Port forwarding impossibile

domenice

Se navighi correttamente su Internet non cambia nulla. La subnet della LAN la puoi sempre cambiare manualmente se quella di default non ti piace. L'ONT non può assegnargli la subnet LAN, al massimo può assegnarli un IP sulla WAN via DHCP - e se fosse locale non navigheresti. Quella è una funzione del Fritz che cambia automaticamente la subnet LAN in quel caso per tentare di evitare possibili conflitti con il router upstream (se quello è un altro Fritz con la sua subnet standard 192.168.178.0/24) - una funzione pensata per l'utente domestico che non ha la minima idea di cosa sia una subnet e perché debbano essere diverse.

domenice Le porte che bengono usate sono queste e variano a seconda del servizio. È rischioso?

Molte di queste sono porte che è rischioso (alcune estremamamente) esporre direttamente su Internet, altre meno. SMB è sicuramente rischioso, FTP anche se non configurato con certificati TLS, e molte altre porte usare per il trasferimento file. Così come quelle di gestione del dispositivo.

Quelle per i servizi mail se si usa come mail server devono essere ovviamente aperte, ma ogni servizio esposto va protetto adeguatamente. Comunque vanno aperte solo le porte effettivamente necessarie, dopo aver valutato i rischi e implementati gli adeguati meccanismi di protezione. SMBv3 con traffico cifrato e il corretto meccanismo di autenticazione è ben diverso da SMBv1 con NTLM e hash deboli - bisogna sapere cosa si sta facendo.

L'alternativa più semplice è accedere via VPN da remoto alla propria rete, così c'è bisogno di esporre solo il servizio VPN. Ovviamente tutti gli utilizzatori necessitano del client VPN e delle necessarie credenziali.

domenice Io cambio anche router se serve.

Probabilmente non ce n'è bisogno, ma se non spieghi esattamente e in dettaglio quello che vuoi fare è difficile consigliarti la soluizione adatta.

domenice L'idea del vpn è ottima. Il problema è che il sinology drive client non si riesce proprio ad aprire se non dialoga sulla porta. Tutto qui.

Se sei in VPN accedi alla rete locale come se fossi connesso in casa infatti, altrimenti che senso avrebbero le VPN? Lasciare le porte aperte per quanto comodo sembri è la cosa più sbagliata del mondo ed è grazie a questo che abbiamo botnet, attacchi e quant'altro...

Ma il Fritz non ha una pagina dove si imposta la porta da aprire e l'IP verso cui inoltrare le connessioni?

domenice Se le porte sono davvero aperte e non funziona, allora vuol dire due cose. O hai sbagliato l'IP, o il NAS non è in ascolto su quelle porte.

domenice Ritenete cmq così a rischio anche un sistema come synology?

Il rischio devi valutarlo tu - non sappiamo quanto tiene il firmware aggiornato, quali vulnerabilità sono documentate, esattamente quali porte stai tentando di aprire, che dati hai sul Synologu, e cosa comporta per te una compromissione del NAS (dal quale poi si può anche tentare di compromettere il resto della rete). Attenzione solo a non compromettere la sicurezza per una presunta comodità.