Konfiguracja zapory sieciowej z serwerze Synology

look12
Zawsze On-Line
Posty: 513
Rejestracja: ndz sty 24, 2016 10:46 am

Konfiguracja zapory sieciowej z serwerze Synology

Post autor: look12 »

Skonfiguruj DDNS zamiast QC i nie będziesz musiał przerzucać zapytań do serwerów Synology.
Odpowiadając na pytanie, czy można dopuścić serwer QC zamiast podawać geoip kraju w którym się znajduje serwer - tak można, trzeba poznać adres IP serwera i skonfigurować zaporę dopuszczając adres IP.
Bardzo krytycznie konfigurujesz NAS’a przy okazji wycinasz autoupdate aplikacji i DSM.
Ostatnio zmieniony sob mar 07, 2020 7:37 pm przez look12, łącznie zmieniany 1 raz.
DS916+ /7.1-42661/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

look12 pisze: sob mar 07, 2020 7:37 pm Skonfiguruj DDNS zamiast QC i nie będziesz musiał przerzucać zapytań do serwerów Synology.
Odpowiadają na pytanie, czy można dopuścić serwer QC zamiast podawać geoip kraju w którym się znajduje serwer - tak można, trzeba poznać adres IP serwera i skonfigurować zaporę dopuszczając adres IP.
Bardzo krytycznie konfigurujesz NAS’a przy okazji wycinasz autoupdate aplikacji i DSM.
OK. Co będzie bezpieczniejsze (załóżmy bez VPN)? Tylko dostęp do DSM i synchronizacja plików przez Drive Client poza LANem):
- DDNS,
- czy używanie QuickConnect bez blokowania? Synology jest "dość dumne" z zabezpieczeń wprowadzonych w QuickConnect.

Hmm. Na tych ustawieniach aktualizacja działa. Przed chwilą właśnie mi poszła.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
look12
Zawsze On-Line
Posty: 513
Rejestracja: ndz sty 24, 2016 10:46 am

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: look12 »

Osobiście nie używam QC i nie zagłębiałem się w jaki sposób jest rozwiązana jest komunikacja i na ile jest bezpieczna - jest wygodna, nie wymaga przekierowania portów na routerze.
W przytoczonym przez Ciebie przykładzie wystawiasz interfejs zarządzania NAS na adresy z Polski.
Na zewnątrz wystaw to, co musisz wystawić i to w wersji minimum, używaj VPN’a dla usług, do których chcesz mieć dostęp z zewnątrz.
DS916+ /7.1-42661/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

OK. Na zewnątrz przez usługę QuickConnect wystawiam tylko dostęp do DSM z obszaru Polski (no i wychodzi na to, że z Czech też muszę, bo adres z "[nazwa quickconnect].quickconnect.to" zmienia się na "[nazwa quickconnect].cz2.quickconnect.to"), oraz Synology Drive. Usługi te wybieram z listy aplikacji w ustawieniach zapory. Jeśli chcę VPN, to go też muszę zaznaczyć. Reszty nie potrzebuję. Jeszcze raz sprawdziłem --> aktualizacje lecą. Powiadomienia też.

Wydaje mi się, że w scenariuszu, gdzie np. nie chcę przekierowywać portów na routerze oraz potrzebuję synchronizację plików poprzez Synology Drive Client poza LANem oraz dostęp do DSM --> jest to w miarę optymalna konfiguracja. Chyba, że możesz mi polecić jakiś inny sposób :D (Lub powiedzieć, że upadłem na łeb :) :))
Ostatnio zmieniony sob mar 07, 2020 11:19 pm przez adjustin, łącznie zmieniany 1 raz.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
look12
Zawsze On-Line
Posty: 513
Rejestracja: ndz sty 24, 2016 10:46 am

Konfiguracja zapory sieciowej z serwerze Synology

Post autor: look12 »

QC nie jest popularną i powszechną usługą. Niezależnie jak jest zabezpieczona jej niewielka popularność jest w tym przypadku jej atutem.
Ja osobiście preferuje DDNS i minimum wystawione do internetu, reszta przez VPN.
Dostęp do DSM ustawiłbym za VPN’em, a jeżeli z jakiegoś powodu nie chcesz tak zrobić, to weryfikacja 2-etapowa dla kont administracyjnych.
Ostatnio zmieniony sob mar 07, 2020 9:03 pm przez look12, łącznie zmieniany 2 razy.
DS916+ /7.1-42661/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

Podwójna autoryzacja to istotne must have :) Wielkie dzięki za podpowiedzi :)
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
rafq
Początkujący
Posty: 9
Rejestracja: ndz maja 23, 2021 1:06 pm

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: rafq »

Pytanie jak ustawić logi i sprawdzić jak ktoś nas skanuje ?
look12
Zawsze On-Line
Posty: 513
Rejestracja: ndz sty 24, 2016 10:46 am

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: look12 »

Automatyczna blokada po nieudanych próbach logowania odłoży się w logu, ale to jeszcze daleko od logów skanowania. Dla skanowania portów na poziomie sieci trzeba by ustawić jakiś zaawansowany analizator ruchu sieciowego, który ma parametryzowane wzorce zachowań. Na DSM jest aplikacja Darkstat, która wyświetla połączenia do i z NAS, ale analiza na podstawie odkładanych logów w tej aplikacji, czy ktoś Ciebie skananuje jest praktycznie niemożliwa.
DS916+ /7.1-42661/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
Awatar użytkownika
FloydKulis
Amator
Posty: 55
Rejestracja: ndz paź 06, 2019 10:18 pm

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: FloydKulis »

adjustin pisze: ndz mar 01, 2020 11:00 am Witam wszystkich,
od wczoraj gnębi mnie zapora sieciowa w Synology. Zastanawiam się, gdzie popełniam błąd, bądź jego oczywistość jest za wielka żebym ją zauważył w mikroskali. Ale do rzeczy, miałbym parę pytań:

1 – czy włączona funkcja QuickConnect coś zmienia w regułach zapory sieciowej? Czy jeżeli ograniczam się tylko do terytorium Polski, to jakimś cudem podczas logowania się poprzez https://quickconnect.to i wpisując tam nazwę serwera, serwer Synology dostaje IP z innego kraju? Sam już nie wiem….
2 – czy przy włączonym QuickConnect jest sens uruchamiać DDNS, np. oferowane w Synology? Jakieś sugestie? (lub wiadro zimnej wody :))
3 – czy konfiguracja na zdjęciu jest prawidłowa (no i kolejność reguł)? Ale najpierw muszę opisać warunki dostępu do serwera czyli:
  • Serwer stoi w Polsce, gdzie organizacja ma stałe IP,
  • DSM jest potrzebny do zdalnego logowania dla mnie oraz innej osoby (przy czym chcę zabronić możliwość logowania spoza Polski). Inni użytkownicy mają odebrane uprawnienie dostępu do DSM.
  • Synology Drive – synchronizacja jest uruchomiona na „końcówkach” poprzez identyfikator QuickConnect, ale chcę ją ograniczyć tylko do terytorium Polski,
  • Uruchomiony jest serwer VPN na Synology dający dynamiczną pulę adresów IP 10.0.0.0 (czyli od 10.0.0.1 do 10.0.0.254)

Screen z konfiguracji oraz komunikatu o błędzie.
1a.PNG
2.PNG


Naoglądałem się poradników i naczytałem i chyba coś nie załapałem ☹ Logując się przez VPN nie ma najmniejszego problemu z dostaniem się przez DSM.
Jeśli chodzi o Synology Drive to cały czas działa i nie ma problemów (czy to przez VPN lub nie). Natomiast jeśli loguję się (oczywiście z terytorium Polski) przez https://quickconnect.to podając nazwę serwera, to wyskakuje informacja, że jest problem z połączeniem sieciowym i "wypad" do poradnika :)
Na Qnapie właśnie tak ustawia się Firewall i działają tylko połączenia z PL. Nic nie jest blokowane. Co w moim odczuciu jest logiczne. Niestety po zastosowaniu tych ustawień przestały działać połączenia między aplikacjami po podaniu IP jawnie. Stąd zaszła konieczność wyłączenia przeze mnie firewalla.

Mam rozumieć, że nie ma innego wyjścia jak zastosowanie VPN dla strony DSM? Przyznam się, że chciałbym tego uniknąć. Na Synology udało mi się uzyskać przez proxy revers aby każda strona była po https, czego nie udało mi się zrobić na Qnapie z uwagi na proces jaki trzeba tam zrobić.
Chciałbym, aby tylko IP PL przechodziły a cała reszta była wycięta. Czy da się tak zrobić szybko w tym NAS?
look12
Zawsze On-Line
Posty: 513
Rejestracja: ndz sty 24, 2016 10:46 am

Konfiguracja zapory sieciowej z serwerze Synology

Post autor: look12 »

FloydKulis pisze: Chciałbym aby tylko IP PL przechodziły a cała reszta była wycięta. Czy da sie tak zrobić szybko w tym NAS?
Oczywiście, że da się tak ustawić zaporę. Wystarczy skonfigurować ją tak, jak na ekranie z pierwszego postu tego wątku, możesz pominąć wpis z adresacją VPN.
DS916+ /7.1-42661/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
ODPOWIEDZ