Strona 3 z 4
Konfiguracja zapory sieciowej z serwerze Synology
: sob mar 07, 2020 7:37 pm
autor: look12
Skonfiguruj DDNS zamiast QC i nie będziesz musiał przerzucać zapytań do serwerów Synology.
Odpowiadając na pytanie, czy można dopuścić serwer QC zamiast podawać geoip kraju w którym się znajduje serwer - tak można, trzeba poznać adres IP serwera i skonfigurować zaporę dopuszczając adres IP.
Bardzo krytycznie konfigurujesz NAS’a przy okazji wycinasz autoupdate aplikacji i DSM.
Re: Konfiguracja zapory sieciowej z serwerze Synology
: sob mar 07, 2020 7:56 pm
autor: adjustin
look12 pisze: ↑sob mar 07, 2020 7:37 pm
Skonfiguruj DDNS zamiast QC i nie będziesz musiał przerzucać zapytań do serwerów Synology.
Odpowiadają na pytanie, czy można dopuścić serwer QC zamiast podawać geoip kraju w którym się znajduje serwer - tak można, trzeba poznać adres IP serwera i skonfigurować zaporę dopuszczając adres IP.
Bardzo krytycznie konfigurujesz NAS’a przy okazji wycinasz autoupdate aplikacji i DSM.
OK. Co będzie bezpieczniejsze (załóżmy bez VPN)? Tylko dostęp do DSM i synchronizacja plików przez Drive Client poza LANem):
- DDNS,
- czy używanie QuickConnect bez blokowania? Synology jest "dość dumne" z zabezpieczeń wprowadzonych w QuickConnect.
Hmm. Na tych ustawieniach aktualizacja działa. Przed chwilą właśnie mi poszła.
Re: Konfiguracja zapory sieciowej z serwerze Synology
: sob mar 07, 2020 8:18 pm
autor: look12
Osobiście nie używam QC i nie zagłębiałem się w jaki sposób jest rozwiązana jest komunikacja i na ile jest bezpieczna - jest wygodna, nie wymaga przekierowania portów na routerze.
W przytoczonym przez Ciebie przykładzie wystawiasz interfejs zarządzania NAS na adresy z Polski.
Na zewnątrz wystaw to, co musisz wystawić i to w wersji minimum, używaj VPN’a dla usług, do których chcesz mieć dostęp z zewnątrz.
Re: Konfiguracja zapory sieciowej z serwerze Synology
: sob mar 07, 2020 8:33 pm
autor: adjustin
OK. Na zewnątrz przez usługę QuickConnect wystawiam tylko dostęp do DSM z obszaru Polski (no i wychodzi na to, że z Czech też muszę, bo adres z "[
nazwa quickconnect].quickconnect.to" zmienia się na "[
nazwa quickconnect].cz2.quickconnect.to"), oraz Synology Drive. Usługi te wybieram z listy aplikacji w ustawieniach zapory. Jeśli chcę VPN, to go też muszę zaznaczyć. Reszty nie potrzebuję. Jeszcze raz sprawdziłem --> aktualizacje lecą. Powiadomienia też.
Wydaje mi się, że w scenariuszu, gdzie np. nie chcę przekierowywać portów na routerze oraz potrzebuję synchronizację plików poprzez Synology Drive Client poza LANem oraz dostęp do DSM --> jest to w miarę optymalna konfiguracja. Chyba, że możesz mi polecić jakiś inny sposób
(Lub powiedzieć, że upadłem na łeb
)
Konfiguracja zapory sieciowej z serwerze Synology
: sob mar 07, 2020 9:03 pm
autor: look12
QC nie jest popularną i powszechną usługą. Niezależnie jak jest zabezpieczona jej niewielka popularność jest w tym przypadku jej atutem.
Ja osobiście preferuje DDNS i minimum wystawione do internetu, reszta przez VPN.
Dostęp do DSM ustawiłbym za VPN’em, a jeżeli z jakiegoś powodu nie chcesz tak zrobić, to weryfikacja 2-etapowa dla kont administracyjnych.
Re: Konfiguracja zapory sieciowej z serwerze Synology
: sob mar 07, 2020 9:12 pm
autor: adjustin
Podwójna autoryzacja to istotne must have
Wielkie dzięki za podpowiedzi
Re: Konfiguracja zapory sieciowej z serwerze Synology
: śr maja 26, 2021 12:05 am
autor: rafq
Pytanie jak ustawić logi i sprawdzić jak ktoś nas skanuje ?
Re: Konfiguracja zapory sieciowej z serwerze Synology
: śr maja 26, 2021 10:37 am
autor: look12
Automatyczna blokada po nieudanych próbach logowania odłoży się w logu, ale to jeszcze daleko od logów skanowania. Dla skanowania portów na poziomie sieci trzeba by ustawić jakiś zaawansowany analizator ruchu sieciowego, który ma parametryzowane wzorce zachowań. Na DSM jest aplikacja Darkstat, która wyświetla połączenia do i z NAS, ale analiza na podstawie odkładanych logów w tej aplikacji, czy ktoś Ciebie skananuje jest praktycznie niemożliwa.
Re: Konfiguracja zapory sieciowej z serwerze Synology
: pn wrz 20, 2021 2:40 pm
autor: FloydKulis
adjustin pisze: ↑ndz mar 01, 2020 11:00 am
Witam wszystkich,
od wczoraj gnębi mnie zapora sieciowa w Synology. Zastanawiam się, gdzie popełniam błąd, bądź jego oczywistość jest za wielka żebym ją zauważył w mikroskali. Ale do rzeczy, miałbym parę pytań:
1 – czy włączona funkcja QuickConnect coś zmienia w regułach zapory sieciowej? Czy jeżeli ograniczam się tylko do terytorium Polski, to jakimś cudem podczas logowania się poprzez
https://quickconnect.to i wpisując tam nazwę serwera, serwer Synology dostaje IP z innego kraju? Sam już nie wiem….
2 – czy przy włączonym QuickConnect jest sens uruchamiać DDNS, np. oferowane w Synology? Jakieś sugestie? (lub wiadro zimnej wody
)
3 – czy konfiguracja na zdjęciu jest prawidłowa (no i kolejność reguł)? Ale najpierw muszę opisać warunki dostępu do serwera czyli:
- Serwer stoi w Polsce, gdzie organizacja ma stałe IP,
- DSM jest potrzebny do zdalnego logowania dla mnie oraz innej osoby (przy czym chcę zabronić możliwość logowania spoza Polski). Inni użytkownicy mają odebrane uprawnienie dostępu do DSM.
- Synology Drive – synchronizacja jest uruchomiona na „końcówkach” poprzez identyfikator QuickConnect, ale chcę ją ograniczyć tylko do terytorium Polski,
- Uruchomiony jest serwer VPN na Synology dający dynamiczną pulę adresów IP 10.0.0.0 (czyli od 10.0.0.1 do 10.0.0.254)
Screen z konfiguracji oraz komunikatu o błędzie.
1a.PNG
2.PNG
Naoglądałem się poradników i naczytałem i chyba coś nie załapałem ☹ Logując się przez VPN nie ma najmniejszego problemu z dostaniem się przez DSM.
Jeśli chodzi o Synology Drive to cały czas działa i nie ma problemów (czy to przez VPN lub nie). Natomiast jeśli loguję się (oczywiście z terytorium Polski) przez
https://quickconnect.to podając nazwę serwera, to wyskakuje informacja, że jest problem z połączeniem sieciowym i "wypad" do poradnika
Na Qnapie właśnie tak ustawia się Firewall i działają tylko połączenia z PL. Nic nie jest blokowane. Co w moim odczuciu jest logiczne. Niestety po zastosowaniu tych ustawień przestały działać połączenia między aplikacjami po podaniu IP jawnie. Stąd zaszła konieczność wyłączenia przeze mnie firewalla.
Mam rozumieć, że nie ma innego wyjścia jak zastosowanie VPN dla strony DSM? Przyznam się, że chciałbym tego uniknąć. Na Synology udało mi się uzyskać przez proxy revers aby każda strona była po https, czego nie udało mi się zrobić na Qnapie z uwagi na proces jaki trzeba tam zrobić.
Chciałbym, aby tylko IP PL przechodziły a cała reszta była wycięta. Czy da się tak zrobić szybko w tym NAS?
Konfiguracja zapory sieciowej z serwerze Synology
: pn wrz 20, 2021 10:21 pm
autor: look12
FloydKulis pisze:
Chciałbym aby tylko IP PL przechodziły a cała reszta była wycięta. Czy da sie tak zrobić szybko w tym NAS?
Oczywiście, że da się tak ustawić zaporę. Wystarczy skonfigurować ją tak, jak na ekranie z pierwszego postu tego wątku, możesz pominąć wpis z adresacją VPN.