Kan Synology niet benaderen vanuit VLAN (UniFi)

[Baggie]

Beste mede NAS beheerders,

Ik loop hier tegen iets geks aan.
Ik heb een IoT VLAN netwerk aangemaakt op mijn Unifi Dream Machine.
Alles draait al jaren aardig stabiel met de firewall regels die ik heb ingesteld.

Het probleem
Ik wil nu alleen een andere apparaat vanuit het IoT netwerk, verbinding laten maken met de NAS, aangezien hij daar wat data vanaf moet plukken. Als ik echter verbind met het IoT netwerk (vanaf mijn laptop of telefoon) dan kan ik helemaal niet in de Synology NAS komen.

Als eerste regel heb ik
Lan in
Allow established en related sessions
Source
port/IP
any
any
Destination
port/IP
any
any

Ik heb als tweede regel in de firewall regels staan, dat heel het IoT netwerk toegang zou moeten (zie bijlage) hebben tot de NAS (later ga ik dat verder dicht timmeren), echter kan ik dus niet verbinden. Ik weet bijna zeker dat het iets is bij de Synology, want als ik de tweede firewall regel aanpas naar mijn andere Linux server, dan kan ik dingen toestaan en blokkeren, en dit werkt ook gewoon.

Ik heb overigens de Firewall van de Synology uitgezet, zodat ik ook zeker weet dat dit niet het probleem kan geven.
Ook heb ik gekeken of ik misschien in de "blocklist" stond van de Synology, maar ook dit is niet het geval

Heeft iemand enig idee waar ik nog kan zoeken. Ik heb echt geen idee wat hier nu fout gaat en loop een beetje tegen een mysterie aan.

 

[Davey400]

Kennen NAS en client beiden het adres van de router? (Gateway)

 

[Baggie]

Kennen NAS en client beiden het adres van de router? (Gateway)

De nas zit in het lokale netwerk dus die kan er sowieso bij.

Maar heb net vanaf de default LAN een ping gedaan naar de Unifi router, en krijg daar response op
Daarna met het IoT netwerk verbonden, en ook vanuit daar krijg ik een reactie.

Ik heb namelijk nu ook alles zo open gegooid om achter het probleem te komen, dat ik zelf in de webinterface van de router kan komen vanaf het IoT VLAN netwerk. Normaal heb ik dat dicht getimmerd.

 

[Eddie the Eagle]

Als je alle zelf aangemaakte firewall regels pauzeert.....werkt het dan wel ? Bij mij wel, ik kan dan met een laptop op IoT netwerk mijn Synology pingen die in Default netwerk staat. Zodra ik die firewall regels weer aanzet, is de pret voorbij, zoals ik dat wil.

 

[Baggie]

Als je alle zelf aangemaakte firewall regels pauzeert.....werkt het dan wel ? Bij mij wel, ik kan dan met een laptop op IoT netwerk mijn Synology pingen die in Default netwerk staat. Zodra ik die firewall regels weer aanzet, is de pret voorbij, zoals ik dat wil.

Ik heb nu alles uitgezet, maar nog steeds kan ik vanaf het IoT de Synology niet benaderen.
Zoals gezegd heb ik nog een Linux server draaien, en deze kan ik wel gewoon benaderen.

Ik kan ook geen dockers benaderen die op de Synology draaien, en wel de dockers die op de andere server draaien (ze zitten in hetzelfde netwerk)

De firewall op de Synology staat verder uit, en zoals eerder al gezegd sta ik niet in de blocklist van de synology

 

[Baggie]

Kan er wellicht een security setting zijn binnen Synology, die ervoor zorgt dan een VLAN niet naar binnen kan/mag o.i.d.?
Ik heb er nog nooit van gehoord, maar misschien is zoiets aan de hand, aangezien ik de rest van mijn netwerk wel gewoon kan benaderen vanaf het IoT netwerk

 

[Eddie the Eagle]

Ik heb nu alles uitgezet, maar nog steeds kan ik vanaf het IoT de Synology niet benaderen.

Dan hoef je het dus niet in de firewall van de UDM te zoeken. Als je niks doet, dan is alle Inter-VLAN verkeer gewoon toegestaan.

Kan er wellicht een security setting zijn binnen Synology, die ervoor zorgt dan een VLAN niet naar binnen kan/mag o.i.d.?
Ik heb er nog nooit van gehoord, maar misschien is zoiets aan de hand, aangezien ik de rest van mijn netwerk wel gewoon kan benaderen vanaf het IoT netwerk

Niet dat ik weet, ik heb het zojuist getest op mijn DS220+ met firewall gepauzeerd en het werkt gewoon. Wat je kunt doen is de UDM & NAS eens een reboot geven. Of.....wel heel drastisch, een factory reset; je kunt altijd weer een backup terugzetten.

 

[Baggie]

@Eddie the Eagle

Klopt, daar was ik al mee begonnen dat het een gek probleem was, en dat ik bijna zeker weet dat het niet bij de Unifi ligt.
Echter omdat de firewall van de Syno nu uit staat, sta ik ineens met mijn handen in het haar. Ik snap er werkelijk niks van. Alles zou toegelaten moeten worden.

En het ligt ook niet bij de client, want ik test het op diverse apparaten hier.

Ik heb de Unifi gisteren al een reboot gegeven, en ga nu even de Syno rebooten. Kijken of dat iets doet.

 

[Eddie the Eagle]

Echter omdat de firewall van de Syno nu uit staat, sta ik ineens met mijn handen in het haar. Ik snap er werkelijk niks van. Alles zou toegelaten moeten worden.

Ik heb nooit iets met die firewall gedaan van de Syno.

 

[Baggie]

@Eddie the Eagle
Dat hoeft ook niet perse. Ik heb hem nu ook even uit staan.

Ik heb net de Syno herstart, en had een heel kort moment dat ik op de DSM login te zien kreeg in het IoT netwerk.
Echter helemaal opgestart kan ik er niet meer in komen vanaf het IoT. Vanaf de normale LAN kan ik er wel gewoon in.
Ik heb voor de zekerheid de Firewall regels nog even uit staan in Unifi

 

[Eddie the Eagle]

Ik heb net de Syno herstart, en had een heel kort moment dat ik op de DSM login te zien kreeg in het IoT netwerk.

en met ping ?

 

[Eddie the Eagle]

Even getest met GUI, die vind ie bij mij ook niet leuk met de broadcast naam; da`s logisch. Je moet op IP adres benaderen.

 

[Baggie]

en met ping ?

Pingen naar de NAS gaat ook niet vanaf het IoT, Ik kan wel pingen naar de router

Even getest met GUI, die vind ie bij mij ook niet leuk met de broadcast naam; da`s logisch. Je moet op IP adres benaderen.

Hoe kom je erbij dat ik via broadcast naam de NAS benader? Ik wil juist alles uitsluiten en benader mijn nas dus gewoon op https://192.168.0.11:5001

 

[Eddie the Eagle]

Dat heb ik eerder al aangegeven, Pingen vanaf IoT naar de NAS gaat gewoon.

dan heb ik dat gemist

benader mijn nas dus gewoon op https://192.168.0.11:5001

en via poort 5000 ?

 

[Baggie]

@Eddie the Eagle
Nee sorry ik had een fout gemaakt, dat ging over het pingen van de router en niet de NAS. De nas kan ik niet pingen.

Ik ga nu even de http poort aanzetten en proberen

 

[Eddie the Eagle]

Hoe kom je erbij dat ik via broadcast naam de NAS benader?

Dat was een gedachte omdat dat bij mij ook niet werkt; die broadcast naam komt waarschijnlijk niet buiten het eigen subnet.

 

[Baggie]

Dat was een gedachte omdat dat bij mij ook niet werkt; die broadcast naam komt waarschijnlijk niet buiten het eigen subnet.

Nee snap ik, maar ook al zou ik het via die weg doen. Ik heb een eigen DNS server draaien die de boel resolved. Dus ook dat zou in theorie moeten werken.

Maar ik benader nu alles even via het IP om alles uit te sluiten

 

[Eddie the Eagle]

De nas kan ik niet pingen.

Ok, da`s essentieel, dan gaat poort 5000 ook niet werken.

 

[Baggie]

Is er een firewall actief op de NAS?

Nope, heb ik al meerder keren aangegeven.

Echter..... @Eddie the Eagle, Ik ben wat verder.
Ik ga nu even dingen uitsluiten, maar nadat ik container manager had gestopt op de NAS, begon alles te werken.

Ik ben hem nu weer aan het opstarten, om te kijken of daar echt het probleem vandaag komt (zou ergens gek zijn lijkt mij). Maar ik had het net afgesloten op de NAS, en prompt kom ik overal in.

 

[Baggie]

@Eddie the Eagle

Oke ik kan het nu officieel bevestigen dat Container manager op de Synology de boosdoener is.
Zodra ik Container manager weer opstart, kan ik er niet meer in.

Ik heb dit echt nooit meegemaakt. Wat kan container manager nou veroorzaken dat ik niet meer in mijn NAS kan komen vanaf een VLAN?