Što danas najviše cijenimo? To je sigurno individualno pitanje, ali ako se samo orijentiramo na IT segment mislim da će kod većine ljudi odgovor biti, podaci, privatni pristup istima ili nešto u tom stilu. Današnji način komunikacije, suradnje i izmjene podataka moguć je praktički s uređaja koji su prije ne tako puno godina bili nezamislivi, no to je samo pola priče. Kako osigurati da pristup tim podacima bude jednostavan, ali i siguran, je nešto što mene osobno interesira i nameće se uvijek kao prvo pitanje. Uz sva silna public cloud rješenja koji put se teško odlučiti što koristiti, a ne malo puta se dogodi i da koristimo nekoliko pružatelja navedenih usluga pa se čovjek i počne pitati gdje je ono spremio dokument koji mu sada presudno treba. Jednostavnost korištenja i besplatni prostor su samo neki od privlačnih elemenata koji mnoge vuče na ovakva rješenja, no koliko je to sve sigurno? Gotovo svaki od pružatelja će sigurno osigurati siguran pristup podacima, no što je s pristupom tim podacima od strane samog pružatelja usluga? Ili pak nadležnih tijela koji nalogom mogu dobiti pristup istima? To su neka pitanja na koja smo kroz razne nedavne prilike mogli vidjeti kako završavaju. Jedni opravdavaju takvo ponašanje, drugi traže kompletnu anonimnost, ali na kraju nema garancije. Ono na što bi se htio osvrnuti je kako to izgleda kada ste zaista vlasnik svojih podataka koji su dostupni uvijek na siguran i privatan način. Synology DSM 6.2 (Disk station manager)Zadnjih 8 godina pratim NAS rješenja i kao jedan od vodećih brendova (svakako ne jedini) je Synology. Njihova paleta uređaja iz godine u godinu raste, ali ono što je važnije je njihov OS. Pravu razliku čini kvalitetan OS, a DSM to definitivno jest. Samo kratko, za one koji možda nisu upućeni, DSM je web sučelje kojem se pristupa svim funkcijama NASa a specifično je to što je vizualno prezentirano kao radna površina nekog operativnog sustava. Za one koji žele vidjeti to u akciji: https://www.synology.com/en-global/dsm/live_demo SigurnostIako je trenutno još u beti, verzija 6.2 donosi niz poboljšanja i novih funkcija od kojih će većina biti podržana i na modelima starim i preko 5 god. Neke funkcije kao i moduli, tražit će i novi file sustav (BTRFS za razliku od standardnog EXT4), no to je opet nešto što će samo određeni modeli i moći koristiti. Synology u zadnje 3 godine jako ulaže u mjere sigurnosti što im je i bila jedna od glavnih zamjerka i moram priznati da se to jako osjeti. Kao što se osjetilo u negativnom smislu prije par godina sa Synolockerom, tako se i vidi da je naglasak na rješavanje i krpanje sigurnosnih propusta brži i jači nego ikada. Od prošle godine Synology je i ovlašten od strane MITRE korporacije kao CVE Numbering Authority (CNA), a ujedno imaju i ‘response team’ koji izbacuje kritične sigurnosne zakrpe unutar 24h. Od prošle godine (DSM 6.1), Synology je i službeno počeo podržavati izdavanje Let’s Encrypt SSL certifikata. Za one kojima nije poznato, LE je kompletno besplatni CA (certificate authority) za izdavanje SSL certifikata. Laički, to je ono što vam daje onaj lijepi zeleni lokot na vašem web siteu kojeg želite podijeliti sa svijetom. Naravno LE certifikat se mora osvježiti svakih 90 dana, ali hej, besplatni su. Nabavka jednog NAS uređaja će kod nekih značiti centralno mjesto za backup Interneta, drugima, kao backup onih samo bitnih podataka, a nekom će služiti i kao mjesto na kojem će imati razne aplikacije i servise koji bi trebali biti dostupni u bilo koje vrijeme, bili gdje i s bilo kojeg uređaja. Ja koristim NAS za sve navedene situacije :D. Dakle kako osigurati da pristup informacijama bude što manje izložen vanjskom svijetu, ali opet dostupan vama (ili ljudima kojima je potreban)? Synology hardening 101Ok nabavio se NAS i sada bi htjeli pristupati istome preko interneta, lokalno, s tableta, telefona, iz zahoda. Super. Sve je moguće, ali neke stvari ipak treba pripremiti i konfigurirati kako bi se smanjio broj mogućih vektora napada na vaš uređaj (Kinezi jako vole napadati SSH na portu 22, tako da… mm da, to treba riješiti). Ovo su koraci koje mislim da su apsolutni minimum kako bi se otvorili prema van, ali opet osigurali što je više moguće:
Ok, možda će netko reći ako je ovo minimum što je onda sve moguće i potrebno da imam 100% sigurnost? E pa nema 100% sigurnosti. Kao što je navedeno ideja je da minimiziramo moguće vektore napada ne da ih u potpunosti uklonimo. Ako je to nešto što je potrebno, onda ne otvarajte NAS prema Internetu, drugog nema. Mislim da i bez posebnog naglaska, ali ću ga svejedno navesti, ide i činjenica da treba DSM držati up to date sa zadnjim zakrpama što je više moguće (pogotovo ako su to sigurnosne zakrpe). Mnogi izbjegavaju ovo raditi regularno, jer još uvijek u većini slučajeva Synology DSM traži reboot proceduru što je malo naporno, ali od 6.1 verzije došlo je to određenih razdvajanja dijelova DSM komponenti na pojedine aplikacije kako bi na razini OS ostao što manji broj servisa koji traže međusobnu ovisnost. Ovo generalno radi dobro, ali budite spremni resetirati/nadograditi OS barem jednom mjesečno. Let's Encrypt certifikat implementacijaKao što je navedeno od verzije DSM 6.1 izdavanje LE certifikata je nešto što je moguće napraviti unutar samog DSMa bez problema. Naravno i dalje to nije preduvjet i jasno mogu se koristiti i kupljeni certifikati koji su komercijalno dostupni. E sada koliko bi se ljudi odlučilo na taj korak to je pitanje, no LE je priznat kao ravnopravni autoritet koji se prepoznaje od strane svih popularnih preglednika. Dakle više stvarno nema razloga imati web servise dostupne na 'nesigurnim' https ili http adresama. Ovo je izuzetno bitno ako servise dijelite s nekim kolegama, korisnicima ili poznanicima. U današnje vrijeme kada se pojavi neki error u pregledniku, većina korisnika bježi glavom bez obzira i ne želi koristiti uslugu, što je ok, ali sve se to lako izbjegne korištenjem punokrvnog LE certifikata. Izdavanje LE certifikata je vrlo jednostavno i traži svega nekoliko minuta i jedan wizard. Važno je napomenuti da prilikom kreiranja certifikata imamo opciju i definiranja ‘subject alternative names’. To polje dozvoljava da se izdani certifikat koristi i za neke druga domenska imena, primjerice, imena koja jednoznačno obilježavaju neki servis kojem želite da korisnici pristupe. Uzmimo za primjer da napravite certifikat imena: mojadomena.synology.me, u SAN polje možete onda odvajanjem sa ; znakom unijeti i slijedeća imena: file.mojadomena.synology.me; office.mojadomena.synology.me; notes.mojadomena.synology.me; chat.mojadomena.synology.me i slično. Dakle svaki put kada putem web preglednika krenete na neko od vaših alternativnih imena, a koristite LE certifikat, i dalje će https komunikacija biti ispravna. Nema potrebe izdavati nove pojedinačne certifikate za svaki servis. Application portal - korisnički prihvatljiv način pristupa servisimaNakon što se posloži lijepo ddns ime preko https-a, možda je i vrijeme složiti specifično dostupne servise na dediciranim web adresama. Osim što će vama i korisnicima vaših servisa ovo biti 'ljepše' i lakše pamtljivo, ovo je i jedan od načina da sakrijete što se zapravo krije iza navedene adrese. Pod ovime mislim njeno pravo ime i recimo port. Nikada ne znate tko ima kakve skrivene namjere. Zadržimo se na svijetloj strani i činjenici da nemate korisnika koji žele napraviti neku štetu, ako ste složili LE certifikat s alternativnim imenima, ovo je super prilika da i iste koristite. Kao što je vidljivo iz slike, ovisno o tome koje aplikacije imate instalirane, DSM će ih dodati u popis aplikacija koje se mogu konfigurirati sa specifičnim imenom ili čak na nekim drugim portovima. APP portal
U konačnici možemo imati uredne, sigurne web adrese koje možete podijeliti sa svojim korisnicima koji imaju potrebe koristiti specifične aplikacije. Pristup recimo Note Station i Chat aplikaciji je nekome apsolutno potreban dok pristup DSM glavnom desktopu jednostavno ne želite dozvoliti iz sigurnosnih razloga. Ovo je vrlo elegantan način da osigurate što manje stresa sebi i korisnicima. 2FA - 2 step autentificationMislim da danas i ptice na grani znaju za pojam sekundarne verifikacije. Ovo ne treba shvatiti olako i jednostavno ignorirati jer zaštite nikada nije dovoljno. U DSM svijetu 2FA se konfigurira na razini pojedinih korisničkih računa i topla je preporuka da se isti i koristi. Naravno može se i podesiti da se 2FA koristi standardno za sve accounte ili samo recimo za administratore. Svi poznati i manje poznati servisi koriste 2FA za prijavu u svoje sustave (recimo icloud.com) pa eto i od verzije DSMa 6, Synology je implementirao isti. Njegovo korištenje je jednostavno koliko bi čovjek i očekivao za sekundarnu autorizaciju. Potrebno je prošetati kroz wizard koji će konfigurirati uređaj koji želite da bude 2FA token generator i stvar je riješena. Dodatnih par sekundi koje mogu značiti sigurnost ili propast. Potrebno je napomenuti da ako se odlučite na 2FA obavezno imate svoj NAS u sync-u s točnim vremenom. Manja odstupanja su dozvoljena, ali ne previše tako da provjerite da DSM ima točno up to date vrijeme. Za ove potrebe konfigurirajte 'Time Setting' da koristi neki od NTP servera (Control Panel > Regional Options > Time). Preporuka je da se koristi NTP za razliku od manualno podešenog vremena ako ništa drugo onda zbog pomicanja sata. Ukoliko bude problema s vremenom, 2FA neće prolaziti i nakon nekoliko pokušaja ćete zaključati korisnički račun. Naravno nema panike jer postoji link na ekranu za prijavu baš za takve situacije, ali jednostavnije je imati točno vrijeme. VPN serverKao jedan od zadnjih koraka u ovoj priči bi mogla biti i konfiguracija VPN pristupa prema vašem NASu. Osobno koristim VPN server konfiguraciju na NASu kao jedan od načina pristupa znatnom broju servisa koje želim imati dostupne, ali opet ne javno dostupne preko interneta. Prednost VPNa je upravo to da se možete spojiti s bilo kojeg uređaja nazad u vašu lokalnu mrežu i koristiti pristup uređajima i servisima kao da ste 'doma'. Potrebno je propustiti VPN mrežni promet prema internetu, naravno, ali barem nije onda potrebno za svaki servis pojedinačno otvarati portove kako bi istima pristupili. Synology DSM radi s 3 vrste VPN protokola od čega bi PPTP trebalo izbjegavati u širokom krugu zbog slabe zaštite koju za današnje pojmove ima. Dakle ostaju OpenVPN i L2TP/IPSec. Osobno koristim OpenVPN na svim uređajima i radi jako dobro. Dobra stvar je što se spajanje na VPN okolinu može napraviti da koristi prethodno konfiguriran DDNS zapis i LE certifikat. Cijeli proces započinje instalacijom VPN server paketa iz Package Center-a. Prikaz VPN server kontrolnog sučelja
Nakon toga ostaje konfiguracija parametara mrežnog raspona, porta, protokola i enkripcije. Ovo će varirati ovisno o vašim osobnim preferencijama i mrežnoj konfiguraciji, ali i o OpenVPN klijentu kojeg ćete koristiti. Za razliku od L2TP-a koji je nativno podržan od strane macOS i iOS-a, OpenVPN traži dediciranog klijenta. Njih naravno ima puno, od free do komercijalnih, ali osobno koristim Viscosity klijent koji postoji za macOS, win i linux okoline, dok za iOS koristim OpenVPN službeni klijent. Priča kod svih je jednaka. Nakon što se na VPN server strani sve konfigurira i posloži, radi se export konfiguracije (preko tipke unutar sučelja) i nakon toga se isti ubacuje u klijenta. Jedina predradnja je da se konfiguracijska datoteka otvori kako bi se zapisala server destinacija prije samog importa u klijentsku aplikaciju. Za te potrebe se koristi DDNS ime koje je javno dostupno kako bi se uspješno prilikom spajanja napravila rezolucija imena i uputio promet prema vašem NAS uređaju, odnosno u konačnici prema lokalnoj mreži. Super. Sada kada smo se spojili, što dalje? Ništa specijalno. Radite sa svim mrežnim uređajima i servisima kao da ste fizički spojeni na lokalnu mrežu. Ono što treba navesti je da uređaji i servisi koji rade preko Bonjour protokola neće raditi. Napraviti da se uređaji vide uredno preko Findera za vrijeme trajanja OpenVPN konekcije neće raditi out-of-the-box i u nekim slučajevima zahtjeva hw i sw konfiguraciju na mreži kako bi se to omogućilo. Mislim da to nije potrebno jer se vrlo jednostavno možete povezati sa svojim uređajima (recimo pristup datotekama na NASu i slično) putem 'Connect to Server' naredbe unutar Findera. Potrebno je jednokratno definirati putanju koju ćete koristiti kada se spojite na VPN te putem nje inicirati spajanje na shared putanje koje su dostupne na NASu ili na nekom drugom mrežnom uređaju. Nakon uspješne autorizacije podaci će biti vidljivi. Jednostavno, brzo i ne traži nikakvu dodanu konfiguraciju, a opet dovoljno za situacije u kojima se treba pristupiti podacima sa neke udaljene lokacije. ZaključakZaključak je, nikada dosta sigurnosti. Da je sve moguće jednostavno osigurati postojao bi jedan gumb i problem riješen. Poanta priče je ne otvarati servise prema internetu ako to apsolutno nije nužno. Ako je neizbježno, osigurajte se maksimalno kako bi sebi i korisnicima servisa osigurali siguran i ugodan rad. |
Komentari
Jedno pitanje - ako sam dobro shvatio, možeš NAS podesiti za VPN pristup bez korištenja nekog posebnog namjenskog VPN routera? Ili?
Ako ti NAS može poslužiti za VPN pristup sam po sebi, može li on biti VPN router za pristup npr. do printera ili do Macova u lokalnoj mreži po AFP protokolu? Ili po FTPu? Ili...?
A Synology, pretpostavljam, pod normalno podržava AFP? Da li radi razumno brzo ili kilavi kao D-linkov DNS-320? :)
Da li su printeri u nekom drugom mrežnom subnetu/klasi? Ili su isto u 192.168.x.x rasponu? Je li imaš neko firewall pravilo koje ti eliminira mrežnu vidljivost do njih?
Share printera preko Synota nisam probao iskreno pa tu ne mogu tvrditi 100% da bi to trebalo raditi, ali ne vidim nekog velikog razloga zašto ne, no klasični standalone printer mora raditi.
intuitivno, objasnjeno taman kako treba...
Što se tiče crkavanja, da može se mountati volume na recimo Ubuntu distribuciju kako bi se došlo do podataka bez da se nužno mora kupiti ili koristit drugi Syno NAS
Iako, ako kužim, to (BTRFS) nije nešto što treba korisniku koji ga misli koristiti kao file server, backup i tako to...?
A može li se na Synologyju formirati TM backup particija kojoj bi TM pristupao po svom nahođenju? Pretpostavljam da može jer to sam svojevremeno izmađijao na D-Linkovom DNS-320 NASu iako na 10.6.8 to nije bilo upogonjivo samo tako...
Rusty, sve pohvale na detaljnom prikazu Synologyeva DSM-a. Moja firma koristi Syno uredjaje vec godinama, kod korisnika ih imamo instaliranih nebrojeno, i to u svakakvim kombinacijama.
Od klasicnih NAS uredjaja integriranih u MS Active Directory, preko iSCSI i FTP servisa za funkcije backup storagea razlicitih servera i platformi (MS Windows, VMware vSphere) uz primjenu Acronis i Veeam backup softvera, do virtualizacijsk og storagea za Hyper-V, i remote backup sinhroniziranih sustava na relacijama od par stotina km udaljenih lokacija.
Naravno, postoje i scenariji u kojima smo Syno upotrijebili cak i kao poslovni mail i web server za odredjene korisnike. I super dobro je dosao LE SSL, jer tesko je korisniku objasniti da SSL certifikati velikih CA-ova nisu najjeftiniji na svijetu.
Kod nas u tvrtki cak koristimo i prilicno modificirani cak i osTicket kao platformu za helpdesk, s ticketing sustavom izdavanja radnih naloga i pracenja aktivnosti. Odlican softver, s losim supportom developer communitya, ali kad proradi, radi sjajno.
Meni osobno posebno se svidja njegov backup software - HyperBackup i svi moguci nacini na koje moze raditi, ukljucujuci i Time Machine kind of backup za koji se Smayoo interesira. Provjeren u milijun situacija za recovery file sistema, mail serverskih mailboxa, i td. I da... radi i kao aplikacijski backup sustav, tako da je u potpunosti svjestan pojedinih aplikacija koje su dostupne putem Package Centera poput servera baza podataka, web servera, itd.
Time Machine podrska je sjajna, i zbilja radi upravo onako kako bi i Steve zelio :)
Ali jedino za sto apsolutno ne koristimo Syno je upravo VPN. Razlog nije u manjkavosti Syno VPN funkcija (iako mi je za oko odmah zapeo screenshot s SHA-1 autentikacijom ;)). Za funkcije VPN-a primjenjujemo iskljucivo Fortinetova rjesenja jer integriraju vrhunsku UTM zastitu od svih mogucih prijetnji zajedno s IPSec i SSL VPN uslugama.
Drago mi je vidjeti da ima korisnika koji koriste ovakve uređaje u više enterprise okruženju, a ne samo SOHO situacijama.
Veselim se nastavku priče, jer volim čitati o različitim scenarijima upotrebe Synovih NAS-eva.
U poslu prvenstveno preferiramo "ozbiljnije" rack izvedbe poput aktualnih RS815RP+ i RS816, pa nadalje. Ali za male korisnike i one u kućnom okruženju, fascinira količina funkcija.
Osobno doma koristim DS216play s 4k podrškom, a iskonfiguriran je na način da osim Media Server funkcije radi i kao Time Machine storage, te kao Video Surveilance. Jednostavno, sjajan mali stroj s jednako impresivnim DSM-om.
Jedino što uvijek iznova lhjuti su povremeni DSM updatei koji znaju zeznuti stvar. Primjerice, imao sam slučaj kada je potpuno pogubio i DSM, i diskove. Istina, uspio sam sve oporaviti, potrajalo je dobar dio dana. Nije izgubljen niti jedan byte podataka, ali nije bilo ugodno.
Od tada više na Syno uređajima ne dopuštam automatizirani update na najnoviju verziju, već isključivo critical update. Sve ostalo...nakon objave nove verzije pričekam Update 1 ili Update 2, pa tek onda krenem u tu avanturu. Nekako me to podsjeća na Appleove "bisere" sa svakim major releas-om iOS-a ili macOS-a, kada se pojave problemi kojih do tada nije bilo. Iskustvo čini čuda.
Uskoro ide meni nabavka novog 918+ modela, a trenutni 211j na sekundarnoj lokaciji ću zamijeniti sa aktualnim 412+. Broj servisa koje koristim je popriličan i kako si rekao izuzetni su strojevi što se sve može sa njima.
Trenutno pišem članak o Dockeru pa ćemo vidjeti da li će uredništvo u dogledno vrijeme odobriti tekst.
DSM je ažuriran. Probao sam isključiti enkripciju na SMB file services sekciji ali nije pomoglo. Inače podešen je da koristi SMB v3 ili minimum SMB v2 w large MTU. Mac je wifijem spojen ali radi odlično i nemam problema s net downloadom npr...
Hvala.
kad je smb mountan onda prijenos ide BRŽE ali zapne i stoji. dok afp-om ide konstantno ali 500-700KBps :-/
Ako si ovo primijetio netom prije nadogradnje onda je sigurno nešto na macos strani pogotovo ako radi na win kako bi trebalo. Probaj AFP preko findera pa vidi koji max speed dobiješ.
kupljen novi nas koji koristimo za backup i share fajlova primarno.
Imam jedno security related pitanje.
Da li ima smisla odjeliti storage na vise volume-sa? Tipa da imam volume, private (kojem se moze pristupati samo lokalno) i public (kojem se moze pristupati od bilo kud)?
Jasno mi je da se to radi permissionima na samim shared folderima, ali da li bi i ova volume razina dodatno doprinijela sigurnosti?
Takodjer, preko Rijeckog svucilista koristim Cisco Annyconnect VPN za pristupanje sveucilisnim web administracijam a ... bi li bilo tesko podesiti syno da, izuzev sa lokalne mreze, mu se moze pristupiti samo sa odredjene staticne IP addrese (anyconnect ima staticni IP) kao oblik zastite?
Hvala
Obično razbijanje na više volumea ima smisla ako je riječ o različitim diskovima koji će onda u kombinaciji sa diskvoima (SSD vs HDD) pridonjeti brzini i generalnoj organizaciji aplikacija i podataka na tim poljima. Takođe ovisi i o količlini diskova. Ako je to NAS sa 4 ili manje diskova, možda ima smisla to razbijati na recimo RAID1 + RAID0 ili RAID1 + 2x SINGLE, ali kažem to će ovisiti o tome koja je primarno namjena.
Ako se to gleda sa kuta sigurnosti, svi shared folderi koji su u rootu bilo kojeg volume-a definirati će prava upravo na toj razini i "dublje", tako da po meni neće baš imati previše smisla razbijati ih na volume samo radi sigurnosti.
ecvis17 je rekao:
Ovisno o tome koji je brand NASa pitanje je kakve built in opcije ima. Ako nema moglo bi se preko FW ispred tog NASa napraviti konfiguiracija koja bi imala željeni rezultat. Također ako NAS ima svoj FW layer može se isto napraviti i na njemu. Bilo kakav mrežni pristup ide preko specifičnog protokola i porta, tako da, nema toga što se ne može ograničiti na specifične IP adrese koje mu mogu pristupiti.
Model je Synology DS220+ (https://www.synology.com/en-us/products/DS220+)
Dva Diska, svaki 6TB, Ext4 + RAID1
Predpostavljam da i on ima neko VPN rijesenje ali kako sam nesiguran u to kako te stari podesiti a ovaj ciscov vec imam ... pitah moze li tako. Ako vijedi to napraviti sa synology way ... budem procackao i to.
Kao sto sam gore spomenuo, primarna namjena je backup i fajl share za mali ured od dvoje, a pristup sa jedno 6 uredjaja (desktop, laptopi, smartphone androidi) i sa razlicitih OSova, win mac, linux.
Osim te primarne namjene, koristio bih neke od cloud Syno aplikacija (trenutno primarno me zanima kalendar da ga mozemo lako shareat na svim divajseivma), pa da se maknemo sa googlea.
Kad smo u uredu spajamo se na njega LANom ... i to je veza za redovito backupiranje itd. Osim toga mislim omoguciti i wifi vezu lokalnu da ima pristup vecini fajlova ali ne i administraciji i ne bas svim fajlovima.
I kao treca razina, htio bih omoguciti pristup odredjenim fajlovima remotely ... ono kad smo na putu i fali nam neki fajl, te remotely sinkanje kalendara.
E sad ... prije nego krenem prebacivati fajlove volio bih hardenat NAS i osigurati ga koliko je god moguce.
Ideja odjeljenih volumena je bila samo vezana za sigurnost jer dozivio volumene kao neku "kontenjerizaci ju" Ali ako kazes da nema smisla ... fajn.
Krenut cu pratiti tvoje upute ... pa vidim dokle dodjem.
PS
Koji workflow ti imas za backupiranje, imas neki klijent na racunalu koji kopira u shared folder ili to radi neki nas klijent?
Sjajan izbor
ecvis17 je rekao:
Da ima i server i client opcije (pretpostavljam da ti treba spajanje na njega putem VPNa
ecvis17 je rekao:
Ima masu appova to je sigurno, i Calendar je jedan od njih koji ti radi na macOS i iOSu bez problema (ja ga koristim kao jedan od kalendara, a možeš ih hostati koliko želiš
ecvis17 je rekao:
To je sve izvedivo. Morati ćeš ga pustiti javno dostupnim ako želiš kalendar na taj način ili jasno VPN prvo nazad pa onda dalje.
ecvis17 je rekao:
Pretpostavljam da misliš na backup podataka sa računala na NAS. Ako da tu imaš masu opcija. Možeš ići sa Drive aplikacijom koja ti je sync i backup tool (odvojene funkcije), možeš nekim 3rd party alatom za backup kao recimo Acronis, jasno TimeMachine za macove ili pak Active Backup for Business alat (brutalno dobar) ako želiš backup strojeva ili samo nekih dijelova file sustava (macos support dolazi sa DSM7 verzijom tamo kasnije sliedeće godine, ali win i linux su podržani).
Tako ti nudi i full bare-metal restore ako ti treba. Jako dobar komad software i ulazi ti kao opcija kompletno free bez dodatnih licenci.
Imaš malo više info o tome tu - https://www.blackvoid.club/3-2-1-active-backup/
Javi se ako ti treba što pomoći oko bilo čega - https://support.blackvoid.club/ anonimno ili se slobodno registriraj.
Pomalo cu se igrati s podešenjima pa ako zapne pitam.
PS
vidim u helpu ovay security ceck tool, to je ok samoprovjera sigurnosti ili bi preporučio neto drugo.
lp
Pa u načelu je ok. Svakako prođi po ovom popisu jer on ne uključuje neke od elemenata koje sam naveo u članku. Pogotovo ako se budeš otvarao sa NASom prema van. 2FA i FW obavezno, otvori što je manje porotova moguće ili još bolje VPN u svakom slučaju.
Ako te bude neko konkretan scenarij interesirao javi se pa ćemo napraviti pentest ;)
Pokusavam podesiti Remote Access prema Synologiju. Pokusavam to napraviti manualno, port-forwardanj em na iskonovom "Zyxel VMG5313-B30A".
Sto sam do sada podesio. Lokalni pristup radi, imam shared folder koji vidim u fila manageru, takodjer mogu browserom pristupiti NASu, putem zice i wifija. Na account.synolog y.com sam napravio account, i tamo podigao mojadomena.syno logy.me. Koja upucje na vanjski IP. U Network > DSM Settings sam podesio da bude custom port (iznad 1024), jedan za https jedan za http. Takodjer sam enejblao redirect sa http na https. http/2 i hsts, prema opisima ove opcije forsiraju enkriptiranu konekciju. Imam i certifikat veyan na mojadomena.syno logy.me koji ne upucuje na neku gresku, no kod lokalnog spajanja browserom imam upozorenje da je konekcije nesigurna. Sam redirect na https radi.
U routeru prema (jako sturim) uputama u prirucniku https://iskon.hr/download/2822/40417&usg=AOvVaw2zzV6oDoQIYe9Zij3Twv10 pokusao podesiti portforward ovako (tako sam razumio rustyija) https://i.imgur.com/t52l046.png
Testirao sam sljedece:
- unos mojadomena.syno logy.me kad sam spojen na lokalnu mrezu otvori router login screen.
- unos mojadomena.syno logy.me:1983 kad sam spojen na lokalnu mrezu otvori Synology
- unos istoga preko vanjske IP adrese rezultira isto
- isti ovi unosi sa druge mreze G4, ili sa druge lokacije rezultiraju time da browser vrti vrti i odustane (timed out)
Gledao sam jos po podesenjima routera ... i firewall je podesen ovako (nisam ja to je mislim default) https://i.imgur.com/FuIxR89.png
Savjeti? Pomoc? Gledam po netu i ne uspijevam poloviti sto i kako.
Hvala u naprijed.
Ovo je normalno, port se mora unositi kada je custom i nije defaultni https/443
ecvis17 je rekao:
Ovo je sve normalno i izgled da je problem upravo na firewallu.
Hvala @Rusty na poticaju da uzmem synology ... a onda i da ga postavim kako treba ...
Imam vlastiti mali serveric
Nek te služi!