Nas instellen lukt niet zoals het hoort

satshow

Sr. Member
Special Friend
Lid sinds
8 feb 2001
Berichten
385
Waarderingsscore
0
Punten
16
Leeftijd
55
Ik heb sinds kort een Synology DS218+

Nu wil ik daar instellen dat alles gaat via https onder netwerk-DSM instellingen. Ik heb dat ingesteld maar er gebeurt niets.
Vervolgens ga ik verder naar de certificaten. Nu wil ik daar een certificaat van let's encrypt instellen maar op de 1 of andere manier wil dat niet lukken.
Iemand een idee wat ik daar moet invullen?

Vergeet ik nog ergens wat?

Ik heb begrepen dat ik in de router poort 80 moet open zetten. Wellicht gaat daar wat mis. Ik heb een Asus RT-AC87U met Asuswrt-merlin in gebruik.
Ik heb geprobeerd poort 80 open te zetten in WAN - Virtual Server / Port Forwarding

Kan iemand me hiermee verder helpen?
 
Laten we eerst beginnen met dat Lets Encrypt certificaat. Om dat te kunnen gebruiken zul je een domeinnaam moeten hebben, niet zijnde localhost of de hostnaam van jouw internet verbinding, want dat gaat hem niet worden.
Er is ook een hele mooie handleiding daarvan bij Synology zelf en nog wel in het Nederlands.
Zonder domeinnaam, geen letsencrypt, dan kun je alleen self-signed nemen maar dan krijg je dus steeds weer die melding van je browser.
Dus de keuze is domeinnaam nemen bij een hoster waar je ook letsencrypt kunt aanvragen en dan een wildcardcertificaat nemen of in elk geval een A record maken en dat naar jouw ip thuis zetten.
Dus dat ben je vergeten.

Poort 80 kun je niet gebruiken met SSL, dus als je perse een certificaat wilt gebruiken zul je poort 443 moeten open zetten. Ik zou voor de zekerheid voor beiden gaan, dan kun je tenminste ook nog altijd http gebruiken.
Poort 80 moet je forwarden naar het interne ip van je NAS, die moet dan wel steeds hetzelfde zijn, dus vast ip geven of nog beter, reserveren op basis van Macadres in de dhcp van je router.
Hetzelfde dus doen met poort 443 als je ssl wilt gebruiken.

Als je een screenshot laat zien van dat port forward venster van je router kan ik je wel helpen denkelijk, want ik doe niet aan custom firmware dus weet zo vlug niet hoe dat uit ziet. Maar meestal is dat niet zo moeilijk als ik 't eenmaal zie. ;)
 
Bedankt voor je reactie. Ik zie dat in de router zelf ook een certificaat aan te maken is. Het gaat mij erom dat ik mijn NAS gewoon aan kan laten staan en dat het allemaal veilig is.
Heb de firewall aangezet in mijn router. Ik stuur je even via de mail de screenscots, weet niet of er prive info op te vinden is.
 
en dat het allemaal veilig is
Dat heeft niet zozeer met SSL te maken, dat zorgt alleen dat de verbinding niet "afgeluisterd" kan worden omdat die dan beveiligd is. Hiervoor heb je dus een domeinnaam nodig, niet zijnde DDNS of soortgelijke maar een echte domeinnaam. Zonder domeinnaam gaat het niet werken.
Self-signed certificaten zijn te gebruiken maar dan blijf je dat waarschuwinggeneuzel van je browser houden en dat wil je niet.
Veiligheid begint dus bij het goed dicht zetten van je systeem.

Zorg dus voor een beperking van wat je van buitenaf bereiken wilt. Is het alleen FTP, dan zet alleen FTP open. Is het alleen de webinterface, dan zet alleen deze open. Uiteraard voorzien van een deugdelijk wachtwoord, liefst dus met hoofdletters en kleine letters, getalletje en liefst ook minstens 1 raar teken erbij zoals bijv. !@#$%^&*().

Oke dat gezegd hebbende heb ik je screenshot bekeken. Daar is alleen extern poort 80 ingegeven, dan weet het systeem niet waar het naar toe moet. Dus bij interne poort moet ook 80 ingevuld worden.
Het bron-ip moet je bij mijn weten wel leeg laten zoals het er nu staat.

Het bereiken van buitenaf doe je dan via jouw 62.251.xxx.xxx ip adres.

Edit: Via je mail heb ik je nog een extra tip gegeven.
 
Bedankt voor je reactie. Ik ga er morgen naar kijken.

Ik ga de NAS alleen gebruiken voor de computers in huis, dat ik dus content van de NAS op de computer kan bekijken of via mijn versterker. Maar dan wil ik het wel veilig hebben als ik de NAS continu laat aan staan.
 
Oke, zo'n forward zoals van poort 80 heb je alleen nodig als je er van ergens anders (vrienden, vakantiehuisje enz.) in wilt komen of een website op de NAS wilt bezoeken.
Voor uitsluitend intern gebruik heb je geen forward nodig.
 
Dan zet ik dat uit. Nu alleen de vraag hoe krijg ik het goed beveiligd om hem dag en nacht aan te laten staan. Heb de ingebouwde firewall aangezet, tevens het aantal keren inloggen binnen een bepaalde tijd ingesteld.

Zijn er nog meer dingen die ik kan doen?
 
Belangrijkste is dat er geen port forward gemaakt is in de modem/router en ook dat daar uPnP uit staat, dat is sowieso adviseerbaar bij elk(e) modem/router.
Firewall is prima, shares beperken tot gebruikersaccounts als dat nog niet gedaan is.
Inloggen binnen een bepaalde tijd is ook prima.
Onnodige services uitschakelen. Dus als je alleen shares gebruikt en geen FTP, dan de FTP daemon uitschakelen. Voor binnenshuis maakt dat niet zoveel verschil, maar als je 'm toch niet gebruikt is het weer een klein beetje geheugen en cpu tijd wat weer ten goede komt aan de NAS zelf.

Veel meer kun je niet doen, althans schiet me zo niet snel iets te binnen. Maar binnenshuis maakt dat niet zoveel uit. Zonder wifi hack of malware op een pc is het schier onmogelijk om op een intern netwerk terecht te kunnen komen.
 
Ik kan de NAS dus gewoon dag en nacht aan laten staan als ik deze zaken doorvoer.
 
satshow zei:
Ik kan de NAS dus gewoon dag en nacht aan laten staan als ik deze zaken doorvoer.

Ik denk dat je doormiddel van een simpele test zelf al kan achterhalen of jouw NAS niet toegankelijk is van buitenaf.

Het bereiken van buitenaf doe je dan via jouw 62.251.xxx.xxx ip adres.

Als je dat IP adres invoert in je browser eventueel met poort 80 erachter en je krijgt het inlog scherm te zien van jouw NAS dan klopt er iets niet.   
 
satshow zei:
Ik kan de NAS dus gewoon dag en nacht aan laten staan als ik deze zaken doorvoer.
Jazeker. Dat moet geen probleem heten. En zoals Parabolica al zegt kun je altijd testen, ik kwam er in elk geval niet op.

eventueel met poort 80 erachter
Dat is niet nodig in een browser. Die verbindt altijd automatisch met poort 80 of poort 443. Een poort toevoegen is dus alleen nodig als er sprake is van afwijkend poortgebruik op de server of afwijkende forwarding/routing.
 
Black Tiger zei:
Dat is niet nodig in een browser. Die verbindt altijd automatisch met poort 80 of poort 443. Een poort toevoegen is dus alleen nodig als er sprake is van afwijkend poortgebruik op de server of afwijkende forwarding/routing.

Daar heb jij gelijk in @Black Tiger, ik heb toen ik mijn MYbook wilde benaderen van buiten af een andere poort gebruikt en die poort moest ik toen extra toevoegen.

Er zijn trouwens websites waar je makkelijk diverse poorten kan testen of ze open of dicht staan.
 
Dank je wel. Ik heb via de website de poorten laten scannen en ze zijn allemaal gesloten. Als ik het zo zie dan kan ik de NAS gewoon aan laten staan.
 
Het beste is helemaal geen poorten open te zetten en de NAS middels een VPN verbinding te benaderen, ik moet er niet aan denken een FTP poort open te zetten naar de NAS, als ik dat al doe wordt zal het een SFTP poort worden, dan is de zaak nog enigszins beveiligd tegen meekijken.

Als je een Draytek router hebt, is er een hele makkelijke VPN client voor windows beschikbaar, je kunt ook kiezen voor de optie om alle verkeer over die tunnel te laten gaan, dan lijkt het net of je thuis in je netwerk zit.
 
Het beste is helemaal geen poorten open te zetten en de NAS middels een VPN verbinding te benaderen,
En jij dacht dat je voor VPN geen poorten hoefde open te zetten? Dan lees ik in deze handleiding toch iets anders.

Daarnaast moet je natuurlijk wel weten hoe je zo'n verbinding op zet. En is zo'n verbinding ook van bij vreemden eenvoudig te bereiken? Ik gebruik de NAS bijv. vaker om tooltjes op te halen als ik bij mensen ben om te helpen. Dan gebruik ik hun pc of laptop en moet ik er wel makkelijk bij kunnen.
Zo'n FTP poort open zetten is helemaal niet zo spannend als je het doet voorkomen. Denk maar eens wereldwijd aan al die servers op internet (met name hosting servers) die gewoon met FTP toegankelijk zijn. Bij mij draait ook al jaren gewone FTP en het enige wat je wel eens ziet zijn brute-force aanvallen. En zelfs als ze er in zouden komen dan kunnen ze toch nog alleen maar bij downloads en niet bij belangrijkere spullen.
SFTP gaat via de SSH poort dus dan zou je die ook open zetten. Het is veiliger om die dicht te hebben dan om je FTP poort dicht te hebben als je van buitenaf toegang wilt.

Dus wat ik me afvraag hierbij is in hoeverre e.e.a. wel veilig is als je niet vanaf je eigen computer een verbinding wilt maken. Is de gast computer namelijk voorzien van malware die je verbindingsgegevens jat, dan kan men dus bijna overal bij. Terwijl met een FTP wachtwoord ze alleen in de als FTP toegankelijke directory's kunnen komen.
Of mis ik nu iets?

Even los daarvan heeft niet iedereen een Draytek, die zijn wel wat uitgebreider qua mogelijkheden.

In dit geval allemaal niet van toepassing omdat Satshow hem toch alleen maar binnenshuis wenst te gebruiken.
 



Hosting Fun

Advertenties

Terug
Bovenaan Onderaan