Hur säkra upp min Synology NAS?

Trädvy Permalänk
Medlem
Registrerad
Jul 2008

Hur säkra upp min Synology NAS?

Har precis skaffat en DS118 och installerat DSM, Plex, Transmission och än så länge funkar allt bra. Så här i efterhand önskar jag att jag hade gjort mer research och hade då inte valt DS118 som inte stödjer Docker men men, nu får jag behålla denna och göra det bästa av det.

Nu till mina funderingar. Jag undrar hur jag bäst säkrar upp NASen mot alla typer av intrång. Lite kort om hur min setup ser ut och hur den är kopplad.
- NASen är kopplad direkt till en OVPN box/router som krypterar all trafik kopplad till den.
- På NASen har jag gjort följande ändringar från standard inställningar. Bytt standard 5000 & 5001 portar och även aktiverat HTTPS så att all HTTP trafik omdirigeras.

Det jag funderar nu på är hurvida jag bör aktivera brandväggen i NASen, är rädd att det blir väldigt krångligt till en början innan alla regler är satta och vet ej om det är värt besväret. Hur tänker ni gällande detta?
Finns det andra saker man kan göra för att säkra upp?

Trädvy Permalänk
Medlem
Plats
Hedesunda
Registrerad
Dec 2005

Varför exponera den öht mot nätet? "A better practice" är väl att låta den vara gömd bakom NAT och om åtkomst önskas ansluter man via (Open)VPN dvs forwardar enbart port 1194 (eller vad du nu väljer) till NAS'en. Att göra "obfuscate" på portar hjälper föga.

Trädvy Permalänk
Medlem
Registrerad
Jul 2008

@hasenfrasen: Är inte riktigt med på vad du menar här men kommer Plex och Transmission funka som vanligt enligt din variant?
Jag glömde ju skriva att NASen agerar i första hand som en fildelare och kör numera torrentklient på NASen istället för på datorn så jag vill ju att det ska funka smärtfritt.

Trädvy Permalänk
Medlem
Plats
Hedesunda
Registrerad
Dec 2005

Mina tre Synology (XPenology) NAS'ar är NAT'ade. En används som torrentklient (tcp och udp port forward) och OpenVPN-server till mitt LAN samt WebDav-aktiverad (enbart https). En är backup NAS och en annan min vanliga filserver. Sen har jag även en integrity.st vpn (i en Asus RT-N65U med Padavan FW) för utgående trafik och tre pfSense som också kör OpenVPN-server varav en vidarebefodrar via flashback vpn. Bara för att - det är kul att mecka & labba.

Trädvy Permalänk
Medlem
Registrerad
Jul 2008

Skulle behöva lite hjälp med brandvägg inställningar på NASen och mer specifikt, jag behöver hjälp att ställa in så att jag kommer åt Transmission web gränsnittet när jag är på springande fot och behöver surfa in på min iPhone från mobila nätet.

Jag har aktiverat brandväggen på NASen och lagt till en regel att endast ip nummer på LANet (192.168.0.1-100) ska ha tillgång till Synology hanteringssidan & Transmission.
Problemet är när jag försöker lägga till en regel att också släppa igenom ett visst ip nummer utifrån, jag har VPN på mobilen och tillgång till en fast IPv4 adress och det är således den jag vill ska ha access till Transmission gränssnittet från mobil.

På LAN funkar allt kanonbra och jag kommer åt Transmission GUI på adressen: 192.168.0.x/9091 men så fort jag försöker lägga till en regel för min IPv4 adress så funkar det inte längre att surfa in på sidan.

Är det nån som kan hjälpa mig att i första hand skapa regeln i Synology brandväggen och sen om det är nåt annat jag behöver göra i routern också.

Bifogar en bild på hur mina regler ser ut just nu i Synology, det saknas alltså en regel för hur jag ska komma åt Transmission från mobilen.

Trädvy Permalänk
Medlem
Plats
Hedesunda
Registrerad
Dec 2005

Gör det enkelt för dig. Använd VPN så behöver du bara öppna en enda port. NAS'en innehåller en lätt-inställd OpenVPN-server. Då behöver du bara portforwarda 1194 till NAS'en och slipper böka med NAS'en regler eftersom den på-språng-ute-på-stan enhet/klient du anslutit med VPN ser ditt lokala nätverk som om du vore kabel-ansluten hemma. I min mobil har jag lagt en .ovpn fil som importerats i mobilens openvpn-klient. "Save Credentials..." och anslutningen kopplas in/bort med en swipning.

Trädvy Permalänk
Medlem
Registrerad
Jul 2008

@hasenfrasen:

Ursäkta mina kanske dumma frågor men jag är rätt grön på det här med nätverk så ha tålamod
Ja, ok men jag använder ju som sagt redan VPN fast i routern. NASen är kopplad till den så all trafik går ju genom VPN tunneln och det enda jag gjort i NASen är att jag ändrat deras standard DNS adresser till min VPN leverantörs egna.

I routern har jag möjlighet att koppla bort de enheter jag inte vill ska gå genom VPN tunneln, är det detta du menar jag ska göra och istället köra VPN direkt i NASen, vad är skillnaden i så fall? Förstår inte riktigt det.

Trädvy Permalänk
Medlem
Plats
Hedesunda
Registrerad
Dec 2005

...och jag vet inte exakt vad du vill/försöker uppnå. Din ovpn router NAT'ar din trafik så de port forwards du satt upp där bestämmer vad som kommer in - så någon extra brandvägg i NAS är ju onödig.

Trädvy Permalänk
Medlem
Registrerad
Jul 2008
Skrivet av hasenfrasen:

...och jag vet inte exakt vad du vill/försöker uppnå. Din ovpn router NAT'ar din trafik så de port forwards du satt upp där bestämmer vad som kommer in - så någon extra brandvägg i NAS är ju onödig.

Ok, det är ju bra. Då struntar jag i brandvägg på NAS och mitt problem beskrivet i inlägget ovanför är troligtvis istället kopplat till inställningar i routern.
Som jag tidigare skrev så är det inga problem att komma åt Transmission web GUI så länge jag är hemma uppkopplad via LAN men jag får inte det att fungera när jag är på springade fot med mobilen.

Tänker jag rätt i att jag måste öppna 9091 porten i routern för både TCP/UDP?
Och en annan grej jag inte riktigt förstår är vilken adress det är jag ska skriva in i webläsaren på mobilen när jag vill nå Transmission, är det den ip adress jag för tillfället har på mobilen som ska skrivas i, t.ex om jag har adress 80.125.221.50, blir detta rätt i så fall? http://80.125.221.50:9091/web

Trädvy Permalänk
Medlem
Plats
Hedesunda
Registrerad
Dec 2005

Om Transmissions web-gui är på port 9091 ska du forwarda extern trafik till port 9091 i din OVPN router till NAS'ens lokala IP-adress och port 9091.