Konfiguracja zapory sieciowej z serwerze Synology

Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

Witam wszystkich,
od wczoraj gnębi mnie zapora sieciowa w Synology. Zastanawiam się, gdzie popełniam błąd, bądź jego oczywistość jest za wielka żebym ją zauważył w mikroskali. Ale do rzeczy, miałbym parę pytań:

1 – czy włączona funkcja QuickConnect coś zmienia w regułach zapory sieciowej? Czy jeżeli ograniczam się tylko do terytorium Polski, to jakimś cudem podczas logowania się poprzez https://quickconnect.to i wpisując tam nazwę serwera, serwer Synology dostaje IP z innego kraju? Sam już nie wiem….
2 – czy przy włączonym QuickConnect jest sens uruchamiać DDNS, np. oferowane w Synology? Jakieś sugestie? (lub wiadro zimnej wody :))
3 – czy konfiguracja na zdjęciu jest prawidłowa (no i kolejność reguł)? Ale najpierw muszę opisać warunki dostępu do serwera czyli:
  • Serwer stoi w Polsce, gdzie organizacja ma stałe IP,
  • DSM jest potrzebny do zdalnego logowania dla mnie oraz innej osoby (przy czym chcę zabronić możliwość logowania spoza Polski). Inni użytkownicy mają odebrane uprawnienie dostępu do DSM.
  • Synology Drive – synchronizacja jest uruchomiona na „końcówkach” poprzez identyfikator QuickConnect, ale chcę ją ograniczyć tylko do terytorium Polski,
  • Uruchomiony jest serwer VPN na Synology dający dynamiczną pulę adresów IP 10.0.0.0 (czyli od 10.0.0.1 do 10.0.0.254)

Screen z konfiguracji oraz komunikatu o błędzie.
1a.PNG
2.PNG

Naoglądałem się poradników i naczytałem i chyba coś nie załapałem ☹ Logując się przez VPN nie ma najmniejszego problemu z dostaniem się przez DSM.
Jeśli chodzi o Synology Drive to cały czas działa i nie ma problemów (czy to przez VPN lub nie). Natomiast jeśli loguję się (oczywiście z terytorium Polski) przez https://quickconnect.to podając nazwę serwera, to wyskakuje informacja, że jest problem z połączeniem sieciowym i "wypad" do poradnika :)
Nie masz wymaganych uprawnień, aby zobaczyć pliki załączone do tego posta.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
Awatar użytkownika
michau
Wyrocznia
Posty: 1174
Rejestracja: pt gru 18, 2015 12:03 pm
Lokalizacja: Mińsk Mazowiecki

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: michau »

A czy po takiej próbie zalogowania się pojawia się jakiś adres IP w:
Panel sterowania > Bezpieczeństwo > Konto > Lista dozwolonych/blokowanych IP ?
NAS:
[ MASTER ] Synology DS1515+ | 16 GB RAM | DSM 7 | 5 x WD Red WD60EFRX Btrfs RAID 5
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

Nie jest to do sprawdzenia, bo Synology nie dopuszcza do zaakceptowania takiej konfiguracji. Wcześniej jakimś cudem zaskoczyło, ale wydaje mi się że może coś nie przeładowało. Trochę głupio to tłumaczę, ale już sam nie wiem.

Na chwilę obecną ww. konfiguracja nie może być zaakceptowana przez serwer.

Wysłane z mojego SM-A705FN przy użyciu Tapatalka

DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

Hmmm... ma to sens. Jak tylko będę przy kompie, to sprawdzę.
Zastanawiam się, dlaczego często są takie porady https://mariushosting.com/how-to-set-up ... -blocking/

Wysłane z mojego SM-A705FN przy użyciu Tapatalka

DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

No dobra. Spróbowałem z komórki i lipa. Możecie mi doradzić, jakie i w jakiej kolejności wprowadzić reguły?

Wysłane z mojego SM-A705FN przy użyciu Tapatalka

DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
Awatar użytkownika
michau
Wyrocznia
Posty: 1174
Rejestracja: pt gru 18, 2015 12:03 pm
Lokalizacja: Mińsk Mazowiecki

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: michau »

A jak usuniesz regułę co zabrania wszystko?
NAS:
[ MASTER ] Synology DS1515+ | 16 GB RAM | DSM 7 | 5 x WD Red WD60EFRX Btrfs RAID 5
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

To działa. Ale widziałem w panelu administracyjnym Synology Drive, że pozwolił na synchronizację z Synology Drive Client z Czech.

Wysłane z mojego SM-A705FN przy użyciu Tapatalka

DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
Awatar użytkownika
SnejX
Uczeń Mistrza
Posty: 611
Rejestracja: czw mar 23, 2017 9:12 pm
Lokalizacja: Łódź

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: SnejX »

Reguły mają sens, najpierw zezwala na ruch z konkretnych adresów a na końcu zabrania na "wszystko inne" co nie załapało się na reguły powyżej. .
Dlaczego więc uważasz, że nie mają sensu? Jak byś zbudował kolejność reguł jeśli pierwsza ma zabraniać na wszystko oprócz tego co ma być dozwolone?

Cisco ma taką politykę w ACL-kach, że to co nie zostało dozwolone to z założenia jest zabronione więc nie trzeba robić reguł blokujących.

Tu pewnie chodzi o coś innego a nie znam reguł jakimi w firewallu kieruje się Synology.
look12
Zawsze On-Line
Posty: 514
Rejestracja: ndz sty 24, 2016 10:46 am

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: look12 »

Raczej nie powinno się ustawiać reguły zabraniającej całego ruchu na wszystkich interfejsach, jeżeli wybierzesz z listy rozwijanej konkretny interfejs dostaniesz wybór co ma zrobić zapora jeżeli reguły nie pasują. Tam możesz odrzucić pozostały ruch niepasujący do reguł.
DS916+ /7.1-42661/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

Teoretycznie mogę odrzucić wszystkie pozostałe kraje. Problem w tym, że na jedną regułę można przydzielić 15 warunków. Jak dotrę do kompa to to przetestuję. Jednakże gdyby to tak miało działać, to jest to ciut dziwne.

Wysłane z mojego SM-A705FN przy użyciu Tapatalka

DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
ODPOWIEDZ