Luka Manestar 15.12.17

Što danas najviše cijenimo? To je sigurno individualno pitanje, ali ako se samo orijentiramo na IT segment mislim da će kod većine ljudi odgovor biti, podaci, privatni pristup istima ili nešto u tom stilu.

Današnji način komunikacije, suradnje i izmjene podataka moguć je praktički s uređaja koji su prije ne tako puno godina bili nezamislivi, no to je samo pola priče. Kako osigurati da pristup tim podacima bude jednostavan, ali i siguran, je nešto što mene osobno interesira i nameće se uvijek kao prvo pitanje.

Uz sva silna public cloud rješenja koji put se teško odlučiti što koristiti, a ne malo puta se dogodi i da koristimo nekoliko pružatelja navedenih usluga pa se čovjek i počne pitati gdje je ono spremio dokument koji mu sada presudno treba.

Jednostavnost korištenja i besplatni prostor su samo neki od privlačnih elemenata koji mnoge vuče na ovakva rješenja, no koliko je to sve sigurno? Gotovo svaki od pružatelja će sigurno osigurati siguran pristup podacima, no što je s pristupom tim podacima od strane samog pružatelja usluga? Ili pak nadležnih tijela koji nalogom mogu dobiti pristup istima?

To su neka pitanja na koja smo kroz razne nedavne prilike mogli vidjeti kako završavaju. Jedni opravdavaju takvo ponašanje, drugi traže kompletnu anonimnost, ali na kraju nema garancije.

Ono na što bi se htio osvrnuti je kako to izgleda kada ste zaista vlasnik svojih podataka koji su dostupni uvijek na siguran i privatan način.

Synology DSM 6.2 (Disk station manager)

Zadnjih 8 godina pratim NAS rješenja i kao jedan od vodećih brendova (svakako ne jedini) je Synology. Njihova paleta uređaja iz godine u godinu raste, ali ono što je važnije je njihov OS. Pravu razliku čini kvalitetan OS, a DSM to definitivno jest.

Samo kratko, za one koji možda nisu upućeni, DSM je web sučelje kojem se pristupa svim funkcijama NASa a specifično je to što je vizualno prezentirano kao radna površina nekog operativnog sustava.

Za one koji žele vidjeti to u akciji: https://www.synology.com/en-global/dsm/live_demo

Sigurnost

Iako je trenutno još u beti, verzija 6.2 donosi niz poboljšanja i novih funkcija od kojih će većina biti podržana i na modelima starim i preko 5 god. Neke funkcije kao i moduli, tražit će i novi file sustav (BTRFS za razliku od standardnog EXT4), no to je opet nešto što će samo određeni modeli i moći koristiti.

Synology u zadnje 3 godine jako ulaže u mjere sigurnosti što im je i bila jedna od glavnih zamjerka i moram priznati da se to jako osjeti. Kao što se osjetilo u negativnom smislu prije par godina sa Synolockerom, tako se i vidi da je naglasak na rješavanje i krpanje sigurnosnih propusta brži i jači nego ikada.

Od prošle godine Synology je i ovlašten od strane MITRE korporacije kao CVE Numbering Authority (CNA), a ujedno imaju i ‘response team’ koji izbacuje kritične sigurnosne zakrpe unutar 24h.

Od prošle godine (DSM 6.1), Synology je i službeno počeo podržavati izdavanje Let’s Encrypt SSL certifikata. Za one kojima nije poznato, LE je kompletno besplatni CA (certificate authority) za izdavanje SSL certifikata. Laički, to je ono što vam daje onaj lijepi zeleni lokot na vašem web siteu kojeg želite podijeliti sa svijetom. Naravno LE certifikat se mora osvježiti svakih 90 dana, ali hej, besplatni su.

Nabavka jednog NAS uređaja će kod nekih značiti centralno mjesto za backup Interneta, drugima, kao backup onih samo bitnih podataka, a nekom će služiti i kao mjesto na kojem će imati razne aplikacije i servise koji bi trebali biti dostupni u bilo koje vrijeme, bili gdje i s bilo kojeg uređaja. Ja koristim NAS za sve navedene situacije :D.

Dakle kako osigurati da pristup informacijama bude što manje izložen vanjskom svijetu, ali opet dostupan vama (ili ljudima kojima je potreban)?

Synology hardening 101

Ok nabavio se NAS i sada bi htjeli pristupati istome preko interneta, lokalno, s tableta, telefona, iz zahoda. Super. Sve je moguće, ali neke stvari ipak treba pripremiti i konfigurirati kako bi se smanjio broj mogućih vektora napada na vaš uređaj (Kinezi jako vole napadati SSH na portu 22, tako da… mm da, to treba riješiti).

Ovo su koraci koje mislim da su apsolutni minimum kako bi se otvorili prema van, ali opet osigurali što je više moguće:

  • promijeniti synology default port (https/5001 u nešto iznad 1024, ali opet da ne bude neki poznati port)
  • konfigurirati DDNS radi lakšeg pristupa prilikom izmjene IP adrese od strane ISPa (Synology ima svoj vlastiti ddns servis, ali i podržava 3rd party)
  • generirati Let’s Encrypt certifikat temeljem prethodno definiranog DDNS kako bi imali adresu tipa (https://moje_cool_ddns_ime.synology.me)
  • konfigurirati 2FA za kritične accounte
  • ugasiti admin/root account i obavezno mu promijeniti password
  • koristiti AutoBlocker opciju za blacklist IP adresa koje pokušavaju napasti često korištene portove koji su vam otvoreni prema internetu (ovo naravno treba nastojati izbjeći tako da se ne otvaraju servisi sa defualtnim portovima ili ako je to baš nužno, da se isti promjene u neke vrijednosti koje nisu defaultne)
  • koristiti firewall opciju te ograničiti pristup ip adresama/subnetima samo na one raspone koji su nužni. Dodatno, ograničiti pristup iz zemalja koje želite da imaju pristup (GeoFirewall), a braniti iz zemalja za koje to ne želite
  • ugasite SSH ili ako je potreban, promijenite mu port i naravno štitite ga i NE PUŠTAJTE ga preko rutera na internet
  • kao zadnju točku, konfigurirati VPN server koji bi po mogućnosti bio jedini način pristupa iz vana (za neke servise će to možda biti naporno koristiti preko tunela, zato i postoje prethodni koraci, ali za ostale je potpuno moguće napraviti i koristiti vpn s raznim aplikacijama/servisima koje synology nudi)

Ok, možda će netko reći ako je ovo minimum što je onda sve moguće i potrebno da imam 100% sigurnost? E pa nema 100% sigurnosti. Kao što je navedeno ideja je da minimiziramo moguće vektore napada ne da ih u potpunosti uklonimo. Ako je to nešto što je potrebno, onda ne otvarajte NAS prema Internetu, drugog nema.

Mislim da i bez posebnog naglaska, ali ću ga svejedno navesti, ide i činjenica da treba DSM držati up to date sa zadnjim zakrpama što je više moguće (pogotovo ako su to sigurnosne zakrpe).

Mnogi izbjegavaju ovo raditi regularno, jer još uvijek u većini slučajeva Synology DSM traži reboot proceduru što je malo naporno, ali od 6.1 verzije došlo je to određenih razdvajanja dijelova DSM komponenti na pojedine aplikacije kako bi na razini OS ostao što manji broj servisa koji traže međusobnu ovisnost. Ovo generalno radi dobro, ali budite spremni resetirati/nadograditi OS barem jednom mjesečno.

Let's Encrypt certifikat implementacija

Kao što je navedeno od verzije DSM 6.1 izdavanje LE certifikata je nešto što je moguće napraviti unutar samog DSMa bez problema. Naravno i dalje to nije preduvjet i jasno mogu se koristiti i kupljeni certifikati koji su komercijalno dostupni. E sada koliko bi se ljudi odlučilo na taj korak to je pitanje, no LE je priznat kao ravnopravni autoritet koji se prepoznaje od strane svih popularnih preglednika. Dakle više stvarno nema razloga imati web servise dostupne na 'nesigurnim' https ili http adresama.

Ovo je izuzetno bitno ako servise dijelite s nekim kolegama, korisnicima ili poznanicima. U današnje vrijeme kada se pojavi neki error u pregledniku, većina korisnika bježi glavom bez obzira i ne želi koristiti uslugu, što je ok, ali sve se to lako izbjegne korištenjem punokrvnog LE certifikata.

Izdavanje LE certifikata je vrlo jednostavno i traži svega nekoliko minuta i jedan wizard. Važno je napomenuti da prilikom kreiranja certifikata imamo opciju i definiranja ‘subject alternative names’. To polje dozvoljava da se izdani certifikat koristi i za neke druga domenska imena, primjerice, imena koja jednoznačno obilježavaju neki servis kojem želite da korisnici pristupe.

Uzmimo za primjer da napravite certifikat imena: mojadomena.synology.me, u SAN polje možete onda odvajanjem sa ; znakom unijeti i slijedeća imena: file.mojadomena.synology.me; office.mojadomena.synology.me; notes.mojadomena.synology.me; chat.mojadomena.synology.me i slično.

Dakle svaki put kada putem web preglednika krenete na neko od vaših alternativnih imena, a koristite LE certifikat, i dalje će https komunikacija biti ispravna. Nema potrebe izdavati nove pojedinačne certifikate za svaki servis.

Application portal - korisnički prihvatljiv način pristupa servisima

Nakon što se posloži lijepo ddns ime preko https-a, možda je i vrijeme složiti specifično dostupne servise na dediciranim web adresama. Osim što će vama i korisnicima vaših servisa ovo biti 'ljepše' i lakše pamtljivo, ovo je i jedan od načina da sakrijete što se zapravo krije iza navedene adrese. Pod ovime mislim njeno pravo ime i recimo port. Nikada ne znate tko ima kakve skrivene namjere.

Zadržimo se na svijetloj strani i činjenici da nemate korisnika koji žele napraviti neku štetu, ako ste složili LE certifikat s alternativnim imenima, ovo je super prilika da i iste koristite. Kao što je vidljivo iz slike, ovisno o tome koje aplikacije imate instalirane, DSM će ih dodati u popis aplikacija koje se mogu konfigurirati sa specifičnim imenom ili čak na nekim drugim portovima.

MacBook Pro 2016
APP portal

 

U konačnici možemo imati uredne, sigurne web adrese koje možete podijeliti sa svojim korisnicima koji imaju potrebe koristiti specifične aplikacije.

Pristup recimo Note Station i Chat aplikaciji je nekome apsolutno potreban dok pristup DSM glavnom desktopu jednostavno ne želite dozvoliti iz sigurnosnih razloga. Ovo je vrlo elegantan način da osigurate što manje stresa sebi i korisnicima.

2FA - 2 step autentification

Mislim da danas i ptice na grani znaju za pojam sekundarne verifikacije. Ovo ne treba shvatiti olako i jednostavno ignorirati jer zaštite nikada nije dovoljno. U DSM svijetu 2FA se konfigurira na razini pojedinih korisničkih računa i topla je preporuka da se isti i koristi. Naravno može se i podesiti da se 2FA koristi standardno za sve accounte ili samo recimo za administratore.

Svi poznati i manje poznati servisi koriste 2FA za prijavu u svoje sustave (recimo icloud.com) pa eto i od verzije DSMa 6, Synology je implementirao isti.

Njegovo korištenje je jednostavno koliko bi čovjek i očekivao za sekundarnu autorizaciju. Potrebno je prošetati kroz wizard koji će konfigurirati uređaj koji želite da bude 2FA token generator i stvar je riješena. Dodatnih par sekundi koje mogu značiti sigurnost ili propast.

Potrebno je napomenuti da ako se odlučite na 2FA obavezno imate svoj NAS u sync-u s točnim vremenom. Manja odstupanja su dozvoljena, ali ne previše tako da provjerite da DSM ima točno up to date vrijeme. Za ove potrebe konfigurirajte 'Time Setting' da koristi neki od NTP servera (Control Panel > Regional Options > Time).

Preporuka je da se koristi NTP za razliku od manualno podešenog vremena ako ništa drugo onda zbog pomicanja sata. Ukoliko bude problema s vremenom, 2FA neće prolaziti i nakon nekoliko pokušaja ćete zaključati korisnički račun. Naravno nema panike jer postoji link na ekranu za prijavu baš za takve situacije, ali jednostavnije je imati točno vrijeme.

VPN server

Kao jedan od zadnjih koraka u ovoj priči bi mogla biti i konfiguracija VPN pristupa prema vašem NASu.

Osobno koristim VPN server konfiguraciju na NASu kao jedan od načina pristupa znatnom broju servisa koje želim imati dostupne, ali opet ne javno dostupne preko interneta. Prednost VPNa je upravo to da se možete spojiti s bilo kojeg uređaja nazad u vašu lokalnu mrežu i koristiti pristup uređajima i servisima kao da ste 'doma'.

Potrebno je propustiti VPN mrežni promet prema internetu, naravno, ali barem nije onda potrebno za svaki servis pojedinačno otvarati portove kako bi istima pristupili.

Synology DSM radi s 3 vrste VPN protokola od čega bi PPTP trebalo izbjegavati u širokom krugu zbog slabe zaštite koju za današnje pojmove ima. Dakle ostaju OpenVPN i L2TP/IPSec. Osobno koristim OpenVPN na svim uređajima i radi jako dobro.

Dobra stvar je što se spajanje na VPN okolinu može napraviti da koristi prethodno konfiguriran DDNS zapis i LE certifikat. Cijeli proces započinje instalacijom VPN server paketa iz Package Center-a.

Synology
Prikaz VPN server kontrolnog sučelja

 

Nakon toga ostaje konfiguracija parametara mrežnog raspona, porta, protokola i enkripcije. Ovo će varirati ovisno o vašim osobnim preferencijama i mrežnoj konfiguraciji, ali i o OpenVPN klijentu kojeg ćete koristiti. Za razliku od L2TP-a koji je nativno podržan od strane macOS i iOS-a, OpenVPN traži dediciranog klijenta.

Njih naravno ima puno, od free do komercijalnih, ali osobno koristim Viscosity klijent koji postoji za macOS, win i linux okoline, dok za iOS koristim OpenVPN službeni klijent. Priča kod svih je jednaka. Nakon što se na VPN server strani sve konfigurira i posloži, radi se export konfiguracije (preko tipke unutar sučelja) i nakon toga se isti ubacuje u klijenta. Jedina predradnja je da se konfiguracijska datoteka otvori kako bi se zapisala server destinacija prije samog importa u klijentsku aplikaciju.

Za te potrebe se koristi DDNS ime koje je javno dostupno kako bi se uspješno prilikom spajanja napravila rezolucija imena i uputio promet prema vašem NAS uređaju, odnosno u konačnici prema lokalnoj mreži.

Super. Sada kada smo se spojili, što dalje? Ništa specijalno. Radite sa svim mrežnim uređajima i servisima kao da ste fizički spojeni na lokalnu mrežu. Ono što treba navesti je da uređaji i servisi koji rade preko Bonjour protokola neće raditi. Napraviti da se uređaji vide uredno preko Findera za vrijeme trajanja OpenVPN konekcije neće raditi out-of-the-box i u nekim slučajevima zahtjeva hw i sw konfiguraciju na mreži kako bi se to omogućilo.

Mislim da to nije potrebno jer se vrlo jednostavno možete povezati sa svojim uređajima (recimo pristup datotekama na NASu i slično) putem 'Connect to Server' naredbe unutar Findera. Potrebno je jednokratno definirati putanju koju ćete koristiti kada se spojite na VPN te putem nje inicirati spajanje na shared putanje koje su dostupne na NASu ili na nekom drugom mrežnom uređaju. Nakon uspješne autorizacije podaci će biti vidljivi. Jednostavno, brzo i ne traži nikakvu dodanu konfiguraciju, a opet dovoljno za situacije u kojima se treba pristupiti podacima sa neke udaljene lokacije.

Zaključak

Zaključak je, nikada dosta sigurnosti. Da je sve moguće jednostavno osigurati postojao bi jedan gumb i problem riješen. Poanta priče je ne otvarati servise prema internetu ako to apsolutno nije nužno. Ako je neizbježno, osigurajte se maksimalno kako bi sebi i korisnicima servisa osigurali siguran i ugodan rad.

 

Komentari  

smayoo
18-12-2017 | 10:19
Rusty, hvala na ovome. Iskreno, pretpostavljao sam da bi se jednim poštenim NASom sve to moralo moći riješiti, ali nisam se nikad u to upuštao zbog nedostatka vremena.
Jedno pitanje - ako sam dobro shvatio, možeš NAS podesiti za VPN pristup bez korištenja nekog posebnog namjenskog VPN routera? Ili?
Ako ti NAS može poslužiti za VPN pristup sam po sebi, može li on biti VPN router za pristup npr. do printera ili do Macova u lokalnoj mreži po AFP protokolu? Ili po FTPu? Ili...?
Citiraj
rusty
18-12-2017 | 11:38
Da i da na oba pitanja Smayoo. VPN server paket postoji tako da konfiguracija rutera nije potrebna po pitanju samih vpn postavki (osim port forwarda). Drugim riječima, da, kada ti on postane točka ulaska u lokalnu mrežu, imaš pristup svim servisima po bilo kojem protokolu. Bonjour je jedino škakljivo konfigurirati, ali može se onom tko se želi pozabaviti time.
Citiraj
smayoo
18-12-2017 | 12:26
Ma, čak mi nije bitan bonjour (kao discovery protokol), koliko sam AFP (za file pristup poznatim računalima).
A Synology, pretpostavljam, pod normalno podržava AFP? Da li radi razumno brzo ili kilavi kao D-linkov DNS-320? :)
Citiraj
rusty
18-12-2017 | 13:11
Radi kao zmaj. Ja ga high sierri i dalje koristim kao primarni protokol
Citiraj
dpasaric
18-12-2017 | 21:25
Funkcionira li takav sustav pouzdano npr. mjesec dana bez da korisnik mora intervernirati na neki način? Je li takav sustav, kada se jednom konfigurira, nezavisan od računala u svim situacijama?
Citiraj
rusty
18-12-2017 | 21:27
Ja ga kao takvog koristim godinama i nema problema. Višestruki korisnici, sa raznih lokacija, OS-a, sve radi uredno. Održavanje je potrebno u toj mjeri da je bitno održavati sve patched up, ali osim toga nema nikakvih problema, barem iz mojeg iskustva.
Citiraj
energyman
+1 18-12-2017 | 21:56
Ova objava me nagnala da nakon 2 godine stalnog "budem sutra" konačno upogonim OpenVPN server na Synologyju. Imamo dva mrežna printera u uredu i dosta puta imam potrebu printanja sa moba pa da me papir dočeka kad se vratim. Podesio sam sve, eksportao certifikat, uredno se spajam sa maca i iphonea na vpn i mogu pristupiti lokalnim uređajima upisivajući adresu 192.168.x.x, no nikako ne mogu pronaći printere. Jedan je AirPrint a drugi je šeran preko Synologyja na mrežu. Ni sa official appovima od printera na mobu ne mobu pronaći printere kad se spajam preko VPN-a ali ni preko onog print dijaloga iz recimo galerije slika. U conf fileu sam uredno stavio ip routera kao dns ali jednostavno ih ne mogu upogoniti. Imaš neku ideju kako to riješiti?
Citiraj
rusty
18-12-2017 | 22:05
Osobno sam probao to i to bi trebalo raditi uredno. Činjenica da ih "ne vidiš" na mreži objašnjava zašto ne možeš ni do njih. Tu bi trebalo početi tražiti uzrok. Prvo treba zadovoljiti tu mrežnu vidljivost prije bilo čega drugog. Pošto su mrežni printeri najosnovnije pinganje mora proći prije nego možeš reći da je negdje drugdje u konfiguraciji problem.

Da li su printeri u nekom drugom mrežnom subnetu/klasi? Ili su isto u 192.168.x.x rasponu? Je li imaš neko firewall pravilo koje ti eliminira mrežnu vidljivost do njih?

Share printera preko Synota nisam probao iskreno pa tu ne mogu tvrditi 100% da bi to trebalo raditi, ali ne vidim nekog velikog razloga zašto ne, no klasični standalone printer mora raditi.
Citiraj
CortoMaltese
19-12-2017 | 17:20
a sto reci, + za onoga tko je ovo napisao
intuitivno, objasnjeno taman kako treba...
Citiraj
smayoo
19-12-2017 | 19:24
Rusty, još jedno pitanje u vezi filesystema. EXT4 je uobičajeni Linux filesystem. Što je BTRFS? Isto nešto novo linuxaško, ili nešto specifično od Synologyja? Mora li se koristiti? Što ako se pokvari sam Synology? Na čemu se ti diskovi daju pročitati?
Citiraj
rusty
19-12-2017 | 19:34
To je Oraclovo dijete. Nije Syno specifično. Ext4 ili btrfs se mogu koristiti i uvijek postoji mogućnost odabira. BTRFS je podržan samo na uređajima koji mogu iskoristit njegove beneficije i to kroz specifične aplikacije koje služe za virtualizaciju, snapshoots itd.

Što se tiče crkavanja, da može se mountati volume na recimo Ubuntu distribuciju kako bi se došlo do podataka bez da se nužno mora kupiti ili koristit drugi Syno NAS
Citiraj
smayoo
19-12-2017 | 20:24
Čak i ako je BTRFS formatiran?
Iako, ako kužim, to (BTRFS) nije nešto što treba korisniku koji ga misli koristiti kao file server, backup i tako to...?
Citiraj
rusty
19-12-2017 | 20:33
Tako je. BTRFS treba eventualno gurati samo ako će se koristiti alati/apps koji to traže. U protivnom nije potrebno bježati sa EXT4. Primjerice BTRFS je preduvjet za snapshoot alat koji ti nudi verzioniranje datoteka/folder a kao jednu od obrana od crypto problema. Zatim bit rot manipulacija itd...
Citiraj
smayoo
20-12-2017 | 14:10
Aha, čekaj... Dakle, "verzioniranje datoteka" je feature koji zapravo omogućava nešto nalik Time Machine backupu, samo što nije vremenski sinkron, nego asinkron (pamti povijest promjena za svaku datoteku ponaosob) i njega možemo imati na samom Synologyju neovisno o TM backupu?
A može li se na Synologyju formirati TM backup particija kojoj bi TM pristupao po svom nahođenju? Pretpostavljam da može jer to sam svojevremeno izmađijao na D-Linkovom DNS-320 NASu iako na 10.6.8 to nije bilo upogonjivo samo tako...
Citiraj
rusty
20-12-2017 | 14:38
Apsolutno točno po svim točkama. TM support postoji za vise usera/macova uz podršku kvote. Kada sam nedavno na novi stroj prelazio uredno sam radio restore sa TMa preko migration assistnta. Dakle TM je u potpunosti podržan na zadnjoj verziji macOSa
Citiraj
dpohl
21-12-2017 | 00:27
Ukljcujem se i ja kratko u komentiranje cijele price.

Rusty, sve pohvale na detaljnom prikazu Synologyeva DSM-a. Moja firma koristi Syno uredjaje vec godinama, kod korisnika ih imamo instaliranih nebrojeno, i to u svakakvim kombinacijama.

Od klasicnih NAS uredjaja integriranih u MS Active Directory, preko iSCSI i FTP servisa za funkcije backup storagea razlicitih servera i platformi (MS Windows, VMware vSphere) uz primjenu Acronis i Veeam backup softvera, do virtualizacijsk og storagea za Hyper-V, i remote backup sinhroniziranih sustava na relacijama od par stotina km udaljenih lokacija.

Naravno, postoje i scenariji u kojima smo Syno upotrijebili cak i kao poslovni mail i web server za odredjene korisnike. I super dobro je dosao LE SSL, jer tesko je korisniku objasniti da SSL certifikati velikih CA-ova nisu najjeftiniji na svijetu.

Kod nas u tvrtki cak koristimo i prilicno modificirani cak i osTicket kao platformu za helpdesk, s ticketing sustavom izdavanja radnih naloga i pracenja aktivnosti. Odlican softver, s losim supportom developer communitya, ali kad proradi, radi sjajno.

Meni osobno posebno se svidja njegov backup software - HyperBackup i svi moguci nacini na koje moze raditi, ukljucujuci i Time Machine kind of backup za koji se Smayoo interesira. Provjeren u milijun situacija za recovery file sistema, mail serverskih mailboxa, i td. I da... radi i kao aplikacijski backup sustav, tako da je u potpunosti svjestan pojedinih aplikacija koje su dostupne putem Package Centera poput servera baza podataka, web servera, itd.

Time Machine podrska je sjajna, i zbilja radi upravo onako kako bi i Steve zelio :)

Ali jedino za sto apsolutno ne koristimo Syno je upravo VPN. Razlog nije u manjkavosti Syno VPN funkcija (iako mi je za oko odmah zapeo screenshot s SHA-1 autentikacijom ;)). Za funkcije VPN-a primjenjujemo iskljucivo Fortinetova rjesenja jer integriraju vrhunsku UTM zastitu od svih mogucih prijetnji zajedno s IPSec i SSL VPN uslugama.
Citiraj
rusty
21-12-2017 | 02:22
@dpohl hvala na komentarima. Slažem se s tobom oko činjenice da DSM stvarno danas daje puno mogućnosti kako bi ga korisnici mogli što bolje oblikovati svojim potrebama. Ovaj osvrt je više bio prikaz situacije u trenutku kada bi se nas otvarao prema van i korake koje bi trebalo pokriti. Imam u planu u dogledno vrijeme pokriti još neke funkcije/pakete koje smatram da je vrijedno spomenuti, a nisu tako česti, čisto da se objasne neke mogućnosti i ideje koje ovi strojevi nude.

Drago mi je vidjeti da ima korisnika koji koriste ovakve uređaje u više enterprise okruženju, a ne samo SOHO situacijama.
Citiraj
dpohl
21-12-2017 | 13:00
@rusty

Veselim se nastavku priče, jer volim čitati o različitim scenarijima upotrebe Synovih NAS-eva.

U poslu prvenstveno preferiramo "ozbiljnije" rack izvedbe poput aktualnih RS815RP+ i RS816, pa nadalje. Ali za male korisnike i one u kućnom okruženju, fascinira količina funkcija.

Osobno doma koristim DS216play s 4k podrškom, a iskonfiguriran je na način da osim Media Server funkcije radi i kao Time Machine storage, te kao Video Surveilance. Jednostavno, sjajan mali stroj s jednako impresivnim DSM-om.

Jedino što uvijek iznova lhjuti su povremeni DSM updatei koji znaju zeznuti stvar. Primjerice, imao sam slučaj kada je potpuno pogubio i DSM, i diskove. Istina, uspio sam sve oporaviti, potrajalo je dobar dio dana. Nije izgubljen niti jedan byte podataka, ali nije bilo ugodno.

Od tada više na Syno uređajima ne dopuštam automatizirani update na najnoviju verziju, već isključivo critical update. Sve ostalo...nakon objave nove verzije pričekam Update 1 ili Update 2, pa tek onda krenem u tu avanturu. Nekako me to podsjeća na Appleove "bisere" sa svakim major releas-om iOS-a ili macOS-a, kada se pojave problemi kojih do tada nije bilo. Iskustvo čini čuda. :-)
Citiraj
rusty
21-12-2017 | 13:14
@dpohl - o da, update je bitan, ali osobno ni ja ne radim upgrade day1. Prvo napravim upgrade na sekundarni NAS nakon par dana, a onda tek na primarni NAS.

Uskoro ide meni nabavka novog 918+ modela, a trenutni 211j na sekundarnoj lokaciji ću zamijeniti sa aktualnim 412+. Broj servisa koje koristim je popriličan i kako si rekao izuzetni su strojevi što se sve može sa njima.

Trenutno pišem članak o Dockeru pa ćemo vidjeti da li će uredništvo u dogledno vrijeme odobriti tekst.
Citiraj
smayoo
21-12-2017 | 17:58
Što ga ne bi odobrili... :) Ako bude kao ovaj, ne samo zanimljiv, nego još i informativan, i koristan, sigurno ga nećemo odobriti jer ispadamo papci kraj tebe... :) ;)
Citiraj
ares11
21-02-2018 | 21:06
@rusty može pitanje? Upravo sam ažurirao MBP na 10.13.3, ali i netom prije ažuriranja sam primijetio problem s prijenosom podataka na moj DS 215+ koji je donedavno radio besprijekorno. Užasno traljavo, sporo za poludit. Tražim na netu riješenja ali ne nalazim... Prijenos na Ryzen stroju s Win 10 radi ko urica. Dakle nije do NASa nego do macOSa očito.
DSM je ažuriran. Probao sam isključiti enkripciju na SMB file services sekciji ali nije pomoglo. Inače podešen je da koristi SMB v3 ili minimum SMB v2 w large MTU. Mac je wifijem spojen ali radi odlično i nemam problema s net downloadom npr...

Hvala.
Citiraj
rusty
21-02-2018 | 21:09
Ako si ugasio SMB enkripciju, jedino što u ovom trenutku možeš probati je drugi protokol. Probaj preko AFPa pa vidi da li imaš drugačije brzine. Da li koristiš Finder ili neku custom aplikaciju na macu?
Citiraj
ares11
21-02-2018 | 21:14
Finder. viš mogu probat commanderOne. Mislim da mi je prije išlo preko afp ali bilo je ISTO. evo probam pa javim! Superbrzi odgovor :)
Citiraj
rusty
21-02-2018 | 21:22
Evo ja sam osobno na 13.2 još uvijek i transferi su na max kao i inače... jedino da nije nešto novo uletilo što treba opet pogasiti kako bi se to sve ubrzalo, ali mislim da će AFP biti sigurno brži od SMBa
Citiraj
ares11
21-02-2018 | 21:24
OK, pokušavam commanderOne i unmountao smb, mountao afp i krenulo je... ali niti 1MBps... užas. ponavljam, donedavno je išlo čisto OK!
kad je smb mountan onda prijenos ide BRŽE ali zapne i stoji. dok afp-om ide konstantno ali 500-700KBps :-/
Citiraj
rusty
21-02-2018 | 21:26
Ok probaj AFP preko Findera, pusti 3rd party... slično sam imao ja i sa Forkliftom kojeg koristim, pa kada sam to prijavio DEVovima su u slijedećoj verziji to popeglali, ali mi je preko findera uvijek max speed bio.

Ako si ovo primijetio netom prije nadogradnje onda je sigurno nešto na macos strani pogotovo ako radi na win kako bi trebalo. Probaj AFP preko findera pa vidi koji max speed dobiješ.
Citiraj
ares11
21-02-2018 | 21:39
OK, kao da se odblesiralo... Plus restartao sam blesavi Huawei homebox :-/ Imao sam nekih 3,5-4 MBps što je napredak, ali nisam oduševljen. oh well, ne stignem večeras, ali još ću testirati sutra. Hvala!
Citiraj
Sigurnosni kod
Osvježi

Komentiraj

Vikalica™

Zadnja poruka: pred 1 minute
  • robee: a ovo je nuzno zlo :),
  • Yonkis: Od Androida preferiram Sony i Motorola. Ako već moram birati.
  • Daddo: i primarni
  • Daddo: a općenito mi android nije opcija za privatni telefon.
  • Daddo: od svih brand name android uređaja samsung mi je najmanje drag :)
  • robee: s7
  • Daddo: 3GS je idealan uređaj za reprodukciju glazbe, da glumi ipod :D (iako imam i ipod nano 4 GB koji još uvijek radi)
  • Yonkis: Daddo, svaka čast! Definitivno nisam očekivao takav "rasplet" :) Robee: a koji Android?
  • robee: android na zalost...privremeno dok si ne rijesim neki iph :)
  • Daddo: nova baterija je unutra... skoro nikad korišten
  • Yonkis: Damn bro! Živiš opasno! :D Trčiš li od utičnice do utičnice ili.. Kako uspijevaš?
  • Daddo: inače, imam ja i 3GS funkcionalan i u radu :D
  • Yonkis: Allright, misunderstanding :)
  • Daddo: pričam o platformi kao takvoj, ne o uređajima fizički. MS više ne radi na Windows Mobile OS-u, developeri ne razvijaju nove aplikacije etc...
  • Yonkis: Daddo, pusti ti to mrtav, jučer vidio iPhone 4/s u tramvaju, mislio sam da je taj model mrtav tj da se koristi in real life. :)
  • Daddo: windows phone je mrtav... vjerojatno je u pitanju Android.
  • Yonkis: Koji je to susjedni tabor? Neki windows phone?
  • robee: privremeno sam u susjednom taboru ali tako mi je bilo dok sam imao i7...nebitno, vratio sam se na jpg kao zadani format
  • robee: ako stavim da je zadani format heic onda ga uploada takvog a heic nitko ne prepoznaje
  • Yonkis: Robee: Settings / Photos / i dolje na dnu, što ti je označeno?
  • robee: meni je kod uploada na Njuskalo stavio .heic i to ne prepoznaje
  • big_mac: tnx idem onda s tim
  • Yonkis: da, go with High Efficiency, a kod slanja ili skidanja slika se convertiraju u jpg tako da druga strana nema problema sa gledanjem *.HEIC formata slike.
  • big_mac: Going with “High Efficiency” gets you half smaller videos/photos without losing quality.
  • big_mac: Moze li mi netko tko se kuzi reci da li da za format fotografija na ajfonu koristim visoka ucinkovitost ilinajkompatibilnije?
  • Yonkis: Shvatio sam, radi se o slijedećem: [link]
  • Yonkis: Čemu služi ova opcija [link] Meni ništa ne "zalocka"
  • Yonkis: big_mac: osobno smatram da uopće nije loše. Baterija se puni i dok ga koristiš.. Što je, npr, sa situacijom da ti je iPhone na docku i slušaš muziku ili koristiš Siri (malo vjerojatno :)
  • big_mac: A koliko je lose koristiti uredaj dok je na punjacu?
  • Soffoklo: Osnovno pravilo je izbjegavati da se uređaj sa Li-ion baterijom isprazni do kraja. Nije drama, ali nije preporučljivo. O samim baterijama u Apple uređajima ima više ovdje [link] i ovdje [link]
  • robee: Puni ga kada ti dodje do 20%
  • dodoonn: 100% praznim na 0 i onda punim?? Koji je barem malo "korisniji" nacin ??
  • dodoonn: Cekajte, kad smo kod baterija ja zapravo radim krivo kada je od 100
  • JOHN: :-) možda i 3%.
  • JOHN: Mislim da se ajfonu X baterija NAPUNI za 2% preko noći.
  • drlovric: Zar ga logicno ne punis nocu?
  • Mislav2222: Meni ne padne niti jedan posto, iphone X
  • big_mac: 6% da padne u stanju mirovanja preko noci je puno
  • smayoo: PIši u forum
  • Yonkis: Jutro.. Opet ja sa baterijom, znam, dosadan sam ali me zanimaju vaša iskustva. Točnije, koliko vam postotka "iscuri" tijekom noći, za koliko padne preko noći. Meni kada sve pogasim (avio mode, Battery saver, Location serv Off) padne 6%, a sa time svime upaljeno 11%. Nije li to puno s obzirom da se Apple hvali kako malo troši bateriju u pozadini.
  • smayoo: Što se desnog klika tiče, možeš staviti na desni klik što god želiš. Piši u forum
  • smayoo: To je radilo normalno (i meni radi i sad normalno) na 10.11
  • robee: Taj Stay ne radi naravno...
  • robee: znaci nisam lud :) ne kontam kako taj osx stalno isticu kao super jednostavan i sve radi a za svaku trivijalnu radnju morma traziti upute na netu :(, isto tako i za rar da bi ga napravio nema desni klik nego moram otvoriti app i vuci u nju ono sto zelim rar-ati, hrpa sitnica koje izludjuju...
  • Bertone: ... o lijepi moj Linux :)
  • Bertone: ... otišao je OSX u maunu kad mora postojati aplikacija "Stay to remember" da bi korisnik mogao upravljati otvorenim prozorima :)
  • Bertone: @smayoo, ja ću se raniti na ovaj tvoj link :D
  • cariblanco: Nema nigdje prijenosa trke, a medijski je katastrofalno popraćeno. Svugdje u svijetu je to događaj koji pljeni pažnju, samo smo mi sami sebi dostatni :(
  • cariblanco: Maloprije mi je ispred zgrade prošao Tour of Croatia, žalosno je da sam bio ja i još jedan mladić koji smo fotkali...i jedna baka koja je čekala bus :(
  • smayoo: [link]

Za vikanje moraš biti prijavljen.

Prijava

Novo na Jabučnjaku

Teme

Poruke

Anketa

Kupujete li profesionalni Mac?

Page Speed 0.69 Seconds

Provided by iJoomla SEO