Luka Manestar 15.12.17

Što danas najviše cijenimo? To je sigurno individualno pitanje, ali ako se samo orijentiramo na IT segment mislim da će kod većine ljudi odgovor biti, podaci, privatni pristup istima ili nešto u tom stilu.

Današnji način komunikacije, suradnje i izmjene podataka moguć je praktički s uređaja koji su prije ne tako puno godina bili nezamislivi, no to je samo pola priče. Kako osigurati da pristup tim podacima bude jednostavan, ali i siguran, je nešto što mene osobno interesira i nameće se uvijek kao prvo pitanje.

Uz sva silna public cloud rješenja koji put se teško odlučiti što koristiti, a ne malo puta se dogodi i da koristimo nekoliko pružatelja navedenih usluga pa se čovjek i počne pitati gdje je ono spremio dokument koji mu sada presudno treba.

Jednostavnost korištenja i besplatni prostor su samo neki od privlačnih elemenata koji mnoge vuče na ovakva rješenja, no koliko je to sve sigurno? Gotovo svaki od pružatelja će sigurno osigurati siguran pristup podacima, no što je s pristupom tim podacima od strane samog pružatelja usluga? Ili pak nadležnih tijela koji nalogom mogu dobiti pristup istima?

To su neka pitanja na koja smo kroz razne nedavne prilike mogli vidjeti kako završavaju. Jedni opravdavaju takvo ponašanje, drugi traže kompletnu anonimnost, ali na kraju nema garancije.

Ono na što bi se htio osvrnuti je kako to izgleda kada ste zaista vlasnik svojih podataka koji su dostupni uvijek na siguran i privatan način.

Synology DSM 6.2 (Disk station manager)

Zadnjih 8 godina pratim NAS rješenja i kao jedan od vodećih brendova (svakako ne jedini) je Synology. Njihova paleta uređaja iz godine u godinu raste, ali ono što je važnije je njihov OS. Pravu razliku čini kvalitetan OS, a DSM to definitivno jest.

Samo kratko, za one koji možda nisu upućeni, DSM je web sučelje kojem se pristupa svim funkcijama NASa a specifično je to što je vizualno prezentirano kao radna površina nekog operativnog sustava.

Za one koji žele vidjeti to u akciji: https://www.synology.com/en-global/dsm/live_demo

Sigurnost

Iako je trenutno još u beti, verzija 6.2 donosi niz poboljšanja i novih funkcija od kojih će većina biti podržana i na modelima starim i preko 5 god. Neke funkcije kao i moduli, tražit će i novi file sustav (BTRFS za razliku od standardnog EXT4), no to je opet nešto što će samo određeni modeli i moći koristiti.

Synology u zadnje 3 godine jako ulaže u mjere sigurnosti što im je i bila jedna od glavnih zamjerka i moram priznati da se to jako osjeti. Kao što se osjetilo u negativnom smislu prije par godina sa Synolockerom, tako se i vidi da je naglasak na rješavanje i krpanje sigurnosnih propusta brži i jači nego ikada.

Od prošle godine Synology je i ovlašten od strane MITRE korporacije kao CVE Numbering Authority (CNA), a ujedno imaju i ‘response team’ koji izbacuje kritične sigurnosne zakrpe unutar 24h.

Od prošle godine (DSM 6.1), Synology je i službeno počeo podržavati izdavanje Let’s Encrypt SSL certifikata. Za one kojima nije poznato, LE je kompletno besplatni CA (certificate authority) za izdavanje SSL certifikata. Laički, to je ono što vam daje onaj lijepi zeleni lokot na vašem web siteu kojeg želite podijeliti sa svijetom. Naravno LE certifikat se mora osvježiti svakih 90 dana, ali hej, besplatni su.

Nabavka jednog NAS uređaja će kod nekih značiti centralno mjesto za backup Interneta, drugima, kao backup onih samo bitnih podataka, a nekom će služiti i kao mjesto na kojem će imati razne aplikacije i servise koji bi trebali biti dostupni u bilo koje vrijeme, bili gdje i s bilo kojeg uređaja. Ja koristim NAS za sve navedene situacije :D.

Dakle kako osigurati da pristup informacijama bude što manje izložen vanjskom svijetu, ali opet dostupan vama (ili ljudima kojima je potreban)?

Synology hardening 101

Ok nabavio se NAS i sada bi htjeli pristupati istome preko interneta, lokalno, s tableta, telefona, iz zahoda. Super. Sve je moguće, ali neke stvari ipak treba pripremiti i konfigurirati kako bi se smanjio broj mogućih vektora napada na vaš uređaj (Kinezi jako vole napadati SSH na portu 22, tako da… mm da, to treba riješiti).

Ovo su koraci koje mislim da su apsolutni minimum kako bi se otvorili prema van, ali opet osigurali što je više moguće:

  • promijeniti synology default port (https/5001 u nešto iznad 1024, ali opet da ne bude neki poznati port)
  • konfigurirati DDNS radi lakšeg pristupa prilikom izmjene IP adrese od strane ISPa (Synology ima svoj vlastiti ddns servis, ali i podržava 3rd party)
  • generirati Let’s Encrypt certifikat temeljem prethodno definiranog DDNS kako bi imali adresu tipa (https://moje_cool_ddns_ime.synology.me)
  • konfigurirati 2FA za kritične accounte
  • ugasiti admin/root account i obavezno mu promijeniti password
  • koristiti AutoBlocker opciju za blacklist IP adresa koje pokušavaju napasti često korištene portove koji su vam otvoreni prema internetu (ovo naravno treba nastojati izbjeći tako da se ne otvaraju servisi sa defualtnim portovima ili ako je to baš nužno, da se isti promjene u neke vrijednosti koje nisu defaultne)
  • koristiti firewall opciju te ograničiti pristup ip adresama/subnetima samo na one raspone koji su nužni. Dodatno, ograničiti pristup iz zemalja koje želite da imaju pristup (GeoFirewall), a braniti iz zemalja za koje to ne želite
  • ugasite SSH ili ako je potreban, promijenite mu port i naravno štitite ga i NE PUŠTAJTE ga preko rutera na internet
  • kao zadnju točku, konfigurirati VPN server koji bi po mogućnosti bio jedini način pristupa iz vana (za neke servise će to možda biti naporno koristiti preko tunela, zato i postoje prethodni koraci, ali za ostale je potpuno moguće napraviti i koristiti vpn s raznim aplikacijama/servisima koje synology nudi)

Ok, možda će netko reći ako je ovo minimum što je onda sve moguće i potrebno da imam 100% sigurnost? E pa nema 100% sigurnosti. Kao što je navedeno ideja je da minimiziramo moguće vektore napada ne da ih u potpunosti uklonimo. Ako je to nešto što je potrebno, onda ne otvarajte NAS prema Internetu, drugog nema.

Mislim da i bez posebnog naglaska, ali ću ga svejedno navesti, ide i činjenica da treba DSM držati up to date sa zadnjim zakrpama što je više moguće (pogotovo ako su to sigurnosne zakrpe).

Mnogi izbjegavaju ovo raditi regularno, jer još uvijek u većini slučajeva Synology DSM traži reboot proceduru što je malo naporno, ali od 6.1 verzije došlo je to određenih razdvajanja dijelova DSM komponenti na pojedine aplikacije kako bi na razini OS ostao što manji broj servisa koji traže međusobnu ovisnost. Ovo generalno radi dobro, ali budite spremni resetirati/nadograditi OS barem jednom mjesečno.

Let's Encrypt certifikat implementacija

Kao što je navedeno od verzije DSM 6.1 izdavanje LE certifikata je nešto što je moguće napraviti unutar samog DSMa bez problema. Naravno i dalje to nije preduvjet i jasno mogu se koristiti i kupljeni certifikati koji su komercijalno dostupni. E sada koliko bi se ljudi odlučilo na taj korak to je pitanje, no LE je priznat kao ravnopravni autoritet koji se prepoznaje od strane svih popularnih preglednika. Dakle više stvarno nema razloga imati web servise dostupne na 'nesigurnim' https ili http adresama.

Ovo je izuzetno bitno ako servise dijelite s nekim kolegama, korisnicima ili poznanicima. U današnje vrijeme kada se pojavi neki error u pregledniku, većina korisnika bježi glavom bez obzira i ne želi koristiti uslugu, što je ok, ali sve se to lako izbjegne korištenjem punokrvnog LE certifikata.

Izdavanje LE certifikata je vrlo jednostavno i traži svega nekoliko minuta i jedan wizard. Važno je napomenuti da prilikom kreiranja certifikata imamo opciju i definiranja ‘subject alternative names’. To polje dozvoljava da se izdani certifikat koristi i za neke druga domenska imena, primjerice, imena koja jednoznačno obilježavaju neki servis kojem želite da korisnici pristupe.

Uzmimo za primjer da napravite certifikat imena: mojadomena.synology.me, u SAN polje možete onda odvajanjem sa ; znakom unijeti i slijedeća imena: file.mojadomena.synology.me; office.mojadomena.synology.me; notes.mojadomena.synology.me; chat.mojadomena.synology.me i slično.

Dakle svaki put kada putem web preglednika krenete na neko od vaših alternativnih imena, a koristite LE certifikat, i dalje će https komunikacija biti ispravna. Nema potrebe izdavati nove pojedinačne certifikate za svaki servis.

Application portal - korisnički prihvatljiv način pristupa servisima

Nakon što se posloži lijepo ddns ime preko https-a, možda je i vrijeme složiti specifično dostupne servise na dediciranim web adresama. Osim što će vama i korisnicima vaših servisa ovo biti 'ljepše' i lakše pamtljivo, ovo je i jedan od načina da sakrijete što se zapravo krije iza navedene adrese. Pod ovime mislim njeno pravo ime i recimo port. Nikada ne znate tko ima kakve skrivene namjere.

Zadržimo se na svijetloj strani i činjenici da nemate korisnika koji žele napraviti neku štetu, ako ste složili LE certifikat s alternativnim imenima, ovo je super prilika da i iste koristite. Kao što je vidljivo iz slike, ovisno o tome koje aplikacije imate instalirane, DSM će ih dodati u popis aplikacija koje se mogu konfigurirati sa specifičnim imenom ili čak na nekim drugim portovima.

MacBook Pro 2016
APP portal

 

U konačnici možemo imati uredne, sigurne web adrese koje možete podijeliti sa svojim korisnicima koji imaju potrebe koristiti specifične aplikacije.

Pristup recimo Note Station i Chat aplikaciji je nekome apsolutno potreban dok pristup DSM glavnom desktopu jednostavno ne želite dozvoliti iz sigurnosnih razloga. Ovo je vrlo elegantan način da osigurate što manje stresa sebi i korisnicima.

2FA - 2 step autentification

Mislim da danas i ptice na grani znaju za pojam sekundarne verifikacije. Ovo ne treba shvatiti olako i jednostavno ignorirati jer zaštite nikada nije dovoljno. U DSM svijetu 2FA se konfigurira na razini pojedinih korisničkih računa i topla je preporuka da se isti i koristi. Naravno može se i podesiti da se 2FA koristi standardno za sve accounte ili samo recimo za administratore.

Svi poznati i manje poznati servisi koriste 2FA za prijavu u svoje sustave (recimo icloud.com) pa eto i od verzije DSMa 6, Synology je implementirao isti.

Njegovo korištenje je jednostavno koliko bi čovjek i očekivao za sekundarnu autorizaciju. Potrebno je prošetati kroz wizard koji će konfigurirati uređaj koji želite da bude 2FA token generator i stvar je riješena. Dodatnih par sekundi koje mogu značiti sigurnost ili propast.

Potrebno je napomenuti da ako se odlučite na 2FA obavezno imate svoj NAS u sync-u s točnim vremenom. Manja odstupanja su dozvoljena, ali ne previše tako da provjerite da DSM ima točno up to date vrijeme. Za ove potrebe konfigurirajte 'Time Setting' da koristi neki od NTP servera (Control Panel > Regional Options > Time).

Preporuka je da se koristi NTP za razliku od manualno podešenog vremena ako ništa drugo onda zbog pomicanja sata. Ukoliko bude problema s vremenom, 2FA neće prolaziti i nakon nekoliko pokušaja ćete zaključati korisnički račun. Naravno nema panike jer postoji link na ekranu za prijavu baš za takve situacije, ali jednostavnije je imati točno vrijeme.

VPN server

Kao jedan od zadnjih koraka u ovoj priči bi mogla biti i konfiguracija VPN pristupa prema vašem NASu.

Osobno koristim VPN server konfiguraciju na NASu kao jedan od načina pristupa znatnom broju servisa koje želim imati dostupne, ali opet ne javno dostupne preko interneta. Prednost VPNa je upravo to da se možete spojiti s bilo kojeg uređaja nazad u vašu lokalnu mrežu i koristiti pristup uređajima i servisima kao da ste 'doma'.

Potrebno je propustiti VPN mrežni promet prema internetu, naravno, ali barem nije onda potrebno za svaki servis pojedinačno otvarati portove kako bi istima pristupili.

Synology DSM radi s 3 vrste VPN protokola od čega bi PPTP trebalo izbjegavati u širokom krugu zbog slabe zaštite koju za današnje pojmove ima. Dakle ostaju OpenVPN i L2TP/IPSec. Osobno koristim OpenVPN na svim uređajima i radi jako dobro.

Dobra stvar je što se spajanje na VPN okolinu može napraviti da koristi prethodno konfiguriran DDNS zapis i LE certifikat. Cijeli proces započinje instalacijom VPN server paketa iz Package Center-a.

Synology
Prikaz VPN server kontrolnog sučelja

 

Nakon toga ostaje konfiguracija parametara mrežnog raspona, porta, protokola i enkripcije. Ovo će varirati ovisno o vašim osobnim preferencijama i mrežnoj konfiguraciji, ali i o OpenVPN klijentu kojeg ćete koristiti. Za razliku od L2TP-a koji je nativno podržan od strane macOS i iOS-a, OpenVPN traži dediciranog klijenta.

Njih naravno ima puno, od free do komercijalnih, ali osobno koristim Viscosity klijent koji postoji za macOS, win i linux okoline, dok za iOS koristim OpenVPN službeni klijent. Priča kod svih je jednaka. Nakon što se na VPN server strani sve konfigurira i posloži, radi se export konfiguracije (preko tipke unutar sučelja) i nakon toga se isti ubacuje u klijenta. Jedina predradnja je da se konfiguracijska datoteka otvori kako bi se zapisala server destinacija prije samog importa u klijentsku aplikaciju.

Za te potrebe se koristi DDNS ime koje je javno dostupno kako bi se uspješno prilikom spajanja napravila rezolucija imena i uputio promet prema vašem NAS uređaju, odnosno u konačnici prema lokalnoj mreži.

Super. Sada kada smo se spojili, što dalje? Ništa specijalno. Radite sa svim mrežnim uređajima i servisima kao da ste fizički spojeni na lokalnu mrežu. Ono što treba navesti je da uređaji i servisi koji rade preko Bonjour protokola neće raditi. Napraviti da se uređaji vide uredno preko Findera za vrijeme trajanja OpenVPN konekcije neće raditi out-of-the-box i u nekim slučajevima zahtjeva hw i sw konfiguraciju na mreži kako bi se to omogućilo.

Mislim da to nije potrebno jer se vrlo jednostavno možete povezati sa svojim uređajima (recimo pristup datotekama na NASu i slično) putem 'Connect to Server' naredbe unutar Findera. Potrebno je jednokratno definirati putanju koju ćete koristiti kada se spojite na VPN te putem nje inicirati spajanje na shared putanje koje su dostupne na NASu ili na nekom drugom mrežnom uređaju. Nakon uspješne autorizacije podaci će biti vidljivi. Jednostavno, brzo i ne traži nikakvu dodanu konfiguraciju, a opet dovoljno za situacije u kojima se treba pristupiti podacima sa neke udaljene lokacije.

Zaključak

Zaključak je, nikada dosta sigurnosti. Da je sve moguće jednostavno osigurati postojao bi jedan gumb i problem riješen. Poanta priče je ne otvarati servise prema internetu ako to apsolutno nije nužno. Ako je neizbježno, osigurajte se maksimalno kako bi sebi i korisnicima servisa osigurali siguran i ugodan rad.

 

Komentari  

smayoo
18-12-2017 | 10:19
Rusty, hvala na ovome. Iskreno, pretpostavljao sam da bi se jednim poštenim NASom sve to moralo moći riješiti, ali nisam se nikad u to upuštao zbog nedostatka vremena.
Jedno pitanje - ako sam dobro shvatio, možeš NAS podesiti za VPN pristup bez korištenja nekog posebnog namjenskog VPN routera? Ili?
Ako ti NAS može poslužiti za VPN pristup sam po sebi, može li on biti VPN router za pristup npr. do printera ili do Macova u lokalnoj mreži po AFP protokolu? Ili po FTPu? Ili...?
rusty
18-12-2017 | 11:38
Da i da na oba pitanja Smayoo. VPN server paket postoji tako da konfiguracija rutera nije potrebna po pitanju samih vpn postavki (osim port forwarda). Drugim riječima, da, kada ti on postane točka ulaska u lokalnu mrežu, imaš pristup svim servisima po bilo kojem protokolu. Bonjour je jedino škakljivo konfigurirati, ali može se onom tko se želi pozabaviti time.
smayoo
18-12-2017 | 12:26
Ma, čak mi nije bitan bonjour (kao discovery protokol), koliko sam AFP (za file pristup poznatim računalima).
A Synology, pretpostavljam, pod normalno podržava AFP? Da li radi razumno brzo ili kilavi kao D-linkov DNS-320? :)
rusty
18-12-2017 | 13:11
Radi kao zmaj. Ja ga high sierri i dalje koristim kao primarni protokol
dpasaric
18-12-2017 | 21:25
Funkcionira li takav sustav pouzdano npr. mjesec dana bez da korisnik mora intervernirati na neki način? Je li takav sustav, kada se jednom konfigurira, nezavisan od računala u svim situacijama?
rusty
18-12-2017 | 21:27
Ja ga kao takvog koristim godinama i nema problema. Višestruki korisnici, sa raznih lokacija, OS-a, sve radi uredno. Održavanje je potrebno u toj mjeri da je bitno održavati sve patched up, ali osim toga nema nikakvih problema, barem iz mojeg iskustva.
energyman
+1 18-12-2017 | 21:56
Ova objava me nagnala da nakon 2 godine stalnog "budem sutra" konačno upogonim OpenVPN server na Synologyju. Imamo dva mrežna printera u uredu i dosta puta imam potrebu printanja sa moba pa da me papir dočeka kad se vratim. Podesio sam sve, eksportao certifikat, uredno se spajam sa maca i iphonea na vpn i mogu pristupiti lokalnim uređajima upisivajući adresu 192.168.x.x, no nikako ne mogu pronaći printere. Jedan je AirPrint a drugi je šeran preko Synologyja na mrežu. Ni sa official appovima od printera na mobu ne mobu pronaći printere kad se spajam preko VPN-a ali ni preko onog print dijaloga iz recimo galerije slika. U conf fileu sam uredno stavio ip routera kao dns ali jednostavno ih ne mogu upogoniti. Imaš neku ideju kako to riješiti?
rusty
18-12-2017 | 22:05
Osobno sam probao to i to bi trebalo raditi uredno. Činjenica da ih "ne vidiš" na mreži objašnjava zašto ne možeš ni do njih. Tu bi trebalo početi tražiti uzrok. Prvo treba zadovoljiti tu mrežnu vidljivost prije bilo čega drugog. Pošto su mrežni printeri najosnovnije pinganje mora proći prije nego možeš reći da je negdje drugdje u konfiguraciji problem.

Da li su printeri u nekom drugom mrežnom subnetu/klasi? Ili su isto u 192.168.x.x rasponu? Je li imaš neko firewall pravilo koje ti eliminira mrežnu vidljivost do njih?

Share printera preko Synota nisam probao iskreno pa tu ne mogu tvrditi 100% da bi to trebalo raditi, ali ne vidim nekog velikog razloga zašto ne, no klasični standalone printer mora raditi.
CortoMaltese
19-12-2017 | 17:20
a sto reci, + za onoga tko je ovo napisao
intuitivno, objasnjeno taman kako treba...
smayoo
19-12-2017 | 19:24
Rusty, još jedno pitanje u vezi filesystema. EXT4 je uobičajeni Linux filesystem. Što je BTRFS? Isto nešto novo linuxaško, ili nešto specifično od Synologyja? Mora li se koristiti? Što ako se pokvari sam Synology? Na čemu se ti diskovi daju pročitati?
rusty
19-12-2017 | 19:34
To je Oraclovo dijete. Nije Syno specifično. Ext4 ili btrfs se mogu koristiti i uvijek postoji mogućnost odabira. BTRFS je podržan samo na uređajima koji mogu iskoristit njegove beneficije i to kroz specifične aplikacije koje služe za virtualizaciju, snapshoots itd.

Što se tiče crkavanja, da može se mountati volume na recimo Ubuntu distribuciju kako bi se došlo do podataka bez da se nužno mora kupiti ili koristit drugi Syno NAS
smayoo
19-12-2017 | 20:24
Čak i ako je BTRFS formatiran?
Iako, ako kužim, to (BTRFS) nije nešto što treba korisniku koji ga misli koristiti kao file server, backup i tako to...?
rusty
19-12-2017 | 20:33
Tako je. BTRFS treba eventualno gurati samo ako će se koristiti alati/apps koji to traže. U protivnom nije potrebno bježati sa EXT4. Primjerice BTRFS je preduvjet za snapshoot alat koji ti nudi verzioniranje datoteka/folder a kao jednu od obrana od crypto problema. Zatim bit rot manipulacija itd...
smayoo
20-12-2017 | 14:10
Aha, čekaj... Dakle, "verzioniranje datoteka" je feature koji zapravo omogućava nešto nalik Time Machine backupu, samo što nije vremenski sinkron, nego asinkron (pamti povijest promjena za svaku datoteku ponaosob) i njega možemo imati na samom Synologyju neovisno o TM backupu?
A može li se na Synologyju formirati TM backup particija kojoj bi TM pristupao po svom nahođenju? Pretpostavljam da može jer to sam svojevremeno izmađijao na D-Linkovom DNS-320 NASu iako na 10.6.8 to nije bilo upogonjivo samo tako...
rusty
20-12-2017 | 14:38
Apsolutno točno po svim točkama. TM support postoji za vise usera/macova uz podršku kvote. Kada sam nedavno na novi stroj prelazio uredno sam radio restore sa TMa preko migration assistnta. Dakle TM je u potpunosti podržan na zadnjoj verziji macOSa
dpohl
21-12-2017 | 00:27
Ukljcujem se i ja kratko u komentiranje cijele price.

Rusty, sve pohvale na detaljnom prikazu Synologyeva DSM-a. Moja firma koristi Syno uredjaje vec godinama, kod korisnika ih imamo instaliranih nebrojeno, i to u svakakvim kombinacijama.

Od klasicnih NAS uredjaja integriranih u MS Active Directory, preko iSCSI i FTP servisa za funkcije backup storagea razlicitih servera i platformi (MS Windows, VMware vSphere) uz primjenu Acronis i Veeam backup softvera, do virtualizacijsk og storagea za Hyper-V, i remote backup sinhroniziranih sustava na relacijama od par stotina km udaljenih lokacija.

Naravno, postoje i scenariji u kojima smo Syno upotrijebili cak i kao poslovni mail i web server za odredjene korisnike. I super dobro je dosao LE SSL, jer tesko je korisniku objasniti da SSL certifikati velikih CA-ova nisu najjeftiniji na svijetu.

Kod nas u tvrtki cak koristimo i prilicno modificirani cak i osTicket kao platformu za helpdesk, s ticketing sustavom izdavanja radnih naloga i pracenja aktivnosti. Odlican softver, s losim supportom developer communitya, ali kad proradi, radi sjajno.

Meni osobno posebno se svidja njegov backup software - HyperBackup i svi moguci nacini na koje moze raditi, ukljucujuci i Time Machine kind of backup za koji se Smayoo interesira. Provjeren u milijun situacija za recovery file sistema, mail serverskih mailboxa, i td. I da... radi i kao aplikacijski backup sustav, tako da je u potpunosti svjestan pojedinih aplikacija koje su dostupne putem Package Centera poput servera baza podataka, web servera, itd.

Time Machine podrska je sjajna, i zbilja radi upravo onako kako bi i Steve zelio :)

Ali jedino za sto apsolutno ne koristimo Syno je upravo VPN. Razlog nije u manjkavosti Syno VPN funkcija (iako mi je za oko odmah zapeo screenshot s SHA-1 autentikacijom ;)). Za funkcije VPN-a primjenjujemo iskljucivo Fortinetova rjesenja jer integriraju vrhunsku UTM zastitu od svih mogucih prijetnji zajedno s IPSec i SSL VPN uslugama.
rusty
21-12-2017 | 02:22
@dpohl hvala na komentarima. Slažem se s tobom oko činjenice da DSM stvarno danas daje puno mogućnosti kako bi ga korisnici mogli što bolje oblikovati svojim potrebama. Ovaj osvrt je više bio prikaz situacije u trenutku kada bi se nas otvarao prema van i korake koje bi trebalo pokriti. Imam u planu u dogledno vrijeme pokriti još neke funkcije/pakete koje smatram da je vrijedno spomenuti, a nisu tako česti, čisto da se objasne neke mogućnosti i ideje koje ovi strojevi nude.

Drago mi je vidjeti da ima korisnika koji koriste ovakve uređaje u više enterprise okruženju, a ne samo SOHO situacijama.
dpohl
21-12-2017 | 13:00
@rusty

Veselim se nastavku priče, jer volim čitati o različitim scenarijima upotrebe Synovih NAS-eva.

U poslu prvenstveno preferiramo "ozbiljnije" rack izvedbe poput aktualnih RS815RP+ i RS816, pa nadalje. Ali za male korisnike i one u kućnom okruženju, fascinira količina funkcija.

Osobno doma koristim DS216play s 4k podrškom, a iskonfiguriran je na način da osim Media Server funkcije radi i kao Time Machine storage, te kao Video Surveilance. Jednostavno, sjajan mali stroj s jednako impresivnim DSM-om.

Jedino što uvijek iznova lhjuti su povremeni DSM updatei koji znaju zeznuti stvar. Primjerice, imao sam slučaj kada je potpuno pogubio i DSM, i diskove. Istina, uspio sam sve oporaviti, potrajalo je dobar dio dana. Nije izgubljen niti jedan byte podataka, ali nije bilo ugodno.

Od tada više na Syno uređajima ne dopuštam automatizirani update na najnoviju verziju, već isključivo critical update. Sve ostalo...nakon objave nove verzije pričekam Update 1 ili Update 2, pa tek onda krenem u tu avanturu. Nekako me to podsjeća na Appleove "bisere" sa svakim major releas-om iOS-a ili macOS-a, kada se pojave problemi kojih do tada nije bilo. Iskustvo čini čuda. :-)
rusty
21-12-2017 | 13:14
@dpohl - o da, update je bitan, ali osobno ni ja ne radim upgrade day1. Prvo napravim upgrade na sekundarni NAS nakon par dana, a onda tek na primarni NAS.

Uskoro ide meni nabavka novog 918+ modela, a trenutni 211j na sekundarnoj lokaciji ću zamijeniti sa aktualnim 412+. Broj servisa koje koristim je popriličan i kako si rekao izuzetni su strojevi što se sve može sa njima.

Trenutno pišem članak o Dockeru pa ćemo vidjeti da li će uredništvo u dogledno vrijeme odobriti tekst.
smayoo
21-12-2017 | 17:58
Što ga ne bi odobrili... :) Ako bude kao ovaj, ne samo zanimljiv, nego još i informativan, i koristan, sigurno ga nećemo odobriti jer ispadamo papci kraj tebe... :) ;)
ares11
21-02-2018 | 21:06
@rusty može pitanje? Upravo sam ažurirao MBP na 10.13.3, ali i netom prije ažuriranja sam primijetio problem s prijenosom podataka na moj DS 215+ koji je donedavno radio besprijekorno. Užasno traljavo, sporo za poludit. Tražim na netu riješenja ali ne nalazim... Prijenos na Ryzen stroju s Win 10 radi ko urica. Dakle nije do NASa nego do macOSa očito.
DSM je ažuriran. Probao sam isključiti enkripciju na SMB file services sekciji ali nije pomoglo. Inače podešen je da koristi SMB v3 ili minimum SMB v2 w large MTU. Mac je wifijem spojen ali radi odlično i nemam problema s net downloadom npr...

Hvala.
rusty
21-02-2018 | 21:09
Ako si ugasio SMB enkripciju, jedino što u ovom trenutku možeš probati je drugi protokol. Probaj preko AFPa pa vidi da li imaš drugačije brzine. Da li koristiš Finder ili neku custom aplikaciju na macu?
ares11
21-02-2018 | 21:14
Finder. viš mogu probat commanderOne. Mislim da mi je prije išlo preko afp ali bilo je ISTO. evo probam pa javim! Superbrzi odgovor :)
rusty
21-02-2018 | 21:22
Evo ja sam osobno na 13.2 još uvijek i transferi su na max kao i inače... jedino da nije nešto novo uletilo što treba opet pogasiti kako bi se to sve ubrzalo, ali mislim da će AFP biti sigurno brži od SMBa
ares11
21-02-2018 | 21:24
OK, pokušavam commanderOne i unmountao smb, mountao afp i krenulo je... ali niti 1MBps... užas. ponavljam, donedavno je išlo čisto OK!
kad je smb mountan onda prijenos ide BRŽE ali zapne i stoji. dok afp-om ide konstantno ali 500-700KBps :-/
rusty
21-02-2018 | 21:26
Ok probaj AFP preko Findera, pusti 3rd party... slično sam imao ja i sa Forkliftom kojeg koristim, pa kada sam to prijavio DEVovima su u slijedećoj verziji to popeglali, ali mi je preko findera uvijek max speed bio.

Ako si ovo primijetio netom prije nadogradnje onda je sigurno nešto na macos strani pogotovo ako radi na win kako bi trebalo. Probaj AFP preko findera pa vidi koji max speed dobiješ.
ares11
21-02-2018 | 21:39
OK, kao da se odblesiralo... Plus restartao sam blesavi Huawei homebox :-/ Imao sam nekih 3,5-4 MBps što je napredak, ali nisam oduševljen. oh well, ne stignem večeras, ali još ću testirati sutra. Hvala!
ecvis17
07-10-2020 | 08:15
@rusty i ostali
kupljen novi nas koji koristimo za backup i share fajlova primarno.

Imam jedno security related pitanje.
Da li ima smisla odjeliti storage na vise volume-sa? Tipa da imam volume, private (kojem se moze pristupati samo lokalno) i public (kojem se moze pristupati od bilo kud)?
Jasno mi je da se to radi permissionima na samim shared folderima, ali da li bi i ova volume razina dodatno doprinijela sigurnosti?

Takodjer, preko Rijeckog svucilista koristim Cisco Annyconnect VPN za pristupanje sveucilisnim web administracijam a ... bi li bilo tesko podesiti syno da, izuzev sa lokalne mreze, mu se moze pristupiti samo sa odredjene staticne IP addrese (anyconnect ima staticni IP) kao oblik zastite?

Hvala
rusty
07-10-2020 | 08:30
ecvis17 je rekao:
@rusty i ostali
kupljen novi nas koji koristimo za backup i share fajlova primarno.

Imam jedno security related pitanje.
Da li ima smisla odjeliti storage na vise volume-sa? Tipa da imam volume, private (kojem se moze pristupati samo lokalno) i public (kojem se moze pristupati od bilo kud)?
Jasno mi je da se to radi permissionima na samim shared folderima, ali da li bi i ova volume razina dodatno doprinijela sigurnosti?


Obično razbijanje na više volumea ima smisla ako je riječ o različitim diskovima koji će onda u kombinaciji sa diskvoima (SSD vs HDD) pridonjeti brzini i generalnoj organizaciji aplikacija i podataka na tim poljima. Takođe ovisi i o količlini diskova. Ako je to NAS sa 4 ili manje diskova, možda ima smisla to razbijati na recimo RAID1 + RAID0 ili RAID1 + 2x SINGLE, ali kažem to će ovisiti o tome koja je primarno namjena.

Ako se to gleda sa kuta sigurnosti, svi shared folderi koji su u rootu bilo kojeg volume-a definirati će prava upravo na toj razini i "dublje", tako da po meni neće baš imati previše smisla razbijati ih na volume samo radi sigurnosti.


ecvis17 je rekao:
@rusty i ostali
Takodjer, preko Rijeckog svucilista koristim Cisco Annyconnect VPN za pristupanje sveucilisnim web administracijam a ... bi li bilo tesko podesiti syno da, izuzev sa lokalne mreze, mu se moze pristupiti samo sa odredjene staticne IP addrese (anyconnect ima staticni IP) kao oblik zastite?


Ovisno o tome koji je brand NASa pitanje je kakve built in opcije ima. Ako nema moglo bi se preko FW ispred tog NASa napraviti konfiguiracija koja bi imala željeni rezultat. Također ako NAS ima svoj FW layer može se isto napraviti i na njemu. Bilo kakav mrežni pristup ide preko specifičnog protokola i porta, tako da, nema toga što se ne može ograničiti na specifične IP adrese koje mu mogu pristupiti.
ecvis17
07-10-2020 | 09:10
Hvala @Rusty,
Model je Synology DS220+ (https://www.synology.com/en-us/products/DS220+)
Dva Diska, svaki 6TB, Ext4 + RAID1

Predpostavljam da i on ima neko VPN rijesenje ali kako sam nesiguran u to kako te stari podesiti a ovaj ciscov vec imam ... pitah moze li tako. :D Ako vijedi to napraviti sa synology way ... budem procackao i to.


Kao sto sam gore spomenuo, primarna namjena je backup i fajl share za mali ured od dvoje, a pristup sa jedno 6 uredjaja (desktop, laptopi, smartphone androidi) i sa razlicitih OSova, win mac, linux.

Osim te primarne namjene, koristio bih neke od cloud Syno aplikacija (trenutno primarno me zanima kalendar da ga mozemo lako shareat na svim divajseivma), pa da se maknemo sa googlea.

Kad smo u uredu spajamo se na njega LANom ... i to je veza za redovito backupiranje itd. Osim toga mislim omoguciti i wifi vezu lokalnu da ima pristup vecini fajlova ali ne i administraciji i ne bas svim fajlovima.

I kao treca razina, htio bih omoguciti pristup odredjenim fajlovima remotely ... ono kad smo na putu i fali nam neki fajl, te remotely sinkanje kalendara.

E sad ... prije nego krenem prebacivati fajlove volio bih hardenat NAS i osigurati ga koliko je god moguce.

Ideja odjeljenih volumena je bila samo vezana za sigurnost jer dozivio volumene kao neku "kontenjerizaci ju" :D Ali ako kazes da nema smisla ... fajn.

Krenut cu pratiti tvoje upute ... pa vidim dokle dodjem.

PS
Koji workflow ti imas za backupiranje, imas neki klijent na racunalu koji kopira u shared folder ili to radi neki nas klijent?
rusty
07-10-2020 | 09:44
ecvis17 je rekao:

Model je Synology DS220+

Sjajan izbor

ecvis17 je rekao:

Predpostavljam da i on ima neko VPN rijesenje ali kako sam nesiguran u to kako te stari podesiti a ovaj ciscov vec imam ... pitah moze li tako. :D Ako vijedi to napraviti sa synology way ... budem procackao i to.

Da ima i server i client opcije (pretpostavljam da ti treba spajanje na njega putem VPNa

ecvis17 je rekao:

Osim te primarne namjene, koristio bih neke od cloud Syno aplikacija (trenutno primarno me zanima kalendar da ga mozemo lako shareat na svim divajseivma), pa da se maknemo sa googlea.

Ima masu appova to je sigurno, i Calendar je jedan od njih koji ti radi na macOS i iOSu bez problema (ja ga koristim kao jedan od kalendara, a možeš ih hostati koliko želiš

ecvis17 je rekao:

Kad smo u uredu spajamo se na njega LANom ... i to je veza za redovito backupiranje itd. Osim toga mislim omoguciti i wifi vezu lokalnu da ima pristup vecini fajlova ali ne i administraciji i ne bas svim fajlovima.

I kao treca razina, htio bih omoguciti pristup odredjenim fajlovima remotely ... ono kad smo na putu i fali nam neki fajl, te remotely sinkanje kalendara.

To je sve izvedivo. Morati ćeš ga pustiti javno dostupnim ako želiš kalendar na taj način ili jasno VPN prvo nazad pa onda dalje.

ecvis17 je rekao:

Koji workflow ti imas za backupiranje, imas neki klijent na racunalu koji kopira u shared folder ili to radi neki nas klijent?

Pretpostavljam da misliš na backup podataka sa računala na NAS. Ako da tu imaš masu opcija. Možeš ići sa Drive aplikacijom koja ti je sync i backup tool (odvojene funkcije), možeš nekim 3rd party alatom za backup kao recimo Acronis, jasno TimeMachine za macove ili pak Active Backup for Business alat (brutalno dobar) ako želiš backup strojeva ili samo nekih dijelova file sustava (macos support dolazi sa DSM7 verzijom tamo kasnije sliedeće godine, ali win i linux su podržani).

Tako ti nudi i full bare-metal restore ako ti treba. Jako dobar komad software i ulazi ti kao opcija kompletno free bez dodatnih licenci.
Imaš malo više info o tome tu - https://www.blackvoid.club/3-2-1-active-backup/

Javi se ako ti treba što pomoći oko bilo čega - https://support.blackvoid.club/ anonimno ili se slobodno registriraj.
ecvis17
07-10-2020 | 10:07
Hvala rusty puno.

Pomalo cu se igrati s podešenjima pa ako zapne pitam.

PS
vidim u helpu ovay security ceck tool, to je ok samoprovjera sigurnosti ili bi preporučio neto drugo.

lp
rusty
07-10-2020 | 10:10
ecvis17 je rekao:

vidim u helpu ovay security ceck tool, to je ok samoprovjera sigurnosti ili bi preporučio neto drugo.

Pa u načelu je ok. Svakako prođi po ovom popisu jer on ne uključuje neke od elemenata koje sam naveo u članku. Pogotovo ako se budeš otvarao sa NASom prema van. 2FA i FW obavezno, otvori što je manje porotova moguće ili još bolje VPN u svakom slučaju.

Ako te bude neko konkretan scenarij interesirao javi se pa ćemo napraviti pentest ;)
ecvis17
08-10-2020 | 12:58
Ok, evo mene s pozivom u pomoc. :/

Pokusavam podesiti Remote Access prema Synologiju. Pokusavam to napraviti manualno, port-forwardanj em na iskonovom "Zyxel VMG5313-B30A".

Sto sam do sada podesio. Lokalni pristup radi, imam shared folder koji vidim u fila manageru, takodjer mogu browserom pristupiti NASu, putem zice i wifija. Na account.synolog y.com sam napravio account, i tamo podigao mojadomena.syno logy.me. Koja upucje na vanjski IP. U Network > DSM Settings sam podesio da bude custom port (iznad 1024), jedan za https jedan za http. Takodjer sam enejblao redirect sa http na https. http/2 i hsts, prema opisima ove opcije forsiraju enkriptiranu konekciju. Imam i certifikat veyan na mojadomena.syno logy.me koji ne upucuje na neku gresku, no kod lokalnog spajanja browserom imam upozorenje da je konekcije nesigurna. Sam redirect na https radi.

U routeru prema (jako sturim) uputama u prirucniku https://iskon.hr/download/2822/40417&usg=AOvVaw2zzV6oDoQIYe9Zij3Twv10 pokusao podesiti portforward ovako (tako sam razumio rustyija) https://i.imgur.com/t52l046.png

Testirao sam sljedece:

- unos mojadomena.syno logy.me kad sam spojen na lokalnu mrezu otvori router login screen.
- unos mojadomena.syno logy.me:1983 kad sam spojen na lokalnu mrezu otvori Synology
- unos istoga preko vanjske IP adrese rezultira isto

- isti ovi unosi sa druge mreze G4, ili sa druge lokacije rezultiraju time da browser vrti vrti i odustane (timed out)

Gledao sam jos po podesenjima routera ... i firewall je podesen ovako (nisam ja to je mislim default) https://i.imgur.com/FuIxR89.png

Savjeti? Pomoc? Gledam po netu i ne uspijevam poloviti sto i kako.
Hvala u naprijed.
ecvis17
08-10-2020 | 13:03
da ... kada unesem mojadomena.syno logy.me:1983 sa lokalne mreze certifikat radi, ali moram rucno unijeti port.
rusty
08-10-2020 | 13:41
ecvis17 je rekao:
da ... kada unesem mojadomena.synology.me:1983 sa lokalne mreze certifikat radi, ali moram rucno unijeti port.

Ovo je normalno, port se mora unositi kada je custom i nije defaultni https/443

ecvis17 je rekao:

Testirao sam sljedece:

- unos mojadomena.syno logy.me kad sam spojen na lokalnu mrezu otvori router login screen.
- unos mojadomena.syno logy.me:1983 kad sam spojen na lokalnu mrezu otvori Synology
- unos istoga preko vanjske IP adrese rezultira isto

- isti ovi unosi sa druge mreze G4, ili sa druge lokacije rezultiraju time da browser vrti vrti i odustane (timed out)

Gledao sam jos po podesenjima routera ... i firewall je podesen ovako (nisam ja to je mislim default) i.imgur.com/FuIxR89.png

Ovo je sve normalno i izgled da je problem upravo na firewallu.
ecvis17
08-10-2020 | 21:41
Da i ovdje kazem.

Hvala @Rusty na poticaju da uzmem synology ... a onda i da ga postavim kako treba ...

Imam vlastiti mali serveric :D :D :D
rusty
09-10-2020 | 07:52
ecvis17 je rekao:
Imam vlastiti mali serveric :D :D :D


Nek te služi!

Vikalica™

Zadnja poruka: pred 14 sati, 2 minuta
  • Zdravac: 6 eura (ako imaš account registriran u Turskoj)
  • Gjuroo: @Zdravac: 6 ili 60?
  • Zdravac: Photoshop (odnosno, kompletni Creative cloud paket sa Premiere, Acrobatom i sve drugo) košta 6 EUR / mjesečno! :)
  • jura22: Canva kosta skoro kao Photoshop
  • dpasaric: Tihi su po pitanju iPada, ali čisto po broj dana od zadnjih modela čini se da će uskoro.
  • Yonkis: Kad izlaze novi iPadovi?
  • drlovric: Ne traze cak niti EDU email. Odobreno je zahtjev. Tako da je ovo rijeseno prije par dana.
  • drlovric: Da pojasnim moralnim dusebriznicima :) Radi se o programu Canva koji nudi besplatno svoju PRO inacicu svim uciteljima, radnicima biblioteka, neprofitnim organizacijama i sl. Moja kcerka to koristi za skolu i ne krse se nikakva pravila. Jednom odobren ucitelj moze dodavati ucenike besplatno, kreirati virtualne ucionice, radionice i sl.
  • smayoo: pa ilegalno je ako netko želi na temelju tuđeg studentskog identiteta koristiti neki softver besplatno.
  • Miro Spiro: mail
  • Miro Spiro: sada svi prilkom upisa na fax dobiju
  • Miro Spiro: zasto je to ilegalno? Ja sam bio student, nisu nam dali mail adrese, moramo sam se sam snalaziti da potvrdim stanje studenta.
  • jura22: Hoce ilegalno doci do programa.
  • moragd: @drlovric kako ti profesor moze pomoci? Treba ti mail adresa sa univerziteta?
  • drlovric: Ima li ovdje kakva dobra profesorska dusa? Treba mi jedan dizajnerski software koji je besplatan za teachers :) Pa eto ako hoce da pomogne :) Msg me pls.
  • Yonkis: Apple releases macOS Sonoma 14.4, watchOS 10.4, tvOS 17.4, HomePod 17.4 software update.
  • stefanjos: [link]
  • stefanjos: ja sam neki dan otrkio pdf gear i odusevljen sam (koristim ga na windowsu) ali je potpuno free i ima editing i split/merge i dosta finih stvari.
  • Riba: Ja koristim Nitro PDF Pro ali sam ga kupio na nekom debelom popustu kao upgrade sa PDF Pen Pro. [link]
  • drlovric: Ja imam i PDF Expert. [link]
  • smayoo: @applejabuka vidi Wondershare PDF Element. Ne znam točno što ti treba pa provjeri može li on to.
  • Zdravac: zapravo sam mislio micanje OD tema s kojima se nemožeš nositi.
  • kupus: I ja bih maknuo offtopic teme, da se mene pita.
  • applejabuka: Da li imate kakvu dobru soluciju / zamjenu za adobe acrobat pro, ne da mi se stvarno plaćati svaki mjesec 15€ da bi editirao par fileova i dodao tekst
  • Zdravac: Iz tog razloga, siguran sam da puuuno forumaša dolazi na forum, ali aktivno sudjeluju samo u čitanju, ali ne i u pisanju.
  • Zdravac: micanje ot tema koje ti iz nekog razloga ne odgovaraju, svakako pomaže! :)
  • Zdravac: Da, dovoljno je maknuti se od teme i shvatiti da nije poanta da se pokuša promjeniti nečije mišljenje nego iznijeti svoje
  • JOHN: ili se se maknut iz teme ako te ona opterećuje
  • JOHN: Jbg. Trebaju se znat isključit, ako smatraš da je s druge strane degenerik
  • Kloba: I kako neće ljudima dosaditi iste stvari koje mogu čusti na svim ostalim medijima? Pa tu su dolazili da se od toga odmore.
  • Kloba: Daddo, Dijete - puno mudrih ljudi koji uopće više ne sudjeluju u raspravama. Kako ne vidimo obrazac? Trujemo se temama koje svi mogu pogledati u Dnevniku, a nitko nije pametniji. Nakon COVID-a ovaj se forum promjenio skroz. Teme razno su COVID, Ukrajina.
  • marioart: konacno podrska za dva vanjska ekrana, ali i daje sramotna kolicina memorije u baznom modelu ....
  • dpasaric: [link]
  • dpasaric: Stigao novi MacBook Air M3! :)
  • JOHN: Šteta. Razlog je neki događaj na forumu ili netko s foruma?
  • smayoo: Da, Dijete je tražio da ga izbrišemo prije nekog vremena :(
  • kupus: sto je ovo, i djeteta nam nema vise na forumu?
  • kupus: došao m3 air, cijena stara
  • zoranowsky: Bok @SRLTRON!
  • Zdravac: @SLRTRON Dobrodošao! :)
  • m@xym: @SRLTRON, Vikalica ne služi pomaganju. Napiši u forumu (u odgovarajući podforum) koji je problem, pa će ti se netko vjerojatno javiti.
  • SRLTRON: Bok ljudi nov sam , prvi dan sam pa molim pomoć
  • smayoo: Lako za to. Chuck Norrisu radi digitalno potpisivanje na Apple silicone Macu! :D
  • kupus: :D
  • zoranowsky: :)
  • zoranowsky: Chuck Norris je napravio update 10.8.
  • kupus: Ako je tko pronašao normalan način updatea 10.8., neka javi, čisto znanosti radi.
  • smayoo: Chuck Norris se rodio koliko hoće puta, i kad hoće. :D
  • Eagle: Chuck Norris nije rođen 6.5.1945. nego 10.03.1940. dakle ne kužim foru
  • cariblanco: A to što sam i ja rođen 6.5..neke godine, ima li tu slučajnosti. Datum nisam izmislio :)

Za vikanje moraš biti prijavljen.

Prijava

Prisutni jabučari

ammadeus, Ender, Gen, MacSlavko, nvarga, Riba, zk33, Zoki, Anonimci (286)

Novo na Jabučnjaku

Teme

Poruke

Anketa

Kupujete li profesionalni Mac?

Čekam novi modularni Mac Pro - 48.5%
Novac nije problem, kupujem iMac Pro - 0.7%
Kupujem Valjak, baš je lijep i tih! - 0%
Kupujem polovni Mac Pro tower - 11.8%
Nadogradit ću postojeći Mac Pro tower - 2.9%
Običan iMac 27" mi je dovoljan za posao - 5.9%
Skromnih sam potreba, Mac mini je zakon! - 7.4%
Radim na terenu, mora biti MacBook Pro - 3.7%
Ne diram ništa, stari Mac služi me odlično - 10.3%
Kupujem PC kantu i prelazim na Windowse! - 8.8%

Ukupno glasova: 136
Anketa je završena dana: 08 Svi 2018 - 12:17
Page Speed 0.99 Seconds

Provided by iJoomla SEO