Toon posts:

Synology Diskstation FTP server toegang

Pagina: 1
Acties:

Vraag

woensdag 7 april 2021 11:52

Acties:
  • 0 Henk 'm!
  • Shadow_Zero
  • Registratie: Juli 2002
  • Laatst online: 07-05 08:51

Shadow_Zero

Topicstarter
Een tijd geleden dat ik er gebruik van heb gemaakt, maar ik probeer weer van de FTP en Photostation functionaliteit van mijn Synology NAS gebruik te maken, alleen ik krijg geen toegang via het Internet (vanuit het interne LAN werkt het wel). Dit heeft in het verleden wel gewerkt, ik ben zoekende waarom het nu niet meer werkt. Daarbij moet ik zeggen dat toen het nog werkte waarschijnlijk ipv. de Sitecom router daar een TP-Link TL-WR1043ND stond.


De setup:
KPN Experia Box ->
Sitecom Gigabit VPN router N300 (WLR-4002B) ->
Mikrotik RB4011iGS+ ->
Synology Diskstation 211+


DNS, via Synology ingericht, is te pingen (.synology.me)


KPN Experia Box:
NAT enabled
Standaard Gateway 192.168.2.254
Uit de (security) logs haal ik niets dat wijst op mijn connectiepogingen. Ik weet niet of er ergens ook uitgebreidere logging is te vinden...?
Sitecom router geconfigureerd op 192.168.2.1 (die verzorgt LAN DHCP)
Port forwarding van oa. 21, 80, 443 naar 192.168.2.1


Sitecom Gigabit VPN router N300:
DHCP voor LAN
NAT enabled
Firewall disabled (lijkt me niet nodig als de Experia Box al een firewall heeft?)
Standaard Gateway 192.168.3.1
Nog beperktere logging als de Experia Box, dus hier haal ik ook niets uit.
Gezien de firewall is disabled, weet ik niet of port forwarding hier ook nodig is, maar volledigheidshalve heb ik het toegevoegd: 21, 80, 443 naar 192.168.3.100 (Synology NAS)


Mikrotik RB4011iGS+:
Staat als bridge ingesteld (DHCP uit), dus zou volgens mij sowieso niks moeten blokken?


Synology Diskstation 211+:
Static IP 192.168.3.100
Zoals gezegd, FTP en Photostation werken via het LAN ip adres, dus de functionaliteit an sich doet het. Dus het lijkt mijns inziens puur iets netwerktechnisch/nat/firewall.


Welke stappen kan ik vanaf hier verder nemen/proberen?


EDIT:
Wat resources verzameld:
Dubbel NAT; een router achter een router: Waarom niet?
Double NAT, port forwarding en/of DMZ lijkt niet te werken?
Gebruik een eigen router achter de Experia Box
KPN Experiabox V8 in Bridgemodus zetten
Vrije modemkeuze bij KPN
Links en tips voor het instellen en gebruiken van een eigen modem

[ Voor 18% gewijzigd door Shadow_Zero op 08-04-2021 17:24 ]

Alle reacties

woensdag 7 april 2021 12:24

Acties:
  • +1 Henk 'm!
  • Tortelli
  • Registratie: Juli 2004
  • Laatst online: 15-05 10:56

Tortelli

mixing gas and haulin ass

Je hebt sowieso een listing poort nodig, default staat die ergens rond de poort 50.000

Volgens mij maak je het jezelf niet makkelijk door een router achter de router van KPN (Expediabox) te plaatsen. Je kunt de Expediabox niet bridgen zover mijn kennis gaat?

22x330Wp Oost-Zuid-West, 24x360Wp Oost-West, Total 15.900Wp

woensdag 7 april 2021 12:38

Acties:
  • +1 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 12:24

lier

MikroTik nerd

In het kader van de context...waarom draai je dubbele NAT? En waarom zit de Sitecom er nog tussen terwijl je een "geweldenaar" van een router hebt in de vorm van de RB4011!?

Zoals @Tortelli ook al opmerkte: je hebt naast poort 21 nog een (passieve) portrange nodig om FTP te laten werken: https://www.synology.com/...s_on_Synology_NAS_via_FTP
Het standaardpoortnummer voor FTP -service is 21. Het poortbereik voor passieve (PASV) FTP kan tussen 1025 en 65535 liggen en maximaal 128 poorten bevatten. Het standaardbereik verschilt echter per model.
Bedenk wel dat je toegang open zet voor de hele wereld (afgezien van een gebruikersnaam/wachtwoord dat je gebruikt). Wil je dat wel? Waarom gebruikt je niet de VPN server?

Eerst het probleem, dan de oplossing

woensdag 7 april 2021 12:54

Acties:
  • 0 Henk 'm!
  • Shadow_Zero
  • Registratie: Juli 2002
  • Laatst online: 07-05 08:51

Shadow_Zero

Topicstarter
Voor een stukje algemene toelichting, de Experiabox en Sitecom staan in de meterkast en waren al een bestaande situatie zeg maar. De MikroTik, die op de tweede verdieping staat in kantoor/hobby kamer, heb ik gekocht omdat ik graag 1 device wilde met wifi en 10 LAN poorten. De Experiabox verzorgt interactieve tv en voip, de Sitecom het LAN. Extra voordeel (vind ik) is dat bij LAN problemen ik met de Sitecom kan stoeien zonder interactieve tv in de weg te zitten.

Ik moet in mijn geheugen graven, want ik heug me dat ik dubbele NAT ook niet logisch vond, maar als ik NAT op de Sitecom uitzet, dan had ik geen internet in mijn LAN. Met NAT aan werkte het wel.

De VPN server van de Diskstation ben ik niet bekend mee, zal ik me inlezen!

Ik heug me trouwens niet uit het verleden toen het nog werkte dat ik een passive range had ingesteld!

woensdag 7 april 2021 12:58

Acties:
  • 0 Henk 'm!
  • RodeStabilo
  • Registratie: December 2013
  • Niet online

RodeStabilo

Shadow_Zero schreef op woensdag 7 april 2021 @ 11:52:
Welke stappen kan ik vanaf hier verder nemen/proberen?
Je netwerk minder complex maken. Een EB, vpn router en nog een microtik. Je zal er een goede reden voor hebben maar het is logisch dat je dan dit soort problemen kan krijgen.

woensdag 7 april 2021 13:01

Acties:
  • +1 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Je wilt inderdaad de NAT-achter-NAT oplossen. Dat maakt het nodeloos complex.

Los daarvan: FTP gebruiken via internet? Erg slecht idee, dat is niet veilig te doen. Gebruik tenminste fatsoenlijke versleuteling. Er moet een groot hangslot op o.a. poort 21.

Edit: ook Photostation wil je alleen versleutelde toegang geven. Via Lets Encrypt kan je gratis een certificaat regelen.

[ Voor 19% gewijzigd door F_J_K op 07-04-2021 13:03 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 7 april 2021 13:17

Acties:
  • +1 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Shadow_Zero schreef op woensdag 7 april 2021 @ 12:54:
...
De VPN server van de Diskstation ben ik niet bekend mee, zal ik me inlezen!...
Je hebt ook nog de Sitecom Gigabit VPN router N300 staan. Ook daarmee kun je een veilige toegang creëren, althans een stuk veiliger dan een open FTP poort

QnJhaGlld2FoaWV3YQ==

woensdag 7 april 2021 14:07

Acties:
  • 0 Henk 'm!
  • Shadow_Zero
  • Registratie: Juli 2002
  • Laatst online: 07-05 08:51

Shadow_Zero

Topicstarter
Brahiewahiewa schreef op woensdag 7 april 2021 @ 13:17:
[...]

Je hebt ook nog de Sitecom Gigabit VPN router N300 staan. Ook daarmee kun je een veilige toegang creëren, althans een stuk veiliger dan een open FTP poort
Ook nog een interessante ja. Ik had hem in de aanbieding gekocht (4 tientjes!) vanwege de 7 ethernetpoorten, de vpn heb ik zelf nooit naar gekeken ;)
Adviseren jullie dan PPTP of L2TP? (ben wat aan het inlezen, beide hebben voors en tegens zo te zien)

@F_J_K zal ook naar Synology SSL kijken. Kan blijkbaar gratiz! :o


EDIT:
SSL inmiddels geregeld!

[ Voor 8% gewijzigd door Shadow_Zero op 08-04-2021 16:49 ]

woensdag 7 april 2021 14:23

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 12:24

lier

MikroTik nerd

Shadow_Zero schreef op woensdag 7 april 2021 @ 14:07:
Adviseren jullie dan PPTP of L2TP?
PPTP is al heel lang lek (en/of erg gevoelig voor hacks), is geen serieuze kandidaat.
Doet de Experiabox geen VPN? Die wordt nog in ieder geval beheerd door de provider, ik zou zelf nooit een legacy apparaat verantwoordelijk maken voor VPN toegang.

Eerst het probleem, dan de oplossing

woensdag 7 april 2021 14:28

Acties:
  • 0 Henk 'm!
  • Shadow_Zero
  • Registratie: Juli 2002
  • Laatst online: 07-05 08:51

Shadow_Zero

Topicstarter
Hmmmz, als ik SSL regel, dan ben ik volgens mij in principe gedekt voor de FTP server en Photostation. Heeft VPN dan nog toegevoegde waarde?

Volgens mij Experiabox geen VPN nee.

[ Voor 12% gewijzigd door Shadow_Zero op 07-04-2021 14:29 ]

woensdag 7 april 2021 14:38

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 12:24

lier

MikroTik nerd

Shadow_Zero schreef op woensdag 7 april 2021 @ 14:28:
Hmmmz, als ik SSL regel, dan ben ik volgens mij in principe gedekt voor de FTP server en Photostation. Heeft VPN dan nog toegevoegde waarde?
Hoeze, geeft het een veilig gevoel dat de data encrypt over het lijntje gaat (maar je nog steeds het gevaar loopt dat al je bestanden op straat te gooien)?

Ik begrijp dat je vanuit een gebruikersgemak perspectief kijkt...maar vergeet niet het stukje veiligheid!

Eerst het probleem, dan de oplossing

woensdag 7 april 2021 15:23

Acties:
  • 0 Henk 'm!
  • Shadow_Zero
  • Registratie: Juli 2002
  • Laatst online: 07-05 08:51

Shadow_Zero

Topicstarter
Kun je die toelichten? Bedoel je dat je als je zonder VPN het Internet opgaat je sowieso risico loopt (en iedereen via VPN het Internet op zou moeten)? Of zeg je dat VPN ook nog een specifieke toegevoegde waarde heeft als je een FTP server/web server, etc. hebt draaien?
(in eerste instantie dacht ik dat VPN z'n ding doet bij uitgaande verkeer, niet binnenkomende verkeer)


@F_J_K, @lier: zou Internet nou ook moeten werken met NAT disabled op de Sitecom??

[ Voor 10% gewijzigd door Shadow_Zero op 07-04-2021 16:38 ]

woensdag 7 april 2021 17:05

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 12:24

lier

MikroTik nerd

Het gaat erom of je services wil hosten aan het Internet. Advies, voor zover nog niet duidelijk, is om als je iets van je netwerk beschikbaar wil stellen, dat via een VPN server te doen. Dus...dat je via de VPN op jouw thuisnetwerk komt, waarna je, over de VPN, de services (FTP/Photostation) kan benaderen. Daarvoor hoef je, afgezien van de poorten voor VPN, geen andere forwards in te richten. Dat staat los van hoe je vanuit jouw netwerk het Internet op gaat.

Dubbele NAT is altijd af te raden. Disablen op de Sitecom en alleen je Experiabox als router gebruiken. Vergeet dan niet dat je private IP range op jouw netwerk verandert (dus als je met vaste IP adressen werkt, dat je deze ook moet wijzigen).

Eerst het probleem, dan de oplossing

donderdag 8 april 2021 17:03

Acties:
  • 0 Henk 'm!
  • Shadow_Zero
  • Registratie: Juli 2002
  • Laatst online: 07-05 08:51

Shadow_Zero

Topicstarter
lier schreef op woensdag 7 april 2021 @ 17:05:
Het gaat erom of je services wil hosten aan het Internet. Advies, voor zover nog niet duidelijk, is om als je iets van je netwerk beschikbaar wil stellen, dat via een VPN server te doen. Dus...dat je via de VPN op jouw thuisnetwerk komt, waarna je, over de VPN, de services (FTP/Photostation) kan benaderen. Daarvoor hoef je, afgezien van de poorten voor VPN, geen andere forwards in te richten. Dat staat los van hoe je vanuit jouw netwerk het Internet op gaat.

Dubbele NAT is altijd af te raden. Disablen op de Sitecom en alleen je Experiabox als router gebruiken. Vergeet dan niet dat je private IP range op jouw netwerk verandert (dus als je met vaste IP adressen werkt, dat je deze ook moet wijzigen).
Ik zal me nog moeten inlezen wat betreft VPN voor inkomend verkeer, gezien ik daar nog geen goed beeld bij heb. Ik kan me een voorstelling maken als je naar buiten gaat dat je via VPN gaat (die ik ook voor m'n werk). Maar van buiten naar binnen, terwijl je met FileZilla op je FTP server probeert te komen...? Of met je internet browser op je website? En dat je toegang aan vrienden en familie wilt verlenen...? (misschien simpeler dan ik denk, maar geen ervaring mee dus)

Even de opties op een rijtje:

- huidige situatie zo laten en accepteren dat inkomend verkeer (eg. ftp server, webserver) niet door de dubbele NAT komt (hoewel het volgens mij wel ooit heeft gewerkt met een TP-Link er tussen)
- tweede router als AP en alles weer terug naar de Experiabox
- tweede router in DMZ van Experiabox
- Experiabox als bridge instellen (dit kan schijnbaar bij de V8, die ik toevallig heb: KPN Experiabox V8 in Bridgemodus zetten)
- Experiabox vervangen door device met (eigen in te stellen) vlans

Ik heug me dat ik de scheiding ooit eens had gemaakt omdat ik op een gegeven moment geregeld LAN problemen had en dat herstarten dan vervelend wordt als je tv kijkt. Toen die Experiabox niet meer mijn gehele LAN hoefde te regelen had ik wel minder problemen.


Dubbelcheck vraag, met een dubbele NAT ga je sowieso niet op een FTP server komen, of is het wel mogelijk? Afhankelijk van welke devices, instellingen etc wellicht.. Ik probeer weer naar boven te halen of ik het nu verkeerd herinner dat het wel heeft gewerkt met de TP-Link, maar als men zegt dat het niet kan werken, zal dat wel niet.

vrijdag 9 april 2021 00:48

Acties:
  • 0 Henk 'm!
  • Faifz
  • Registratie: November 2010
  • Laatst online: 06-05 18:42

Faifz

NAT achter NAT is het probleem niet en de latency merk je helemaal niets van. NAT past gewoon de IP headers aan en dit is belangen niet zo resource-intense op een router. FTP gebruikt 20/21 op de server kant en op de client side loopt het is het een range van 1024 -> naar weet ik veel. Je hebt active en passive FTP en ken eerlijk gezegd het verschil niet meer.

Er is helemaal geen reden om bezig te zijn met FTP of zelfs FTP/S. Gebruik SSH in de plaats en dit doe je door het alleen aan te zetten op uw NAS. Dus control panel > terminal & SNMP > enable SSH service.

SFTP werkt over SSH en je hoeft helemaal niks speciaal ervoor te doen en het is nog veilig ook nog. Met filezilla verbind je wel met de volgende syntax sftp://<ip-address>. Verder hoef je alleen maar poort 22 te port forwarden en dit moet je 2x doen.

Op KPN: 22/tcp port forwarding naar het WAN adres van de Sitecom router (zal iets uit de range 192.168.2.0/24 zijn).
Op de Sitecom: 22/tcp port forwarding naar je NAS 192.168.3.100

[ Voor 10% gewijzigd door Faifz op 09-04-2021 00:53 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq