Toggle sidebar

Synology SRM 1.1.5-6542 Update 3 Portweiterleitung überschreibt Firewall

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
F

Falkenfelser

Benutzer
Registriert
15. Juni 2013
Beiträge
285
Reaktionspunkte
3
Punkte
18
Hallo zusammen,

ich habe heute Morgen festgestellt, dass Portweiterleitungen die Firewallregeln überschreiben.
Hatten wir das nicht schon einmal??? Der Logik zufolge müsste erst die Firewall greifen und dann die Portweiterleitung.
Bug or Feature?

Prüft das mal bitte bei euch und gebt mal bitte eine kurze Rückmeldung.
Danke.

Gruß F.
 
Zuletzt bearbeitet:
Servus,

die Frage hatten wir schon mal :-)

laut Synology/Router/Hilfe

"Wenn der private Port in einer Port-Weiterleitungsregel mit dem Zielport einer Firewall-Regel oder einer UPnP-Client-Listenregel kollidiert, werden diese Regeln zur Durchsetzung in der folgenden Reihenfolge priorisiert: Firewall-Regeln > Portweiterleitungsregeln > UPnP-Client-Listenregeln."

Wie kann man das überprüfen ? Habe einen RT2600AC Router im Einsatz ...

LG

Christian
 
Also meine Konstellation sieht so aus:

port_failture.jpg

...und trotzdem aus dem Ausland erreichbar.
Hiermit getestet: http://www.t1shopper.com/tools/port-scan/

Nachtrag: Ich glaub, ich habs verstanden. Privater Port und Zielport. Verrückte Welt.
Und trotzdem läuft dann was mit der Priorisierung falsch: In meinem Fall: Portweiterleitungsregeln > Firewall-Regeln
oder seh ich das falsch? Im Grunde wäre es sogar richtig :p
Irgendwie seh ich gerade selbst nicht mehr durch.
Jedenfalls funktioniert die Regionssperre nicht.
 
Zuletzt bearbeitet:
Bei der Firewall-Regel (oben) Ziel-IP: Server-LAN1 (192.168.2.200 ?) Port: 80

d.h. Anfrage von "Aussen" auf Port 80 von Deutschland

In der Portweiterleitung wird die Anfrage auf Port 88 weitergeleitet

Habe meine externen Zugriffe auf Österreich beschränkt, erhalte beim Port-Scan folgende Meldung:

"xxxxxxxx isn't responding on port 80 (http)

Nachtrag: Beim mehrmaligen durchlesen meines Beitrages klingt es immer komischer :-)

Bin gerade in der Arbeit, schau mir am Abend das Ganze nochmals an..
 
Zuletzt bearbeitet:
Richtig, aber bei mir lässt er die Anfrage durch und ich finde keinen Fehler.
 
Etwas ist mir noch eingefallen:

Am Router:

Netzwerk/Sicherheit/Firewall

Rechts unten im Eck ist ein nach Oben gerichteter Doppelpfeil !!!
Diesen anklicken !
Da gibts noch weitere Einstellungen für den Fall, dass keine der obigen Firewall-Regeln zutrifft
Sieht bei mir so aus:

Firewall.JPG
 
Also die Portweiterleitung/Firewall arbeitet definitiv fehlerhaft.

Sobald eine Portweiterleitung eingerichtet ist, wird die Firewallregel überschrieben/ignoriert.
Lass mal die Portweiterleitung aktiviert und schalte die ensprechende Firewallregel ab - selbst dann ist der Port noch ansprechbar.
Normalweise sollte es in der Reihenfolge funktionieren: Firewall-Regeln vor Portweiterleitungsregeln und nicht Portweiterleitungsregeln vor Firewallregel.
Deshalb funktionieren auch die Region Einstellungen nicht und meine IDS heult den ganzen Tag rum.
 
Zuletzt bearbeitet:
So, ich hab jetzt mit Hilfe des Supports die Lösung gefunden.
Es ist nicht die Portweiterleitung sondern die Firewallregel an sich.

Bisher hat immer folgende Konstellation funktioniert:
fw_alt.jpg

Richtig wäre aber:
fw_neu.jpg
Dann greift auch die Ländersperre wieder.
 
Sorry, aber das ist genau das unter #6, das ich gepostet hatte .....
 
Naja, nicht ganz. Bei dir steht der Quellport auf 6690 und nicht auf "Alle".
Wenn ich das mache funktioniert die Ländersperre irgendwie nicht mehr.
 
Servus,

das mit 6690 ist so schon ok, Standart-Port von DS-Drive (ehemals Cloudstation)
Hatte Probleme mit dem externen Zugriff auf diverse Virtuelle Maschinen, wo ich beim Zugriff den Port angeben muss(te), da gings nur mit Quellport "Alle"
Hatte ohne "Alle" keinen Zugriff von Extern !

https://meineDS.xxx.at:5001
https://meineDS.xxx.at:1001
https://meineDS.xxx.at:2001

usw.

Habe den Zugriff von "Extern" über Handy-Hotspot + WLAN-Stick-USB getestet
Im "Internen" Netz funktionierte Alles ...

LG

SC
 
Seit der Umstellung stehe ich irgendwie auf dem Schlauch.....
Intern funktioniert alles. Stelle ich beim Router nun WAN zu LAN auf verweigern, kann ich über VPN+ keine LAN Geräte mehr aufrufen. Klingt logisch.
Wie erstelle ich nun aber Regeln um diese Geräte über VPN+ zu erreichen? Diese sollen aber wirklich nur über VPN+ von aussen erreichbar sein. Ich weiss ja auch nicht welche Ports ich da freigeben muss....

Um es klarer zu machen ein Beispiel:
Ich stelle die VPN+ Verbindung her und möchte dann auf meine Syno (192.168.111.111) zugreifen.
Wie sieht die Einstellung aus?

Eine Port Weiterleitung hilft anscheinend nicht weiter.....
 
Servus,
hab da ne Regel mit erlaube IP VPN zu lokale IP erstellt.
 
... und wie sieht die Regel aus?
Textlich ist mir das klar. Ich schreibe ja
Wie erstelle ich nun aber Regeln um diese Geräte über VPN+ zu erreichen?
Zum Vergrößern anklicken....
 
Ämm

Firewall Regel.
Quäl Ip (die des VPN Netz)
Ziel IP (die des lan)
Port alle.
Erlauben.

Fertig.
 
Also bei Quell IP quasi das ganze mögliche VPN Netz mit dem VPN Port und bei Ziel das ganze LAN mit allen Ports. Ist das noch sicher?
Oder jeweils eine Regel VPN + VPN Port an LAN IP mit benötigtem Port.
Ich benötige VPN Zugriff auf 4 LAN Geräte und weiss nicht bei allen über welchen Port das läuft.....
Sorry für die doofe Fragerei, aber es hat noch nicht ganz Klick gemach ;-)
 
Wenn dein VPN eine IP Adresse von 10.1.1.x hat, muss die Regel sein

Quell IP: 10.1.1.0
Port: Alle
Ziel IP: 192.168.0.0 (also IP deines LAN)
Port: Alle

Damit haben die IP 10.1.1.x Zugriff auf Dein LAN. Die 10.x.x.x werden im Internet nicht geroutet.
 
Jetzt!
Logisch!!! Mann bin ich ein Depp. Da stand ich richtig auf dem Schlauch.

Trage ich mal ein und müsste eigentlich gehen. Danke für die Hilfe :-)
Wenns Probleme gibt liest man es hier ;-)
 
Zu früh gefreut ....

Alles eingetragen und gespeichert.

Mit den iPhon kann ich mich über die App mit VPN+ verbinden. Ich kann aber immer noch keine LAN Adresse erreichen.

Mit dem WIN7 PC im Büro kann ich mich nicht einmal mit VPN+ verbinden.
netz.JPG
 
Nochmals alles nachgeschaut und etwas gefunden:
Bildschirmfoto 2017-11-23 um 21.02.06.jpg
Im VPN+ in Client IP Bereich auf Local Network geschaltet und siehe da, über die App geht alles wie gewünscht und ich habe Zugriff auf alles im LAN.

Über einen Browser läuft es leider immer noch nicht. Da kommt immer noch die Fehlermeldung von oben...
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten