..tohle bude dlouhý příběh, dlouhé vlákno, jak se budu tímhle - pro mě naprosto novým - zařízením postupně prokousávat. Své dílčí dotazy budu oddělovat a číslovat. Pro přehlednost prosím diskutéry, aby pokud možno dodržovali strukturu, aby to bylo přehlené i pro případné další uživatelé, kteří se rozhodli správu dat povýšit na vyšší úroveň.
Úložné fronty z bodu 2. mám vytvořeny, nyní je potřeba vytvořit svazky. Netuším přesně, co to je, ale snad něco jako analogie logických disků.. Nebo ne? Protože měl bych nějak dosáhnout stavu, abych se na disky NAS nějak ze své LAN dostal, a mohla s daty/soubory pracovat (bude řešeno později)
Nerozumím tomu, tak ponechávám na "Hustý svazek". Ovšem vůbec nerozumím další volbě:
Nevím, proč mi to defaultně nabízí velikost svazku (logického disku???? či co to je), někde na čtvrtině kapacity daného HDD. Když vyberu možnost "Nastavit na maximum", vybafne na mě:
Co to znamená? Nemám tak činit? Ten prostor bude nevyužitý, budu jej moci později rozšířit? Souvisí to se snímky, zatím netuším, co to je. - Jeden disk budu určitě používat jako běžný zálohovaný sklad, kde bude (další) záloha dat, multimédií, homevide, prostě jakoby další externí disk. Tam by to snad nemělo (???) vadit, že rovnou "zaberu" celý prostor fyzického disku, ne? - Druhý disk je plánovaný na tu skutečnou práci s NAS, tedy využití jeho možností, např. práce s daty přímo z něj, zálohy dle plánu atd, atd.. Jak dopředu nakonfigurovat ten? Ponechat těch 723GB? Dát víc, třeba 2 tera? Dá se to pak, až tam budou nějaká data, případně "rozšířit?
Vytvoření svazků chceš statický svazek. Místo, které přidělíš bude přidělené. Hustý a řídký slouží k tomu, že se za provozu mění velikost (zjednodušeně) a to nechceš. Ty chceš v podstatě svazek přes celý disk, se kterým nebudeš hýbat
Aha, tak to snímkování je vlastně zálohování těch dat na NASce, jakoby další "bitová kopie", kdyby se něco omylem stalo. A pak se dá jít v čase. Tohle ale snad půjde pro některá data zabezpečit i aplikačně, doufám..
Jinak, z těch mých úložných front nevytvořím nic, šel jsem na to špatně. Smazal jsem to a vytvořil ne úložné fronty, ale svazky. Respektive, teď se vytváří... formátuje či co.
Jeden disk, jeden statický svazek.
Vypadá to takto:
Snad postupuji správně a postupně se dostanu k tomu, abych na NAS dostal svoje soubory
4. QNAP Finder Pro - vyřešeno Nainstaloval jsem to, ale netuším, zda to k něčemu potřebuju..
K NAS přistupuji přímo z prohlížeče či z plochy zástupcem, IP adresou http://192.168.***.***:8080/
Je mi ten QMAP Finder vůbec ještě k něčemu potřebný? Když jsem jej nainstaloval a z něj "inicializoval" NAS, zadával jsem tam složité heslo k účtu "admin", které jsem tam nechal pamatovat. Tohle vyskočí při "Přihlášení".
Nepoužívám to. Mám to odinstalovat? Nebude to potřeba, když budu chtít k NAS přistupovat s dalších PC? Nebo tam bude stačit znalost (až vytvořím ve správě uživatelů NAS) uživatele a jeho hesla?
Tušíš správně - k ničemu to nepotřebuješ. Slouží k tomu, abys našel NAS, když nevíš kde v síti je (jakou má adresu/jméno) a umožňuje tuším i udělat upgrade z offline souboru
Dík, jde to z disku
5. Jak na NAS dostat soubory? - vyřešeno
Chtěl bych, abych na PC (v Total Commanderu) viděl oba disky NAS, co pro to udělat? Někde v NASce bych měl disky asi nasdílet.
Jít na to přes FileStation?
Vytvořil jsem na druhém disku NAS-HDD2 sdílenou složku NAS2, ale stejně ji nikde na PC nevidím, Windowsy to nenajdou...
Bezne se to dela tak, ze si namapujes slozku na NASu jako sitovy disk.
Pro W7 (EN) Start -> Computer -> Map network drive -> Vyberes pismenko a pak treba \\10.0.0.10\video\filmy (kde 10.0.0.10 je ip adresa NAS).
Na složky, které tam máš zobrazené (Home apod.) zapomeň. Na NAS Control panel / Oprávnění / Sdílené složky Vytvoř si pro začátek na každém disku (volume) jednu sdílenou složku Další možnost je, že si ve File station vytvoříš adresář a přes menu pak nastavíš adresář jako sdílený. První způsob je přehlednější
Pak je po zadání IP v TC (CD \\192.168.xxx.xxx) uvidíš obě složky Případně si je pak můžeš rovnou namapovat ve Windows pod písmenkem a přímo na nich pracovat.
Těch sdílených složek můžeš mít libovolné množství, každá může mít nastaveno jiné oprávnění - třeba na fotky kdokoliv pro čtení + vyjmenovaní uživatelé pro zápis
6. Zabezpečení proti nezvaným hostům zvenčí - vyřešeno
NAS běží, mohu na něj kopírovat soubory, které chci mít dispozici doma v síti. V této fázi neuvažuji s možností přístupu na NAS odkudkoliv zvenčí.
Nic jsem v něm s ohledem na zabezpečení zatím nenastavoval. Udělal jsem sdílené adresáře (heslo pro přístup na NAS jsem nechal zapamatovat), ty už vidím přímo z Windows či Total Commanderu, mohu tam kopírovat soubory, mohu je přímo odtamtud používat (spouštět hudbu, otevírat dokumenty).
Router Mikrotik.
Je něco třeba udělat pro to, aby se nikdo na něj zvenčí nedostal? Ze samotného NASu se dá na net přistupovat, už třeba jen při stahování updatů či firmware. Pokud bych teď někomu (bez dalšího nastavování) dal administrátorské heslo k NAS, dostal by se tam?
Na routerech bývá něco jako "disable remote control", existuje nějaká obdoba u NAS? Nebo jsem jen paranoidní? Možná, ale jde mi výhradně o bezpečnost dat (klientů).
Díky ...vážím si toho, že máte sílu se tady v té neverending story orientovat
NAS naslouchá na určitých portech. Muselo by být v routeru nastaveno přesměrování portů na NAS, aby se mohl někdo pokoušet dostat do něj nebo napadnout nějaké zařízení v síti. To by musel ale dělat cíleně a vědět, že to zařízení tam je.
VPN a FTP myslím, že je ve výchozím stavu vypnuto.
Pokud trváš na nějakém zabezpečení, je možnost omezit přístup z určitých IP nebo např. po určitém počtu špatných pokusů o přihlášení zapsat na blacklist.
NAS je skryte za MT ako vsetko ostatne v tvojej sieti, takze nic nastavovat nemusis.
Jo, vlastně jsi mi vysvětloval, že NAS komunikuje se světem (stahuje aktualizace) jen proto, že je k tomu dán pokyn zevnitř. Je to tak?
Dá se paranoia léčit?
Jenom zavolá domů a prověří nové aktualizace. Jinak nekomunikuje. Kromě toho to lze sledovat na Mikrotiku. Pokud nechceš, aby jakkoliv komunikoval se světem, stačí smazat IP ve výchozí bráně. Bude fungovat pouze interně na síti.
edit: Pokud smažeš IP ve výchozí bráně, nepůjde stáhnout nic z internetu z NASu, ani firmware, ani aplikace.
Díky, IP mazat nebudu. Zatím se s tím seznamuji, zatím nevím, co všechno bude nAS dělat.
7. Bootování NAS - vyřešeno
Na noc jsem NASku (spolu s PC) vypnul, před chvíli zapnul. Zarazilo mě její relativně dlouhé bootování; několik minut trvalo, než paní vevnitř zahlásila "bůt komplít" a než byly disky NAS dosažitelné z PC (TC).
Je ten dlouhý boot normální?
Můj QNAP se taky spouští vcelku dlouho. Podobně se chová i Synology, které jsem měl možnost používat. Proto mám nastaveno pouze vypínání HDD.
Ano, je to normální. Vypínání i zapínání trvá dlouho.
8. Plán napájení
Na JaFiho screenshotu (v bodu 2) je i volba "spát". Já tam takovou volbu nemám; je potřeba ještě někde něco nastavit? Uspávání disků po nějaké době nečinnosti?
Mám tam jen tohle:
Vidím tam i položku "Konfigurovat EuP" (když je zakázáno, je spotřeba vypnutého serveru vyšší než eu požadovaným 1W. Ale zato funguje wake on LAN a plány zapínání/vypínání.), zatím ponechávám zakázáno, aby ty funkce byly přístupné. I když nevím, zda je nakonec budu využívat. Ovšem vůbec netuším, jak vzdáleně wake on LAN provést, kde to nastavit. A funguje to (pokud bych chtěl) probuzení NAS odkudkoliv ze světa? Nebo jen z LAN (podle názvu funkcionality).
Pokud mas verejnou IP a zajistis na routeru forward portu 7/9 UDP na broadcast adresu ve sve siti, muzes probouzet odkud chces...
9. Rychlost kopírování dat - vyřešeno
Začal jsem NASku plnit daty. JaFi ve svém článku píše o rychlostech kopírování až k 120 MB/s. Já jsem na rychlostech většinou mezi 55-60 MB/s. Kopíruji fotky, tedy soubory o velikost 1-10MB. Total Commanderem 32bit.
Male soubory jdou vyzdy pomaleji, zkus zkopirovat jeden vetsi soubor, melo by to byt o dost rychlejsi...
Ano, teď tam přesouvám homevideo a jsem někde na rychlosti 115MB/s :)
Malé soubory se kopírují opravdu pomaleji. Pokud bys chtěl rychlejší kopírování, pak zkus nástroje jako FastCopy nebo FileMaster U toho prvního použij první odkaz a pak klinutí na link. Neinstaluj, není třeba, spusť instalátor a použij tlačítko Extract only Je to trošku něco jiného, než jsi zvyklý, ale kopíruje mnohem rychleji, než klasické file manažery. Jen to chce nastavit.
Ve zkratce přepni jen režim Copy (overwrite) na hlavní obrazovce a nic jiného nenastavuj. Pak zvolit složku Source a DestDir a Execute
Díky, vypadá to zajímavě, nicméně raději zůstanu u F5 v TC v případě jednoduchých věcí. A na ty složité je robocopy. Stejně budu muset vymyslet nějaký sofistikovaný systém zálohování a práce s daty, možná? prostřednictvím softwaru třetí strany.
Na automatické zálohování (synchronizaci) používám FreeFile sync V podstatě by sis vystačil i s dávkou a RoboCopy
10. Wake-on-LAN
Na NAS jsem to nastavil. Zároveň jsem zkontroloval, že EuP (šetřící funkce dle pokynů eu) je vypnutá.
Ale to je tak vše, co zatím dokážu Co potřebuji, abych mohl NASku probudit? Dočetl jsem se (nikdy předtím jsem o tom nic neznal), https://cs.wikipedia.org/wiki/Wake_on_LAN, že budu muset nějak poslat na NAS magic pakety. Je tam spousta aplikací, jde mi o jednoduchost (spíše vyzkoušení), kterou vybrat?
Než se do něčeho pustím, zeptám se ještě na dvě věci:
1. Dá se tato/jiná vhodná utilita použít pro probuzení NAS odjinud než z (metalické) LAN? Tedy například z: a) mobilu, připojeného se stejnému routeru ("domácímu rozsahu IP") b) mobilu odněkud ze světa (data, wifi) c) počítače kdekoliv ...předpokládám, že poslat magic paket stačit nebude, že bude potřeba se k NAS pak i nějak přihlásit
2. Je potřeba nějak měnit nastavení routeru, Mikrotik ROS?
Pokud to chces z WAN, koukni na muj prispevek vyse.
Díky, vyzkoušel jsem, NASku (a router, telefon a PC) to samo našlo i NAS probudilo. S povolením příslušných UDP na Mtiku to řeší vzdálené zapnutí. Teď už jen co použít z pevné sítě, protože v mobilu data nemám a WiFi na router zapínám jen v případě nutnosti, prakticky to nepotřebuji.
Vyzkoušel jsem toho Samuraje, bohužel mi nefunguje.
swolcmd -m **:**:**:**:**:**
nic neudělá. Ani
swolcmd -m **:**:**:**:**:** -i 192.168.***.***
Akorát se v cmd objeví, že "Magic Packet byl odeslan pro MAC adresu..."
Jakou jednoduchou PC aplikaci vyzkoušet? Asi to nakonec nebude nutné, ale kdybych nakonec měl NAS v jiném patře, ať tam kvůli zapínání nemusím chodit. A chci vědět, jak na to
zkus:
swolcmd -m **:**:**:**:**:** -i 192.168.***.255 (pokud mas masku 255.255.255.0)
V tom případě stačí přesměrovat UDP port 9 na routeru zvenku na NAS a stejnou apku můžeš použít zvenku, jen tam uvedeš venkovní adresu
Můžeš i přímo z Mikrotiku. Z konzole: /tool wol interface=aaaa mac=xx:xx:xx:xx:xx:xx
Jinak otázkou je, zda to vůbec potřebuješ. NAS má v klidovém režimu spotřebu pár watů. Předpokládejme 5W, to je za den 120W, za 14 dnů je to 1,68 kWh. Na peníze je to asi 7kč. Podle mne to za to nestojí.
Ale nic nebrání tomu, aby sis udělal rozcvičku z WOL
U mě to není o penězích. Mám NAS v místnosti kde se spí, tak je od 22:00 - 07:00 vypnutý, aby nás nerušil větráček... Když ho potřebuji v tuto dobu zapnout použiji WOL.
Přesně o tu rozcvičku mi jde
Dělat to z MTiku je taky otrava. Rád bych nějaký "ťuk na zástupce" a je to. To by jistě ocenila paní L-Coreová, ta do ROS určitě nepoleze
Zevnitř nějakým nástrojem, zvenku musíš přesměrovat na Mikrotiku 7/9 UDP port do NAS.
Do NAS tezko, musi do presmerovat na broadcast ve sve siti. Vypnuty NAS IP nema, magic packet se posila na MAC.
Broadcast je posledni IP v siti, takze pro 192.168.1.1 s maskou 255.255.255.0 to bude 192.168.1.255.
11. Přihlášení k NAS jako správce/admin - vyřešeno
Správu (nastavování všeho možného, prostředí, sdílení, uživatelů a jejich práv atd.) dělám z webového prostředí, prostým otevřením www stránky NASu, tedy 162.198.***.***:8080/cgi-bin.
Přístupové jméno je admin, heslo mám cca 25 znaků (malá, velká písmena, číslice, speciální znaky). Ve FF jsem si (pro současné hraní, nastavování) nechal heslo uložit.
Kliknu na zástupce (či na záložku ve FF) na ploše:
Je tam login (admin) a naznačeno heslo o 5 znacích. Dám "Přihlásit", načte se www prostředí NAS a nabízí mi to aktualizaci hesla:
Co je to za nesmysl? Žádné pětičíslicové heslo jsem nikdy nezadával, při každém přihlášení je tam navíc jiné (54854, 33684, 11590, cokoliv). Nic nenechám aktualizovat, dialog zavřu, jsem v NASu, mohu pracovat. Vždyť při tom přihlášení by se mělo "ukázat" to uložené, skutečné heslo, ne? Nebo je to jen nějaká forma zabezpečení? Dá se ten nesmyslný dialog (pro www stránku NAS) nějak zakázat? Nebo tam mám někde uvnitř chybu a mohu se tam dostat jakkoliv?
To je problém prohlížeče, ne NAS. To, že je tam 5 teček, nijak nesouvisí s délkou hesla. 5 teček je tam proto, aby se nedalo heslo odhadnout podle počtu teček.
Možná jsi narazil na limit při ukládání hesla a FF nepočítá s tím, že by někdo dobrovolně zadával 25 místné heslo
Změnil jsem to na 16 znaků, je to stejné :)
Zkoušel jsem EDGE, tam se nic takového neděje, možná budu tedy používat jej. Dá se nějak jednoduše nastavit, aby se odkaz na konkrétní url (zástupce na ploše) spouštěl ve zvoleném a ne defaultním prohlížeči?
12. Zabezpečené přihlášení - vyřešeno
Ve správě se dá nastavit zabezpečené přihlášení (https), dokonce i vynutit zabezpečené přihlášení. Při přístupu z LAN je to asi nesmysl nastavovat (předpokládám). Při hypotetické přístupu do administrace NAS zvenku asi jo, ale předpokládám, že by zase musely být splněny další podmínky, o kterých netuším, zda je plním. K administraci zvenčí s vysokou pravděpodobností nikdy nedojde.
Možnost přihlásit se tedy via https jsem sice na NS nastavil, ale nefunguje mi.
A už vůbec bych nenastavoval "vynutit https"… taky bych se už na NAS nemusel dostat a musel bych vše resetovat
Přihlášení není bezpečné, protože na NAS nemáš nainstalovaný komerční SSL certifikát, který by ověřila nějaká autorita.
Můžeš to vyřešit tak, že si vygeneruješ nějaký certifikát a ten přidáš k certifikátům. Asi bych to neřešil pro vnitřní adresy 192.168.... tam se můžeš v klidu připojovat přes HTTP, ale pro přístup z venku
Ovládací panel / Zabezpečení / Certifikát Nahradit certifikát Vytvořit certifikát podepsany sebou samotným Do "Bezny nazev" zadej IP adresu, zbytek vyplň jak uznáš za vhodné Vygenerovat, Aplikovat, Zavrit Pak dej stáhnout certifikát (soubor CRT), soukromý klíč nepotřebuješ Ve Windows dvojklik na certifikátu / Nainstalovat asi bych zvolil tento počítač a ne uživatele, místo úložiště vyber ručně a zvol: důvěryhodné kořenové certifikační autority
Pak bude certifikát v pořádku, prohlížeč nebude obtěžovat s potvrzováním, ale zámeček nebude zelený - není autorita, která by jej ověřila. Na to bys potřeboval opravdový SSL certifikát
Díky, vykašlu se na to. Až v případě, že bych chtěl NAS spravovat odjinud, bych to řešil.
Zkusím najít nějakou free SSL autoritu. Pokud se podaří, napíšu to sem
Hele, a nemohu použít toto? Nebo to není k ničemu?
Stáhne se "SSLcertificate.crt", 1758 byte, dá se ve Windows nainstalovat...
Aby to fungovalo v prohlizeci, musíš mít certifikát vystavený na jméno serveru nebo na IP. Tento je vystaveny na QNAP NAS Ale klidně to zkus, naimportuj jej jako kořenovou certifikační autoritu
Vyzkoušeno, nefunguje to, tak jsem to odstranil..
Vygeneruj si certifikat na NAS, jak jsem psal, pak to fungovat bude - nebude varovat pred nezabezpecenym pripojenim
A nebude něčemu vadit to "nahrazení"? Že ten QNAPácký (asi tedy) smažu? A pak se budu připojovat opravdu "bezpečně"? Připojení bude zabezpečené, ale nebude to jen "autorizováno"?
Asi se ptám blbě, ale tomuhle moc nerozumím
Nebude to vadit. U HTTPS jde o šifrování. Data mezi tebou a NAS budou šifrovaná. Prohlížeč varuje, že nemůže ověřit certifikát, protože není od žádné autority a mohlo by se jednat o to, že by ti někdo certifikát podvrhnul nebo tě přesměroval na jiný server. Ty ale tomu certifikátu věřit můžeš, protože víš, že sis jej sám vygeneroval a nainstaloval si jej.
13. Uživatelské skupiny a Uživatelé - vyřešeno
(..mám vlastně vyřešeno, píšu to sem kvůli kompletnosti. Pokud máte k něšemu z uvedeného výhrady či připomínky, sem s nimi..)
Já jsem admin, můžu všechno a takový účet už je přednastaven. Pak je tam skupina "everyone", která zase nemůže prakticky nic. Potřebuji nastavit přístup k NAS dalším lidem (teď manželce, případně další momentálně neřeším). Šel jsem na to nejprve přes Uživatelské skupiny, myslel jsem si, že každý musí někam patřit, vytvořil jsem si proto skupinu "manzelka" a té skupině jsem povolil některé adresáře. Následně jsem vytvořil uživatele "moje_lepsi_polovicka" a zařadil do skupiny manželek.
Pro mě nakonec zbytečné. Na NAS nikoho cizího pouštět nebudu (z LAN je zbytečné tohle řešit; pokud účelově budu muset někomu něco vytáhnout, stejně to budu dělat já/sdmin), dceru a syna dořeším později a jinak (respektive mám to vyzkoušené, bude to v některém z dalších bodů)
Uživatelskou skupinu jsem zrušil, tu mou lepší polovičku taky a založil nového uživatele "mamina" (ze skupiny everyone). Nastavil jsem jí přístup do adresářů, někde RW (číst, zapisovat, sdílený adresář "MAMINA"), někde RO (pouze číst, sdílený adresář "NAS2"), zbytek Deny (zákaz). A aby to měla pěkně po ruce, ty sdílené adresáře, kam má přístup, jsem ji namapoval ve Windowsech, s písmeny disku. Ve skutečnosti jsou ty "její" sdílené adresáře rozsáhlejší, je jich více, jako příklad ale uvedené stačí.
Kromě přístupu ke sdíleným složkám se nastavují i práva k aplikacím, ponechal jsem (zatím?) jen Windows sítě:
QNAP umožňuje snadné sdílení formou vytvoření odkazu (takové domácí "ulož.to"). Abych ale na NAS nepustil kohokoliv, kdo se k linku dostane, využívám možností routeru/Mikrotiku a tam specifikuji, ze kterých IP adres je možno se přes odkaz vygenerovaný QNASem do příslušných míst NAS dostat (na toto téma mám v přípravě článek, s JaFim jsme to vyzkoušeli a je to funkční). Podmínkou je, že "cílový subjekt" (ten, komu chci soubory zpřístupnit), má veřejnou IP adresu; podle toho pak nastavím pravidla na routeru. Já veřejnou IP mám.
Tohle řeším kvůli dceři/synovi, kteří jsou ve světě. Dcera ale (navzdory očekávání) nemá statickou, alébrž dynamickou IP adresu (statické jsou prý jen součástí nějakých business tarifů) a tak tohle nastavení na MTiku asi padá.
Otázkou teď je, jak to sdílení určitých adresářů bezpečně a neprůstřelně zabezpečit. Tohle možná není jen záležitost NAS, ale i pravidel na routeru. Ale třeba tohle jde zabezpečit nástroji QNAP. Jak postupovat? Nemohu? se pravděpodobně spolehnout ani na MAC adresu dcery… netuším, zda se "bere" adresa jejího NB, routeru nebo "něčeho" u providera (AT&T, USA).
edit: pro přístup na NAS zvenčí jsem schopen nastavením vynutit https protokol.
Domaci VPN server. Jakekoliv jine reseni je k z hlediska bezpecnosti k nicemu...
Tak ale ten si (asi) musíš platit. Nebo je možno tohle nějak rozchodit "vlastními prostředky"?
--- O VPN mám mizerné povědomí. Akorát tuším, že "tak nějak" funguje i Tor, který jsem párkrát zkusil…
Jiste ze zdarma. Bezi mi doma na RasberryPi. Mel by to umet i ten mikrotik (alespon PPTP). Muzu o tom mem reseni napsat clanek...
To by bylo príma (pokud by to fungovalo i na MTiku). Další krám (raspberry nechť promine) pořizovat už určitě nechci.
Ja ty kramy (RPi) doma provozuji tri... Ohledne nastaveni PPTP na mikrotiku urcite poradi zdejsi mikrotik odbornici...
Díky za odkaz. Ale asi to budu muset svěřit někomu zdatnějšímu (via TeamViewer), mně z toho jezdí oči jak elektrické myši O dalších - tam popisovaných - alternativách, tedy L2TP či openVPN vím taktéž kulové, rád se nechám nasměrovat.
Obavam se, ze mtik umi jen PPTP. Ja mam na tom RPi prave OpenVPN...
Aha. Pokud ale splní účel PPTP, asi je to nakonec jedno. Ten odkaz k přístupu k NAT lze navíc chránit i heslem, bez jeho zadání se prolézání sdílených adresářů stejně nekoná…
Mikrotik umí OpenVPN (TAP i TUN) i PPTP + ještě nějaké další. Pro normální lidi, kteří se budou připojovat, bych doporučil PPTP, protože klient je přímo ve Windows, nemusí instalovat a nastavovat nic jiného.
PPTP si dovolím silně NEdoporučit. Raději OVPN (ideálně) nebo L2TP.
OVPN jede bez problémů. Můžeš to pro jednoduchost udělat tak, že certifikáty si vygeneruješ na NAS ve VPN, abys to nemusel řešit přes příkazový řádek v nějakém OpenSSL, protože generování certifikátů už není součástí OpenVPN balíku
Pro TW: problém bude u uživatelů, kteří se tam mají připojovat. Pokud to používáš pro sebe, pak to jde, ale s normálními lidi (rodinu, která se chce dívat na fotky) řešit instalaci OVPN klienta a jeho nastavování m§ůže být problematické.
Pro klienty se daji vygenerovat .ovpn soubory, ktere se do klienta jen naimportuji. Netreba nic nastavovat...
Ono jde třeba jen o nutnost instalovat OVPN klienta. Pak můžeš, pokud to chceš sifrované mít certifikáty jako součást OVPN, ale nevím, jestli se ti vygenerují do OVPN nebo je tam musíš dostrčit ručně. A pak musíš vysvětlit lidem, jak do program files dostanou ty OVPN soubory, protože je to tam normálně nepustí...
Jde to, jen je to docela dost práce.
Za článek se přimlouvám. Raspberry mi doma leží nevyužité. I když bych do toho nakonec nešel, určitě to bude zajímavé čtení
Ok. Snad si najdu aspon dve cisteho hodiny casu na sepsani...
VPN můžeš rozjet na routeru (Mikrotiku), VPN můžeš rozjet i na NAS. Pak ale musíš na routeru přesměrovat VPN port zvenku na NAS.
Jelikož - co se týče využívání možností NAS - se považuji jen za "lehce poučeného učně", netuším vůbec, jak případně na to. Zda případně existují nástroje zdrama, které by se nějak do QNAS doinstalovaly.
Cosi jsem teď rychle našel, https://www.qnap.com/solution/hbs3/en/, je tam i utilita na extrakci souborů ve Win, Mac, Linuxu. Případné rozchození bude tuším nad mé schopnosti (a "odvahu"), momentálně (kvartál DPH) na hraní ani nemám moc času…
HBS 3 s deduplikací je zatím v betě, vyžaduje (betu) QTS 4.4.1, zatím to tedy odkládám…
NAS QNAP TS-251B... nastavování 
3. Vytvoření svazků - vyřešeno
Úložné fronty z bodu 2. mám vytvořeny, nyní je potřeba vytvořit svazky. Netuším přesně, co to je, ale snad něco jako analogie logických disků.. Nebo ne? Protože měl bych nějak dosáhnout stavu, abych se na disky NAS nějak ze své LAN dostal, a mohla s daty/soubory pracovat (bude řešeno později)
Nerozumím tomu, tak ponechávám na "Hustý svazek". Ovšem vůbec nerozumím další volbě:
Nevím, proč mi to defaultně nabízí velikost svazku (logického disku???? či co to je), někde na čtvrtině kapacity daného HDD. Když vyberu možnost "Nastavit na maximum", vybafne na mě:
Co to znamená? Nemám tak činit? Ten prostor bude nevyužitý, budu jej moci později rozšířit?
Souvisí to se snímky, zatím netuším, co to je.
- Jeden disk budu určitě používat jako běžný zálohovaný sklad, kde bude (další) záloha dat, multimédií, homevide, prostě jakoby další externí disk. Tam by to snad nemělo (???) vadit, že rovnou "zaberu" celý prostor fyzického disku, ne?
- Druhý disk je plánovaný na tu skutečnou práci s NAS, tedy využití jeho možností, např. práce s daty přímo z něj, zálohy dle plánu atd, atd.. Jak dopředu nakonfigurovat ten? Ponechat těch 723GB? Dát víc, třeba 2 tera? Dá se to pak, až tam budou nějaká data, případně "rozšířit?
Je těch otázek tady trochu moc :)
Vytvoření svazků chceš statický svazek. Místo, které přidělíš bude přidělené.
Hustý a řídký slouží k tomu, že se za provozu mění velikost (zjednodušeně) a to nechceš. Ty chceš v podstatě svazek přes celý disk, se kterým nebudeš hýbat
Aha, tak to snímkování je vlastně zálohování těch dat na NASce, jakoby další "bitová kopie", kdyby se něco omylem stalo. A pak se dá jít v čase. Tohle ale snad půjde pro některá data zabezpečit i aplikačně, doufám..
Jinak, z těch mých úložných front nevytvořím nic, šel jsem na to špatně.
Smazal jsem to a vytvořil ne úložné fronty, ale svazky. Respektive, teď se vytváří... formátuje či co.
Jeden disk, jeden statický svazek.
Vypadá to takto:
Snad postupuji správně a postupně se dostanu k tomu, abych na NAS dostal svoje soubory
4. QNAP Finder Pro - vyřešeno
Nainstaloval jsem to, ale netuším, zda to k něčemu potřebuju..
K NAS přistupuji přímo z prohlížeče či z plochy zástupcem, IP adresou http://192.168.***.***:8080/
Je mi ten QMAP Finder vůbec ještě k něčemu potřebný? Když jsem jej nainstaloval a z něj "inicializoval" NAS, zadával jsem tam složité heslo k účtu "admin", které jsem tam nechal pamatovat. Tohle vyskočí při "Přihlášení".
Nepoužívám to. Mám to odinstalovat? Nebude to potřeba, když budu chtít k NAS přistupovat s dalších PC? Nebo tam bude stačit znalost (až vytvořím ve správě uživatelů NAS) uživatele a jeho hesla?
Tušíš správně - k ničemu to nepotřebuješ.
Slouží k tomu, abys našel NAS, když nevíš kde v síti je (jakou má adresu/jméno) a umožňuje tuším i udělat upgrade z offline souboru
Dík, jde to z disku
5. Jak na NAS dostat soubory? - vyřešeno
Chtěl bych, abych na PC (v Total Commanderu) viděl oba disky NAS, co pro to udělat? Někde v NASce bych měl disky asi nasdílet.
Jít na to přes FileStation?
Vytvořil jsem na druhém disku NAS-HDD2 sdílenou složku NAS2, ale stejně ji nikde na PC nevidím, Windowsy to nenajdou...
Třeba nastavením oprávnění:
Ovládací panel > Sdílené složky
Ovládací panel > Uživatelské skupiny
Ovládací panel > Uživatelé
Pokud daný uživatel nemá práva, tak tu složku nevidí.
Je tam i moznost, jestli se má daná složka zobrazit, pokud uživatel není přihlášen.
Můžeš nastavit, možnost zápisu, jenom čtení nebo zádné práva.
Bezne se to dela tak, ze si namapujes slozku na NASu jako sitovy disk.
Pro W7 (EN) Start -> Computer -> Map network drive -> Vyberes pismenko a pak treba \\10.0.0.10\video\filmy (kde 10.0.0.10 je ip adresa NAS).
Na složky, které tam máš zobrazené (Home apod.) zapomeň.
Na NAS
Control panel / Oprávnění / Sdílené složky
Vytvoř si pro začátek na každém disku (volume) jednu sdílenou složku
Další možnost je, že si ve File station vytvoříš adresář a přes menu pak nastavíš adresář jako sdílený. První způsob je přehlednější
Pak je po zadání IP v TC (CD \\192.168.xxx.xxx) uvidíš obě složky
Případně si je pak můžeš rovnou namapovat ve Windows pod písmenkem a přímo na nich pracovat.
Těch sdílených složek můžeš mít libovolné množství, každá může mít nastaveno jiné oprávnění - třeba na fotky kdokoliv pro čtení + vyjmenovaní uživatelé pro zápis
Díky vám všem třem, udělal jsem to v TC přes Síť - Připojit síťovou jednotku.
Snad to bude zachováno i po restartu PC :)
6. Zabezpečení proti nezvaným hostům zvenčí - vyřešeno
NAS běží, mohu na něj kopírovat soubory, které chci mít dispozici doma v síti. V této fázi neuvažuji s možností přístupu na NAS odkudkoliv zvenčí.
Nic jsem v něm s ohledem na zabezpečení zatím nenastavoval. Udělal jsem sdílené adresáře (heslo pro přístup na NAS jsem nechal zapamatovat), ty už vidím přímo z Windows či Total Commanderu, mohu tam kopírovat soubory, mohu je přímo odtamtud používat (spouštět hudbu, otevírat dokumenty).
Router Mikrotik.
Je něco třeba udělat pro to, aby se nikdo na něj zvenčí nedostal? Ze samotného NASu se dá na net přistupovat, už třeba jen při stahování updatů či firmware. Pokud bych teď někomu (bez dalšího nastavování) dal administrátorské heslo k NAS, dostal by se tam?
Na routerech bývá něco jako "disable remote control", existuje nějaká obdoba u NAS? Nebo jsem jen paranoidní? Možná, ale jde mi výhradně o bezpečnost dat (klientů).
Díky
...vážím si toho, že máte sílu se tady v té neverending story orientovat
NAS naslouchá na určitých portech. Muselo by být v routeru nastaveno přesměrování portů na NAS, aby se mohl někdo pokoušet dostat do něj nebo napadnout nějaké zařízení v síti. To by musel ale dělat cíleně a vědět, že to zařízení tam je.
VPN a FTP myslím, že je ve výchozím stavu vypnuto.
Pokud trváš na nějakém zabezpečení, je možnost omezit přístup z určitých IP nebo např. po určitém počtu špatných pokusů o přihlášení zapsat na blacklist.
NAS je skryte za MT ako vsetko ostatne v tvojej sieti, takze nic nastavovat nemusis.
Jo, vlastně jsi mi vysvětloval, že NAS komunikuje se světem (stahuje aktualizace) jen proto, že je k tomu dán pokyn zevnitř. Je to tak?
Dá se paranoia léčit?
Jenom zavolá domů a prověří nové aktualizace. Jinak nekomunikuje. Kromě toho to lze sledovat na Mikrotiku.
Pokud nechceš, aby jakkoliv komunikoval se světem, stačí smazat IP ve výchozí bráně. Bude fungovat pouze interně na síti.
edit:
Pokud smažeš IP ve výchozí bráně, nepůjde stáhnout nic z internetu z NASu, ani firmware, ani aplikace.
Díky, IP mazat nebudu.
Zatím se s tím seznamuji, zatím nevím, co všechno bude nAS dělat.
7. Bootování NAS - vyřešeno
Na noc jsem NASku (spolu s PC) vypnul, před chvíli zapnul. Zarazilo mě její relativně dlouhé bootování; několik minut trvalo, než paní vevnitř zahlásila "bůt komplít" a než byly disky NAS dosažitelné z PC (TC).
Je ten dlouhý boot normální?
Můj QNAP se taky spouští vcelku dlouho. Podobně se chová i Synology, které jsem měl možnost používat.
Proto mám nastaveno pouze vypínání HDD.
Ano, je to normální. Vypínání i zapínání trvá dlouho.
8. Plán napájení
Na JaFiho screenshotu (v bodu 2) je i volba "spát". Já tam takovou volbu nemám; je potřeba ještě někde něco nastavit? Uspávání disků po nějaké době nečinnosti?
Mám tam jen tohle:
Vidím tam i položku "Konfigurovat EuP" (když je zakázáno, je spotřeba vypnutého serveru vyšší než eu požadovaným 1W. Ale zato funguje wake on LAN a plány zapínání/vypínání.), zatím ponechávám zakázáno, aby ty funkce byly přístupné. I když nevím, zda je nakonec budu využívat. Ovšem vůbec netuším, jak vzdáleně wake on LAN provést, kde to nastavit. A funguje to (pokud bych chtěl) probuzení NAS odkudkoliv ze světa? Nebo jen z LAN (podle názvu funkcionality).
EUP mám vypnutou.
Co se týká spaní, nic zvláštního jsem nikde nenastavoval.¨Doba pro uspání disků se nastavuje na záložce Hardware
Pokud mas verejnou IP a zajistis na routeru forward portu 7/9 UDP na broadcast adresu ve sve siti, muzes probouzet odkud chces...
9. Rychlost kopírování dat - vyřešeno
Začal jsem NASku plnit daty. JaFi ve svém článku píše o rychlostech kopírování až k 120 MB/s. Já jsem na rychlostech většinou mezi 55-60 MB/s. Kopíruji fotky, tedy soubory o velikost 1-10MB. Total Commanderem 32bit.
Mám tam tyhle disky: https://www.czc.cz/seagate-ironwolf-4tb/200398/produkt (5900 otáček), nejsou v RAID. Síť gigabit, přes Mikrotik, PC i NAS jsou přímo v jeho portech. Cat5e kabeláž.
Je to těmi disky, sítí nebo čím? Na druhé straně, zas tak moc mi to nevadí, ta naše velká data (fotky, homevideo) tam prostě nakopíruju jen jednou..
Male soubory jdou vyzdy pomaleji, zkus zkopirovat jeden vetsi soubor, melo by to byt o dost rychlejsi...
Ano, teď tam přesouvám homevideo a jsem někde na rychlosti 115MB/s :)
Malé soubory se kopírují opravdu pomaleji.
Pokud bys chtěl rychlejší kopírování, pak zkus nástroje jako FastCopy nebo FileMaster
U toho prvního použij první odkaz a pak klinutí na link. Neinstaluj, není třeba, spusť instalátor a použij tlačítko Extract only
Je to trošku něco jiného, než jsi zvyklý, ale kopíruje mnohem rychleji, než klasické file manažery. Jen to chce nastavit.
Ve zkratce přepni jen režim Copy (overwrite) na hlavní obrazovce a nic jiného nenastavuj.
Pak zvolit složku Source a DestDir a Execute
Díky, vypadá to zajímavě, nicméně raději zůstanu u F5 v TC v případě jednoduchých věcí. A na ty složité je robocopy. Stejně budu muset vymyslet nějaký sofistikovaný systém zálohování a práce s daty, možná? prostřednictvím softwaru třetí strany.
Na automatické zálohování (synchronizaci) používám FreeFile sync
V podstatě by sis vystačil i s dávkou a RoboCopy
10. Wake-on-LAN
Na NAS jsem to nastavil. Zároveň jsem zkontroloval, že EuP (šetřící funkce dle pokynů eu) je vypnutá.
Ale to je tak vše, co zatím dokážu
Co potřebuji, abych mohl NASku probudit? Dočetl jsem se (nikdy předtím jsem o tom nic neznal), https://cs.wikipedia.org/wiki/Wake_on_LAN, že budu muset nějak poslat na NAS magic pakety. Je tam spousta aplikací, jde mi o jednoduchost (spíše vyzkoušení), kterou vybrat?
Celkem mě zaujal Samuraj WoL, https://www.samuraj-cz.com/clanek/samuraj-wake-on-lan-command-line-aplikace-swolcmd/
Než se do něčeho pustím, zeptám se ještě na dvě věci:
1. Dá se tato/jiná vhodná utilita použít pro probuzení NAS odjinud než z (metalické) LAN? Tedy například z:
a) mobilu, připojeného se stejnému routeru ("domácímu rozsahu IP")
b) mobilu odněkud ze světa (data, wifi)
c) počítače kdekoliv
...předpokládám, že poslat magic paket stačit nebude, že bude potřeba se k NAS pak i nějak přihlásit
2. Je potřeba nějak měnit nastavení routeru, Mikrotik ROS?
Díky
Pouzivam: https://play.google.com/store/apps/details?id=co.uk.mrwebb.wakeonlan&hl=cs z LAN by mel fungovat out of box.
Pokud to chces z WAN, koukni na muj prispevek vyse.
Díky, vyzkoušel jsem, NASku (a router, telefon a PC) to samo našlo i NAS probudilo. S povolením příslušných UDP na Mtiku to řeší vzdálené zapnutí. Teď už jen co použít z pevné sítě, protože v mobilu data nemám a WiFi na router zapínám jen v případě nutnosti, prakticky to nepotřebuji.
Vyzkoušel jsem toho Samuraje, bohužel mi nefunguje.
nic neudělá.
Ani
Akorát se v cmd objeví, že "Magic Packet byl odeslan pro MAC adresu..."
Jakou jednoduchou PC aplikaci vyzkoušet? Asi to nakonec nebude nutné, ale kdybych nakonec měl NAS v jiném patře, ať tam kvůli zapínání nemusím chodit. A chci vědět, jak na to
zkus:
swolcmd -m **:**:**:**:**:** -i 192.168.***.255 (pokud mas masku 255.255.255.0)
Mezitím jsem vyzkoušel minímalistickou apku, https://wol-magic-packet-sender.en.softonic.com/
Jedním klikem otevřít, druhým poslat paket, funguje, spokojenost
V tom případě stačí přesměrovat UDP port 9 na routeru zvenku na NAS a stejnou apku můžeš použít zvenku, jen tam uvedeš venkovní adresu
Můžeš i přímo z Mikrotiku. Z konzole:
/tool wol interface=aaaa mac=xx:xx:xx:xx:xx:xx
Jinak otázkou je, zda to vůbec potřebuješ. NAS má v klidovém režimu spotřebu pár watů. Předpokládejme 5W, to je za den 120W, za 14 dnů je to 1,68 kWh. Na peníze je to asi 7kč. Podle mne to za to nestojí.
Ale nic nebrání tomu, aby sis udělal rozcvičku z WOL
U mě to není o penězích. Mám NAS v místnosti kde se spí, tak je od 22:00 - 07:00 vypnutý, aby nás nerušil větráček...
Když ho potřebuji v tuto dobu zapnout použiji WOL.
Přesně o tu rozcvičku mi jde
Dělat to z MTiku je taky otrava. Rád bych nějaký "ťuk na zástupce" a je to. To by jistě ocenila paní L-Coreová, ta do ROS určitě nepoleze
Zevnitř nějakým nástrojem, zvenku musíš přesměrovat na Mikrotiku 7/9 UDP port do NAS.
Do NAS tezko, musi do presmerovat na broadcast ve sve siti. Vypnuty NAS IP nema, magic packet se posila na MAC.
Broadcast je posledni IP v siti, takze pro 192.168.1.1 s maskou 255.255.255.0 to bude 192.168.1.255.
11. Přihlášení k NAS jako správce/admin - vyřešeno
Správu (nastavování všeho možného, prostředí, sdílení, uživatelů a jejich práv atd.) dělám z webového prostředí, prostým otevřením www stránky NASu, tedy 162.198.***.***:8080/cgi-bin.
Přístupové jméno je admin, heslo mám cca 25 znaků (malá, velká písmena, číslice, speciální znaky). Ve FF jsem si (pro současné hraní, nastavování) nechal heslo uložit.
Kliknu na zástupce (či na záložku ve FF) na ploše:
Je tam login (admin) a naznačeno heslo o 5 znacích. Dám "Přihlásit", načte se www prostředí NAS a nabízí mi to aktualizaci hesla:
Co je to za nesmysl? Žádné pětičíslicové heslo jsem nikdy nezadával, při každém přihlášení je tam navíc jiné (54854, 33684, 11590, cokoliv). Nic nenechám aktualizovat, dialog zavřu, jsem v NASu, mohu pracovat.
Vždyť při tom přihlášení by se mělo "ukázat" to uložené, skutečné heslo, ne? Nebo je to jen nějaká forma zabezpečení? Dá se ten nesmyslný dialog (pro www stránku NAS) nějak zakázat?
Nebo tam mám někde uvnitř chybu a mohu se tam dostat jakkoliv?
To je problém prohlížeče, ne NAS.
To, že je tam 5 teček, nijak nesouvisí s délkou hesla. 5 teček je tam proto, aby se nedalo heslo odhadnout podle počtu teček.
Možná jsi narazil na limit při ukládání hesla a FF nepočítá s tím, že by někdo dobrovolně zadával 25 místné heslo
Změnil jsem to na 16 znaků, je to stejné :)
Zkoušel jsem EDGE, tam se nic takového neděje, možná budu tedy používat jej.
Dá se nějak jednoduše nastavit, aby se odkaz na konkrétní url (zástupce na ploše) spouštěl ve zvoleném a ne defaultním prohlížeči?
12. Zabezpečené přihlášení - vyřešeno
Ve správě se dá nastavit zabezpečené přihlášení (https), dokonce i vynutit zabezpečené přihlášení. Při přístupu z LAN je to asi nesmysl nastavovat (předpokládám). Při hypotetické přístupu do administrace NAS zvenku asi jo, ale předpokládám, že by zase musely být splněny další podmínky, o kterých netuším, zda je plním. K administraci zvenčí s vysokou pravděpodobností nikdy nedojde.
Možnost přihlásit se tedy via https jsem sice na NS nastavil, ale nefunguje mi.
A už vůbec bych nenastavoval "vynutit https"… taky bych se už na NAS nemusel dostat a musel bych vše resetovat
Je to tak správně?
Přihlášení není bezpečné, protože na NAS nemáš nainstalovaný komerční SSL certifikát, který by ověřila nějaká autorita.
Můžeš to vyřešit tak, že si vygeneruješ nějaký certifikát a ten přidáš k certifikátům.
Asi bych to neřešil pro vnitřní adresy 192.168.... tam se můžeš v klidu připojovat přes HTTP, ale pro přístup z venku
Ovládací panel / Zabezpečení / Certifikát
Nahradit certifikát
Vytvořit certifikát podepsany sebou samotným
Do "Bezny nazev" zadej IP adresu, zbytek vyplň jak uznáš za vhodné
Vygenerovat, Aplikovat, Zavrit
Pak dej stáhnout certifikát (soubor CRT), soukromý klíč nepotřebuješ
Ve Windows dvojklik na certifikátu / Nainstalovat
asi bych zvolil tento počítač a ne uživatele, místo úložiště vyber ručně a zvol: důvěryhodné kořenové certifikační autority
Pak bude certifikát v pořádku, prohlížeč nebude obtěžovat s potvrzováním, ale zámeček nebude zelený - není autorita, která by jej ověřila. Na to bys potřeboval opravdový SSL certifikát
Díky, vykašlu se na to. Až v případě, že bych chtěl NAS spravovat odjinud, bych to řešil.
Zkusím najít nějakou free SSL autoritu. Pokud se podaří, napíšu to sem
Hele, a nemohu použít toto? Nebo to není k ničemu?
Stáhne se "SSLcertificate.crt", 1758 byte, dá se ve Windows nainstalovat...
Aby to fungovalo v prohlizeci, musíš mít certifikát vystavený na jméno serveru nebo na IP. Tento je vystaveny na QNAP NAS
Ale klidně to zkus, naimportuj jej jako kořenovou certifikační autoritu
Vyzkoušeno, nefunguje to, tak jsem to odstranil..
Vygeneruj si certifikat na NAS, jak jsem psal, pak to fungovat bude - nebude varovat pred nezabezpecenym pripojenim
A nebude něčemu vadit to "nahrazení"? Že ten QNAPácký (asi tedy) smažu?
A pak se budu připojovat opravdu "bezpečně"? Připojení bude zabezpečené, ale nebude to jen "autorizováno"?
Asi se ptám blbě, ale tomuhle moc nerozumím
Nebude to vadit. U HTTPS jde o šifrování. Data mezi tebou a NAS budou šifrovaná. Prohlížeč varuje, že nemůže ověřit certifikát, protože není od žádné autority a mohlo by se jednat o to, že by ti někdo certifikát podvrhnul nebo tě přesměroval na jiný server.
Ty ale tomu certifikátu věřit můžeš, protože víš, že sis jej sám vygeneroval a nainstaloval si jej.
13. Uživatelské skupiny a Uživatelé - vyřešeno
(..mám vlastně vyřešeno, píšu to sem kvůli kompletnosti. Pokud máte k něšemu z uvedeného výhrady či připomínky, sem s nimi..)
Já jsem admin, můžu všechno a takový účet už je přednastaven. Pak je tam skupina "everyone", která zase nemůže prakticky nic. Potřebuji nastavit přístup k NAS dalším lidem (teď manželce, případně další momentálně neřeším). Šel jsem na to nejprve přes Uživatelské skupiny, myslel jsem si, že každý musí někam patřit, vytvořil jsem si proto skupinu "manzelka" a té skupině jsem povolil některé adresáře. Následně jsem vytvořil uživatele "moje_lepsi_polovicka" a zařadil do skupiny manželek.
Pro mě nakonec zbytečné. Na NAS nikoho cizího pouštět nebudu (z LAN je zbytečné tohle řešit; pokud účelově budu muset někomu něco vytáhnout, stejně to budu dělat já/sdmin), dceru a syna dořeším později a jinak (respektive mám to vyzkoušené, bude to v některém z dalších bodů)
Uživatelskou skupinu jsem zrušil, tu mou lepší polovičku taky a založil nového uživatele "mamina" (ze skupiny everyone). Nastavil jsem jí přístup do adresářů, někde RW (číst, zapisovat, sdílený adresář "MAMINA"), někde RO (pouze číst, sdílený adresář "NAS2"), zbytek Deny (zákaz).
A aby to měla pěkně po ruce, ty sdílené adresáře, kam má přístup, jsem ji namapoval ve Windowsech, s písmeny disku.
Ve skutečnosti jsou ty "její" sdílené adresáře rozsáhlejší, je jich více, jako příklad ale uvedené stačí.
Kromě přístupu ke sdíleným složkám se nastavují i práva k aplikacím, ponechal jsem (zatím?) jen Windows sítě:
14. Sdílení vyhrazené složky "světu"
QNAP umožňuje snadné sdílení formou vytvoření odkazu (takové domácí "ulož.to"). Abych ale na NAS nepustil kohokoliv, kdo se k linku dostane, využívám možností routeru/Mikrotiku a tam specifikuji, ze kterých IP adres je možno se přes odkaz vygenerovaný QNASem do příslušných míst NAS dostat (na toto téma mám v přípravě článek, s JaFim jsme to vyzkoušeli a je to funkční). Podmínkou je, že "cílový subjekt" (ten, komu chci soubory zpřístupnit), má veřejnou IP adresu; podle toho pak nastavím pravidla na routeru. Já veřejnou IP mám.
Tohle řeším kvůli dceři/synovi, kteří jsou ve světě. Dcera ale (navzdory očekávání) nemá statickou, alébrž dynamickou IP adresu (statické jsou prý jen součástí nějakých business tarifů) a tak tohle nastavení na MTiku asi padá.
Otázkou teď je, jak to sdílení určitých adresářů bezpečně a neprůstřelně zabezpečit. Tohle možná není jen záležitost NAS, ale i pravidel na routeru. Ale třeba tohle jde zabezpečit nástroji QNAP. Jak postupovat? Nemohu? se pravděpodobně spolehnout ani na MAC adresu dcery… netuším, zda se "bere" adresa jejího NB, routeru nebo "něčeho" u providera (AT&T, USA).
edit: pro přístup na NAS zvenčí jsem schopen nastavením vynutit https protokol.
Domaci VPN server. Jakekoliv jine reseni je k z hlediska bezpecnosti k nicemu...
Tak ale ten si (asi) musíš platit. Nebo je možno tohle nějak rozchodit "vlastními prostředky"?
---
O VPN mám mizerné povědomí. Akorát tuším, že "tak nějak" funguje i Tor, který jsem párkrát zkusil…
Jiste ze zdarma. Bezi mi doma na RasberryPi. Mel by to umet i ten mikrotik (alespon PPTP). Muzu o tom mem reseni napsat clanek...
To by bylo príma (pokud by to fungovalo i na MTiku). Další krám (raspberry nechť promine) pořizovat už určitě nechci.
Ja ty kramy (RPi) doma provozuji tri...
Ohledne nastaveni PPTP na mikrotiku urcite poradi zdejsi mikrotik odbornici...
Díky za odkaz. Ale asi to budu muset svěřit někomu zdatnějšímu (via TeamViewer), mně z toho jezdí oči jak elektrické myši
O dalších - tam popisovaných - alternativách, tedy L2TP či openVPN vím taktéž kulové, rád se nechám nasměrovat.
Obavam se, ze mtik umi jen PPTP. Ja mam na tom RPi prave OpenVPN...
Aha. Pokud ale splní účel PPTP, asi je to nakonec jedno. Ten odkaz k přístupu k NAT lze navíc chránit i heslem, bez jeho zadání se prolézání sdílených adresářů stejně nekoná…
Mikrotik umí OpenVPN (TAP i TUN) i PPTP + ještě nějaké další.
Pro normální lidi, kteří se budou připojovat, bych doporučil PPTP, protože klient je přímo ve Windows, nemusí instalovat a nastavovat nic jiného.
PPTP si dovolím silně NEdoporučit.
Raději OVPN (ideálně) nebo L2TP.
edit: viz https://www.comparitech.com/blog/vpn-privacy/the-pptp-vpn-protocol-is-not-secure-use-these-alternatives-instead/
Jj, vim. Ale jde OVPN na Mtiku bez problemu?
OVPN jede bez problémů.
Můžeš to pro jednoduchost udělat tak, že certifikáty si vygeneruješ na NAS ve VPN, abys to nemusel řešit přes příkazový řádek v nějakém OpenSSL, protože generování certifikátů už není součástí OpenVPN balíku
Pro TW: problém bude u uživatelů, kteří se tam mají připojovat. Pokud to používáš pro sebe, pak to jde, ale s normálními lidi (rodinu, která se chce dívat na fotky) řešit instalaci OVPN klienta a jeho nastavování m§ůže být problematické.
Pro klienty se daji vygenerovat .ovpn soubory, ktere se do klienta jen naimportuji. Netreba nic nastavovat...
Ono jde třeba jen o nutnost instalovat OVPN klienta.
Pak můžeš, pokud to chceš sifrované mít certifikáty jako součást OVPN, ale nevím, jestli se ti vygenerují do OVPN nebo je tam musíš dostrčit ručně.
A pak musíš vysvětlit lidem, jak do program files dostanou ty OVPN soubory, protože je to tam normálně nepustí...
Jde to, jen je to docela dost práce.
Za článek se přimlouvám. Raspberry mi doma leží nevyužité. I když bych do toho nakonec nešel, určitě to bude zajímavé čtení
Ok. Snad si najdu aspon dve cisteho hodiny casu na sepsani...
VPN můžeš rozjet na routeru (Mikrotiku), VPN můžeš rozjet i na NAS. Pak ale musíš na routeru přesměrovat VPN port zvenku na NAS.
15. Rozjetí deduplikace na QNAP
V souvislosti s touchwoodovým článkem o jiné formě zálohování dat, https://pc.poradna.net/articles/2930406-lehky-uvod-do-deduplikace-dat mě napadlo, že tohle by bylo dobré provozovat na NASce a obhospodařovat připojené počítače v LAN tak nějak globálně.
Jelikož - co se týče využívání možností NAS - se považuji jen za "lehce poučeného učně", netuším vůbec, jak případně na to. Zda případně existují nástroje zdrama, které by se nějak do QNAS doinstalovaly.
Cosi jsem teď rychle našel, https://www.qnap.com/solution/hbs3/en/, je tam i utilita na extrakci souborů ve Win, Mac, Linuxu. Případné rozchození bude tuším nad mé schopnosti (a "odvahu"), momentálně (kvartál DPH) na hraní ani nemám moc času…
HBS 3 s deduplikací je zatím v betě, vyžaduje (betu) QTS 4.4.1, zatím to tedy odkládám…