Luka Manestar 15.12.17

Što danas najviše cijenimo? To je sigurno individualno pitanje, ali ako se samo orijentiramo na IT segment mislim da će kod većine ljudi odgovor biti, podaci, privatni pristup istima ili nešto u tom stilu.

Današnji način komunikacije, suradnje i izmjene podataka moguć je praktički s uređaja koji su prije ne tako puno godina bili nezamislivi, no to je samo pola priče. Kako osigurati da pristup tim podacima bude jednostavan, ali i siguran, je nešto što mene osobno interesira i nameće se uvijek kao prvo pitanje.

Uz sva silna public cloud rješenja koji put se teško odlučiti što koristiti, a ne malo puta se dogodi i da koristimo nekoliko pružatelja navedenih usluga pa se čovjek i počne pitati gdje je ono spremio dokument koji mu sada presudno treba.

Jednostavnost korištenja i besplatni prostor su samo neki od privlačnih elemenata koji mnoge vuče na ovakva rješenja, no koliko je to sve sigurno? Gotovo svaki od pružatelja će sigurno osigurati siguran pristup podacima, no što je s pristupom tim podacima od strane samog pružatelja usluga? Ili pak nadležnih tijela koji nalogom mogu dobiti pristup istima?

To su neka pitanja na koja smo kroz razne nedavne prilike mogli vidjeti kako završavaju. Jedni opravdavaju takvo ponašanje, drugi traže kompletnu anonimnost, ali na kraju nema garancije.

Ono na što bi se htio osvrnuti je kako to izgleda kada ste zaista vlasnik svojih podataka koji su dostupni uvijek na siguran i privatan način.

Synology DSM 6.2 (Disk station manager)

Zadnjih 8 godina pratim NAS rješenja i kao jedan od vodećih brendova (svakako ne jedini) je Synology. Njihova paleta uređaja iz godine u godinu raste, ali ono što je važnije je njihov OS. Pravu razliku čini kvalitetan OS, a DSM to definitivno jest.

Samo kratko, za one koji možda nisu upućeni, DSM je web sučelje kojem se pristupa svim funkcijama NASa a specifično je to što je vizualno prezentirano kao radna površina nekog operativnog sustava.

Za one koji žele vidjeti to u akciji: https://www.synology.com/en-global/dsm/live_demo

Sigurnost

Iako je trenutno još u beti, verzija 6.2 donosi niz poboljšanja i novih funkcija od kojih će većina biti podržana i na modelima starim i preko 5 god. Neke funkcije kao i moduli, tražit će i novi file sustav (BTRFS za razliku od standardnog EXT4), no to je opet nešto što će samo određeni modeli i moći koristiti.

Synology u zadnje 3 godine jako ulaže u mjere sigurnosti što im je i bila jedna od glavnih zamjerka i moram priznati da se to jako osjeti. Kao što se osjetilo u negativnom smislu prije par godina sa Synolockerom, tako se i vidi da je naglasak na rješavanje i krpanje sigurnosnih propusta brži i jači nego ikada.

Od prošle godine Synology je i ovlašten od strane MITRE korporacije kao CVE Numbering Authority (CNA), a ujedno imaju i ‘response team’ koji izbacuje kritične sigurnosne zakrpe unutar 24h.

Od prošle godine (DSM 6.1), Synology je i službeno počeo podržavati izdavanje Let’s Encrypt SSL certifikata. Za one kojima nije poznato, LE je kompletno besplatni CA (certificate authority) za izdavanje SSL certifikata. Laički, to je ono što vam daje onaj lijepi zeleni lokot na vašem web siteu kojeg želite podijeliti sa svijetom. Naravno LE certifikat se mora osvježiti svakih 90 dana, ali hej, besplatni su.

Nabavka jednog NAS uređaja će kod nekih značiti centralno mjesto za backup Interneta, drugima, kao backup onih samo bitnih podataka, a nekom će služiti i kao mjesto na kojem će imati razne aplikacije i servise koji bi trebali biti dostupni u bilo koje vrijeme, bili gdje i s bilo kojeg uređaja. Ja koristim NAS za sve navedene situacije :D.

Dakle kako osigurati da pristup informacijama bude što manje izložen vanjskom svijetu, ali opet dostupan vama (ili ljudima kojima je potreban)?

Synology hardening 101

Ok nabavio se NAS i sada bi htjeli pristupati istome preko interneta, lokalno, s tableta, telefona, iz zahoda. Super. Sve je moguće, ali neke stvari ipak treba pripremiti i konfigurirati kako bi se smanjio broj mogućih vektora napada na vaš uređaj (Kinezi jako vole napadati SSH na portu 22, tako da… mm da, to treba riješiti).

Ovo su koraci koje mislim da su apsolutni minimum kako bi se otvorili prema van, ali opet osigurali što je više moguće:

  • promijeniti synology default port (https/5001 u nešto iznad 1024, ali opet da ne bude neki poznati port)
  • konfigurirati DDNS radi lakšeg pristupa prilikom izmjene IP adrese od strane ISPa (Synology ima svoj vlastiti ddns servis, ali i podržava 3rd party)
  • generirati Let’s Encrypt certifikat temeljem prethodno definiranog DDNS kako bi imali adresu tipa (https://moje_cool_ddns_ime.synology.me)
  • konfigurirati 2FA za kritične accounte
  • ugasiti admin/root account i obavezno mu promijeniti password
  • koristiti AutoBlocker opciju za blacklist IP adresa koje pokušavaju napasti često korištene portove koji su vam otvoreni prema internetu (ovo naravno treba nastojati izbjeći tako da se ne otvaraju servisi sa defualtnim portovima ili ako je to baš nužno, da se isti promjene u neke vrijednosti koje nisu defaultne)
  • koristiti firewall opciju te ograničiti pristup ip adresama/subnetima samo na one raspone koji su nužni. Dodatno, ograničiti pristup iz zemalja koje želite da imaju pristup (GeoFirewall), a braniti iz zemalja za koje to ne želite
  • ugasite SSH ili ako je potreban, promijenite mu port i naravno štitite ga i NE PUŠTAJTE ga preko rutera na internet
  • kao zadnju točku, konfigurirati VPN server koji bi po mogućnosti bio jedini način pristupa iz vana (za neke servise će to možda biti naporno koristiti preko tunela, zato i postoje prethodni koraci, ali za ostale je potpuno moguće napraviti i koristiti vpn s raznim aplikacijama/servisima koje synology nudi)

Ok, možda će netko reći ako je ovo minimum što je onda sve moguće i potrebno da imam 100% sigurnost? E pa nema 100% sigurnosti. Kao što je navedeno ideja je da minimiziramo moguće vektore napada ne da ih u potpunosti uklonimo. Ako je to nešto što je potrebno, onda ne otvarajte NAS prema Internetu, drugog nema.

Mislim da i bez posebnog naglaska, ali ću ga svejedno navesti, ide i činjenica da treba DSM držati up to date sa zadnjim zakrpama što je više moguće (pogotovo ako su to sigurnosne zakrpe).

Mnogi izbjegavaju ovo raditi regularno, jer još uvijek u većini slučajeva Synology DSM traži reboot proceduru što je malo naporno, ali od 6.1 verzije došlo je to određenih razdvajanja dijelova DSM komponenti na pojedine aplikacije kako bi na razini OS ostao što manji broj servisa koji traže međusobnu ovisnost. Ovo generalno radi dobro, ali budite spremni resetirati/nadograditi OS barem jednom mjesečno.

Let's Encrypt certifikat implementacija

Kao što je navedeno od verzije DSM 6.1 izdavanje LE certifikata je nešto što je moguće napraviti unutar samog DSMa bez problema. Naravno i dalje to nije preduvjet i jasno mogu se koristiti i kupljeni certifikati koji su komercijalno dostupni. E sada koliko bi se ljudi odlučilo na taj korak to je pitanje, no LE je priznat kao ravnopravni autoritet koji se prepoznaje od strane svih popularnih preglednika. Dakle više stvarno nema razloga imati web servise dostupne na 'nesigurnim' https ili http adresama.

Ovo je izuzetno bitno ako servise dijelite s nekim kolegama, korisnicima ili poznanicima. U današnje vrijeme kada se pojavi neki error u pregledniku, većina korisnika bježi glavom bez obzira i ne želi koristiti uslugu, što je ok, ali sve se to lako izbjegne korištenjem punokrvnog LE certifikata.

Izdavanje LE certifikata je vrlo jednostavno i traži svega nekoliko minuta i jedan wizard. Važno je napomenuti da prilikom kreiranja certifikata imamo opciju i definiranja ‘subject alternative names’. To polje dozvoljava da se izdani certifikat koristi i za neke druga domenska imena, primjerice, imena koja jednoznačno obilježavaju neki servis kojem želite da korisnici pristupe.

Uzmimo za primjer da napravite certifikat imena: mojadomena.synology.me, u SAN polje možete onda odvajanjem sa ; znakom unijeti i slijedeća imena: file.mojadomena.synology.me; office.mojadomena.synology.me; notes.mojadomena.synology.me; chat.mojadomena.synology.me i slično.

Dakle svaki put kada putem web preglednika krenete na neko od vaših alternativnih imena, a koristite LE certifikat, i dalje će https komunikacija biti ispravna. Nema potrebe izdavati nove pojedinačne certifikate za svaki servis.

Application portal - korisnički prihvatljiv način pristupa servisima

Nakon što se posloži lijepo ddns ime preko https-a, možda je i vrijeme složiti specifično dostupne servise na dediciranim web adresama. Osim što će vama i korisnicima vaših servisa ovo biti 'ljepše' i lakše pamtljivo, ovo je i jedan od načina da sakrijete što se zapravo krije iza navedene adrese. Pod ovime mislim njeno pravo ime i recimo port. Nikada ne znate tko ima kakve skrivene namjere.

Zadržimo se na svijetloj strani i činjenici da nemate korisnika koji žele napraviti neku štetu, ako ste složili LE certifikat s alternativnim imenima, ovo je super prilika da i iste koristite. Kao što je vidljivo iz slike, ovisno o tome koje aplikacije imate instalirane, DSM će ih dodati u popis aplikacija koje se mogu konfigurirati sa specifičnim imenom ili čak na nekim drugim portovima.

APP portal

U konačnici možemo imati uredne, sigurne web adrese koje možete podijeliti sa svojim korisnicima koji imaju potrebe koristiti specifične aplikacije.

Pristup recimo Note Station i Chat aplikaciji je nekome apsolutno potreban dok pristup DSM glavnom desktopu jednostavno ne želite dozvoliti iz sigurnosnih razloga. Ovo je vrlo elegantan način da osigurate što manje stresa sebi i korisnicima.

2FA - 2 step autentification

Mislim da danas i ptice na grani znaju za pojam sekundarne verifikacije. Ovo ne treba shvatiti olako i jednostavno ignorirati jer zaštite nikada nije dovoljno. U DSM svijetu 2FA se konfigurira na razini pojedinih korisničkih računa i topla je preporuka da se isti i koristi. Naravno može se i podesiti da se 2FA koristi standardno za sve accounte ili samo recimo za administratore.

Svi poznati i manje poznati servisi koriste 2FA za prijavu u svoje sustave (recimo icloud.com) pa eto i od verzije DSMa 6, Synology je implementirao isti.

Njegovo korištenje je jednostavno koliko bi čovjek i očekivao za sekundarnu autorizaciju. Potrebno je prošetati kroz wizard koji će konfigurirati uređaj koji želite da bude 2FA token generator i stvar je riješena. Dodatnih par sekundi koje mogu značiti sigurnost ili propast.

Potrebno je napomenuti da ako se odlučite na 2FA obavezno imate svoj NAS u sync-u s točnim vremenom. Manja odstupanja su dozvoljena, ali ne previše tako da provjerite da DSM ima točno up to date vrijeme. Za ove potrebe konfigurirajte 'Time Setting' da koristi neki od NTP servera (Control Panel > Regional Options > Time).

Preporuka je da se koristi NTP za razliku od manualno podešenog vremena ako ništa drugo onda zbog pomicanja sata. Ukoliko bude problema s vremenom, 2FA neće prolaziti i nakon nekoliko pokušaja ćete zaključati korisnički račun. Naravno nema panike jer postoji link na ekranu za prijavu baš za takve situacije, ali jednostavnije je imati točno vrijeme.

VPN server

Kao jedan od zadnjih koraka u ovoj priči bi mogla biti i konfiguracija VPN pristupa prema vašem NASu.

Osobno koristim VPN server konfiguraciju na NASu kao jedan od načina pristupa znatnom broju servisa koje želim imati dostupne, ali opet ne javno dostupne preko interneta. Prednost VPNa je upravo to da se možete spojiti s bilo kojeg uređaja nazad u vašu lokalnu mrežu i koristiti pristup uređajima i servisima kao da ste 'doma'.

Potrebno je propustiti VPN mrežni promet prema internetu, naravno, ali barem nije onda potrebno za svaki servis pojedinačno otvarati portove kako bi istima pristupili.

Synology DSM radi s 3 vrste VPN protokola od čega bi PPTP trebalo izbjegavati u širokom krugu zbog slabe zaštite koju za današnje pojmove ima. Dakle ostaju OpenVPN i L2TP/IPSec. Osobno koristim OpenVPN na svim uređajima i radi jako dobro.

Dobra stvar je što se spajanje na VPN okolinu može napraviti da koristi prethodno konfiguriran DDNS zapis i LE certifikat. Cijeli proces započinje instalacijom VPN server paketa iz Package Center-a.

VPN server

Nakon toga ostaje konfiguracija parametara mrežnog raspona, porta, protokola i enkripcije. Ovo će varirati ovisno o vašim osobnim preferencijama i mrežnoj konfiguraciji, ali i o OpenVPN klijentu kojeg ćete koristiti. Za razliku od L2TP-a koji je nativno podržan od strane macOS i iOS-a, OpenVPN traži dediciranog klijenta.

Njih naravno ima puno, od free do komercijalnih, ali osobno koristim Viscosity klijent koji postoji za macOS, win i linux okoline, dok za iOS koristim OpenVPN službeni klijent. Priča kod svih je jednaka. Nakon što se na VPN server strani sve konfigurira i posloži, radi se export konfiguracije (preko tipke unutar sučelja) i nakon toga se isti ubacuje u klijenta. Jedina predradnja je da se konfiguracijska datoteka otvori kako bi se zapisala server destinacija prije samog importa u klijentsku aplikaciju.

Za te potrebe se koristi DDNS ime koje je javno dostupno kako bi se uspješno prilikom spajanja napravila rezolucija imena i uputio promet prema vašem NAS uređaju, odnosno u konačnici prema lokalnoj mreži.

Super. Sada kada smo se spojili, što dalje? Ništa specijalno. Radite sa svim mrežnim uređajima i servisima kao da ste fizički spojeni na lokalnu mrežu. Ono što treba navesti je da uređaji i servisi koji rade preko Bonjour protokola neće raditi. Napraviti da se uređaji vide uredno preko Findera za vrijeme trajanja OpenVPN konekcije neće raditi out-of-the-box i u nekim slučajevima zahtjeva hw i sw konfiguraciju na mreži kako bi se to omogućilo.

Mislim da to nije potrebno jer se vrlo jednostavno možete povezati sa svojim uređajima (recimo pristup datotekama na NASu i slično) putem 'Connect to Server' naredbe unutar Findera. Potrebno je jednokratno definirati putanju koju ćete koristiti kada se spojite na VPN te putem nje inicirati spajanje na shared putanje koje su dostupne na NASu ili na nekom drugom mrežnom uređaju. Nakon uspješne autorizacije podaci će biti vidljivi. Jednostavno, brzo i ne traži nikakvu dodanu konfiguraciju, a opet dovoljno za situacije u kojima se treba pristupiti podacima sa neke udaljene lokacije.

Zaključak

Zaključak je, nikada dosta sigurnosti. Da je sve moguće jednostavno osigurati postojao bi jedan gumb i problem riješen. Poanta priče je ne otvarati servise prema internetu ako to apsolutno nije nužno. Ako je neizbježno, osigurajte se maksimalno kako bi sebi i korisnicima servisa osigurali siguran i ugodan rad.

 

Komentari  

smayoo
18-12-2017 | 10:19
Rusty, hvala na ovome. Iskreno, pretpostavljao sam da bi se jednim poštenim NASom sve to moralo moći riješiti, ali nisam se nikad u to upuštao zbog nedostatka vremena.
Jedno pitanje - ako sam dobro shvatio, možeš NAS podesiti za VPN pristup bez korištenja nekog posebnog namjenskog VPN routera? Ili?
Ako ti NAS može poslužiti za VPN pristup sam po sebi, može li on biti VPN router za pristup npr. do printera ili do Macova u lokalnoj mreži po AFP protokolu? Ili po FTPu? Ili...?
Citiraj
rusty
18-12-2017 | 11:38
Da i da na oba pitanja Smayoo. VPN server paket postoji tako da konfiguracija rutera nije potrebna po pitanju samih vpn postavki (osim port forwarda). Drugim riječima, da, kada ti on postane točka ulaska u lokalnu mrežu, imaš pristup svim servisima po bilo kojem protokolu. Bonjour je jedino škakljivo konfigurirati, ali može se onom tko se želi pozabaviti time.
Citiraj
smayoo
18-12-2017 | 12:26
Ma, čak mi nije bitan bonjour (kao discovery protokol), koliko sam AFP (za file pristup poznatim računalima).
A Synology, pretpostavljam, pod normalno podržava AFP? Da li radi razumno brzo ili kilavi kao D-linkov DNS-320? :)
Citiraj
rusty
18-12-2017 | 13:11
Radi kao zmaj. Ja ga high sierri i dalje koristim kao primarni protokol
Citiraj
dpasaric
18-12-2017 | 21:25
Funkcionira li takav sustav pouzdano npr. mjesec dana bez da korisnik mora intervernirati na neki način? Je li takav sustav, kada se jednom konfigurira, nezavisan od računala u svim situacijama?
Citiraj
rusty
18-12-2017 | 21:27
Ja ga kao takvog koristim godinama i nema problema. Višestruki korisnici, sa raznih lokacija, OS-a, sve radi uredno. Održavanje je potrebno u toj mjeri da je bitno održavati sve patched up, ali osim toga nema nikakvih problema, barem iz mojeg iskustva.
Citiraj
energyman
+1 18-12-2017 | 21:56
Ova objava me nagnala da nakon 2 godine stalnog "budem sutra" konačno upogonim OpenVPN server na Synologyju. Imamo dva mrežna printera u uredu i dosta puta imam potrebu printanja sa moba pa da me papir dočeka kad se vratim. Podesio sam sve, eksportao certifikat, uredno se spajam sa maca i iphonea na vpn i mogu pristupiti lokalnim uređajima upisivajući adresu 192.168.x.x, no nikako ne mogu pronaći printere. Jedan je AirPrint a drugi je šeran preko Synologyja na mrežu. Ni sa official appovima od printera na mobu ne mobu pronaći printere kad se spajam preko VPN-a ali ni preko onog print dijaloga iz recimo galerije slika. U conf fileu sam uredno stavio ip routera kao dns ali jednostavno ih ne mogu upogoniti. Imaš neku ideju kako to riješiti?
Citiraj
rusty
18-12-2017 | 22:05
Osobno sam probao to i to bi trebalo raditi uredno. Činjenica da ih "ne vidiš" na mreži objašnjava zašto ne možeš ni do njih. Tu bi trebalo početi tražiti uzrok. Prvo treba zadovoljiti tu mrežnu vidljivost prije bilo čega drugog. Pošto su mrežni printeri najosnovnije pinganje mora proći prije nego možeš reći da je negdje drugdje u konfiguraciji problem.

Da li su printeri u nekom drugom mrežnom subnetu/klasi? Ili su isto u 192.168.x.x rasponu? Je li imaš neko firewall pravilo koje ti eliminira mrežnu vidljivost do njih?

Share printera preko Synota nisam probao iskreno pa tu ne mogu tvrditi 100% da bi to trebalo raditi, ali ne vidim nekog velikog razloga zašto ne, no klasični standalone printer mora raditi.
Citiraj
CortoMaltese
19-12-2017 | 17:20
a sto reci, + za onoga tko je ovo napisao
intuitivno, objasnjeno taman kako treba...
Citiraj
smayoo
19-12-2017 | 19:24
Rusty, još jedno pitanje u vezi filesystema. EXT4 je uobičajeni Linux filesystem. Što je BTRFS? Isto nešto novo linuxaško, ili nešto specifično od Synologyja? Mora li se koristiti? Što ako se pokvari sam Synology? Na čemu se ti diskovi daju pročitati?
Citiraj
rusty
19-12-2017 | 19:34
To je Oraclovo dijete. Nije Syno specifično. Ext4 ili btrfs se mogu koristiti i uvijek postoji mogućnost odabira. BTRFS je podržan samo na uređajima koji mogu iskoristit njegove beneficije i to kroz specifične aplikacije koje služe za virtualizaciju, snapshoots itd.

Što se tiče crkavanja, da može se mountati volume na recimo Ubuntu distribuciju kako bi se došlo do podataka bez da se nužno mora kupiti ili koristit drugi Syno NAS
Citiraj
smayoo
19-12-2017 | 20:24
Čak i ako je BTRFS formatiran?
Iako, ako kužim, to (BTRFS) nije nešto što treba korisniku koji ga misli koristiti kao file server, backup i tako to...?
Citiraj
rusty
19-12-2017 | 20:33
Tako je. BTRFS treba eventualno gurati samo ako će se koristiti alati/apps koji to traže. U protivnom nije potrebno bježati sa EXT4. Primjerice BTRFS je preduvjet za snapshoot alat koji ti nudi verzioniranje datoteka/folder a kao jednu od obrana od crypto problema. Zatim bit rot manipulacija itd...
Citiraj
smayoo
20-12-2017 | 14:10
Aha, čekaj... Dakle, "verzioniranje datoteka" je feature koji zapravo omogućava nešto nalik Time Machine backupu, samo što nije vremenski sinkron, nego asinkron (pamti povijest promjena za svaku datoteku ponaosob) i njega možemo imati na samom Synologyju neovisno o TM backupu?
A može li se na Synologyju formirati TM backup particija kojoj bi TM pristupao po svom nahođenju? Pretpostavljam da može jer to sam svojevremeno izmađijao na D-Linkovom DNS-320 NASu iako na 10.6.8 to nije bilo upogonjivo samo tako...
Citiraj
rusty
20-12-2017 | 14:38
Apsolutno točno po svim točkama. TM support postoji za vise usera/macova uz podršku kvote. Kada sam nedavno na novi stroj prelazio uredno sam radio restore sa TMa preko migration assistnta. Dakle TM je u potpunosti podržan na zadnjoj verziji macOSa
Citiraj
dpohl
21-12-2017 | 00:27
Ukljcujem se i ja kratko u komentiranje cijele price.

Rusty, sve pohvale na detaljnom prikazu Synologyeva DSM-a. Moja firma koristi Syno uredjaje vec godinama, kod korisnika ih imamo instaliranih nebrojeno, i to u svakakvim kombinacijama.

Od klasicnih NAS uredjaja integriranih u MS Active Directory, preko iSCSI i FTP servisa za funkcije backup storagea razlicitih servera i platformi (MS Windows, VMware vSphere) uz primjenu Acronis i Veeam backup softvera, do virtualizacijsk og storagea za Hyper-V, i remote backup sinhroniziranih sustava na relacijama od par stotina km udaljenih lokacija.

Naravno, postoje i scenariji u kojima smo Syno upotrijebili cak i kao poslovni mail i web server za odredjene korisnike. I super dobro je dosao LE SSL, jer tesko je korisniku objasniti da SSL certifikati velikih CA-ova nisu najjeftiniji na svijetu.

Kod nas u tvrtki cak koristimo i prilicno modificirani cak i osTicket kao platformu za helpdesk, s ticketing sustavom izdavanja radnih naloga i pracenja aktivnosti. Odlican softver, s losim supportom developer communitya, ali kad proradi, radi sjajno.

Meni osobno posebno se svidja njegov backup software - HyperBackup i svi moguci nacini na koje moze raditi, ukljucujuci i Time Machine kind of backup za koji se Smayoo interesira. Provjeren u milijun situacija za recovery file sistema, mail serverskih mailboxa, i td. I da... radi i kao aplikacijski backup sustav, tako da je u potpunosti svjestan pojedinih aplikacija koje su dostupne putem Package Centera poput servera baza podataka, web servera, itd.

Time Machine podrska je sjajna, i zbilja radi upravo onako kako bi i Steve zelio :)

Ali jedino za sto apsolutno ne koristimo Syno je upravo VPN. Razlog nije u manjkavosti Syno VPN funkcija (iako mi je za oko odmah zapeo screenshot s SHA-1 autentikacijom ;)). Za funkcije VPN-a primjenjujemo iskljucivo Fortinetova rjesenja jer integriraju vrhunsku UTM zastitu od svih mogucih prijetnji zajedno s IPSec i SSL VPN uslugama.
Citiraj
rusty
21-12-2017 | 02:22
@dpohl hvala na komentarima. Slažem se s tobom oko činjenice da DSM stvarno danas daje puno mogućnosti kako bi ga korisnici mogli što bolje oblikovati svojim potrebama. Ovaj osvrt je više bio prikaz situacije u trenutku kada bi se nas otvarao prema van i korake koje bi trebalo pokriti. Imam u planu u dogledno vrijeme pokriti još neke funkcije/pakete koje smatram da je vrijedno spomenuti, a nisu tako česti, čisto da se objasne neke mogućnosti i ideje koje ovi strojevi nude.

Drago mi je vidjeti da ima korisnika koji koriste ovakve uređaje u više enterprise okruženju, a ne samo SOHO situacijama.
Citiraj
dpohl
21-12-2017 | 13:00
@rusty

Veselim se nastavku priče, jer volim čitati o različitim scenarijima upotrebe Synovih NAS-eva.

U poslu prvenstveno preferiramo "ozbiljnije" rack izvedbe poput aktualnih RS815RP+ i RS816, pa nadalje. Ali za male korisnike i one u kućnom okruženju, fascinira količina funkcija.

Osobno doma koristim DS216play s 4k podrškom, a iskonfiguriran je na način da osim Media Server funkcije radi i kao Time Machine storage, te kao Video Surveilance. Jednostavno, sjajan mali stroj s jednako impresivnim DSM-om.

Jedino što uvijek iznova lhjuti su povremeni DSM updatei koji znaju zeznuti stvar. Primjerice, imao sam slučaj kada je potpuno pogubio i DSM, i diskove. Istina, uspio sam sve oporaviti, potrajalo je dobar dio dana. Nije izgubljen niti jedan byte podataka, ali nije bilo ugodno.

Od tada više na Syno uređajima ne dopuštam automatizirani update na najnoviju verziju, već isključivo critical update. Sve ostalo...nakon objave nove verzije pričekam Update 1 ili Update 2, pa tek onda krenem u tu avanturu. Nekako me to podsjeća na Appleove "bisere" sa svakim major releas-om iOS-a ili macOS-a, kada se pojave problemi kojih do tada nije bilo. Iskustvo čini čuda. :-)
Citiraj
rusty
21-12-2017 | 13:14
@dpohl - o da, update je bitan, ali osobno ni ja ne radim upgrade day1. Prvo napravim upgrade na sekundarni NAS nakon par dana, a onda tek na primarni NAS.

Uskoro ide meni nabavka novog 918+ modela, a trenutni 211j na sekundarnoj lokaciji ću zamijeniti sa aktualnim 412+. Broj servisa koje koristim je popriličan i kako si rekao izuzetni su strojevi što se sve može sa njima.

Trenutno pišem članak o Dockeru pa ćemo vidjeti da li će uredništvo u dogledno vrijeme odobriti tekst.
Citiraj
smayoo
21-12-2017 | 17:58
Što ga ne bi odobrili... :) Ako bude kao ovaj, ne samo zanimljiv, nego još i informativan, i koristan, sigurno ga nećemo odobriti jer ispadamo papci kraj tebe... :) ;)
Citiraj
Sigurnosni kod
Osvježi

Komentiraj

Vikalica™

Zadnja poruka: pred 1 dan, 15 sati
  • gladhr2: evo jedan misterij pa znalci prihvatite se izazova haha [link] :D
  • Ljut k0 Ri5: neznam zašto ali ne objavljuje mi odgovor na- brzom odgovoru- nego sam morao na -odgovor-
  • cariblanco: Zato kaj si ljut kao ris, da si normalno ljut, valjda bi objavilo :)
  • Riba: Što se dogodi? Ništa?
  • Ljut k0 Ri5: zašto ne želi objavit brzi odgovor u forumu?
  • Soffoklo: [link]
  • Soffoklo: OS X-ovi zadnjih 13 godina su imali prilicnu rupu koja je tek nedavno pokrpana i to samo u novijim OS-ovima
  • Miro Spiro: Znaci moram prebaciti cijeli kontroler sa razbijenog na novi da bi radio
  • big_mac: [link]
  • smayoo: Ne, konektori za osvjetljenje su isti, ali za panel nisu...
  • stefanjos: steta da nema vise, vidit cemo onda cemo morati rucno
  • robee: Tesko...poznavajuci Apple, moguce da se radi o potpuno istim panelima ali sa drugacijim konektorima cisto zato da sew ne moze kombinirati :)
  • Miro Spiro: Koliko vidim konektori su razliciti za osvjetljenje ili grijesim?
  • Miro Spiro: [link]
  • smayoo: Da... Vjerojatno je jedini način za doznati - da se proba...
  • Miro Spiro: Smayoo: Gledao jesam ali se i oni raspravljaju oko oznake SDB1 i SDB3 na kraju serijskog broja!
  • robee: login
  • robee: Ili prije kupnje napraviti loigin na svoj iCloud pa ako ti dozvoli onda je FMiP iskljucen.
  • songoku: Jedini nacin za saznati je li FMiP ukljucen je zvati AppleCare
  • songoku: @stefanjos Nema ti tog odavno, Kinezi zlorabili za laziranje sn na FMiP zakljucane telefone, pa je Apple ukinuo skroz
  • stefanjos: Ne mogu naci activation lock check, gdje je to nestalo? Frend kupuje iphone a trebo bi provjerit serijski
  • smayoo: Vjerojatno. Jesi gledao na ifixit? Ako ima decidiranog odgovora negdje na netu, to je tamo
  • Miro Spiro: Da li bi se onda mogao jedan zamijeniti sa drugim?
  • zabac: Fali plus u zagradi
  • zabac: @Riba misliš kao 2*2*2*2*(2 2/2)-2 :)
  • Riba: Ma nabadam bezveze, znat će se već, iako nije ni bitno.
  • smayoo: Sve je moguće, ali nije imala neki kaotičan i neuredan život kao Whitney Houston ili Michael Jackson...
  • Riba: Samo zbrajam dva i dva :)
  • Riba: Pa ono, 46 godina, nagla smrt u hotelskoj sobi, poznata osoba.
  • smayoo: Bob Rock kaže - bolje živjeti 100 godina kao bogataš, nego 1 dan kao siromah! :D
  • smayoo: Ne zna se o čemu se radi. Zašto bi bilo samoubojstvo?
  • Riba: Grunf bi rekao, bolje imati sve i imati problema, nego nemati ništa i imati problema! :)
  • cariblanco: R.I.P. i onda netko kaže da oni koji imaju sve nemaju problema, sve je to relativno
  • DrAle: ;(
  • Riba: Malo smrdi na suicid.
  • zabac: Vršnjakinja. Shit. :-( RIP
  • Riba: :(
  • smayoo: R.I.P. Dolores O'Riordan :(
  • smayoo: ja ih ne znam
  • VanjusOS: stavljaju li dobre ekrane na iphone, "original" ili..?
  • VanjusOS: znali netko iService servis iz Rijeke, kakvi su?
  • robee: Koliko ja znam je. Cinema trosi i znatno manje struje.
  • Miro Spiro: Da li je panel thunderbolt display-a i cineme 27" isti?
  • stefanjos: Lol
  • smayoo: Savršeno nemaš pojma o čemu pričaš. MacKeeper je najgori malware koji za Maca postoji.
  • Mate22: Ja imam MacKeeper na svim mac računalima u kući i meni radi savršeno to ti je savršena stvar za održavat MAC u životnoj formi.
  • stefanjos: Big mac. Nemam stream on
  • rusty: kako su jaki ovi spam postovi panike... vrh
  • smayoo: NE instaliraj MacKeeper i piši u forum
  • igorio: ili ovo piše lažnjak virus virus a ustvari ne dira procesor nikako ni os

Za vikanje moraš biti prijavljen.

Prijava

Prisutni jabučari

Novo na Jabučnjaku

Teme

Poruke

Anketa

Kupujete li neku od Apple novosti?

Page Speed 0.76 Seconds

Provided by iJoomla SEO