Synology SRM 1.1.5-6542 Update 3 Portweiterleitung überschreibt Firewall

Status
Für weitere Antworten geschlossen.

Falkenfelser

Benutzer
Mitglied seit
15. Jun 2013
Beiträge
285
Punkte für Reaktionen
3
Punkte
18
Hallo zusammen,

ich habe heute Morgen festgestellt, dass Portweiterleitungen die Firewallregeln überschreiben.
Hatten wir das nicht schon einmal??? Der Logik zufolge müsste erst die Firewall greifen und dann die Portweiterleitung.
Bug or Feature?

Prüft das mal bitte bei euch und gebt mal bitte eine kurze Rückmeldung.
Danke.

Gruß F.
 
Zuletzt bearbeitet:

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
721
Punkte für Reaktionen
136
Punkte
69
Servus,

die Frage hatten wir schon mal :)

laut Synology/Router/Hilfe

"Wenn der private Port in einer Port-Weiterleitungsregel mit dem Zielport einer Firewall-Regel oder einer UPnP-Client-Listenregel kollidiert, werden diese Regeln zur Durchsetzung in der folgenden Reihenfolge priorisiert: Firewall-Regeln > Portweiterleitungsregeln > UPnP-Client-Listenregeln."

Wie kann man das überprüfen ? Habe einen RT2600AC Router im Einsatz ...

LG

Christian
 

Falkenfelser

Benutzer
Mitglied seit
15. Jun 2013
Beiträge
285
Punkte für Reaktionen
3
Punkte
18
Also meine Konstellation sieht so aus:

port_failture.jpg

...und trotzdem aus dem Ausland erreichbar.
Hiermit getestet: http://www.t1shopper.com/tools/port-scan/

Nachtrag: Ich glaub, ich habs verstanden. Privater Port und Zielport. Verrückte Welt.
Und trotzdem läuft dann was mit der Priorisierung falsch: In meinem Fall: Portweiterleitungsregeln > Firewall-Regeln
oder seh ich das falsch? Im Grunde wäre es sogar richtig :p
Irgendwie seh ich gerade selbst nicht mehr durch.
Jedenfalls funktioniert die Regionssperre nicht.
 
Zuletzt bearbeitet:

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
721
Punkte für Reaktionen
136
Punkte
69
Bei der Firewall-Regel (oben) Ziel-IP: Server-LAN1 (192.168.2.200 ?) Port: 80

d.h. Anfrage von "Aussen" auf Port 80 von Deutschland

In der Portweiterleitung wird die Anfrage auf Port 88 weitergeleitet

Habe meine externen Zugriffe auf Österreich beschränkt, erhalte beim Port-Scan folgende Meldung:

"xxxxxxxx isn't responding on port 80 (http)

Nachtrag: Beim mehrmaligen durchlesen meines Beitrages klingt es immer komischer :)

Bin gerade in der Arbeit, schau mir am Abend das Ganze nochmals an..
 
Zuletzt bearbeitet:

Falkenfelser

Benutzer
Mitglied seit
15. Jun 2013
Beiträge
285
Punkte für Reaktionen
3
Punkte
18
Richtig, aber bei mir lässt er die Anfrage durch und ich finde keinen Fehler.
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
721
Punkte für Reaktionen
136
Punkte
69
Etwas ist mir noch eingefallen:

Am Router:

Netzwerk/Sicherheit/Firewall

Rechts unten im Eck ist ein nach Oben gerichteter Doppelpfeil !!!
Diesen anklicken !
Da gibts noch weitere Einstellungen für den Fall, dass keine der obigen Firewall-Regeln zutrifft
Sieht bei mir so aus:

Firewall.JPG
 

Falkenfelser

Benutzer
Mitglied seit
15. Jun 2013
Beiträge
285
Punkte für Reaktionen
3
Punkte
18
Also die Portweiterleitung/Firewall arbeitet definitiv fehlerhaft.

Sobald eine Portweiterleitung eingerichtet ist, wird die Firewallregel überschrieben/ignoriert.
Lass mal die Portweiterleitung aktiviert und schalte die ensprechende Firewallregel ab - selbst dann ist der Port noch ansprechbar.
Normalweise sollte es in der Reihenfolge funktionieren: Firewall-Regeln vor Portweiterleitungsregeln und nicht Portweiterleitungsregeln vor Firewallregel.
Deshalb funktionieren auch die Region Einstellungen nicht und meine IDS heult den ganzen Tag rum.
 
Zuletzt bearbeitet:

Falkenfelser

Benutzer
Mitglied seit
15. Jun 2013
Beiträge
285
Punkte für Reaktionen
3
Punkte
18
So, ich hab jetzt mit Hilfe des Supports die Lösung gefunden.
Es ist nicht die Portweiterleitung sondern die Firewallregel an sich.

Bisher hat immer folgende Konstellation funktioniert:
fw_alt.jpg

Richtig wäre aber:
fw_neu.jpg
Dann greift auch die Ländersperre wieder.
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
721
Punkte für Reaktionen
136
Punkte
69
Sorry, aber das ist genau das unter #6, das ich gepostet hatte .....
 

Falkenfelser

Benutzer
Mitglied seit
15. Jun 2013
Beiträge
285
Punkte für Reaktionen
3
Punkte
18
Naja, nicht ganz. Bei dir steht der Quellport auf 6690 und nicht auf "Alle".
Wenn ich das mache funktioniert die Ländersperre irgendwie nicht mehr.
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
721
Punkte für Reaktionen
136
Punkte
69
Servus,

das mit 6690 ist so schon ok, Standart-Port von DS-Drive (ehemals Cloudstation)
Hatte Probleme mit dem externen Zugriff auf diverse Virtuelle Maschinen, wo ich beim Zugriff den Port angeben muss(te), da gings nur mit Quellport "Alle"
Hatte ohne "Alle" keinen Zugriff von Extern !

https://meineDS.xxx.at:5001
https://meineDS.xxx.at:1001
https://meineDS.xxx.at:2001

usw.

Habe den Zugriff von "Extern" über Handy-Hotspot + WLAN-Stick-USB getestet
Im "Internen" Netz funktionierte Alles ...

LG

SC
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Seit der Umstellung stehe ich irgendwie auf dem Schlauch.....
Intern funktioniert alles. Stelle ich beim Router nun WAN zu LAN auf verweigern, kann ich über VPN+ keine LAN Geräte mehr aufrufen. Klingt logisch.
Wie erstelle ich nun aber Regeln um diese Geräte über VPN+ zu erreichen? Diese sollen aber wirklich nur über VPN+ von aussen erreichbar sein. Ich weiss ja auch nicht welche Ports ich da freigeben muss....

Um es klarer zu machen ein Beispiel:
Ich stelle die VPN+ Verbindung her und möchte dann auf meine Syno (192.168.111.111) zugreifen.
Wie sieht die Einstellung aus?

Eine Port Weiterleitung hilft anscheinend nicht weiter.....
 

_Axel_

Benutzer
Mitglied seit
08. Mrz 2017
Beiträge
26
Punkte für Reaktionen
0
Punkte
0
Servus,
hab da ne Regel mit erlaube IP VPN zu lokale IP erstellt.
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
... und wie sieht die Regel aus?
Textlich ist mir das klar. Ich schreibe ja
Wie erstelle ich nun aber Regeln um diese Geräte über VPN+ zu erreichen?
 

_Axel_

Benutzer
Mitglied seit
08. Mrz 2017
Beiträge
26
Punkte für Reaktionen
0
Punkte
0
Ämm

Firewall Regel.
Quäl Ip (die des VPN Netz)
Ziel IP (die des lan)
Port alle.
Erlauben.

Fertig.
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Also bei Quell IP quasi das ganze mögliche VPN Netz mit dem VPN Port und bei Ziel das ganze LAN mit allen Ports. Ist das noch sicher?
Oder jeweils eine Regel VPN + VPN Port an LAN IP mit benötigtem Port.
Ich benötige VPN Zugriff auf 4 LAN Geräte und weiss nicht bei allen über welchen Port das läuft.....
Sorry für die doofe Fragerei, aber es hat noch nicht ganz Klick gemach ;-)
 

_Axel_

Benutzer
Mitglied seit
08. Mrz 2017
Beiträge
26
Punkte für Reaktionen
0
Punkte
0
Wenn dein VPN eine IP Adresse von 10.1.1.x hat, muss die Regel sein

Quell IP: 10.1.1.0
Port: Alle
Ziel IP: 192.168.0.0 (also IP deines LAN)
Port: Alle

Damit haben die IP 10.1.1.x Zugriff auf Dein LAN. Die 10.x.x.x werden im Internet nicht geroutet.
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Jetzt!
Logisch!!! Mann bin ich ein Depp. Da stand ich richtig auf dem Schlauch.

Trage ich mal ein und müsste eigentlich gehen. Danke für die Hilfe :)
Wenns Probleme gibt liest man es hier ;-)
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Zu früh gefreut ....

Alles eingetragen und gespeichert.

Mit den iPhon kann ich mich über die App mit VPN+ verbinden. Ich kann aber immer noch keine LAN Adresse erreichen.

Mit dem WIN7 PC im Büro kann ich mich nicht einmal mit VPN+ verbinden.
netz.JPG
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Nochmals alles nachgeschaut und etwas gefunden:
Bildschirmfoto 2017-11-23 um 21.02.06.jpg
Im VPN+ in Client IP Bereich auf Local Network geschaltet und siehe da, über die App geht alles wie gewünscht und ich habe Zugriff auf alles im LAN.

Über einen Browser läuft es leider immer noch nicht. Da kommt immer noch die Fehlermeldung von oben...
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat