Synology NAS onbereikbaar van buitenaf bij geforward domain - Internet en hosting

vrijdag 2 februari 2024 15:12

Acties:

0 Henk 'm!

Topicstarter

Issue: Synology NAS services niet bereikbaar vanaf geforward domein.

Settings:
eigen domein gehost bij TransIP, laten forwarden naar het DHCP IPv4 address van mijn Ziggo.
Ziggo cable modem staat in Bridge-modus, forward verkeer naar Netgear router.

Ziggo ip is laten we zeggen 217.121.x.x.
Traceroutes (tracert) naar domeinnaam + ping op ip werken allebei.

Ziggo modem heeft intern een ip adres 192.168.178.1 en de Netgear router 192.168.1.1.
Synology NAS heeft binnen LAN ip 192.168.1.29.

Op de Netgear router netjes alle benodigde poorten geforward (22 voor SSH, 80 http, 443 https, 5000/5001 Synology admin naar 192.168.1.29)

Intern kan ik alles van de NAS bereiken op basis van alleen IP-adres (192.168.1.29).

Als ik buiten mijn thuisnetwerk op ip of domeinnaam surf krijg ik ofwel een SSL foutmelding bij https
of helemaal niets bij http.

Bij https in Chrome:
"This site can't provide a secure connection. 217.121.x.x. sent an invalid response"
ERR_SSL_PROTOCOL_ERROR

Waar mis ik wat?

vrijdag 2 februari 2024 15:25

Acties:

0 Henk 'm!

HKLM_

Hoe heb je de settings binnen je synology ingesteld?

Cloud ☁️

vrijdag 2 februari 2024 15:28

Acties:

0 Henk 'm!

magicmujo

Topicstarter

Dat is een mooie, want voorheen een DS-212+ gehad die na tig jaren helaas overleden is, nooit wat ingesteld, vervangen door nu een DS-224+ recent model, maar heb het idee/vermoeden dat DSM 7.x daar stukje stricter is en ik daar nog wat op moet instellen?

vrijdag 2 februari 2024 15:31

Acties:

0 Henk 'm!

magicmujo

Topicstarter

...onder Connectivity > External Access > niets bij QuickConnect, niets bij DDNS, Router Configuration 80, 443, 5000 en 5001 Local Port > zelfde op Router Port (dus 4 ports gemapped van de 100 max).

vrijdag 2 februari 2024 15:32

Acties:

+1 Henk 'm!

Room42

eigen domein gehost bij TransIP, laten forwarden naar het DHCP IPv4 address van mijn Ziggo.

Ik hoop dat je hiermee bedoelt dat je een A-record naar jouw IP-adres gemaakt hebt.

Ziggo modem heeft intern een ip adres 192.168.178.1 en de Netgear router 192.168.1.1.
Synology NAS heeft binnen LAN ip 192.168.1.29.

Op de Netgear router netjes alle benodigde poorten geforward (22 voor SSH, 80 http, 443 https, 5000/5001 Synology admin naar 192.168.1.29)

Heb je je Ziggo-modem dus niet in bridge mode staan? Dan zul je ook daarop de poorten naar de Netgear moeten forwarden.

Bij https in Chrome:
"This site can't provide a secure connection. 217.121.x.x. sent an invalid response"
ERR_SSL_PROTOCOL_ERROR

Dat betekent meestal dat je met TLS tegen een non-TLS-poort probeert te praten. Maar je geeft niet aan of je poort 443 (default voor HTTPS) of 5001 (standaard TLS-poort van Synology) probeert te verbinden.

[ Voor 22% gewijzigd door Room42 op 02-02-2024 15:35 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

vrijdag 2 februari 2024 15:37

Acties:

+1 Henk 'm!

Danielson

Je weet dat je wel een enorm risico open zet op deze manier? De juiste manier zou zijn om hem achter een VPN te hangen.

Zoekt b.v. maar eens op Synolocker.

vrijdag 2 februari 2024 15:49

Acties:

0 Henk 'm!

magicmujo

Topicstarter

@Danielson Ja da's misschien even voor later dan, maar goed om in acht te nemen.

Ik heb inderdaad bij TransIP een A record naar m'n Ziggo ip aangelegd (voor IPv4).
En dat werkt want ik kan op domeinnaam (www.verdikkemes.nl) tracerouten en hij hopt dan all the way
naar dat Ziggo ip.

Ziggo-modem zelf staat in Bridge modus dus doet verder niets zelf, anders dan alles doorgeven aan Netgear router.

Verder probeer ik vanalles van buitenaf:
http://www.verdikkemes.nl
https://www.verdikkemes.nl
http://ip-adres:80
https://ip-adres:443
etc.

vrijdag 2 februari 2024 15:52

Acties:

0 Henk 'm!

magicmujo

Topicstarter

Room42 schreef op vrijdag 2 februari 2024 @ 15:32:
[...]
Ik hoop dat je hiermee bedoelt dat je een A-record naar jouw IP-adres gemaakt hebt.
[...]
Yes

Heb je je Ziggo-modem dus niet in bridge mode staan? Dan zul je ook daarop de poorten naar de Netgear moeten forwarden.

Wel in Bridge dus.

[...]

Dat betekent meestal dat je met TLS tegen een non-TLS-poort probeert te praten. Maar je geeft niet aan of je poort 443 (default voor HTTPS) of 5001 (standaard TLS-poort van Synology) probeert te verbinden.

Klopt maar bij "standaard" https zou hij toch eerst automatisch 443 moeten willen proberen (indien niet meegegeven of anders geforward).

vrijdag 2 februari 2024 15:57

Acties:

0 Henk 'm!

Coach4All

I'm a Coach 4 All

Heb je certificate server draaien op je NAS (Letscrypt bijvoorbeeld) en het certificaat voor je domein al ingeladen?

https://kb.synology.com/n...uest_on_your_Synology_NAS

[ Voor 35% gewijzigd door Coach4All op 02-02-2024 15:58 ]

--- Systeembeheerdersdag --- Voedselintolerantie ---

vrijdag 2 februari 2024 15:57

Acties:

+1 Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

Als je dubbel NAT doet moet je ook dubbel forwarden. En let idd ook op dat je http en https niet door elkaar haalt (zou zelf alleen https doorzetten).
Als extra tip, gebruik de optie custom dns op je synology zodat DSM alleen beschikbaar is voor de domeinnaam die je wilt gebruiken, dat scheelt al een hoop scanners die alleen via IP proberen binnen te komen. Gaat het alleen voor jouzelf, dan zou ik VPN gebruiken.

[ Voor 12% gewijzigd door DukeBox op 02-02-2024 16:00 ]

Duct tape can't fix stupid, but it can muffle the sound.

vrijdag 2 februari 2024 16:01

Acties:

0 Henk 'm!

magicmujo

Topicstarter

DukeBox schreef op vrijdag 2 februari 2024 @ 15:57:
Als je dubbel NAT doet moet je ook dubbel forwarden.

Forwarden van Netgear router naar NAS heb ik gedaan.
Waar dient de tweede NAT te gebeuren?
In cable modem van Ziggo kan ik volgens mij alleen Bridge of Router modus kiezen...

vrijdag 2 februari 2024 16:03

Acties:

0 Henk 'm!

Room42

magicmujo schreef op vrijdag 2 februari 2024 @ 16:01:
[...]

Forwarden van Netgear router naar NAS heb ik gedaan.
Waar dient de tweede NAT te gebeuren?
In cable modem van Ziggo kan ik volgens mij alleen Bridge of Router modus kiezen...

Op de Ziggo moet je exact dezelfde forwards maken als op de Netgear maar dan naar het 'wan'-adres van de Netgear.

Het verkeer gaat, als ik jouw situatie goed begrijp:
[internet] --> [ziggo-modem] --NAT--> [netgear] --NAT--> [NAS]

Wat heb je op poort 443 voor service draaien op de NAS?

[ Voor 5% gewijzigd door Room42 op 02-02-2024 16:03 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

vrijdag 2 februari 2024 16:03

Acties:

0 Henk 'm!

magicmujo

Topicstarter

Coach4All schreef op vrijdag 2 februari 2024 @ 15:57:
Heb je certificate server draaien op je NAS (Letscrypt bijvoorbeeld) en het certificaat voor je domein al ingeladen?

https://kb.synology.com/n...uest_on_your_Synology_NAS

Als ik een Let's Encrypt certificate wil toevoegen krijg ik helaas na een tijdje een timeout:

"Let's Encrypt is unable to validate this domain name. Please make sure your Synology NAS and router
have port 80 open to Let's Encrypt domain validation from the Internet. All the other communications
with Let's Encrypt go over HTTPS to keep your Synology NAS secure.".

vrijdag 2 februari 2024 16:03

Acties:

+2 Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

magicmujo schreef op vrijdag 2 februari 2024 @ 16:01:
Forwarden van Netgear router naar NAS heb ik gedaan.
In cable modem van Ziggo kan ik volgens mij alleen Bridge of Router modus kiezen...

Gezien je intern aan je ziggo een 192.168.178.1 ip hebt staat je ziggo modem dus niet in bridge.

Waar dient de tweede NAT te gebeuren?

magicmujo schreef op vrijdag 2 februari 2024 @ 15:12:
Ziggo ip is laten we zeggen 217.121.x.x.
[..]
Ziggo modem heeft intern een ip adres 192.168.178.1 en de Netgear router 192.168.1.1.
Synology NAS heeft binnen LAN ip 192.168.1.29.

NAT 1: 217.121.x.x -> 192.168.178.1
NAT 2: 192.168.178.1 -> 192.168.1.1

magicmujo schreef op vrijdag 2 februari 2024 @ 16:03:
Als ik een Let's Encrypt certificate wil toevoegen krijg ik helaas na een tijdje een timeout:

Heeft dezelfde oorzaak, deze moet ook door dubbel nat heen kunnen werken.

[ Voor 15% gewijzigd door DukeBox op 02-02-2024 16:04 ]

Duct tape can't fix stupid, but it can muffle the sound.

vrijdag 2 februari 2024 16:05

Acties:

0 Henk 'm!

magicmujo

Topicstarter

Room42 schreef op vrijdag 2 februari 2024 @ 16:03:
[...]

Op de Ziggo moet je exact dezelfde forwards maken als op de Netgear maar dan naar het 'wan'-adres van de Netgear.

Het verkeer gaat, als ik jouw situatie goed begrijp:
[internet] --> [ziggo-modem] --NAT--> [netgear] --NAT--> [NAS]

Wat heb je op poort 443 voor service draaien op de NAS?

Juist.

Domeinnaam/internet > Ziggo modem > NAT > Netgear router > NAT > Synology.

Exact... op 443 draait HTTPS (HTTP+TLS) service. Apache webservice.

Hmmz toch eens even in die Ziggo modem settings snuffelen.

vrijdag 2 februari 2024 16:06

Acties:

0 Henk 'm!

Room42

En als ik je zo hoor, zou ik niet de Ziggo-modem in bridge mode zetten, omdat dat wel eigen kennis van netwerkbeveiliging vraagt. Laat die verantwoordelijkheid nog maar even bij Ziggo liggen.

Waarom heb je eigenlijk de Netgear ertussen?

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

vrijdag 2 februari 2024 16:06

Acties:

+1 Henk 'm!

SambalBij

We're all MAD here

DukeBox schreef op vrijdag 2 februari 2024 @ 16:03:
[...]

Gezien je intern aan je ziggo een 192.168.178.1 ip hebt staat je ziggo modem dus niet in bridge.

Nee, Ziggo modem houdt dat IP ook in bridge mode. De default gateway vanuit de Netgear gezien gaat 'door' de kabelmodem heen naar het netwerk, maar het modem zelf blijft benaderbaar op dat interne IP...

@magicmujo Klopt de netwerkconfig van het NAS verder wel? (Gateway voornamelijk) Kan het NAS naar internet toe? (Updates/packages downloaden/installeren bijvoorbeeld)

Check overigens wel eens of de bridge mode daadwerkelijk wel aan staat. Zie je in de settings/status van de netgear wel dat die echt het 217.121.x.y adres op zijn WAN interface heeft? (En níet een 192.168.178.x adres dus)

[ Voor 16% gewijzigd door SambalBij op 02-02-2024 16:08 ]

Sometimes you just have to sit back, relax, and let the train wreck itself

vrijdag 2 februari 2024 16:15

Acties:

0 Henk 'm!

kouk

Die ziggo modem is helemaal niet relevant in dit verhaal als deze in bridgemodus staat.

De netgear is aangesloten op port 1 van het modem als het goed is. Op de Netgear configureer je de wan poort die daar op is aangesloten via dhcp. Op de netgear maak je een port forward naar de nas ( nat). Op de nas laad je het domein certificaat.

Daarnaast moet je een Dns a record aanmaken dat wijst naar je wan ip.

Maar dit wil je allemaal niet, het is onveilig om je nas aan het internet te hangen.

[ Voor 8% gewijzigd door kouk op 02-02-2024 16:17 ]

vrijdag 2 februari 2024 16:16

Acties:

0 Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

SambalBij schreef op vrijdag 2 februari 2024 @ 16:06:
Nee, Ziggo modem houdt dat IP ook in bridge mode.

Ok, bij mij niet.

Misschien kan @magicmujo even een trace naar buiten toe doen om dat uit te sluiten.

code:

tracert tweakers.net

Tracing route to tweakers.net [213.239.154.31]
over a maximum of 30 hops:

  1    7ms    7 ms     9 ms  31-151-231-1.dynamic.upc.nl [31.151.231.1]
  2     7 ms     9 ms     4 ms  212.142.52.205
  3    9 ms    8 ms    9 ms  asd-tr0021-cr101-be162-2.core.as33915.net [213.51.7.116]
  4    9 ms     8 ms    9 ms  nl-ams09c-ri1-ae51-0.core.as9143.net [213.51.64.190]
  5     9 ms     9 ms     9 ms  libertyglobal.eqam7.jointtransit.nl [213.207.0.241]
.......

Room42 schreef op vrijdag 2 februari 2024 @ 16:20:

offtopic:
Ja, dat doet ie wel alleen moet je wel in hetzelfde subnet zitten om hem te kunnen bereiken.

Net getest maar krijg geen ping/http(s) naar dat ip op mijn F3896LG vanaf mijn firewall.

[ Voor 78% gewijzigd door DukeBox op 02-02-2024 16:24 ]

Duct tape can't fix stupid, but it can muffle the sound.

vrijdag 2 februari 2024 16:20

Acties:

0 Henk 'm!

Room42

DukeBox schreef op vrijdag 2 februari 2024 @ 16:16:
[...]

Ok, bij mij niet.

offtopic:
Ja, dat doet ie wel alleen moet je wel in hetzelfde subnet zitten om hem te kunnen bereiken.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

vrijdag 2 februari 2024 16:25

Acties:

+1 Henk 'm!

magicmujo

Topicstarter

Stapje verder:

Op de Netgear router (die er ooit tussen is gekomen voor extra ports + veel betere wifi dan oude Ziggo modem). heeft een DHCP ip adres 192.168.178.161 (dus gekregen van Ziggo modem).

Heb nog even gespit in Ziggo modem en daar bij Beveiliging ook portforwarding aan kunnen zetten.

Dus traffic op Ziggo-ip (217.121.x.y) poort 443 doorgezet naar 192.168.178.161 poort 443 (WAN van router zoals een van jullie noemt), dat is dan NAT1 en vandaar pakt dan de NAT2-regel router 192.168.178.161:443 > 192.168.1.29 (NAS) het verder op.

Even geprobeerd op telefoon met wifi uit (dus buiten netwerk) en browst nu naar website. Nice!

Overigens kan de NAS zelf wel alle packages vinden/updaten e.d.

Wel vreemd trouwens dat dat Ziggo modem niet (meer) in Bridge modus staat/stond. Kan dit te maken
hebben met een tijd spanning eraf of een reset of iets? Ik heb in het verleden wel eens oudere Ziggo-modems zelf in Bridge-modus moeten zetten (in combinatie met die oudere NAS) en dat werkte prima.
Bij dit recente modem kon het helaas niet meer zelf en moest ik bellen naar Ziggo om hem in Bridge te laten zetten.
Een van jullie zegt: omdat je een 192.168.178* internal ip hebt op je Ziggo modem kun je zien dat ie niet in Bridge staat, kun je het ook nog ergens anders aan zien?

Wat is wijsheid? Weer met Ziggo bellen of ze 'm weer in Bridge-modus kunnen forceren?
PROs/CONs?

Ik ben dus al weer een stapje verder.

vrijdag 2 februari 2024 16:26

Acties:

+1 Henk 'm!

Groentjuh

Wat is het IP adres dat de netgear router op zijn WAN-poort heeft?
Als dat 192.168.178.x is, dan heb je dubbele NAT. In dat geval moet je dus poort forwarden binnen de Ziggo modem naar dat adres, die op de WAN poort van de Netgear staat.

vrijdag 2 februari 2024 16:29

Acties:

+1 Henk 'm!

Room42

Dubbele NAT geeft over het algemeen iets meer gedoe maar voor HTTPS hoeft het geen probleem te zijn. Het is aan jou wat je hiermee wilt doen en hoe zeker je van je eigen beveiligingskennis bent.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

vrijdag 2 februari 2024 16:29

Acties:

+1 Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

magicmujo schreef op vrijdag 2 februari 2024 @ 16:25:
Wat is wijsheid? Weer met Ziggo bellen of ze 'm weer in Bridge-modus kunnen forceren?
PROs/CONs?

Wat je zelf het makkelijkst vind. Persoonlijk ben ik geen fan van dubbel NAT maar technisch gezien mag dat (tegenwoordig) geen probleem zijn. Het enige voordeel is dat je tussen ziggo en je netgear kant nu een mooie DMZ hebt (bijv. voor guest wifi).

Duct tape can't fix stupid, but it can muffle the sound.

vrijdag 2 februari 2024 16:29

Acties:

0 Henk 'm!

magicmujo

Topicstarter

Groentjuh schreef op vrijdag 2 februari 2024 @ 16:26:
Wat is het IP adres dat de netgear router op zijn WAN-poort heeft?
Als dat 192.168.178.x is, dan heb je dubbele NAT. In dat geval moet je dus poort forwarden binnen de Ziggo modem naar dat adres, die op de WAN poort van de Netgear staat.

Dit dus, ...1e NAT-"regelsset" nu toegevoegd aan Ziggo modem, zocht me suf.
2e set NAT-regels op Netgear router had ik al die tijd al.

Mijn overgebleven vragen zijn nu eigenlijk:

1) kun je nog ergens anders aan zien (status of setting) in welke modus je ISP modem staat?
2) wil ik dat Ziggo-modem nog (terug) naar Bridge modus (dat zou 1x NAT schelen)
3) wat zijn de voor-/nadelen?

vrijdag 2 februari 2024 16:29

Acties:

0 Henk 'm!

Groentjuh

magicmujo schreef op vrijdag 2 februari 2024 @ 16:25:

Een van jullie zegt: omdat je een 192.168.178* internal ip hebt op je Ziggo modem kun je zien dat ie niet in Bridge staat, kun je het ook nog ergens anders aan zien?

Als de WAN-poort van jouw Netgear router een publiek IP krijgt, dan weet je dus dat er geen router tussen zit. Ook zou je het kunnen zien aan het wel of niet hebben van een wifi-netwerk vanuit die modem (Behalve het "Ziggo"-wifispot netwerk).

vrijdag 2 februari 2024 16:37

Acties:

0 Henk 'm!

kouk

Volgende topic: Help! Alle bestanden op mijn nas zijn versleuteld door een cryptolocker!

vrijdag 2 februari 2024 16:43

Acties:

0 Henk 'm!

magicmujo

Topicstarter

kouk schreef op vrijdag 2 februari 2024 @ 16:37:
Volgende topic: Help! Alle bestanden op mijn nas zijn versleuteld door een cryptolocker!

komt goed.

vrijdag 2 februari 2024 16:43

Acties:

+1 Henk 'm!

magicmujo

Topicstarter

Iedereen bedankt voor het snelle meedenken!

Ik was denk ik een beetje off-guard door die Bridge-modus (die blijkbaar niet in Bridge staat) waardoor ik die 1e NAT-set additioneel moest toepassen.

vrijdag 2 februari 2024 16:44

Acties:

+2 Henk 'm!

Blaffeh

magicmujo schreef op vrijdag 2 februari 2024 @ 16:43:
[...]

komt goed.

Ik bewonder je lef.

vrijdag 2 februari 2024 16:46

Acties:

0 Henk 'm!

kouk

magicmujo schreef op vrijdag 2 februari 2024 @ 16:43:
[...]

komt goed.

Op basis van .....?

Welk doel heb je met het aan het internet hangen van je nas?

Pagina: 1

Reageer