Nastavení routeru, směrovače

Tento článek se netýká jen Synology NAS, ale ke všem síťovým zařízením (PC, mobil, NAS, tablet atd.) připojený k routeru na vnitřní LAN. Nebudu se zabývat kompletním nastavením routeru, ale jen nastavení předávání portu. Tuto funkci najdete ve webové administraci svého routeru nejčastěji pod názvem: virtual server, forwarding port, předávání portu apod.. Díky této funkci můžete zviditelnit z internetu své zařízení ve vnitřní síti a tím se zařízením i komunikovat.

Jedná se o články k Synology NAS a proto příklady použití budou směřovat k němu, ale týká se to všech síťových zařízení.

Proč směrování portu:

Když jsem doma a dívám se na weby na internetu, nemusím na routeru ohledně směrování portu nic nastavovat. Protože požadavek na prohlížení webu vychází od nás směrem ven k serveru. Vše nastaveno musí být až k přístupu k serveru, v tomto případě nás to až tak nezajímá. My nenastavujeme nic. Co když, ale nějaký server s webem chci provozovat i já? Tedy, aby kamarád u sebe doma napsal mou doménu a objevili se mé webové stránky na mém serveru, který mám doma připojený k domácí síti.

Jak to funguje:

Kamarád zadá http://www.cerni.net do prohlížeče. Jak jsme si popsali v minulém článku, DNS server odpoví prohlížeči pod jakou IP adresou najde tuto doménu. Tato IP adresa je vnější veřejná, kterou jste dostali od svého provozovatele internetu (ISP). Prohlížeč tedy odešle dotaz na IP adresu, kterou dostal s názvem dotazu, který kamarád zadal do prohlížeče, tedy http://www.cerni.net . Dotaz se dostane na Váš router k WAN (protože je to jeho IP adresa). Navíc tím, že se jedná o http:// a nespecifikovali jsme mu žádný specifický port jako http://www.cerni.net:81, je standardně přiřazen port 80 (http://). Router tedy dostal na vstup portu požadavek www.cerni.net . Router ovšem neví kam dále požadavek www.cerni.net poslat ve své vnitřní síti LAN. Obecně jsou v routeru všechny porty z vnější WAN uzavřeny pro všechny zařízení připojené k LAN. Proto musíme v routeru nastavit IP adresu zařízení ve vnitřní síti a ještě přiřadit port, který mu bude přeposílán. Teprve poté router až bude vědět IP adresu zařízení na vnitřní síti a port mu může požadavek přeposlat ke zpracování.


presmerovani_portu.jpg, 28kB
Jak na to:

V první řadě musíte zjistit jakou IP dresu ve vnitřní síti má vaše NAS (např. 10.0.0.101 nebo 192.168.0.100). Každý router přiřazuje jiné vnitřní IP adresy. Jakou má IP adresu vaše Synology NAS jednoduše zjistíte, když se přihlásíte do DSM a podíváte se do ovládacích panelů „Síť“. Poté je nutné se přihlásit do webové administrace routeru. Zde musíme nalézt předávání portů, každý výrobce routeru jej však označuje jinak, např. virtual server, forwading port, předávání portů apod. V této nastavovací kartě je několik polí, kde nastavujeme rozmezí otevřených portů (začátek -> konec) a vnitřní (LAN) IP adresu vašeho NAS. Poté budou tyto porty otevřeny pro danou IP adresu.


tenda_virtual_server.png, 137kB
 

dlink_virtual_server.png, 218kB
Je důležité správné nastavení:
Jak jsem již napsal, jedná se o rozmezí. Můžeme tam napsat i rozmezí 1-10000 a fungovat to bude, ale to by bylo špatně. Každý otevřený port jsou otevřené dveře do Vašeho zařízení. Jsou porty málo ohrožené, jsou i porty velice nebezpečné. Většina portu je standartdzována a některé si můžete nastavovat sami. Je velice dobré vědět, které porty přesně otevřít a zbytek nechat zavřené. Seznam portů i jejich účel najdete určitě spousty, já napíšu pro Synology ty nejčastější. I tak je třeba vědět, který port budete používat a který ne.

Seznam portů:

  • 20,21 – FTP (přenos souborů)
  • 22 – SFTP / SSH (šifrovaný přenos souborů / terminálové šifrované služby)
  • 25 – SMTP (mail server odchozí pošty, přenos pošty)
  • 80 – http:// (webové stránky)
  • 53 – DNS
  • 443 – https:// (šifrované webové stránky – přenos)
  • 465 – SMTP SSL (mail server odchozí pošty šifrovaný SSL)
  • 587 – SMTP StartTLS (mail server odchozí pošty šifrovaný TLS)
  • 993 – IMAP SSL (přístup do poštovní schránky šifrovaně)

Tento seznam portů je pouze okrajově. Portů k využití je mnohem více, stejně tak jako většinu vypsaných portů nevyužijete. Je dobré opravdu otevřít jen ten konkrétní port, který použijete a navíc ještě zvolit ten port, který je obtížně napadnutelný. Volit ty které jsou zabezpečené a šifrované místo otevřených a nezabezpečených.

Odkazy na seznamy portů:

Synology seznam portů

Wikipedie seznam všech standartních portu

Firewall, poskytovatel internetu a další:

Je dobré mít na paměti, že porty se blokují jak na firewallu v NAS tak i u poskytovatele internetu. Může se tedy stát, že i když správně přesměrujete port na Vašem routeru, tak k výsledku se nedoberete. Je třeba zkontrolovat nastavení firewallu a také vědět, jestli Váš poskytovatel internetu již nějaké porty neblokuje. V dávných dobách, byl často blokován například port 25 nezabezpečeného přenosu elektronické pošty.


firewall_synology.png, 68kB