NAS QNAP TS-251B... nastavování

9. Rychlost kopírování dat - vyřešeno

Začal jsem NASku plnit daty. JaFi ve svém článku píše o rychlostech kopírování až k 120 MB/s. Já jsem na rychlostech většinou mezi 55-60 MB/s. Kopíruji fotky, tedy soubory o velikost 1-10MB. Total Commanderem 32bit.

Mám tam tyhle disky: https://www.czc.cz/seagate-ironwolf-4tb/200398/produkt (5900 otáček), nejsou v RAID. Síť gigabit, přes Mikrotik, PC i NAS jsou přímo v jeho portech. Cat5e kabeláž.

Je to těmi disky, sítí nebo čím? Na druhé straně, zas tak moc mi to nevadí, ta naše velká data (fotky, homevideo) tam prostě nakopíruju jen jednou..

Male soubory jdou vyzdy pomaleji, zkus zkopirovat jeden vetsi soubor, melo by to byt o dost rychlejsi...

Ano, teď tam přesouvám homevideo a jsem někde na rychlosti 115MB/s :)

10. Wake-on-LAN

Na NAS jsem to nastavil. Zároveň jsem zkontroloval, že EuP (šetřící funkce dle pokynů eu) je vypnutá.

Ale to je tak vše, co zatím dokážu
Co potřebuji, abych mohl NASku probudit? Dočetl jsem se (nikdy předtím jsem o tom nic neznal), https://cs.wikipedia.org/wiki/Wake_on_LAN, že budu muset nějak poslat na NAS magic pakety. Je tam spousta aplikací, jde mi o jednoduchost (spíše vyzkoušení), kterou vybrat?

Celkem mě zaujal Samuraj WoL, https://www.samuraj-cz.com/clanek/samuraj-wake-on-lan-command-line-aplikace-swolcmd/

Než se do něčeho pustím, zeptám se ještě na dvě věci:

1. Dá se tato/jiná vhodná utilita použít pro probuzení NAS odjinud než z (metalické) LAN? Tedy například z:
a) mobilu, připojeného se stejnému routeru ("domácímu rozsahu IP")
b) mobilu odněkud ze světa (data, wifi)
c) počítače kdekoliv
...předpokládám, že poslat magic paket stačit nebude, že bude potřeba se k NAS pak i nějak přihlásit

2. Je potřeba nějak měnit nastavení routeru, Mikrotik ROS?

Díky

Pouzivam: https://play.google.com/store/apps/details?id=co.uk.mrwebb.wakeonlan&hl=cs z LAN by mel fungovat out of box.

Pokud to chces z WAN, koukni na muj prispevek vyse.

Díky, vyzkoušel jsem, NASku (a router, telefon a PC) to samo našlo i NAS probudilo. S povolením příslušných UDP na Mtiku to řeší vzdálené zapnutí. Teď už jen co použít z pevné sítě, protože v mobilu data nemám a WiFi na router zapínám jen v případě nutnosti, prakticky to nepotřebuji.

Vyzkoušel jsem toho Samuraje, bohužel mi nefunguje.

swolcmd -m **:**:**:**:**:** 

nic neudělá.
Ani

swolcmd -m **:**:**:**:**:** -i 192.168.***.*** 

Akorát se v cmd objeví, že "Magic Packet byl odeslan pro MAC adresu..."

Jakou jednoduchou PC aplikaci vyzkoušet? Asi to nakonec nebude nutné, ale kdybych nakonec měl NAS v jiném patře, ať tam kvůli zapínání nemusím chodit. A chci vědět, jak na to

zkus:

swolcmd -m **:**:**:**:**:** -i 192.168.***.255 (pokud mas masku 255.255.255.0)

Mezitím jsem vyzkoušel minímalistickou apku, https://wol-magic-packet-sender.en.softonic.com/

Jedním klikem otevřít, druhým poslat paket, funguje, spokojenost

V tom případě stačí přesměrovat UDP port 9 na routeru zvenku na NAS a stejnou apku můžeš použít zvenku, jen tam uvedeš venkovní adresu

Můžeš i přímo z Mikrotiku. Z konzole:
/tool wol interface=aaaa mac=xx:xx:xx:xx:xx:xx

Jinak otázkou je, zda to vůbec potřebuješ. NAS má v klidovém režimu spotřebu pár watů. Předpokládejme 5W, to je za den 120W, za 14 dnů je to 1,68 kWh. Na peníze je to asi 7kč. Podle mne to za to nestojí.

Ale nic nebrání tomu, aby sis udělal rozcvičku z WOL

U mě to není o penězích. Mám NAS v místnosti kde se spí, tak je od 22:00 - 07:00 vypnutý, aby nás nerušil větráček... Když ho potřebuji v tuto dobu zapnout použiji WOL.

Přesně o tu rozcvičku mi jde

Dělat to z MTiku je taky otrava. Rád bych nějaký "ťuk na zástupce" a je to. To by jistě ocenila paní L-Coreová, ta do ROS určitě nepoleze

Zevnitř nějakým nástrojem, zvenku musíš přesměrovat na Mikrotiku 7/9 UDP port do NAS.

Do NAS tezko, musi do presmerovat na broadcast ve sve siti. Vypnuty NAS IP nema, magic packet se posila na MAC.

Broadcast je posledni IP v siti, takze pro 192.168.1.1 s maskou 255.255.255.0 to bude 192.168.1.255.

11. Přihlášení k NAS jako správce/admin - vyřešeno

Správu (nastavování všeho možného, prostředí, sdílení, uživatelů a jejich práv atd.) dělám z webového prostředí, prostým otevřením www stránky NASu, tedy 162.198.***.***:8080/cgi-bin.

Přístupové jméno je admin, heslo mám cca 25 znaků (malá, velká písmena, číslice, speciální znaky). Ve FF jsem si (pro současné hraní, nastavování) nechal heslo uložit.

Kliknu na zástupce (či na záložku ve FF) na ploše:

Je tam login (admin) a naznačeno heslo o 5 znacích. Dám "Přihlásit", načte se www prostředí NAS a nabízí mi to aktualizaci hesla:

Co je to za nesmysl? Žádné pětičíslicové heslo jsem nikdy nezadával, při každém přihlášení je tam navíc jiné (54854, 33684, 11590, cokoliv). Nic nenechám aktualizovat, dialog zavřu, jsem v NASu, mohu pracovat.
Vždyť při tom přihlášení by se mělo "ukázat" to uložené, skutečné heslo, ne? Nebo je to jen nějaká forma zabezpečení? Dá se ten nesmyslný dialog (pro www stránku NAS) nějak zakázat?
Nebo tam mám někde uvnitř chybu a mohu se tam dostat jakkoliv?

To je problém prohlížeče, ne NAS.
To, že je tam 5 teček, nijak nesouvisí s délkou hesla. 5 teček je tam proto, aby se nedalo heslo odhadnout podle počtu teček.

Možná jsi narazil na limit při ukládání hesla a FF nepočítá s tím, že by někdo dobrovolně zadával 25 místné heslo

Změnil jsem to na 16 znaků, je to stejné :)

Zkoušel jsem EDGE, tam se nic takového neděje, možná budu tedy používat jej.
Dá se nějak jednoduše nastavit, aby se odkaz na konkrétní url (zástupce na ploše) spouštěl ve zvoleném a ne defaultním prohlížeči?

12. Zabezpečené přihlášení - vyřešeno

Ve správě se dá nastavit zabezpečené přihlášení (https), dokonce i vynutit zabezpečené přihlášení. Při přístupu z LAN je to asi nesmysl nastavovat (předpokládám). Při hypotetické přístupu do administrace NAS zvenku asi jo, ale předpokládám, že by zase musely být splněny další podmínky, o kterých netuším, zda je plním. K administraci zvenčí s vysokou pravděpodobností nikdy nedojde.

Možnost přihlásit se tedy via https jsem sice na NS nastavil, ale nefunguje mi.

A už vůbec bych nenastavoval "vynutit https"… taky bych se už na NAS nemusel dostat a musel bych vše resetovat

Je to tak správně?

Přihlášení není bezpečné, protože na NAS nemáš nainstalovaný komerční SSL certifikát, který by ověřila nějaká autorita.

Můžeš to vyřešit tak, že si vygeneruješ nějaký certifikát a ten přidáš k certifikátům.
Asi bych to neřešil pro vnitřní adresy 192.168.... tam se můžeš v klidu připojovat přes HTTP, ale pro přístup z venku

Ovládací panel / Zabezpečení / Certifikát
Nahradit certifikát
Vytvořit certifikát podepsany sebou samotným
Do "Bezny nazev" zadej IP adresu, zbytek vyplň jak uznáš za vhodné
Vygenerovat, Aplikovat, Zavrit
Pak dej stáhnout certifikát (soubor CRT), soukromý klíč nepotřebuješ
Ve Windows dvojklik na certifikátu / Nainstalovat
asi bych zvolil tento počítač a ne uživatele, místo úložiště vyber ručně a zvol: důvěryhodné kořenové certifikační autority

Pak bude certifikát v pořádku, prohlížeč nebude obtěžovat s potvrzováním, ale zámeček nebude zelený - není autorita, která by jej ověřila. Na to bys potřeboval opravdový SSL certifikát

Díky, vykašlu se na to. Až v případě, že bych chtěl NAS spravovat odjinud, bych to řešil.

Zkusím najít nějakou free SSL autoritu. Pokud se podaří, napíšu to sem

Hele, a nemohu použít toto? Nebo to není k ničemu?

Stáhne se "SSLcertificate.crt", 1758 byte, dá se ve Windows nainstalovat...

Aby to fungovalo v prohlizeci, musíš mít certifikát vystavený na jméno serveru nebo na IP. Tento je vystaveny na QNAP NAS
Ale klidně to zkus, naimportuj jej jako kořenovou certifikační autoritu

Vyzkoušeno, nefunguje to, tak jsem to odstranil..

Vygeneruj si certifikat na NAS, jak jsem psal, pak to fungovat bude - nebude varovat pred nezabezpecenym pripojenim

A nebude něčemu vadit to "nahrazení"? Že ten QNAPácký (asi tedy) smažu?
A pak se budu připojovat opravdu "bezpečně"? Připojení bude zabezpečené, ale nebude to jen "autorizováno"?

Asi se ptám blbě, ale tomuhle moc nerozumím

Nebude to vadit. U HTTPS jde o šifrování. Data mezi tebou a NAS budou šifrovaná. Prohlížeč varuje, že nemůže ověřit certifikát, protože není od žádné autority a mohlo by se jednat o to, že by ti někdo certifikát podvrhnul nebo tě přesměroval na jiný server.
Ty ale tomu certifikátu věřit můžeš, protože víš, že sis jej sám vygeneroval a nainstaloval si jej.

13. Uživatelské skupiny a Uživatelé - vyřešeno

(..mám vlastně vyřešeno, píšu to sem kvůli kompletnosti. Pokud máte k něšemu z uvedeného výhrady či připomínky, sem s nimi..)

Já jsem admin, můžu všechno a takový účet už je přednastaven. Pak je tam skupina "everyone", která zase nemůže prakticky nic. Potřebuji nastavit přístup k NAS dalším lidem (teď manželce, případně další momentálně neřeším). Šel jsem na to nejprve přes Uživatelské skupiny, myslel jsem si, že každý musí někam patřit, vytvořil jsem si proto skupinu "manzelka" a té skupině jsem povolil některé adresáře. Následně jsem vytvořil uživatele "moje_lepsi_polovicka" a zařadil do skupiny manželek.

Pro mě nakonec zbytečné. Na NAS nikoho cizího pouštět nebudu (z LAN je zbytečné tohle řešit; pokud účelově budu muset někomu něco vytáhnout, stejně to budu dělat já/sdmin), dceru a syna dořeším později a jinak (respektive mám to vyzkoušené, bude to v některém z dalších bodů)

Uživatelskou skupinu jsem zrušil, tu mou lepší polovičku taky a založil nového uživatele "mamina" (ze skupiny everyone). Nastavil jsem jí přístup do adresářů, někde RW (číst, zapisovat, sdílený adresář "MAMINA"), někde RO (pouze číst, sdílený adresář "NAS2"), zbytek Deny (zákaz).
A aby to měla pěkně po ruce, ty sdílené adresáře, kam má přístup, jsem ji namapoval ve Windowsech, s písmeny disku.
Ve skutečnosti jsou ty "její" sdílené adresáře rozsáhlejší, je jich více, jako příklad ale uvedené stačí.

Kromě přístupu ke sdíleným složkám se nastavují i práva k aplikacím, ponechal jsem (zatím?) jen Windows sítě:

14. Sdílení vyhrazené složky "světu"

QNAP umožňuje snadné sdílení formou vytvoření odkazu (takové domácí "ulož.to"). Abych ale na NAS nepustil kohokoliv, kdo se k linku dostane, využívám možností routeru/Mikrotiku a tam specifikuji, ze kterých IP adres je možno se přes odkaz vygenerovaný QNASem do příslušných míst NAS dostat (na toto téma mám v přípravě článek, s JaFim jsme to vyzkoušeli a je to funkční). Podmínkou je, že "cílový subjekt" (ten, komu chci soubory zpřístupnit), má veřejnou IP adresu; podle toho pak nastavím pravidla na routeru. Já veřejnou IP mám.

Tohle řeším kvůli dceři/synovi, kteří jsou ve světě. Dcera ale (navzdory očekávání) nemá statickou, alébrž dynamickou IP adresu (statické jsou prý jen součástí nějakých business tarifů) a tak tohle nastavení na MTiku asi padá.

Otázkou teď je, jak to sdílení určitých adresářů bezpečně a neprůstřelně zabezpečit. Tohle možná není jen záležitost NAS, ale i pravidel na routeru. Ale třeba tohle jde zabezpečit nástroji QNAP. Jak postupovat? Nemohu? se pravděpodobně spolehnout ani na MAC adresu dcery… netuším, zda se "bere" adresa jejího NB, routeru nebo "něčeho" u providera (AT&T, USA).

edit: pro přístup na NAS zvenčí jsem schopen nastavením vynutit https protokol.

Domaci VPN server. Jakekoliv jine reseni je k z hlediska bezpecnosti k nicemu...

Tak ale ten si (asi) musíš platit. Nebo je možno tohle nějak rozchodit "vlastními prostředky"?

---
O VPN mám mizerné povědomí. Akorát tuším, že "tak nějak" funguje i Tor, který jsem párkrát zkusil…

Jiste ze zdarma. Bezi mi doma na RasberryPi. Mel by to umet i ten mikrotik (alespon PPTP). Muzu o tom mem reseni napsat clanek...

To by bylo príma (pokud by to fungovalo i na MTiku). Další krám (raspberry nechť promine) pořizovat už určitě nechci.

Ja ty kramy (RPi) doma provozuji tri... Ohledne nastaveni PPTP na mikrotiku urcite poradi zdejsi mikrotik odbornici...

Díky za odkaz. Ale asi to budu muset svěřit někomu zdatnějšímu (via TeamViewer), mně z toho jezdí oči jak elektrické myši
O dalších - tam popisovaných - alternativách, tedy L2TP či openVPN vím taktéž kulové, rád se nechám nasměrovat.

Obavam se, ze mtik umi jen PPTP. Ja mam na tom RPi prave OpenVPN...

Aha. Pokud ale splní účel PPTP, asi je to nakonec jedno. Ten odkaz k přístupu k NAT lze navíc chránit i heslem, bez jeho zadání se prolézání sdílených adresářů stejně nekoná…

Mikrotik umí OpenVPN (TAP i TUN) i PPTP + ještě nějaké další.
Pro normální lidi, kteří se budou připojovat, bych doporučil PPTP, protože klient je přímo ve Windows, nemusí instalovat a nastavovat nic jiného.

PPTP si dovolím silně NEdoporučit.
Raději OVPN (ideálně) nebo L2TP.

edit: viz https://www.comparitech.com/blog/vpn-privacy/the-pptp-vpn-protocol-is-not-secure-use-these-alternatives-instead/

Jj, vim. Ale jde OVPN na Mtiku bez problemu?

OVPN jede bez problémů.
Můžeš to pro jednoduchost udělat tak, že certifikáty si vygeneruješ na NAS ve VPN, abys to nemusel řešit přes příkazový řádek v nějakém OpenSSL, protože generování certifikátů už není součástí OpenVPN balíku

Pro TW: problém bude u uživatelů, kteří se tam mají připojovat. Pokud to používáš pro sebe, pak to jde, ale s normálními lidi (rodinu, která se chce dívat na fotky) řešit instalaci OVPN klienta a jeho nastavování m§ůže být problematické.

Pro klienty se daji vygenerovat .ovpn soubory, ktere se do klienta jen naimportuji. Netreba nic nastavovat...

Ono jde třeba jen o nutnost instalovat OVPN klienta.
Pak můžeš, pokud to chceš sifrované mít certifikáty jako součást OVPN, ale nevím, jestli se ti vygenerují do OVPN nebo je tam musíš dostrčit ručně.
A pak musíš vysvětlit lidem, jak do program files dostanou ty OVPN soubory, protože je to tam normálně nepustí...

Jde to, jen je to docela dost práce.

Za článek se přimlouvám. Raspberry mi doma leží nevyužité. I když bych do toho nakonec nešel, určitě to bude zajímavé čtení

Ok. Snad si najdu aspon dve cisteho hodiny casu na sepsani...

VPN můžeš rozjet na routeru (Mikrotiku), VPN můžeš rozjet i na NAS. Pak ale musíš na routeru přesměrovat VPN port zvenku na NAS.

15. Rozjetí deduplikace na QNAP

V souvislosti s touchwoodovým článkem o jiné formě zálohování dat, https://pc.poradna.net/articles/2930406-lehky-uvod-do-deduplikace-dat mě napadlo, že tohle by bylo dobré provozovat na NASce a obhospodařovat připojené počítače v LAN tak nějak globálně.

Jelikož - co se týče využívání možností NAS - se považuji jen za "lehce poučeného učně", netuším vůbec, jak případně na to. Zda případně existují nástroje zdrama, které by se nějak do QNAS doinstalovaly.

Cosi jsem teď rychle našel, https://www.qnap.com/solution/hbs3/en/, je tam i utilita na extrakci souborů ve Win, Mac, Linuxu. Případné rozchození bude tuším nad mé schopnosti (a "odvahu"), momentálně (kvartál DPH) na hraní ani nemám moc času…

HBS 3 s deduplikací je zatím v betě, vyžaduje (betu) QTS 4.4.1, zatím to tedy odkládám…