Synology NAS instellen voor Experiabox V10a

Ik ben absoluut geen voorstander van UPnP en ik heb voor mijn Synology NAS gewoon port-forwardings gedefinieerd maar als je toch UPnP wilt gebruiken dan zal je eerst UPnP op de Experia Box aan moeten zetten.

Beste wbj,

Ik heb de UPnP aangezet in de router, maar dat lijkt niks te doen.
Voor de zekerheid heb ik de router herstart maar nog steeds kan ik het niet goed gebruiken.
Ik zou het graag zonder UPnP doen, omdat me dat niet veilig lijkt.
Volgens mij moet ik dan de volgende stappen ondernemen:

• DHCP binding voor de Synology NAS te maken op de Experia Box.
• Port-forwarding rules aanmaken op de router (en de nas neem ik aan)

Van dat eerste, de DHCP binning, weet ik niet hoe dat moet. Ik kan die opties niet vinden op de router. (Ze zullen er zeker zijn)

Groet,
Harmsen

Op de V10a noemen ze dat DHCP reservations.

In dit overzicht (klik) kan je de poortnummers vinden die voor de verschillende services geforward moeten worden.

Port-forwardings stel je op de V10a in, op de NAS hoef je daarvoor niets in te stellen.

Heel erg bedankt, het werkt!!!!

OEPS…. Toch iets fout gedaan.
Ik heb nu allerlei problemen met het netwerk.
Alle httpS websites crashen op incorrecte certificaten die allen de naam hebben van de nas.

Ik kan ook niet meer bij de wifi instellingen, omdat ik doorverwezen word naar een pagina van de nas.

Ik neem aan dat ik een port heb geforward die ik niet zou moeten forwarden.
Als ik het goed heb zijn ik de volgende instellingen aangemaakt.
40080 →    80
40081 →    81
40443 →  443
45000→ 5000
45001→ 5001

Welke is er fout?

En kan ik dit oplossen zonder de Router volledig opnieuw in te stellen.

Er is er geen enkele fout en als jij naar http://mijnmodem.kpn gaat dan zou je gewoon op de Experia Box uit moeten komen. Wat gebeurt er als je naar https://192.168.2.254 gaat?

Heb je overigens een synology.me DDNS ingesteld op jouw Synology?

Daarmee kan je een Let's Encrypt certificaat installeren…

...zodat je https netjes met een slotje krijgt.

 Bedankt voor de vlotte reactie, iedereen thuis kan niet fatsoenlijk het internet op.

Met een vpn verbinding lukt het trouwens wel.
Via het ip-aderes naar de router gaan lukt jammer genoeg ook niet:

Volgens mij zijn mijn settings in de nas zoals die van jouw.
Ik zal zo de router resetten en alles opnieuw doen, maar tussen door steeds de toegang tot de router controleren.

Tot zo...

Ik heb alles weer opgezet zoals het was en het lijkt nu deels te werken.
Ik kan namelijk via mijn WAN IP bij de nas:

http://86…...:45000

Werkt en voor lokale toegang werkt:
http://86…….:5000

Ik neem aan dat dat betekend dat port forwarding goed gaat.
Ik kan er alleen niet bij via het DNS adres, in ik zie niet wat er hier verkeerd is.

Mijn certificaat lijkt in orde:

Met lets encrypt heb ik trouwens wel een probleem:

Ik neem aan dat dit samenhangt met het feit dat ik niet bereikbaar ben via DDNS.

Hoi @HarmsenMarb, je hebt het nog niet helemaal zoals je wilt met het aansluiten en bereiken van de NAS. Ik durf ook niet exact te zeggen hoe dit precies zit. Hopelijk kom wjb nog terug en ziet hij het.

Dat laatste zou niet het geval mogen zijn. Ook lokaal zou http://86.......:45000 moeten werken en niet http://86.......:5000.

Dit duidt op een probleem in de hairpin-natting functionaliteit van de V10a.

Ook bij hairpinning ofwel loopback zou de natting van poortnummers moeten plaatsvinden terwijl het er op lijkt dat je in die situatie wel het publieke IP adres kunt gebruiken maar in combinatie met de private poortnummers. Dat is niet zoals het hoort.

Ik hoop dat @Bart_Z dit eens zal voorleggen aan de techneuten van modemdevelopment.

Beste @wjb and @Bart_Z,

Ik heb jullie verkeert geïnformeerd over de adressen die wel en die niet werken. Daarom hierbij een vollediger en correct overzicht.

Lokaal werken de volgende adressen:
http://192.168.2.10:5000/ of https://192.168.2.10:5001/
http://86.****:45000/ of http://86.***:45001/ → zonder https
http://***.myds.me:45000/ of http://***.myds.me:45001/ → zonder https
http://***.myds.me:5000/ of https://***.myds.me:5001/→ dit verbaast mij

Lokaal werken de volgende adressen NIET
http://86.***:5000/ of http://86.***:5001/ → lijkt mij correct
https://86.***:45000/ of https://86.***:45001/ of https://***.myds.me:45001/ of https://***.myds.me:45000/→ allen met https geven foutcode SSL_ERROR_RX_RECORD_TOO_LONG (firefox) en ERR_SSL_PROTOCOL_ERROR (chrome)
Ik vermoed dat de foutcode komt van de het incorrecte ‘Let’s Encrypt’ certificaat.

Extern werken de volgende adressen:
http://86.***:45000/ of http://86.***:45001/
http://***.myds.me:45000/ of http://***.myds.me:45001/ → zonder https (alleen via chrome, firefox weigert hier)

Alle andere adressen weigeren hier, bij https verbindingen krijg ik weer een SSL error.
Vandaag heb ik weer geprobeerd via ‘Lets Encrypt’  een certificaat aan te vragen.
Maar nog altijd wil dit niet lukken. Ik zal er vanavond na mijn werk weer naar kijken.

Groeten,
Harmsen

Dat nieuwe overzicht ziet er een stuk beter uit en is eigenlijk zoals ik het zou verwachten. 

Dat Let's encrypt certificaat is zo te zien gewoon nog geldig en dus zou jij op https://***.myds.me gewoon een slotje moeten krijgen.

Om heel eerlijk te zijn ben ik nu in de war, ik heb geen idee wat er nu nog fout kan zijn maar externe toegang via https wil met certificaat nog steeds niet lukken. Dat terwijl het certificaat geldig lijkt te zijn.
Althans dat is wat Firefox zegt als ik via een lokale https verbinding contact probeer te leggen:
Om het certificaat te vernieuwen moest ik mijn poorten veranderen. Ik route poort 80 van de router direct door naar poort 80 op de nas, evenzo voor 443. Heel blij ben ik daarmee niet

Ik heb inderdaad TCP poort 80 (http) naar mijn Synology geforward.

TCP poort 443 (https) heb ik niet geforward staan.

Goeiedag,

Ik heb ook het filmpje van mydoodads gezien. Nu heb ik 2 vragen die aansluiten op bovenstaand:

1.) @HarmsenMarb heb jij het IP adres van je NAS buiten de DHCP van je router gezet (zoals in het mydoodads video?)

2.) Als ik het allemaal zo lees, heb je 4 opties:

1. UPnP op router en static IP via DHCP bonding (voorwaarde voor UPnP)
2. UPnP op router en static IP buiten DHCP server van router (filmpje, maar werkt niet voor KPN router).
3. Port forwarding op router en static IP via DHCP bonding.
4. Port forwarding op router en NAS buiten DHCP server van router (en zichzelf een static adres laten toe-eigenen, zoals in mydoodads filmpje).

Als ik alles zo afweeg heeft UPnP geen voorkeur ivm mogelijk minder beveiligde apparaten binnen je netwerk. Welke voorkeur heeft optie 3 of 4? Ik kan met voorstellen dat optie 3 de voorkeur geniet als je nog eens van router wisselt?

Beste @mls,

Ik heb inderdaad optie 3 gedaan, puur omdat me dat de eenvoudigste optie leek.
Je kunt vrij eenvoudig in de router een statisch (intern) ip toewijzen aan het mac-adres van de nas.
Als je van nas wisselt zul je dat zeker opnieuw moeten doen. Hoe dit werkt als je de nas zelf een eigen ip laat aanwijzen weet ik niet zeker. Ik neem aan dat dit überhaupt UPnP vereist.

Vriendelijke groeten,
Bram

Hallo @HarmsenMarb 

Ik begrijp toch nog niet helemaal wat je hebt gedaan. Ik krijg de boel ook niet werkend hier. Ik heb mijn NAS op DHCP, en via de router een static IP gegeven. Ik heb een DDNS aangezet met werkend certificaat, zoals hierboven. Maar de port forwarden vraag ik me af of het goed gaat, terwijl ik denk dat ik precies hetzeflde doe. Heb je nu alleen in de router de poorten zoals eerder gespecifieerd? Of toch ook nog in je NAS iets gedaan? En hoe heb je die doorverwijzing?

Ik heb een poort inderdaad aangepast, die van DSM zelf, normaal is dat 5000 (http) en 5001 (https), maark ik heb deze op 45000/45001 gezet, omdat ik uit veiligheid overweging niet de standaard poort wilde gebruiken.

Je kunt dit instellen bij:
Configuratiescherm → Externe toegang → Geavanceerd →DSM (HTTP): “45000” en DSM (HTTPS): “45001”
Hier heb ik ook de hostnaam van mijn nas staan.

en:
Configuratiescherm → Netwerk → DSM-instellingen → DSM-poorten HTTP: “45000” en HTTPS “45001”

Als u deze instelling wilt laten voor wat ze waren kunt u ook de portforwarding wijzigen. Vervang 45000 door 5000 en 45001 door 5001.

Groeten

Bedankt voor de snelle reactie, nog even op volgorde de juiste acties welke ik heb gevolgd (ook voor anderen met de een Synology NAS):

1.) NAS →  Netwerk → Netwerk interface → op DHCP network zetten, zodat deze een IP-adres krijgt binnen de range van de router, standaard is 0-200.

2.) Router → LAN → LAN DHCP, je NAS een vast IP adres geven.

3.) Makkelijkste weg zou nu zijn via Router UPnP aanzetten en via NAS → Router configuration de juiste poorten configureren. Echter omdat de Experia Box niet gevonden wordt in de routerlijst op de NAS (juni 2020), de volgende alternatieve route hieronder. Ook zullen mensen vanwege het inherent onveilige UPnP de volgende aanpak preferen:

4.) NAS → External Access → DDNS → een DDNS toevoegen, zodat dit extern te benaderen is.

5.) NAS → Security → Certificate → hier een certificate koppelen aan de NAS met Let’s Encrypt.

6.) Router → Poort openzetten (80/5000/5001/443 en welke je nog meer nodig hebt, zie lijst op Synology).

7.) NAS → Externe toegang → Geavanceerd → HTTP en HTTPS poorten nummers aanpassen aan het public port welke je genoemd hebt op je router in stap 6 (standaard is dit 5000/5001, maar hierboven in t voorbeeld 45000/45001). En Hostname/public static IP invullen.

@HarmsenMarb @wjb Is bovenstaand correct verwoord?

Volgens mijn is dit goed. Het enige waar ik over twijfel is de volgorde van stap 5 en 6.
Het zou kunnen dat je de poorten eerst open moet zetten voordat je het certificaat kan ophalen.
Maar dat weet ik niet zeker. Verder is het precies wat ik gedaan heb.

Stap 5 en 6 moeten inderdaad omgedraaid worden immers het is voor Let's Encrypt vereist dat op de http poort een verbinding tot stand kan komen.

Ik ben geen NAS expert en heb het stappenplan 1-7 doorgelezen, maar het is voor mij helaas niet uitgebreid/gedetailleerd genoeg. Ik ben bij stap 5 en 6 blijven steken (als ik het goed begrijp zou 6 voor 5 moeten). Concreet zijn mijn vragen:

Stap 6. Hoe zet ik poorten open op mijn Expedia box en waar vind ik de lijst van Synology die in de volgende zin bedoeld wordt.... "en welke je nog meer nodig hebt, zie lijst op Synology"

Stap 5.  Hoe koppel ik een certificaat aan mijn NAS? Ik zie op de NAS bij NAS - Beveiliging - Certificaat drie certificaten staan: a) een Synology DDNS Certificate, b) een Synology Quickconnect Certificate en c) een Synology certificaat. Welke van deze drie certificaten moet ik koppelen en hoe doe ik dat?

Stap 7. Is de statische IP het IP van de NAS? En wat moet ik in de bovenstaande stappen 1-7 overal veranderen als ik in plaats van de poorten 5000 en 5001 de poorten 40000 en 40001 wil gebruiken? Is dat veiliger? 

Dan nog een laatste vraag. Ik heb de indruk dat de Expedia router wel door de Synology NAS herkend wordt als UPnP op de router aangezet wordt. Klopt dat? En welk stappenplan zou er dan gevolgd moeten worden? Is het veilig om UPnP aan te zetten? 

Heel veel dank alvast!!! 

​​

Mijn advies: Gebruik geen UPnP, voor je het weet heb je services naar Internet open staan die je niet open wilt hebben staan. Stel altijd zelf port-forwardings in zodat je weet welke services beschikbaar gemaakt worden.

Super bedankt, ik vermoedde dit al. Zou je me ook willen helpen met mijn andere vragen? Heel veel dank!