Poorten open zetten, hoe?

Mitchelllll schreef op zondag 28 september 2025 @ 18:28:
Noob hier. Ik heb een synology die ik open wil
zetten zodat ik er buitenshuis ook bij kan. Kan ik beter een hw firewall installeren of een sw firewall?

Die firewall heb je al, die zit in de modem/router van je provider.

Afhankelijk van je Synology kan je die mogelijk ook gebruiken als VPN-server.
Op de modem/router van je provider hoef je dan alleen de port voor de VPN te forwarden.

Als je buitenshuis inlogt maak je eerst verbinding met de VPN naar huis en dan kan je daarna inloggen op je NAS.

Mitchelllll schreef op zondag 28 september 2025 @ 23:21:
Is dat wel veilig? Zo’n VPN vanuit mijn synology? Ik heb de 418+ dacht ik. En de firewall op de Xperiabox van kpn zal wel wat tegenvallen gok ik zomaar.

Er is hier, met alle respect, een klein beetje sprake van klok-klepel.

Er bestaat niet zoiets als een tegenvallende of slechte firewall. Een firewall is doorgaans alleen maar zo goed als zijn configuratie is. Zet je een poortje open naar je Synology, dan staat die open. Er is dan niets meer wat je firewall voor je doet op dát poortje. Dus bij een openstaande poort, maakt het niets meer uit of je een goed of slecht ingestelde firewall hebt.

Dat gezegd hebbende, lijkt het me zeer onverstandig om een poort naar je Synology open te zetten als je deze kennis niet (goed) onder de knie hebt. Iedereen op de wereld kan dan een inlogpoging doen op je Synology en dat is doorgaans niet een heel goed idee, want dan kan je volgende post hier op Tweakers weleens zijn dat je Synology gehacked is en dat je data weg is (of erger: op straat ligt).

Een beter plan is om een VPN naar je huis mogelijk te maken. En dan toestaan dat als je eenmaal verbonden bent met je VPN, je door kan naar je Synology. Maar ook hier geldt dat het wel handig is dat je goed weet wat je doet. Doe je het niet goed, dan liggen ook hier behoorlijke gevolgen op de loer.

Ps. Volgende keer ff een eigen topic aanmaken

@Mitchelllll welkom op het forum.

Ik heb je vraag afgesplitst vanaf firewall hardware en software, zoals je inmiddels ook van andere had begrepen is het fijner om je vraag in een eigen topic te stellen, daardoor gaan er geen verhalen door elkaar lopen.

Als je je Xperiabox vervangt door een FRITZ!Box of andere échte modem/router worden je mogelijkheden een stuk groter, dan kun je bijv. gewoon Wireguard gebruiken om vanaf je telefoon of laptop je thuisnetwerk in te komen. Tenzij je het config bestandje lekt kan daar niemand wat mee, en omdat het op routerniveau zit hoef je ook niet los poorten te forwarden oid.
Kost wel wat, maar is een veilige optie, en goedkoper dan als je een hardware firewall zou kopen.

Beetje onzin om een router te kopen enkel om wire guard te kunnen gebruiken.
Synology heeft een prima VPN server die OpenVpn ondersteund wat een uitstekend protocol is.

Wireguard is enkel een tikje sneller maar dat wordt meestal wel gecompenseerd doordat een Synology veel meer resources tot zijn beschikking heeft dan een router die enkel ontworpen is om te routeren.

Ik zou gewoon quickconnect gebruiken en geen poorten open zetten tenzij je HEEL goed weet waar je mee bezig bent

Al jaren hier via de Experiabox de juiste poorten "open" voor de Synology met VPN opgenzet. Nog steeds geen problemen gehad. Met de synology VPN kan je heel goed ook het internet omleiden. Dat werkt goed. Ik gebruik het eigenlijk alleen maar om toegang te hebben tot het netwerk om wat bestanden op te zoeken. Of om Nederlandse TV (sport) in het buitenland te kijken. Dat werkt allemaal erg goed.

laurens0619 schreef op maandag 29 september 2025 @ 19:53:
Ik zou gewoon quickconnect gebruiken en geen poorten open zetten tenzij je HEEL goed weet waar je mee bezig bent

Weet jij "HEEL goed" wat er dan gebeurt?

Mitchelllll schreef op maandag 29 september 2025 @ 22:22:
... veel Gb/s

Jij bent een goede voor de marketeers... Ten eerste staat een router niet gelijk aan wifi, er zijn genoeg routers die niks met wifi doen omdat ze alleen maar geschikt zijn voor bedraad netwerk.

Ten tweede: Op dit moment zijn er maar grofweg 3 smaken te verkrijgen voor consumenten: 1GB/s, 2,5GB/s en 10GB/s. Waar je naar moet kijken is wat je apparatuur ondersteunt. Daarbij komt ook nog dat je er dan waarschijnlijk alleen intern iets aan hebt omdat je hoogstwaarschijnlijk geen 2,5 of 10 GB/s internetverbinding hebt.

Wat wil je op je NAS doen van buitenaf, dat is wel even belangrijk om te weten. Is dat bestandsbeheer, de grafische interface aansturen om apps op de Synology te beheren of is dat puur als VPN of voor Virtual Machines. Er kan zo ontzettend veel en alles vereist enige kennis van zaken.

Ik zou beginnen met duidelijk krijgen wat je wilt voordat je ook maar één poortje open zet. Wanneer je dit duidelijk hebt kun je jouw case verder uitwerken.

[ Voor 8% gewijzigd door sypie op 30-09-2025 09:34 ]

remco_k schreef op zondag 28 september 2025 @ 23:40:
[...]
Er bestaat niet zoiets als een tegenvallende of slechte firewall. Een firewall is doorgaans alleen maar zo goed als zijn configuratie is. Zet je een poortje open naar je Synology, dan staat die open. Er is dan niets meer wat je firewall voor je doet op dát poortje. Dus bij een openstaande poort, maakt het niets meer uit of je een goed of slecht ingestelde firewall hebt.

Hoewel het er voor TS niet heel veel toe doet verder is dit wel iets wat een reactie waard is.

Als je het over klok-klepel hebt dan vink jij deze ook af. Er zit een gigantisch verschil tussen firewalls en wat ze kunnen, ook op die opengezette poort kunnen er allerlei controles plaatsvinden. En ook dat is niet helemaal correct wat ik zeg, want een poort openzetten heeft in de basis te maken met routing te maken. En dat is precies wat zo ongeveer elk modem van de provider (uitzondering daargelaten) doet. Over het algemeen zijn er geen opties om het verkeer te inspecteren of bijvoorbeeld te blokkeren vanuit bepaalde landen.

Gelukkig heeft Synology een redelijke firewall ingebouwd die je kan activeren en gebruiken.

In geval van TS zou het meer dan voldoende moeten zijn om de poort open te zetten in zijn modem en op de Synology gebruik te maken van de firewall opties om bijvoorbeeld enkel VPN verkeer vanuit NL toe te staan. Al zijn de alternatieven die minder technische kennis vereisen aan te raden, en die zijn hierboven al genoemd.

@Drardollan
Mwoaaa dat valt wel mee.
Of ik nu met een fancy firewall poort 5001 open zet of de kpn router. Poort is open

Wat kan een fancy firewall extra dan? Ips/ids?
Klinkt allemaal leuk ids/ips maar op encrypted verkeer doet dat gewoon niet zoveel. Misschien blokkeren op basis van known bad ips/landen maar ook dat is anno 2025 nauwelijks effectief.
Ik zou mii niet veiliger wanen met poort 5001 open via fancy firewall itt 5001 via experiabox.
Security moet je fixen in de synology zelf

laurens0619 schreef op dinsdag 30 september 2025 @ 13:36:
@Drardollan
Mwoaaa dat valt wel mee.
Of ik nu met een fancy firewall poort 5001 open zet of de kpn router. Poort is open

Wat kan een fancy firewall extra dan? Ips/ids?
Klinkt allemaal leuk ids/ips maar op encrypted verkeer doet dat gewoon niet zoveel.

Als je niet weet hoe het werkt, dan doet het wellicht niet veel. Kwestie van goed inregelen. Niets fancy aan overigens.

Een beetje firewall kan nog veel meer, zoals botnet protectie en DNS filters. En nog tig andere dingen die veel te ver gaan voor dit topic.

Misschien blokkeren op basis van known bad ips/landen maar ook dat is anno 2025 nauwelijks effectief.

Het zal je verrassen wat er langs komt uit troep landen. Door alleen dat al te blokkeren heb je een aantal voordelen. Nu is het inderdaad wel zo dat, mede dankzij partijen als Azure en AWS, het eenvoudig is om een IP binnen een land te krijgen. Blokkeren van alles behalve Nederland levert in ieder geval bakken met scans minder op waardoor je minder zichtbaar bent in het algemeen.

Een beetje firewall heeft, zoals ik hierboven al noemde, ook de mogelijkheid om bad IP's te blokken op basis van actuele lijsten. Daar heb je in tegenstelling tot het limiteren tot enkel Nederland veel meer aan. Als een IP ergens ter wereld als verdacht wordt gemarkeerd dan heb je graag dat deze per direct geblokkeerd wordt.

Ik zou mii niet veiliger wanen met poort 5001 open via fancy firewall itt 5001 via experiabox.

Poort 5001 openzetten is zo ongeveer wel het meest domme wat je kan doen. Hooguit een VPN poort open en via de VPN de boel benaderen.

Security moet je fixen in de synology zelf

In dit geval wel het meest logisch (en maximaal haalbare), maar in het algemeen een slecht advies. Of zet jij thuis je TV ook vast met een staalkabel omdat je de voordeur niet sluit?

Je wil boefjes zo ver mogelijk weghouden als mogelijk.

Zomaar poorten openzetten en zeker niet een poort naar de admin website van je Synology (5000/5001) moet je gewoon nooit doen.

Installeer de Synology VPN server en gebruik daar OpenVPN van.
Als je die VPN server gestart hebt kun je daarna poort 1194 forwarden naar het Ip-adres van je Synology.
Dit is volkomen veilig want de Synology VPN server zal alleen VPN verkeer vanaf een VPN client accepteren die het VPN certificate hebben dat je Synology VPN server voor je aanmaakt en dat je op je client moet gebruiken.

Zorgt ervoor dat je Synology altijd hetzelfde IP adres krijgt anders heb je een security risc gemaakt, want dan loop je het risico dat de dhcp server dat oude adres aan een ander device koppelt en dat wi je niet.
Dat doe je het beste door in de DHCP server van je router een vast Ip adres aan het macdres van je Synology netwerkpoort te koppelen dan krijgt hij altijd dat ipadres.

Andere onzin over Firewalls die dingen zouden kunnen moet je vergeten.

En als je niet weet wat voor extra dingen je met een andere router dan die Experiabox zou kunnen doen is het gewoon weggegooid geld.

@Drardollan
Ik noemde bewust 5001 openzetten
Die heeft namelijk een hogere risico dan de vpn openzetten waar we het denk ik eens zijn.

Of die poort echter via een fancy firewall met botnet/ip blocks/IDS door is gezet of je experiabox maakt imho qua security minder uit dan de folders van firewalls boers je doen geloven

Ik ga er even op in omdat ik zie dat mensen vaak op zoek zijn naar een "simpele" oplossing voor security. Gooi er deze super firewall tussen en je fixt een hoop security zaken. Wat mij betreft is dat schijnveiligheid en brengt het het risico dat mensen vergeten security op de juiste plek te fixen.

Mbt je analogie:
Als ik jouw analogie zou volgen dan zou ik op mijn voordeur een filter hebben staan die bepaalde bekende inbrekers niet zal binnenlaten. Daar zou ik inderdaad niet op durven te vertrouwen nee. Ik zou mijn voordeur op slot zetten.

[ Voor 3% gewijzigd door laurens0619 op 30-09-2025 15:00 ]

laurens0619 schreef op dinsdag 30 september 2025 @ 14:59:
@Drardollan
Ik noemde bewust 5001 openzetten
Die heeft namelijk een hogere risico dan de vpn openzetten waar we het denk ik eens zijn.

Of die poort echter via een fancy firewall met botnet/ip blocks/IDS door is gezet of je experiabox maakt imho qua security minder uit dan de folders van firewalls boers je doen geloven

Ik ga er even op in omdat ik zie dat mensen vaak op zoek zijn naar een "simpele" oplossing voor security. Gooi er deze super firewall tussen en je fixt een hoop security zaken. Wat mij betreft is dat schijnveiligheid en brengt het het risico dat mensen vergeten security op de juiste plek te fixen.

Ik denk dat ik na meer dan 20 jaar in de security wel enige kaas heb gegeten van hoe dit werkt. Dus laten we die discussie hier niet voeren. In geval van TS is het nergens voor nodig, mijn post was enkel een reactie op de algemene stelling dat er geen goede of slechte firewalls zijn.

Voor TS is een poortje open en een fatsoenlijke instelling op de Synology voldoende.

Mbt je analogie:
Als ik jouw analogie zou volgen dan zou ik op mijn voordeur een filter hebben staan die bepaalde bekende inbrekers niet zal binnenlaten. Daar zou ik inderdaad niet op durven te vertrouwen nee. Ik zou mijn voordeur op slot zetten.

En dat is precies wat een firewall doet, zorgen voor een redelijk slot. Nog steeds niet onfeilbaar, maar wel beter dan niks doen en het aan de achterliggende apparaten overlaten.

Om de analogie door te trekken, een normale simpele firewall zou enkel het slot zijn. Het "fancy slot" zou er een camera bij hebben met gezichtsherkenning, als er een bekende inbreker in het zicht komt is het slot niet voldoende en laat dit slot ook de rolluiken neer.

het aller makkelijkste is om gewoon synology's eigen quickconnect te gebruiken.
hoe je dat doet is hier in eenvoudige stappen te vinden: https://www.coolblue.nl/a...ogy-nas-quickconnect.html

Drardollan schreef op dinsdag 30 september 2025 @ 16:15:
[...]

Ik denk dat ik na meer dan 20 jaar in de security wel enige kaas heb gegeten van hoe dit werkt. Dus laten we die discussie hier niet voeren. In geval van TS is het nergens voor nodig, mijn post was enkel een reactie op de algemene stelling dat er geen goede of slechte firewalls zijn.

Voor TS is een poortje open en een fatsoenlijke instelling op de Synology voldoende.


[...]

En dat is precies wat een firewall doet, zorgen voor een redelijk slot. Nog steeds niet onfeilbaar, maar wel beter dan niks doen en het aan de achterliggende apparaten overlaten.

Om de analogie door te trekken, een normale simpele firewall zou enkel het slot zijn. Het "fancy slot" zou er een camera bij hebben met gezichtsherkenning, als er een bekende inbreker in het zicht komt is het slot niet voldoende en laat dit slot ook de rolluiken neer.

Laten we alsjeblieft geen wedstrijdje verplassen gaan doen…

Ik snap je punt prima hoor maar anno 2025 doet die gezichtsherkenning gewoon 99/100x niets vanwege unieke ip adressen en enrcyptie. 10 jaar geleden was dat anders.

Uiteraard is het dan nog steeds een prima idee wel een firewall met ids/ips/blacklist ertussen te zetten. Tegelijk is het ook belangrijk te realiseren dat het in de situatie van ts marginaal is en het niet je security problemen gaat oplossen van kwetsbare achterliggende diensten

Maar hier heeft de ts niets aan. Mijn advies is om
Geen poorten te mappen, ook geen vpn, als je niet goed weet wat je doet. Beter dan de consumenten oplossing gebruiken als synology quickconnect.

Mitchelllll schreef op dinsdag 30 september 2025 @ 23:17:
Ik wilde een met de nieuwste specs om het toekomst proof te maken. 10gb/s is niet nodig, maar 2,5 liefst wel.

Waarom? KPN biedt wel eens waar 2 of 4 Gbit/s aan. Daar leveren ze dan een juiste Experiabox versie bij om de gewenste snelheid te kunnen gebruiken. Dan ligt het aan je Synology, netwerkswitches of je de hogere snelheid ook kan gebruiken. Tegenwoordig is 1 gbit/s beter beschikbaar aan het worden. Het is de vraag of het nodig is voor een beetje "bestandsbeheer" en wat foto's uploaden? Ga je nu investeren in duurdere apparatuur terwijl je pas over een vijf jaar een echt hogere snelheid gaat gebruiken.

Zou wat al eerder is aangegeven: Probeer eerst het een en ander uit met je huidige apparatuur. Dan vanuit daar eens verder kijken.

Tenzij je over terabytes praat, is meer dan 1Gbit/s best overkill. Tenzij je binnen 5 minuten meer dan 500GB wilt weg schrijven.

Overigens, als je een foto of video maakt op je tel en die wilt uploaden naar je NAS, zit je aan de upload snelheid vast van je mobiele provider, dan gaat die 1Gbit/s of meer verbinding niet veel verschil uitmaken.

Het is al eerder genoemd in dit topic, Tailscale. Het is erg eenvoudig om op te zetten en je kan zonder poorten open te zetten, verbinding maken.

sypie schreef op dinsdag 30 september 2025 @ 09:33:
Ten tweede: Op dit moment zijn er maar grofweg 3 smaken te verkrijgen voor consumenten: 1GB/s, 2,5GB/s en 10GB/s. Waar je naar moet kijken is wat je apparatuur ondersteunt. Daarbij komt ook nog dat je er dan waarschijnlijk alleen intern iets aan hebt omdat je hoogstwaarschijnlijk geen 2,5 of 10 GB/s internetverbinding hebt.

Want alleen intern verkeer naar bijvoorbeeld een NAS heb je alleen wat aan als het internet (ook?) zo snel is? Ben ik het dus niet mee eens.

@CH4OS Er zijn genoeg mensen die een snel thuisnetwerk hebben maar een gaar lijntje naar buiten hebben. In dat geval heeft een snel thuisnetwerk toch geen enkel zin wanneer je buiten de deur bent? Sneller dan wat je geleverd krijgt door je provider heeft bijzonder weinig zin.

Voor intern gebruik, dus op je thuisnetwerk is dit uiteraard anders. Daar kan snelheid wel degelijk op alle componenten hoog liggen, zodat je data (of video) real time kunt bewerken op je NAS.

sypie schreef op woensdag 1 oktober 2025 @ 14:24:
@CH4OS Er zijn genoeg mensen die een snel thuisnetwerk hebben maar een gaar lijntje naar buiten hebben. In dat geval heeft een snel thuisnetwerk toch geen enkel zin wanneer je buiten de deur bent? Sneller dan wat je geleverd krijgt door je provider heeft bijzonder weinig zin.

Want? Ik kan best een back-up moeten maken dagelijks van een ik weet niet hoeveel GB per dag? Als ik dan de files bijvoorbeeld op een NAS kan opslaan en dat met 2,5Gb/sec of zelfs met 10Gb/sec kan overpompen, dan kan dat op een dag al veel schelen.

De backup naar de cloud (of andere externe locatie) kan dan best even duren, maar die hoeft dan ook niet a la minute gemaakt te worden, toch? En zo zijn er vast nog meer casussen te bedenken.

@CH4OS Daarom zeg ik ook: Voor intern gebruik (dus binnen je eigen thuisnetwerk) kan de netwerksnelheid wel uitmaken. Voor extern, dus naar buiten, maakt je interne snelheid weinig uit omdat de traagste factor toch de snelheid van je internetlijntje is.

Ik heb thuis ook een Gbit netwerk, buiten de deur heb ik daar geen bal aan omdat ik maar een 50Mbit internetlijntje heb.