Synology netwerk verkeer en updates via FWrule

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • Falcon10
  • Registratie: Mei 2002
  • Laatst online: 21:30

Falcon10

Hit it i would !

Topicstarter
Ik ben aan het uitvogelen om een Synology diskstation achter een firewall in te stellen en toch de update functie werkend te krijgen.

Ik had op Synology site al gevonden dat normaal de FQDN adressen van hun download servers volgende zijn :
autoupdate7.synology.com
global.download.synology.com
update7.synology.com
Deze dus toegevoegd dat ie allowed zijn om door te gaan van de NAS naar de internetlijn.

Werkt bv perfect voor paar andere zaken die ook achter de FW staan en die FQDN adressen gebruiken voor bv windows updates van microsoft.

Raar genoeg, als we in onze Synology dus willen zoeken naar updates, dan krijgen we mooi de melding : Verbinding mislukt. Controleer u internetverbinding.

Als we dan verder in onze firewall in de logs gaan neuzen, dan zie ik dat onze NAS met de regelmaat van de klok probeerd om via UDP poort 123 verbinding te maken met volgende servers : 216.239.35.0, 216.239.35.4, 216.239.35.8 en 216.239.35.12.
Aangezien die niet allowed zijn geeft ie natuurlijk een deny.

Wat opzoekwerk geeft ons dat deze servers google servers zijn. En dan vraag ik me dus af : waarom ?

Als ik die IPrange toelaat in de firewall, dan zie ik vervolgens een boel HTTPS verkeer gaan van de NAS naar adressen van Amazon AWS in 108.156.60.x range en naar 146.112.48.x range, wat blijkbaar van RIPE Network Coordination Centre in Amsterdam is.

Iemand enig idee wat dit gespook is ?
En wat eventueel wel de juiste update FQDN is voor Synology firmware updates ?

-| Hit it i would ! |-


Acties:
  • 0 Henk 'm!

  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 28-07 17:38

MasterL

Moderator Internet & Netwerken
Ik weet nie hoe Synology haar updates regelt maar zou het niet kunnen dat Synology AWS infra gebruikt?
UDP poort 123 is gewoon voor NTP maar daar was je al achter, Is er een reden waarom je (outbound) niet je NAS zou toestaan om via poort TCP/443 te connecten met het internet?

Als de data op de NAS zo belangrijk is plaats deze dan in een DMZ (zonder internet toegang) en update deze handmatig.

Acties:
  • 0 Henk 'm!

  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 28-07 18:31
Die adressen zijn de time servers van Google.
Je heb dus in je Nas zo ingesteld dat hij zijn time moet synchroniseren met het internet.

Slimmer is gewoon de firewall van Synology zelf te gebruiken om je Nas te beschermen.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.