Polskie Forum Synology

Witam wszystkich,
od wczoraj gnębi mnie zapora sieciowa w Synology. Zastanawiam się, gdzie popełniam błąd, bądź jego oczywistość jest za wielka żebym ją zauważył w mikroskali. Ale do rzeczy, miałbym parę pytań:

1 – czy włączona funkcja QuickConnect coś zmienia w regułach zapory sieciowej? Czy jeżeli ograniczam się tylko do terytorium Polski, to jakimś cudem podczas logowania się poprzez https://quickconnect.to i wpisując tam nazwę serwera, serwer Synology dostaje IP z innego kraju? Sam już nie wiem….
2 – czy przy włączonym QuickConnect jest sens uruchamiać DDNS, np. oferowane w Synology? Jakieś sugestie? (lub wiadro zimnej wody )
3 – czy konfiguracja na zdjęciu jest prawidłowa (no i kolejność reguł)? Ale najpierw muszę opisać warunki dostępu do serwera czyli:

• Serwer stoi w Polsce, gdzie organizacja ma stałe IP,

• DSM jest potrzebny do zdalnego logowania dla mnie oraz innej osoby (przy czym chcę zabronić możliwość logowania spoza Polski). Inni użytkownicy mają odebrane uprawnienie dostępu do DSM.

• Synology Drive – synchronizacja jest uruchomiona na „końcówkach” poprzez identyfikator QuickConnect, ale chcę ją ograniczyć tylko do terytorium Polski,

• Uruchomiony jest serwer VPN na Synology dający dynamiczną pulę adresów IP 10.0.0.0 (czyli od 10.0.0.1 do 10.0.0.254)

Screen z konfiguracji oraz komunikatu o błędzie.
Naoglądałem się poradników i naczytałem i chyba coś nie załapałem ☹ Logując się przez VPN nie ma najmniejszego problemu z dostaniem się przez DSM.
Jeśli chodzi o Synology Drive to cały czas działa i nie ma problemów (czy to przez VPN lub nie). Natomiast jeśli loguję się (oczywiście z terytorium Polski) przez https://quickconnect.to podając nazwę serwera, to wyskakuje informacja, że jest problem z połączeniem sieciowym i "wypad" do poradnika

A czy po takiej próbie zalogowania się pojawia się jakiś adres IP w:
Panel sterowania > Bezpieczeństwo > Konto > Lista dozwolonych/blokowanych IP ?

Nie jest to do sprawdzenia, bo Synology nie dopuszcza do zaakceptowania takiej konfiguracji. Wcześniej jakimś cudem zaskoczyło, ale wydaje mi się że może coś nie przeładowało. Trochę głupio to tłumaczę, ale już sam nie wiem.

Na chwilę obecną ww. konfiguracja nie może być zaakceptowana przez serwer.

Wysłane z mojego SM-A705FN przy użyciu Tapatalka

Hmmm... ma to sens. Jak tylko będę przy kompie, to sprawdzę.
Zastanawiam się, dlaczego często są takie porady https://mariushosting.com/how-to-set-up ... -blocking/

Wysłane z mojego SM-A705FN przy użyciu Tapatalka

No dobra. Spróbowałem z komórki i lipa. Możecie mi doradzić, jakie i w jakiej kolejności wprowadzić reguły?

Wysłane z mojego SM-A705FN przy użyciu Tapatalka

A jak usuniesz regułę co zabrania wszystko?

To działa. Ale widziałem w panelu administracyjnym Synology Drive, że pozwolił na synchronizację z Synology Drive Client z Czech.

Wysłane z mojego SM-A705FN przy użyciu Tapatalka

Reguły mają sens, najpierw zezwala na ruch z konkretnych adresów a na końcu zabrania na "wszystko inne" co nie załapało się na reguły powyżej. .
Dlaczego więc uważasz, że nie mają sensu? Jak byś zbudował kolejność reguł jeśli pierwsza ma zabraniać na wszystko oprócz tego co ma być dozwolone?

Cisco ma taką politykę w ACL-kach, że to co nie zostało dozwolone to z założenia jest zabronione więc nie trzeba robić reguł blokujących.

Tu pewnie chodzi o coś innego a nie znam reguł jakimi w firewallu kieruje się Synology.

Raczej nie powinno się ustawiać reguły zabraniającej całego ruchu na wszystkich interfejsach, jeżeli wybierzesz z listy rozwijanej konkretny interfejs dostaniesz wybór co ma zrobić zapora jeżeli reguły nie pasują. Tam możesz odrzucić pozostały ruch niepasujący do reguł.

Teoretycznie mogę odrzucić wszystkie pozostałe kraje. Problem w tym, że na jedną regułę można przydzielić 15 warunków. Jak dotrę do kompa to to przetestuję. Jednakże gdyby to tak miało działać, to jest to ciut dziwne.

Wysłane z mojego SM-A705FN przy użyciu Tapatalka