DDNS alternativo a Synology
Re: DDNS alternativo a Synology
Configurazione router:
1) Sezione DDNS: Impostato un DDNS basato su No-Ip
2) Sezione Forwarding-Virtual Server: Definita la porta esposta all'esterno (solo se differente da quella interna alla lan) e la internal port (ovvero quella di management impostata dentro DSM)
3) Sezione DHCP-Address Reservation: In base al mac address dell'interfaccia di rete utilizzata ho impostato una reservation sull'ip che verrà assegnato dal server DHCP
La parte 2 e 3 non sono obbligatorie se non hai deciso di usare una porta diversa rispetto a quella presente in lan e hai impostato l'ip statico del NAS fuori dal pool di IP che assegna il server DHCP del router (se utilizzi questa funzionalità).
Configurazione DSM:
1) Pannello di Controllo - Accessi Esterni: Nel tab DDNS ho impostato sia il DDNS basato sul servizio Synolgy.me che su No-Ip (l'host è diverso da quello del router ed è assegnato ad un altro nome utente e password)
2) Pannello di Controllo - Accessi Esterni: Nel tab Avanzate ho messo il nome DDNS (nello specifico No-IP) e la porta esposta all'esterno (quella che avevo scelto nella sezione Forwarding-Virtual Server del router)
3) Pannello di Controllo - Rete: Nel tab Impostazioni DSM ho impostato la porta predefinita di management
Ora questo impostazioni dovrebbero permetterti sia di collegarti all'interfaccia di gestione del router (in quanto ha un nome host diverso da quello del NAS) che accedere al NAS (acceso) da internet.
Se vuoi anche avere la possibilità di sfruttare le funzioni Wol (Wake On Lan) devi fare altre modifiche sia al router che alla configurazione DSM.
Io le ho impostate in quanto in questo modo posso accendere il NAS quando mi serve e anche dalle applicazioni mobile della Synology
1) Sezione DDNS: Impostato un DDNS basato su No-Ip
2) Sezione Forwarding-Virtual Server: Definita la porta esposta all'esterno (solo se differente da quella interna alla lan) e la internal port (ovvero quella di management impostata dentro DSM)
3) Sezione DHCP-Address Reservation: In base al mac address dell'interfaccia di rete utilizzata ho impostato una reservation sull'ip che verrà assegnato dal server DHCP
La parte 2 e 3 non sono obbligatorie se non hai deciso di usare una porta diversa rispetto a quella presente in lan e hai impostato l'ip statico del NAS fuori dal pool di IP che assegna il server DHCP del router (se utilizzi questa funzionalità).
Configurazione DSM:
1) Pannello di Controllo - Accessi Esterni: Nel tab DDNS ho impostato sia il DDNS basato sul servizio Synolgy.me che su No-Ip (l'host è diverso da quello del router ed è assegnato ad un altro nome utente e password)
2) Pannello di Controllo - Accessi Esterni: Nel tab Avanzate ho messo il nome DDNS (nello specifico No-IP) e la porta esposta all'esterno (quella che avevo scelto nella sezione Forwarding-Virtual Server del router)
3) Pannello di Controllo - Rete: Nel tab Impostazioni DSM ho impostato la porta predefinita di management
Ora questo impostazioni dovrebbero permetterti sia di collegarti all'interfaccia di gestione del router (in quanto ha un nome host diverso da quello del NAS) che accedere al NAS (acceso) da internet.
Se vuoi anche avere la possibilità di sfruttare le funzioni Wol (Wake On Lan) devi fare altre modifiche sia al router che alla configurazione DSM.
Io le ho impostate in quanto in questo modo posso accendere il NAS quando mi serve e anche dalle applicazioni mobile della Synology
- UPS: Apc Back-UPS CS 500
- GTW: Marca Modello (v.fw) ISP: Fibra Infostrada (200/20) IP:[Public]
- NAS: DS414 DSM 6.2.1-23824 Update 6; 4x6TB Seagate IronWolf; LAN:1,2
- CLI: Debian, Windows 8.1/10, El Capitan
- EXP: E3 - NET5 PC:W9, M4, L7
Re: DDNS alternativo a Synology
Sei stato molto gentile,scusa per ieri sera ma sono tornato a casa molto tardi,stasera provero' la configurazione e ti faro' sapere,ma penso che se ce l'hai tu cosi' dovrebbe essere giusta, si mi interesserebbe la funzione Wol, per attivare il NAS da remoto,se puoi dirmi come fare te ne sarei grato,intanto grazie per questa cosagibbone45 ha scritto:Configurazione router:
1) Sezione DDNS: Impostato un DDNS basato su No-Ip
2) Sezione Forwarding-Virtual Server: Definita la porta esposta all'esterno (solo se differente da quella interna alla lan) e la internal port (ovvero quella di management impostata dentro DSM)
3) Sezione DHCP-Address Reservation: In base al mac address dell'interfaccia di rete utilizzata ho impostato una reservation sull'ip che verrà assegnato dal server DHCP
La parte 2 e 3 non sono obbligatorie se non hai deciso di usare una porta diversa rispetto a quella presente in lan e hai impostato l'ip statico del NAS fuori dal pool di IP che assegna il server DHCP del router (se utilizzi questa funzionalità).
Configurazione DSM:
1) Pannello di Controllo - Accessi Esterni: Nel tab DDNS ho impostato sia il DDNS basato sul servizio Synolgy.me che su No-Ip (l'host è diverso da quello del router ed è assegnato ad un altro nome utente e password)
2) Pannello di Controllo - Accessi Esterni: Nel tab Avanzate ho messo il nome DDNS (nello specifico No-IP) e la porta esposta all'esterno (quella che avevo scelto nella sezione Forwarding-Virtual Server del router)
3) Pannello di Controllo - Rete: Nel tab Impostazioni DSM ho impostato la porta predefinita di management
Ora questo impostazioni dovrebbero permetterti sia di collegarti all'interfaccia di gestione del router (in quanto ha un nome host diverso da quello del NAS) che accedere al NAS (acceso) da internet.
Se vuoi anche avere la possibilità di sfruttare le funzioni Wol (Wake On Lan) devi fare altre modifiche sia al router che alla configurazione DSM.
Io le ho impostate in quanto in questo modo posso accendere il NAS quando mi serve e anche dalle applicazioni mobile della Synology
Re: DDNS alternativo a Synology
Ok... Questa sera ti metto anche la configurazione WOL (sperando che quando scritto prima, ti funzioni).
Purtroppo richiede un po' di settings soprattutto lato router in quanto devi fare un "match" tra il mac address e l'ip al quale inviare il magic packet, oltre a far passare tale traffico (per il quale è preferibile non utilizzare la porta standard 7 o 9 UDP, quindi anche in questo caso puoi fare un port forward)
Purtroppo richiede un po' di settings soprattutto lato router in quanto devi fare un "match" tra il mac address e l'ip al quale inviare il magic packet, oltre a far passare tale traffico (per il quale è preferibile non utilizzare la porta standard 7 o 9 UDP, quindi anche in questo caso puoi fare un port forward)
- UPS: Apc Back-UPS CS 500
- GTW: Marca Modello (v.fw) ISP: Fibra Infostrada (200/20) IP:[Public]
- NAS: DS414 DSM 6.2.1-23824 Update 6; 4x6TB Seagate IronWolf; LAN:1,2
- CLI: Debian, Windows 8.1/10, El Capitan
- EXP: E3 - NET5 PC:W9, M4, L7
Re: DDNS alternativo a Synology
Ok, ma penso che configurandolo come hai detto tu funzioni. Grazie ancora
Inviato dal mio GT-I9505
Inviato dal mio GT-I9505
Re: DDNS alternativo a Synology
Invece sarebbe preferibile usare la udp 9 in quanto per definizione la 9 (udp/tcp) sono delle "no answer" e nessun dispositivo dovrebbe mai rispondere al traffico che gli arriva sulla 9. Semmai per sicurezza impostate una regola sul router che blocchi qualsiasi traffico in uscita su tali porte.gibbone45 ha scritto:... per il quale è preferibile non utilizzare la porta standard 7 o 9 UDP...
Va considerato anche che il potenziale hacker attraverso la 9 potrebbe unicamente accendere un dispositivo, ma non accedervi ... e per farlo oltre al vs. ip wan dovrebbe conoscere anche il mac address del dispositivo interno (nas in questo caso).
Quindi meglio usare la porta standard a mio avviso (su altre porte, quando i device sono accesi potrebbero anche rispondere al broadcast, a seconda della bontà del loro fw/os).
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html
www.alldataee.com
- UPS: APC SMT2200I+AP9631
- GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M)
- SWC: Netgear GS728TPv2(PoE+)
- 4x HP NJ2000G
- 2x Netgear GS108Tv2
- 2x VigorAP902
- NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4
- DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
- RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
- DS1513+(4GB); DS115j
- ALTRO: Denon AVR-4311
- UE55ES8000Q, UE32ES6800Q, UE22F5410AY
- Galaxy Note8, A5, TabS3; Nokia N8
- EXP: E5: NET9 PC:W9,M0,L6
www.alldataee.com
Re: DDNS alternativo a Synology
Beh la tua osservazione è condivisibile.
In ogni caso preferisco avere un port forwarding che redireziona tutte le richieste verso quel determinato IP su quella porta esterna verso la 9.
In questo modo un hacker che dovesse fare un port scanning sul mio router troverà chiaramente la porta 500 (per esempio) aperta e proverà a collegarsi.
Il massimo che riuscirà a fare sarà di avere un redirect su quell'ip alla porta 9 e quindi di fatto sarà isolato nelle opzioni possibili.
Dimmi se è giusto o no come ragionamento in quanto la rete non è il mio ambito primario (lavoro più sui sistemi e i database).
In ogni caso preferisco avere un port forwarding che redireziona tutte le richieste verso quel determinato IP su quella porta esterna verso la 9.
In questo modo un hacker che dovesse fare un port scanning sul mio router troverà chiaramente la porta 500 (per esempio) aperta e proverà a collegarsi.
Il massimo che riuscirà a fare sarà di avere un redirect su quell'ip alla porta 9 e quindi di fatto sarà isolato nelle opzioni possibili.
Dimmi se è giusto o no come ragionamento in quanto la rete non è il mio ambito primario (lavoro più sui sistemi e i database).
- UPS: Apc Back-UPS CS 500
- GTW: Marca Modello (v.fw) ISP: Fibra Infostrada (200/20) IP:[Public]
- NAS: DS414 DSM 6.2.1-23824 Update 6; 4x6TB Seagate IronWolf; LAN:1,2
- CLI: Debian, Windows 8.1/10, El Capitan
- EXP: E3 - NET5 PC:W9, M4, L7
Re: DDNS alternativo a Synology
Per il WOL non cambia nulla, deve solo essere un broadcast visto che il device spento non ha un ip. Il device spento non fa caso alla porta basta che riceva il magic packet.
Detto ciò il PAT sulla 9 dal mio punto di vista non ha senso. La sicurezza è data dal ignoranza del mac address. Una porta vale l'altra quando vengono scannate. Eventualmente uno potrebbe considerare opzioni come difesa DoS, DDoS, port-scanning, tracert e supporto SPI, DPI e CSM quando acquista un router ... questo avrebbe molto più senso, invece di ingegnarsi poi con il PAT credendo di risolvere così i problemi.
Se uno vuole un'elemento di sicurezza in più blocca il traffico in uscita. Cosa che dovrebbe comunque esser fatta per tutto (ma almeno obbligatoriamente per quello netbios tipo porte 137-139,445), ovvero il default in uscita del FW dovrebbe essere "blocca" e poi si dovrebbero fare le eccezioni per il traffico richiesto (es. 80/443 verso tutti, altrimenti non si naviga). Questo purtroppo non è alla portata degli utenti domestici, ma andrebbe fatto, se non altro per prevenire che qualsiasi device acquistato (smartphone, player, smarttv, sintoampli ...) trasmetta quello che gli pare a chi gli pare ... e senza considerare in questo eventuali macchine infette ... basta la raccolta delle informazioni sul utilizzo che molti device/sw fanno e che poi tanto osservanti della privacy non sono.
Avere un server DSN interno, su cui esaminare i log ti tanto in tanto aiuta molto, anche senza sniffare il traffico (che richiede poi un livello di conoscenze più alto per analizzarlo) ... ad esempio le smarttv trasmettono un sacco di dati ad un sacco di siti. Qui per bloccare dei siti e sufficiente creare sul server il record che lo ridiriga su 127.0.0.1, mentre sul router andrebbero periodicamente aggiornati, quando cambiano ip. Questo ad esempio è un ruolo che i nas con 512MB o più di ram possono fare tranquillamente, specialmente considerando i carichi di richieste domestici.
Detto ciò il PAT sulla 9 dal mio punto di vista non ha senso. La sicurezza è data dal ignoranza del mac address. Una porta vale l'altra quando vengono scannate. Eventualmente uno potrebbe considerare opzioni come difesa DoS, DDoS, port-scanning, tracert e supporto SPI, DPI e CSM quando acquista un router ... questo avrebbe molto più senso, invece di ingegnarsi poi con il PAT credendo di risolvere così i problemi.
Se uno vuole un'elemento di sicurezza in più blocca il traffico in uscita. Cosa che dovrebbe comunque esser fatta per tutto (ma almeno obbligatoriamente per quello netbios tipo porte 137-139,445), ovvero il default in uscita del FW dovrebbe essere "blocca" e poi si dovrebbero fare le eccezioni per il traffico richiesto (es. 80/443 verso tutti, altrimenti non si naviga). Questo purtroppo non è alla portata degli utenti domestici, ma andrebbe fatto, se non altro per prevenire che qualsiasi device acquistato (smartphone, player, smarttv, sintoampli ...) trasmetta quello che gli pare a chi gli pare ... e senza considerare in questo eventuali macchine infette ... basta la raccolta delle informazioni sul utilizzo che molti device/sw fanno e che poi tanto osservanti della privacy non sono.
Avere un server DSN interno, su cui esaminare i log ti tanto in tanto aiuta molto, anche senza sniffare il traffico (che richiede poi un livello di conoscenze più alto per analizzarlo) ... ad esempio le smarttv trasmettono un sacco di dati ad un sacco di siti. Qui per bloccare dei siti e sufficiente creare sul server il record che lo ridiriga su 127.0.0.1, mentre sul router andrebbero periodicamente aggiornati, quando cambiano ip. Questo ad esempio è un ruolo che i nas con 512MB o più di ram possono fare tranquillamente, specialmente considerando i carichi di richieste domestici.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html
www.alldataee.com
- UPS: APC SMT2200I+AP9631
- GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M)
- SWC: Netgear GS728TPv2(PoE+)
- 4x HP NJ2000G
- 2x Netgear GS108Tv2
- 2x VigorAP902
- NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4
- DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
- RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
- DS1513+(4GB); DS115j
- ALTRO: Denon AVR-4311
- UE55ES8000Q, UE32ES6800Q, UE22F5410AY
- Galaxy Note8, A5, TabS3; Nokia N8
- EXP: E5: NET9 PC:W9,M0,L6
www.alldataee.com
Re: DDNS alternativo a Synology
gibbone45 ha scritto:Beh la tua osservazione è condivisibile.
In ogni caso preferisco avere un port forwarding che redireziona tutte le richieste verso quel determinato IP su quella porta esterna verso la 9.
In questo modo un hacker che dovesse fare un port scanning sul mio router troverà chiaramente la porta 500 (per esempio) aperta e proverà a collegarsi.
Il massimo che riuscirà a fare sarà di avere un redirect su quell'ip alla porta 9 e quindi di fatto sarà isolato nelle opzioni possibili.
Dimmi se è giusto o no come ragionamento in quanto la rete non è il mio ambito primario (lavoro più sui sistemi e i database).
Grazie a tutti e due, ieri sera connesso alla grande grazie a gibbone45 , stasera provo la procedura di dMajo per il Wol, poi vorrei chiedere a gibbone45,visto che ha il router come il mio,se aveva provato a collegarlo in VPN, e se si come si configura il nostro router, spero di non approfittare troppo .GraziedMajo ha scritto:Per il WOL non cambia nulla, deve solo essere un broadcast visto che il device spento non ha un ip. Il device spento non fa caso alla porta basta che riceva il magic packet.
Detto ciò il PAT sulla 9 dal mio punto di vista non ha senso. La sicurezza è data dal ignoranza del mac address. Una porta vale l'altra quando vengono scannate. Eventualmente uno potrebbe considerare opzioni come difesa DoS, DDoS, port-scanning, tracert e supporto SPI, DPI e CSM quando acquista un router ... questo avrebbe molto più senso, invece di ingegnarsi poi con il PAT credendo di risolvere così i problemi.
Se uno vuole un'elemento di sicurezza in più blocca il traffico in uscita. Cosa che dovrebbe comunque esser fatta per tutto (ma almeno obbligatoriamente per quello netbios tipo porte 137-139,445), ovvero il default in uscita del FW dovrebbe essere "blocca" e poi si dovrebbero fare le eccezioni per il traffico richiesto (es. 80/443 verso tutti, altrimenti non si naviga). Questo purtroppo non è alla portata degli utenti domestici, ma andrebbe fatto, se non altro per prevenire che qualsiasi device acquistato (smartphone, player, smarttv, sintoampli ...) trasmetta quello che gli pare a chi gli pare ... e senza considerare in questo eventuali macchine infette ... basta la raccolta delle informazioni sul utilizzo che molti device/sw fanno e che poi tanto osservanti della privacy non sono.
Avere un server DSN interno, su cui esaminare i log ti tanto in tanto aiuta molto, anche senza sniffare il traffico (che richiede poi un livello di conoscenze più alto per analizzarlo) ... ad esempio le smarttv trasmettono un sacco di dati ad un sacco di siti. Qui per bloccare dei siti e sufficiente creare sul server il record che lo ridiriga su 127.0.0.1, mentre sul router andrebbero periodicamente aggiornati, quando cambiano ip. Questo ad esempio è un ruolo che i nas con 512MB o più di ram possono fare tranquillamente, specialmente considerando i carichi di richieste domestici.
Re: DDNS alternativo a Synology
Ciao cyborg.mi,
la VPN non l'ho ancora usata anche se in effetti dovrei provare anche questa funzionalità (in fondo non è mai un male imparare a fare qualcosa in più).
Ad ogni modo ti riporto la configurazione lato router e DSM che ho impostato nel mio caso:
Router:
Ip e Mac Binding-Binding Settings:
Qui devi abilitare l'arp binding e poi cliccare su Add New. Inserire il Mac Address dell'interfaccia Lan del NAS e il suo indirizzo Ip e spuntare la casella Bind.
Il mac Address dell'interfaccia LAN del Nas lo puoi trovare anche dentro la sezione Arp Lists. Il Mac Address puoi trovarlo dentro il DSM sotto Pannello di Controllo-Centro Informazioni-Rete.
Forwarding-Virtual Servers:
Qui puoi decidere che il traffico WOL dall'esterno abbia una porta diversa dalla 9 e quindi come service port metterai una porta diversa, nell'ip metterai l'ip del nas e la porta interna sarà 9 con protocollo UDP. Chiaramente questa opzione non è fondamentale per il funzionamento del WOL.
DSM:
Pannello di Controllo-Hardware e Alimentazione: Qui troverai la voce Abilita WOL su LAN
In questo modo dovresti poter attivare il nas anche da remoto avendo cura di impostare nel programma che invia il Magic Packet il DDNS impostato nel router e la porta 9 (o la Service Port definita nel Forwarding relativamente al WOL)
la VPN non l'ho ancora usata anche se in effetti dovrei provare anche questa funzionalità (in fondo non è mai un male imparare a fare qualcosa in più).
Ad ogni modo ti riporto la configurazione lato router e DSM che ho impostato nel mio caso:
Router:
Ip e Mac Binding-Binding Settings:
Qui devi abilitare l'arp binding e poi cliccare su Add New. Inserire il Mac Address dell'interfaccia Lan del NAS e il suo indirizzo Ip e spuntare la casella Bind.
Il mac Address dell'interfaccia LAN del Nas lo puoi trovare anche dentro la sezione Arp Lists. Il Mac Address puoi trovarlo dentro il DSM sotto Pannello di Controllo-Centro Informazioni-Rete.
Forwarding-Virtual Servers:
Qui puoi decidere che il traffico WOL dall'esterno abbia una porta diversa dalla 9 e quindi come service port metterai una porta diversa, nell'ip metterai l'ip del nas e la porta interna sarà 9 con protocollo UDP. Chiaramente questa opzione non è fondamentale per il funzionamento del WOL.
DSM:
Pannello di Controllo-Hardware e Alimentazione: Qui troverai la voce Abilita WOL su LAN
In questo modo dovresti poter attivare il nas anche da remoto avendo cura di impostare nel programma che invia il Magic Packet il DDNS impostato nel router e la porta 9 (o la Service Port definita nel Forwarding relativamente al WOL)
- UPS: Apc Back-UPS CS 500
- GTW: Marca Modello (v.fw) ISP: Fibra Infostrada (200/20) IP:[Public]
- NAS: DS414 DSM 6.2.1-23824 Update 6; 4x6TB Seagate IronWolf; LAN:1,2
- CLI: Debian, Windows 8.1/10, El Capitan
- EXP: E3 - NET5 PC:W9, M4, L7
Re: DDNS alternativo a Synology
Fatto e funziona tutto ,adesso mi manca solo la VPN e poi sono a posto,grazie ancora dell'aiutogibbone45 ha scritto:Ciao cyborg.mi,
la VPN non l'ho ancora usata anche se in effetti dovrei provare anche questa funzionalità (in fondo non è mai un male imparare a fare qualcosa in più).
Ad ogni modo ti riporto la configurazione lato router e DSM che ho impostato nel mio caso:
Router:
Ip e Mac Binding-Binding Settings:
Qui devi abilitare l'arp binding e poi cliccare su Add New. Inserire il Mac Address dell'interfaccia Lan del NAS e il suo indirizzo Ip e spuntare la casella Bind.
Il mac Address dell'interfaccia LAN del Nas lo puoi trovare anche dentro la sezione Arp Lists. Il Mac Address puoi trovarlo dentro il DSM sotto Pannello di Controllo-Centro Informazioni-Rete.
Forwarding-Virtual Servers:
Qui puoi decidere che il traffico WOL dall'esterno abbia una porta diversa dalla 9 e quindi come service port metterai una porta diversa, nell'ip metterai l'ip del nas e la porta interna sarà 9 con protocollo UDP. Chiaramente questa opzione non è fondamentale per il funzionamento del WOL.
DSM:
Pannello di Controllo-Hardware e Alimentazione: Qui troverai la voce Abilita WOL su LAN
In questo modo dovresti poter attivare il nas anche da remoto avendo cura di impostare nel programma che invia il Magic Packet il DDNS impostato nel router e la porta 9 (o la Service Port definita nel Forwarding relativamente al WOL)