Adviezen

Inleiding

Een Synology NAS Server kan heel wat voordelen bieden binnen een lokaal netwerk maar ook op verplaatsing kunnen de diensten gebruikt worden. Maar hoe moet dat dan precies? Wat is port forwarden, waarvoor dient een DMZ en hoe kan Quickconnect hierbij helpen? We leggen het allemaal uit in dit artikel.

Wat is Quickconnect?

We beginnen met Quickconnect aangezien Synology deze dienst zelf ontwikkelde om makkelijk vanop afstand verbinding te maken. Het instellen gebeurt met enkele klikken in het controlepaneel van DSM en vereist enkel een Synology-account (die ook direct & gratis aangemaakt kan worden).

Quickconnect bouwt een virtuele tunnel naar de Synology cloud op. Indien er geen directe verbinding beschikbaar is, dan zal alle verkeer vanop internet over deze tunnel naar onze Synology NAS Server lopen.

  • Quickconnect zal steeds controleren of er een directe connectie mogelijk is. Indien dit wel het geval is, zal het systeem connecties hiernaar doorsturen. Zo wordt de extra tussenstop via hun servers vermeden indien mogelijk.
Diagram met opbouw Quickconnect-connectie
Diagram met connectie via Quickconnect

Waarom dan niet altijd Quickconnect gebruiken?

Quickconnect is in veel gevallen heel handig, maar er zijn ook enkele nadelen/risico’s aan verbonden:

  • Niet alle applicaties kunnen werken met Quickconnect. Enkel Synology’s eigen applicaties ondersteunen dit.
  • Men blijft afhankelijk van Synology’s cloud server om connectie te maken. Als deze niet beschikbaar is, dan is de eigen NAS ook niet bereikbaar.

Soms blijft een directe connectie dus noodzakelijk, b.v. voor het hosten van een website of voor een VPN-server.

Is port forwarding de oplossing?

Is een directe connectie noodzakelijk, dan biedt port forwarding een oplossing. Hierbij wordt alle verkeer dat toekomt op een bepaalde poort doorgestuurd naar een bepaald intern adres (hier onze Synology NAS Server). Bezoekers lijken direct te verbinden met de server, maar eigenlijk stuurt de router dit gewoon door.

Het nadeel van port forwarding is dat dit voor elke poort moet worden ingesteld. Bij het beschikbaar maken van veel diensten moeten dan ook veel regels voor port forwarding worden aangemaakt. Synology DSM heeft wel een functionaliteit aan boord om deze regels “automatisch” aan de router door te geven (meer info) maar dit systeem werkt niet bij alle modellen van routers.

Diagram met connectie via port forwarding

En waarvoor dient de DMZ dan?

DMZ staat voor “DeMilitarized Zone”, ofwel de zone tussen de buitenwereld en het interne netwerk. In de praktijk wordt alle verkeer dat vanop internet op de router toekomt, doorgestuurd naar één locatie, zonder individuele port forwarding. Het goede nieuws is dat dit systeem door de meeste (provider-)routers wordt ondersteund (ook de all-in-one-routers van Telenet & Proximus). De instelling is dan ook makkelijk, door het IP- of MAC-adres van de Synology NAS Server als DMZ te kiezen in de instellingen van de router.

  • Aangezien alle inkomende verkeer wordt doorgestuurd, is het heel belangrijk de firewall goed te configureren aangezien er meer inbraak-pogingen kunnen zijn! (meer info hierover kan gevonden worden in ons artikel Een veilige Synology firewall policy opbouwen)
  • Indien er port-forwarding staat ingesteld (b.v. voor een camera-systeem), dan zal dit normaal gezien voorrang krijgen op de DMZ. Bekijk dus goed of er geen oude regels voor port forwarding meer zijn gedefinieerd!
Diagram van connectie via DMZ

Conclusie

Wij bepalen de beste methode aan de hand van volgende vragen:

  • Is de toegang tot de Synology NAS Server vanop afstand enkel sporadisch nodig, gebruiken we enkel Synology applicaties en/of kunnen we de instellingen van de router niet aanpassen? Dan is het gebruik van enkel Quickconnect een goede oplossing.
    Opm: Ook al is er directe toegang mogelijk, toch activeren wij Quickconnect meestal. Dit biedt namelijk een oplossing voor toegang wanneer er een probleem is met de router-configuratie.
  • Is er de mogelijkheid om een DMZ te activeren, dan is dit de makkelijkste en snelste oplossing voor directe toegang aangezien er geen individuele port forwarding regels moeten worden gedefinieerd. Wel niet vergeten om de firewall goed in te stellen!
  • Is directe toegang noodzakelijk (b.v. voor webserver of VPN-server) en is het gebruik van de DMZ niet mogelijk, dan biedt port forwarding voor individuele poorten de oplossing.
Tags: