Synology Photo, quickconnect.to en DSM

[Sinna]

Ik loop tegen volgend (eerder) vervelend probleem aan:
Ik wil graag gericht fotomappen in Synology Photo van buitenaf bereikbaar maken (al dan niet afgeschermd met een wachtwoord) via https://[QuickConnectID].quickconnect.to/?launchApp=SYNO.Foto.AppInstance.

Om dat via quickconnect.to toe te laten, moet ik echter DSM aanvinken in de QuickConnect.to relay service, anders krijg ik een foutmelding dat het doel onbereikbaar is.
Ik wil echter niet dat het inlogvenster om in te loggen op DSM zelf van buitenaf bereikbaar is, kwestie van de attack surface toch iets te beperken.

Een gerichte zoektocht op het wereldwijde web levert me weinig bruikbare info op, daarom probeer ik even hier.

[Avenger 2.0]

Ik heb QuickConnect gewoon in zijn geheel uitgeschakeld. Via DynDNS update ik het IP adres en in router zet ik een poort voor Synology Photo open (je kan zelf een random poort kiezen voor verhoogde veiligheid). In de App dan niet vergeten het DynDNS adres te zetten met de poortnummer erbij (mijnadres.dyndns.org:poortnummer) en werkt perfect

[on4bam]

Ik doe het ook zo. Via DynDNS en VPN connecteer ik naar mijn Synology. Ik heb wel volledige toegang maar dat kan per account ingesteld worden.

[edwin.d]

Ik gebruik OpenVPN rechtstreeks op mijn NAS. (Mijn router is te oud)
Deze is gratis.
Je kan er ook mee op de rest van je netwerk.

Je kan ook je (photo) map delen, je krijgt dan een link of een qr code.
Daarmee kan je rechtstreeks in je fotomap.
Je gaat er wel niet kunnen in werken vermoed ik.

[Sinna]

Ik heb QuickConnect gewoon in zijn geheel uitgeschakeld. Via DynDNS update ik het IP adres en in router zet ik een poort voor Synology Photo open (je kan zelf een random poort kiezen voor verhoogde veiligheid). In de App dan niet vergeten het DynDNS adres te zetten met de poortnummer erbij (mijnadres.dyndns.org:poortnummer) en werkt perfect

Mijn uiteindelijke bedoeling is ook om QuickConnect uit te schakelen en Synology Photo gewoon via HTTPS op een 'normaal' FQDN beschikbaar te maken.
VPN is hier niet van toepassing (moet ook gericht met externen mappen/albums kunnen delen).

Ik zie echter nergens waar ik (op DSM) een afzonderlijke poort kan definiëren voor Synology Photo zodat enkel dié toepassing (https://[QuickConnectID].quickconnect.to/?launchApp=SYNO.Foto.AppInstance) van buitenaf bereikbaar is, niet https://[QuickConnectID].quickconnect.to op zich (die op het inlogscherm landt).

Of ik moet een VirtualHost maken op de Synology zelf die intern doorschakelt, maar om dat sluitend te krijgen voor én de pagina waar die ?launchApp=SYNO.Foto.AppInstance op landt én voor gedeelde albums zoals http://[QuickConnectID].quickconnect.to/mo/sharing/[...], dat zal even tijd vergen.

[Avenger 2.0]

Dat klopt, is hier ook dezelfde poort als DSM zie ik nu. Maar gezien het op een random poortnummer staat maak ik mij niet al te veel zorgen dat het 'gehacked' zal worden. En als je de random port forwarding in je router kan doen kan je intern nog poort 5000 behouden eventueel.

[Ken]

De QuickConnect service heeft wat extra veiligheid tegenover portforwarding en blokkeert verbindingen vanaf gekende onveilige bronnen.

Daarnaast kan je naast je eigen firewall ook nog eens de firewall op de NAS inschakelen en op landen filteren, verbindingen enkel toelaten vanaf specifieke landen en netwerken, en dit alles naargelang de gekozen service. Dit is voor zover ik ervaren heb ook van toepassing met de QuickConnect service.

Vergeet dus bij portforwarding zeker niet van te filteren met enerzijds de firewall op je router en ook op de NAS.