Synology Chat buiten netwerk beschikbaar maken

Ik ben vandaag bezig geweest om de Synology Chat app toegankelijk te krijgen vanaf het internet zodat ik geen vpn hoef te gebruiken, echter krijg ik het niet voor elkaar om verbinding te maken van buitenaf.

KPN router (H369A) ==> Synology router (1900AC) ==> Synology NAS (DS216Play)

Wat ik al heb gedaan:
- Speciale poort aan de chat app toegekend in de NAS: 20001 (HTTPS)
- KPN router poort forwarding aangezet naar de Synology router: poort 20001
- Synology router: poort 20001 doorgestuurd naar NAS, poort in firewall op accept gezet
- Synology NAS firewall poort 20001 laten accepteren

Dit werkt echter niet, ik heb al wat gelezen op het internet en zag voorbij komen dat de DSM poort 5000/5001 ook open moet, maar andere bronnen verwijzen naar poort 8443. Dus ben een beetje het spoort bijster.
Bovendien heb ik mijn Synology DSM poort op 5501 staan om 'security through obscurity' redenen , ik weet dus niet of dat uitmaakt. Heb al snel getest door 5000, 5001 en 5501 ook door te sturen, maar leek niet uit te maken.

Een poort scan laat ze allemaal zien als 'stealth' (grc.com).

In de chat app op de telefoon kan ik trouwens verbinden middels lokaal_ip:5501 en lokaal_ip:20001.

Mijn vraag
Heeft er iemand de Synology Chat applicatie draaien op een manier dat deze van buitenaf bereikbaar is? Zo ja, welke poorten moeten ervoor worden doorgestuurd?
Of zie ik iets heel simpels over het hoofd?

Indien dat inderdaad (inclusief) 5501 zou zijn, zijn er 'hacks' zodat die niet open hoeft? Ik wil alleen de Chat app beschikbaar hebben.

@Kasper1985 Klopt, het is inderdaad dubbel NAT, dat maakt het lastiger.
Het gaat om een glasverbinding, ik zou inderdaad ook DMZ kunnen gebruiken, maar liever niet. In theorie zou het toch gewoon moeten werken zoals ik beschreef?
De NAS staat op een andere locatie, en dat maakt het wijzigen van de router instellingen een beetje risicovol, ik doe alles via VPN.
VPN werkt nu perfect, en als ik iets verkeerd instel, dan kom ik er niet meer zo in.

@lier Ja, dat is al ingericht, site-to-site en van extern vanaf mobiel bijvoorbeeld. Maar is niet echt praktisch als je onderweg bent: dan is de accu heel snel leeg.

jeroen3 schreef op woensdag 22 april 2020 @ 16:33:
Je moet ook 5000 en 5001 beschikbaar maken, want hierover werkt de login procedure.

Dankje, blijven die 5000 en 5001 als ik de standaard DSM poorten naar 5500 en 5501 heb gewijzigd? Daar heb ik niets over kunnen vinden.

Ik hoopte dat er een heleboel zaken met 5000 en 5001 zouden worden gedaan en dat ik alleen het DSM stuk er 'vanaf' had getrokken, maar blijkbaar dus niet .
Ik ga het nog eens proberen door 5500 èn 5501 door te sturen!

Update
Het is gelukt, ik heb die twee poorten ook doorgestuurd en nu werkt het al voor een paar dagen!

[ Voor 19% gewijzigd door TF0 op 27-04-2020 08:44 . Reden: Werkende oplossing ]