DDNS alternativo a Synology

gibbone45
Utente
Utente
Messaggi: 187
Iscritto il: giovedì 24 luglio 2014, 15:30

Re: DDNS alternativo a Synology

Messaggio da gibbone45 »

Configurazione router:

1) Sezione DDNS: Impostato un DDNS basato su No-Ip
2) Sezione Forwarding-Virtual Server: Definita la porta esposta all'esterno (solo se differente da quella interna alla lan) e la internal port (ovvero quella di management impostata dentro DSM)
3) Sezione DHCP-Address Reservation: In base al mac address dell'interfaccia di rete utilizzata ho impostato una reservation sull'ip che verrà assegnato dal server DHCP

La parte 2 e 3 non sono obbligatorie se non hai deciso di usare una porta diversa rispetto a quella presente in lan e hai impostato l'ip statico del NAS fuori dal pool di IP che assegna il server DHCP del router (se utilizzi questa funzionalità).

Configurazione DSM:

1) Pannello di Controllo - Accessi Esterni: Nel tab DDNS ho impostato sia il DDNS basato sul servizio Synolgy.me che su No-Ip (l'host è diverso da quello del router ed è assegnato ad un altro nome utente e password)
2) Pannello di Controllo - Accessi Esterni: Nel tab Avanzate ho messo il nome DDNS (nello specifico No-IP) e la porta esposta all'esterno (quella che avevo scelto nella sezione Forwarding-Virtual Server del router)
3) Pannello di Controllo - Rete: Nel tab Impostazioni DSM ho impostato la porta predefinita di management

Ora questo impostazioni dovrebbero permetterti sia di collegarti all'interfaccia di gestione del router (in quanto ha un nome host diverso da quello del NAS) che accedere al NAS (acceso) da internet.
Se vuoi anche avere la possibilità di sfruttare le funzioni Wol (Wake On Lan) devi fare altre modifiche sia al router che alla configurazione DSM.
Io le ho impostate in quanto in questo modo posso accendere il NAS quando mi serve e anche dalle applicazioni mobile della Synology :)
  • UPS: Apc Back-UPS CS 500
  • GTW: Marca Modello (v.fw) ISP: Fibra Infostrada (200/20) IP:[Public]
  • NAS: DS414 DSM 6.2.1-23824 Update 6; 4x6TB Seagate IronWolf; LAN:1,2
  • CLI: Debian, Windows 8.1/10, El Capitan
  • EXP: E3 - NET5 PC:W9, M4, L7
cyborg.mi
Utente
Utente
Messaggi: 21
Iscritto il: lunedì 10 novembre 2014, 12:48

Re: DDNS alternativo a Synology

Messaggio da cyborg.mi »

gibbone45 ha scritto:Configurazione router:

1) Sezione DDNS: Impostato un DDNS basato su No-Ip
2) Sezione Forwarding-Virtual Server: Definita la porta esposta all'esterno (solo se differente da quella interna alla lan) e la internal port (ovvero quella di management impostata dentro DSM)
3) Sezione DHCP-Address Reservation: In base al mac address dell'interfaccia di rete utilizzata ho impostato una reservation sull'ip che verrà assegnato dal server DHCP

La parte 2 e 3 non sono obbligatorie se non hai deciso di usare una porta diversa rispetto a quella presente in lan e hai impostato l'ip statico del NAS fuori dal pool di IP che assegna il server DHCP del router (se utilizzi questa funzionalità).

Configurazione DSM:

1) Pannello di Controllo - Accessi Esterni: Nel tab DDNS ho impostato sia il DDNS basato sul servizio Synolgy.me che su No-Ip (l'host è diverso da quello del router ed è assegnato ad un altro nome utente e password)
2) Pannello di Controllo - Accessi Esterni: Nel tab Avanzate ho messo il nome DDNS (nello specifico No-IP) e la porta esposta all'esterno (quella che avevo scelto nella sezione Forwarding-Virtual Server del router)
3) Pannello di Controllo - Rete: Nel tab Impostazioni DSM ho impostato la porta predefinita di management

Ora questo impostazioni dovrebbero permetterti sia di collegarti all'interfaccia di gestione del router (in quanto ha un nome host diverso da quello del NAS) che accedere al NAS (acceso) da internet.
Se vuoi anche avere la possibilità di sfruttare le funzioni Wol (Wake On Lan) devi fare altre modifiche sia al router che alla configurazione DSM.
Io le ho impostate in quanto in questo modo posso accendere il NAS quando mi serve e anche dalle applicazioni mobile della Synology :)
Sei stato molto gentile,scusa per ieri sera ma sono tornato a casa molto tardi,stasera provero' la configurazione e ti faro' sapere,ma penso che se ce l'hai tu cosi' dovrebbe essere giusta, si mi interesserebbe la funzione Wol, per attivare il NAS da remoto,se puoi dirmi come fare te ne sarei grato,intanto grazie per questa cosa ;)
gibbone45
Utente
Utente
Messaggi: 187
Iscritto il: giovedì 24 luglio 2014, 15:30

Re: DDNS alternativo a Synology

Messaggio da gibbone45 »

Ok... Questa sera ti metto anche la configurazione WOL (sperando che quando scritto prima, ti funzioni).
Purtroppo richiede un po' di settings soprattutto lato router in quanto devi fare un "match" tra il mac address e l'ip al quale inviare il magic packet, oltre a far passare tale traffico (per il quale è preferibile non utilizzare la porta standard 7 o 9 UDP, quindi anche in questo caso puoi fare un port forward)
  • UPS: Apc Back-UPS CS 500
  • GTW: Marca Modello (v.fw) ISP: Fibra Infostrada (200/20) IP:[Public]
  • NAS: DS414 DSM 6.2.1-23824 Update 6; 4x6TB Seagate IronWolf; LAN:1,2
  • CLI: Debian, Windows 8.1/10, El Capitan
  • EXP: E3 - NET5 PC:W9, M4, L7
cyborg.mi
Utente
Utente
Messaggi: 21
Iscritto il: lunedì 10 novembre 2014, 12:48

Re: DDNS alternativo a Synology

Messaggio da cyborg.mi »

Ok, ma penso che configurandolo come hai detto tu funzioni. Grazie ancora

Inviato dal mio GT-I9505
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: DDNS alternativo a Synology

Messaggio da dMajo »

gibbone45 ha scritto:... per il quale è preferibile non utilizzare la porta standard 7 o 9 UDP...
Invece sarebbe preferibile usare la udp 9 in quanto per definizione la 9 (udp/tcp) sono delle "no answer" e nessun dispositivo dovrebbe mai rispondere al traffico che gli arriva sulla 9. Semmai per sicurezza impostate una regola sul router che blocchi qualsiasi traffico in uscita su tali porte.

Va considerato anche che il potenziale hacker attraverso la 9 potrebbe unicamente accendere un dispositivo, ma non accedervi ... e per farlo oltre al vs. ip wan dovrebbe conoscere anche il mac address del dispositivo interno (nas in questo caso).
Quindi meglio usare la porta standard a mio avviso (su altre porte, quando i device sono accesi potrebbero anche rispondere al broadcast, a seconda della bontà del loro fw/os).
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
gibbone45
Utente
Utente
Messaggi: 187
Iscritto il: giovedì 24 luglio 2014, 15:30

Re: DDNS alternativo a Synology

Messaggio da gibbone45 »

Beh la tua osservazione è condivisibile.
In ogni caso preferisco avere un port forwarding che redireziona tutte le richieste verso quel determinato IP su quella porta esterna verso la 9.
In questo modo un hacker che dovesse fare un port scanning sul mio router troverà chiaramente la porta 500 (per esempio) aperta e proverà a collegarsi.
Il massimo che riuscirà a fare sarà di avere un redirect su quell'ip alla porta 9 e quindi di fatto sarà isolato nelle opzioni possibili.
Dimmi se è giusto o no come ragionamento in quanto la rete non è il mio ambito primario (lavoro più sui sistemi e i database).
  • UPS: Apc Back-UPS CS 500
  • GTW: Marca Modello (v.fw) ISP: Fibra Infostrada (200/20) IP:[Public]
  • NAS: DS414 DSM 6.2.1-23824 Update 6; 4x6TB Seagate IronWolf; LAN:1,2
  • CLI: Debian, Windows 8.1/10, El Capitan
  • EXP: E3 - NET5 PC:W9, M4, L7
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: DDNS alternativo a Synology

Messaggio da dMajo »

Per il WOL non cambia nulla, deve solo essere un broadcast visto che il device spento non ha un ip. Il device spento non fa caso alla porta basta che riceva il magic packet.

Detto ciò il PAT sulla 9 dal mio punto di vista non ha senso. La sicurezza è data dal ignoranza del mac address. Una porta vale l'altra quando vengono scannate. Eventualmente uno potrebbe considerare opzioni come difesa DoS, DDoS, port-scanning, tracert e supporto SPI, DPI e CSM quando acquista un router ... questo avrebbe molto più senso, invece di ingegnarsi poi con il PAT credendo di risolvere così i problemi.
Se uno vuole un'elemento di sicurezza in più blocca il traffico in uscita. Cosa che dovrebbe comunque esser fatta per tutto (ma almeno obbligatoriamente per quello netbios tipo porte 137-139,445), ovvero il default in uscita del FW dovrebbe essere "blocca" e poi si dovrebbero fare le eccezioni per il traffico richiesto (es. 80/443 verso tutti, altrimenti non si naviga). Questo purtroppo non è alla portata degli utenti domestici, ma andrebbe fatto, se non altro per prevenire che qualsiasi device acquistato (smartphone, player, smarttv, sintoampli ...) trasmetta quello che gli pare a chi gli pare ... e senza considerare in questo eventuali macchine infette ... basta la raccolta delle informazioni sul utilizzo che molti device/sw fanno e che poi tanto osservanti della privacy non sono.
Avere un server DSN interno, su cui esaminare i log ti tanto in tanto aiuta molto, anche senza sniffare il traffico (che richiede poi un livello di conoscenze più alto per analizzarlo) ... ad esempio le smarttv trasmettono un sacco di dati ad un sacco di siti. Qui per bloccare dei siti e sufficiente creare sul server il record che lo ridiriga su 127.0.0.1, mentre sul router andrebbero periodicamente aggiornati, quando cambiano ip. Questo ad esempio è un ruolo che i nas con 512MB o più di ram possono fare tranquillamente, specialmente considerando i carichi di richieste domestici.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
cyborg.mi
Utente
Utente
Messaggi: 21
Iscritto il: lunedì 10 novembre 2014, 12:48

Re: DDNS alternativo a Synology

Messaggio da cyborg.mi »

gibbone45 ha scritto:Beh la tua osservazione è condivisibile.
In ogni caso preferisco avere un port forwarding che redireziona tutte le richieste verso quel determinato IP su quella porta esterna verso la 9.
In questo modo un hacker che dovesse fare un port scanning sul mio router troverà chiaramente la porta 500 (per esempio) aperta e proverà a collegarsi.
Il massimo che riuscirà a fare sarà di avere un redirect su quell'ip alla porta 9 e quindi di fatto sarà isolato nelle opzioni possibili.
Dimmi se è giusto o no come ragionamento in quanto la rete non è il mio ambito primario (lavoro più sui sistemi e i database).
dMajo ha scritto:Per il WOL non cambia nulla, deve solo essere un broadcast visto che il device spento non ha un ip. Il device spento non fa caso alla porta basta che riceva il magic packet.

Detto ciò il PAT sulla 9 dal mio punto di vista non ha senso. La sicurezza è data dal ignoranza del mac address. Una porta vale l'altra quando vengono scannate. Eventualmente uno potrebbe considerare opzioni come difesa DoS, DDoS, port-scanning, tracert e supporto SPI, DPI e CSM quando acquista un router ... questo avrebbe molto più senso, invece di ingegnarsi poi con il PAT credendo di risolvere così i problemi.
Se uno vuole un'elemento di sicurezza in più blocca il traffico in uscita. Cosa che dovrebbe comunque esser fatta per tutto (ma almeno obbligatoriamente per quello netbios tipo porte 137-139,445), ovvero il default in uscita del FW dovrebbe essere "blocca" e poi si dovrebbero fare le eccezioni per il traffico richiesto (es. 80/443 verso tutti, altrimenti non si naviga). Questo purtroppo non è alla portata degli utenti domestici, ma andrebbe fatto, se non altro per prevenire che qualsiasi device acquistato (smartphone, player, smarttv, sintoampli ...) trasmetta quello che gli pare a chi gli pare ... e senza considerare in questo eventuali macchine infette ... basta la raccolta delle informazioni sul utilizzo che molti device/sw fanno e che poi tanto osservanti della privacy non sono.
Avere un server DSN interno, su cui esaminare i log ti tanto in tanto aiuta molto, anche senza sniffare il traffico (che richiede poi un livello di conoscenze più alto per analizzarlo) ... ad esempio le smarttv trasmettono un sacco di dati ad un sacco di siti. Qui per bloccare dei siti e sufficiente creare sul server il record che lo ridiriga su 127.0.0.1, mentre sul router andrebbero periodicamente aggiornati, quando cambiano ip. Questo ad esempio è un ruolo che i nas con 512MB o più di ram possono fare tranquillamente, specialmente considerando i carichi di richieste domestici.
Grazie a tutti e due, ieri sera connesso alla grande grazie a gibbone45 :D , stasera provo la procedura di dMajo per il Wol, poi vorrei chiedere a gibbone45,visto che ha il router come il mio,se aveva provato a collegarlo in VPN, e se si come si configura il nostro router, spero di non approfittare troppo :D .Grazie
gibbone45
Utente
Utente
Messaggi: 187
Iscritto il: giovedì 24 luglio 2014, 15:30

Re: DDNS alternativo a Synology

Messaggio da gibbone45 »

Ciao cyborg.mi,
la VPN non l'ho ancora usata anche se in effetti dovrei provare anche questa funzionalità (in fondo non è mai un male imparare a fare qualcosa in più).
Ad ogni modo ti riporto la configurazione lato router e DSM che ho impostato nel mio caso:

Router:

Ip e Mac Binding-Binding Settings:
Qui devi abilitare l'arp binding e poi cliccare su Add New. Inserire il Mac Address dell'interfaccia Lan del NAS e il suo indirizzo Ip e spuntare la casella Bind.
Il mac Address dell'interfaccia LAN del Nas lo puoi trovare anche dentro la sezione Arp Lists. Il Mac Address puoi trovarlo dentro il DSM sotto Pannello di Controllo-Centro Informazioni-Rete.
Forwarding-Virtual Servers:
Qui puoi decidere che il traffico WOL dall'esterno abbia una porta diversa dalla 9 e quindi come service port metterai una porta diversa, nell'ip metterai l'ip del nas e la porta interna sarà 9 con protocollo UDP. Chiaramente questa opzione non è fondamentale per il funzionamento del WOL.

DSM:
Pannello di Controllo-Hardware e Alimentazione: Qui troverai la voce Abilita WOL su LAN

In questo modo dovresti poter attivare il nas anche da remoto avendo cura di impostare nel programma che invia il Magic Packet il DDNS impostato nel router e la porta 9 (o la Service Port definita nel Forwarding relativamente al WOL)
  • UPS: Apc Back-UPS CS 500
  • GTW: Marca Modello (v.fw) ISP: Fibra Infostrada (200/20) IP:[Public]
  • NAS: DS414 DSM 6.2.1-23824 Update 6; 4x6TB Seagate IronWolf; LAN:1,2
  • CLI: Debian, Windows 8.1/10, El Capitan
  • EXP: E3 - NET5 PC:W9, M4, L7
cyborg.mi
Utente
Utente
Messaggi: 21
Iscritto il: lunedì 10 novembre 2014, 12:48

Re: DDNS alternativo a Synology

Messaggio da cyborg.mi »

gibbone45 ha scritto:Ciao cyborg.mi,
la VPN non l'ho ancora usata anche se in effetti dovrei provare anche questa funzionalità (in fondo non è mai un male imparare a fare qualcosa in più).
Ad ogni modo ti riporto la configurazione lato router e DSM che ho impostato nel mio caso:

Router:

Ip e Mac Binding-Binding Settings:
Qui devi abilitare l'arp binding e poi cliccare su Add New. Inserire il Mac Address dell'interfaccia Lan del NAS e il suo indirizzo Ip e spuntare la casella Bind.
Il mac Address dell'interfaccia LAN del Nas lo puoi trovare anche dentro la sezione Arp Lists. Il Mac Address puoi trovarlo dentro il DSM sotto Pannello di Controllo-Centro Informazioni-Rete.
Forwarding-Virtual Servers:
Qui puoi decidere che il traffico WOL dall'esterno abbia una porta diversa dalla 9 e quindi come service port metterai una porta diversa, nell'ip metterai l'ip del nas e la porta interna sarà 9 con protocollo UDP. Chiaramente questa opzione non è fondamentale per il funzionamento del WOL.

DSM:
Pannello di Controllo-Hardware e Alimentazione: Qui troverai la voce Abilita WOL su LAN

In questo modo dovresti poter attivare il nas anche da remoto avendo cura di impostare nel programma che invia il Magic Packet il DDNS impostato nel router e la porta 9 (o la Service Port definita nel Forwarding relativamente al WOL)
Fatto e funziona tutto :D ,adesso mi manca solo la VPN e poi sono a posto,grazie ancora dell'aiuto ;)
Rispondi

Torna a “(D)DNS”