dat het volautomatisch wordt (na boot, zonder menselijke tussenkomst).

autossh -M 0 -o "ServerAliveInterval 30" -o "ServerAliveCountMax 3" -o ExitOnForwardFailure=yes -R 8081:192.168.1.151:80 user@user.synology.me

woensdag 30 oktober 2019 16:53

Acties:

0 Henk 'm!

nielsl

Breezz schreef op woensdag 30 oktober 2019 @ 13:54:
[...]

Maar zo kan ik nog steeds niet naar mijn andere netwerk-apparaten browsen En dat is een beetje het punt....

Ben beginnen experimenteren met AutoSSH. Dit werkt voorlopig, nu alleen zo instellen dat het volautomatisch wordt (na boot, zonder menselijke tussenkomst).

autossh -M 0 -o "ServerAliveInterval 30" -o "ServerAliveCountMax 3" -o ExitOnForwardFailure=yes -R 8081:192.168.1.151:80 user@user.synology.me

Dat kan wel

mits je de route van het remote netwerk
Ook toevoegt aan de routetabel van je router thuis én van je synology. Je router moet het verkeer namelijk afleveren bij je synology, en je synology bij je remote nas. En vervolgens moet dit alles ook terug gerouteerd kunnen worden. Routes zijn hierbij je uitdaging, maskeren kan ook, maar dan nog zul je je route tabel een beetje moeten aanpassen.

woensdag 30 oktober 2019 17:26

Acties:

0 Henk 'm!

Vloris

Breezz schreef op woensdag 30 oktober 2019 @ 13:54:
[...]

Maar zo kan ik nog steeds niet naar mijn andere netwerk-apparaten browsen En dat is een beetje het punt.

Volgens mij kan dat met een vpn-oplossing juist wel.
En als dat je punt is dan moet je je OP nog eens kritisch bekijken, daar gaat het nu namelijk puur en alleen om een ssh-tunnel automatiseren. Daarmee kun je niet zonder handwerk per apparaat zomaar alle netwerk-apparaten browsen

woensdag 30 oktober 2019 17:41

Acties:

0 Henk 'm!

Verwijderd

Dit is een vervolg op een eerdere vraag van TS waarin de (on)mogelijkheden van VPN op z’n NAS al besproken zijn.

Handig om die even te linken of te mergen zelfs.

Ik kwam met de suggestie voor SSH-tunneling. Via DM samen nodige uitgevogeld. Laatste stapjes alleen nog - kon alleen generieke pagina’s sturen voor bash script / cron, zit met poot omhoog dus scriptje aanpassen testen zit er even niet in.

Die autossh in een synology task of crontab krijgen en volgens mij is TS dan klaar trouwens

woensdag 30 oktober 2019 21:15

Acties:

+1 Henk 'm!

nielsl

Verwijderd schreef op woensdag 30 oktober 2019 @ 17:41:
Dit is een vervolg op een eerdere vraag van TS waarin de (on)mogelijkheden van VPN op z’n NAS al besproken zijn.

Handig om die even te linken of te mergen zelfs.

Ik kwam met de suggestie voor SSH-tunneling. Via DM samen nodige uitgevogeld. Laatste stapjes alleen nog - kon alleen generieke pagina’s sturen voor bash script / cron, zit met poot omhoog dus scriptje aanpassen testen zit er even niet in.

Die autossh in een synology task of crontab krijgen en volgens mij is TS dan klaar trouwens

Graag! Ben heel benieuwd om te leren waarom een VPN oplossing geen optie is/was

woensdag 30 oktober 2019 21:27

Acties:

0 Henk 'm!

powerboat

nielsl schreef op woensdag 30 oktober 2019 @ 21:15:
[...]

Graag! Ben heel benieuwd om te leren waarom een VPN oplossing geen optie is/was

Idem openvpn zit standaard in de synology en is met 3 klikken te regelen.

Effin als het zo opgelost is dan prima dan!

woensdag 30 oktober 2019 21:51

Acties:

0 Henk 'm!

Verwijderd

powerboat schreef op woensdag 30 oktober 2019 @ 21:27:
[...]

Idem openvpn zit standaard in de synology en is met 3 klikken te regelen.

Effin als het zo opgelost is dan prima dan!

Nou nee, dus. Een VPN tussen twee Synology nassen waarmee beide *netwerken* transparant met elkaar verbonden zijn is zo makkelijk nog niet.

woensdag 30 oktober 2019 22:01

Acties:

0 Henk 'm!

nielsl

Verwijderd schreef op woensdag 30 oktober 2019 @ 21:51:
[...]

Nou nee, dus. Een VPN tussen twee Synology nassen waarmee beide *netwerken* transparant met elkaar verbonden zijn is zo makkelijk nog niet.

Klopt, maar wel mogelijk. Een kwestie van de routing functie op beide synologies activeren zodat er tussen de vpn en LAN interfaces op de synology gerouteerd kan worden, en op beide kanten de routes instellen in respectievelijke routetabellen van routers en NAS systemen. Al met al niet onmogelijk, maar wel een aantal zaken om uit te tekenen voordat je aan de slag gaat.

woensdag 30 oktober 2019 23:10

Acties:

0 Henk 'm!

laurens0619

afaik kan een Synology nas geen routing doen, die vlieger gaat dus niet op (Qnap kan het geloof ik wel)

Maar je triggert mij wel.
@Breezz als je een nas to nas vpn opzet, kun je dan vanuit de client nas de server nas benaderen? (En vice versa?)

In dat gevoel kan je proberen de reverse proxy te gebruiken. Dat forward dan traffic op een bepaalde poort naar een ander ip adres. Als je bij doeladres het adres van de von verbinding invult werkt dat misschien

https://www.synology.com/.../application_appportalias

CISSP! Drop your encryption keys!

donderdag 31 oktober 2019 07:02

Acties:

0 Henk 'm!

nielsl

laurens0619 schreef op woensdag 30 oktober 2019 @ 23:10:
afaik kan een Synology nas geen routing doen, die vlieger gaat dus niet op (Dlink kan het geloof ik wel)

Maar je triggert mij wel.
@Breezz als je een nas to nas vpn opzet, kun je dan vanuit de client nas de server nas benaderen? (En vice versa?)

In dat gevoel kan je proberen de reverse proxy te gebruiken. Dat forward dan traffic op een bepaalde poort naar een ander ip adres. Als je bij doeladres het adres van de von verbinding invult werkt dat misschien

https://www.synology.com/.../application_appportalias

Synology nassen draaien gewoon een Linux kernel, en door ip forwarding aan te zetten kun je over beide NASsen routeren. Hieronder een code snip van iemand die op github laat zien hoe hij/zij dit dmv NAT
aan de praat krijgt. Volledige uitleg kun je hier vinden
https://galaxysd.github.i...ptables-on-Synology-DSM-6

Maar gaat erom dat TS een werkbare veilige oplossing heeft. Als een ssh tunnel werkt, de forward in de router alleen is toegestaan vanaf specifieke ip adressen en er iets als fail2ban draait hoeft het niet onveilig te zijn. Mijn persoonlijke voorkeur zou uitgaan naar de vpn oplossing, maar soms valt over smaak niet te twisten 😊

code:

# Enable port forwarding, in case not enabled by default
echo 1 > /proc/sys/net/ipv4/ip_forward
# sysctl -w net.ipv4.ip_forward=1
# Load the required modules
/usr/syno/etc.defaults/rc.d/S01iptables.sh load_nat_mod forwarding_test
# sleep 60
/sbin/iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE

donderdag 31 oktober 2019 07:28

Acties:

0 Henk 'm!

laurens0619

@nielsl nice! Ik dacht hetzelfde maar kon er niets over vinden op internet. Ook al is het linux,, vaak missen er modules die je ook weer handmatig moet compileren. Ik had het iig nooit werkend op een synology nas gezien, jouw post is de eerste.

Echter, zo diep in een synology de config aanpassen heeft ook weer zijn nadelen. Het kan omvallen na een software update bijvoorbeeld. Lijkt mij redelijk aannemelijk als ik kijk hoe diep de wijzigingen zitten.

Als het werkt lijkt mij een vpn+reverse proxy nog een mooie optie om te proberen.
Of 2x een goedkope pi neerzetten en die laten routeren

[ Voor 55% gewijzigd door laurens0619 op 31-10-2019 07:33 ]

CISSP! Drop your encryption keys!

donderdag 31 oktober 2019 09:34

Acties:

+1 Henk 'm!

nielsl

laurens0619 schreef op donderdag 31 oktober 2019 @ 07:28:
@nielsl nice! Ik dacht hetzelfde maar kon er niets over vinden op internet. Ook al is het linux,, vaak missen er modules die je ook weer handmatig moet compileren. Ik had het iig nooit werkend op een synology nas gezien, jouw post is de eerste.

Echter, zo diep in een synology de config aanpassen heeft ook weer zijn nadelen. Het kan omvallen na een software update bijvoorbeeld. Lijkt mij redelijk aannemelijk als ik kijk hoe diep de wijzigingen zitten.

Als het werkt lijkt mij een vpn+reverse proxy nog een mooie optie om te proberen.
Of 2x een goedkope pi neerzetten en die laten routeren

Eens, op het moment dat je met een synology buiten de GUI gaat werken heb je kans dat het omvalt na een update, zelfde geldt wat dat betreft voor AutoSSH. Maar, niks dat een scriptje niet kan oplossen. De parameter voor IP Forwarding kun je gewoon laten instellen door middel van een script in de map /etc/rc.local zodat na elke boot de parameter wordt gezet. IP forwarding is gewoon een kernel optie, zit standaard in elke linux distributie AFAIK.

Er zijn meerdere wegen die naar Rome leiden. Als je al 2x een synology hebt staan kun je prima met die apparaten aan de slag. Zou je from scratch beginnen en geen NAS functionaliteit nodig hebben zou een set-up met 2 RPi's een prima oplossing zijn. Goedkoop, en als je weinig vereisten hebt rondom bandbreedte kun je prima op die manier aan de slag.

Vraag

Alle reacties