NAS QNAP TS-251B... nastavování

12. Zabezpečené přihlášení - vyřešeno

Ve správě se dá nastavit zabezpečené přihlášení (https), dokonce i vynutit zabezpečené přihlášení. Při přístupu z LAN je to asi nesmysl nastavovat (předpokládám). Při hypotetické přístupu do administrace NAS zvenku asi jo, ale předpokládám, že by zase musely být splněny další podmínky, o kterých netuším, zda je plním. K administraci zvenčí s vysokou pravděpodobností nikdy nedojde.

Možnost přihlásit se tedy via https jsem sice na NS nastavil, ale nefunguje mi.

A už vůbec bych nenastavoval "vynutit https"… taky bych se už na NAS nemusel dostat a musel bych vše resetovat

Je to tak správně?

Přihlášení není bezpečné, protože na NAS nemáš nainstalovaný komerční SSL certifikát, který by ověřila nějaká autorita.

Můžeš to vyřešit tak, že si vygeneruješ nějaký certifikát a ten přidáš k certifikátům.
Asi bych to neřešil pro vnitřní adresy 192.168.... tam se můžeš v klidu připojovat přes HTTP, ale pro přístup z venku

Ovládací panel / Zabezpečení / Certifikát
Nahradit certifikát
Vytvořit certifikát podepsany sebou samotným
Do "Bezny nazev" zadej IP adresu, zbytek vyplň jak uznáš za vhodné
Vygenerovat, Aplikovat, Zavrit
Pak dej stáhnout certifikát (soubor CRT), soukromý klíč nepotřebuješ
Ve Windows dvojklik na certifikátu / Nainstalovat
asi bych zvolil tento počítač a ne uživatele, místo úložiště vyber ručně a zvol: důvěryhodné kořenové certifikační autority

Pak bude certifikát v pořádku, prohlížeč nebude obtěžovat s potvrzováním, ale zámeček nebude zelený - není autorita, která by jej ověřila. Na to bys potřeboval opravdový SSL certifikát

Díky, vykašlu se na to. Až v případě, že bych chtěl NAS spravovat odjinud, bych to řešil.

Zkusím najít nějakou free SSL autoritu. Pokud se podaří, napíšu to sem

Hele, a nemohu použít toto? Nebo to není k ničemu?

Stáhne se "SSLcertificate.crt", 1758 byte, dá se ve Windows nainstalovat...

Aby to fungovalo v prohlizeci, musíš mít certifikát vystavený na jméno serveru nebo na IP. Tento je vystaveny na QNAP NAS
Ale klidně to zkus, naimportuj jej jako kořenovou certifikační autoritu

Vyzkoušeno, nefunguje to, tak jsem to odstranil..

Vygeneruj si certifikat na NAS, jak jsem psal, pak to fungovat bude - nebude varovat pred nezabezpecenym pripojenim

A nebude něčemu vadit to "nahrazení"? Že ten QNAPácký (asi tedy) smažu?
A pak se budu připojovat opravdu "bezpečně"? Připojení bude zabezpečené, ale nebude to jen "autorizováno"?

Asi se ptám blbě, ale tomuhle moc nerozumím

Nebude to vadit. U HTTPS jde o šifrování. Data mezi tebou a NAS budou šifrovaná. Prohlížeč varuje, že nemůže ověřit certifikát, protože není od žádné autority a mohlo by se jednat o to, že by ti někdo certifikát podvrhnul nebo tě přesměroval na jiný server.
Ty ale tomu certifikátu věřit můžeš, protože víš, že sis jej sám vygeneroval a nainstaloval si jej.

13. Uživatelské skupiny a Uživatelé - vyřešeno

(..mám vlastně vyřešeno, píšu to sem kvůli kompletnosti. Pokud máte k něšemu z uvedeného výhrady či připomínky, sem s nimi..)

Já jsem admin, můžu všechno a takový účet už je přednastaven. Pak je tam skupina "everyone", která zase nemůže prakticky nic. Potřebuji nastavit přístup k NAS dalším lidem (teď manželce, případně další momentálně neřeším). Šel jsem na to nejprve přes Uživatelské skupiny, myslel jsem si, že každý musí někam patřit, vytvořil jsem si proto skupinu "manzelka" a té skupině jsem povolil některé adresáře. Následně jsem vytvořil uživatele "moje_lepsi_polovicka" a zařadil do skupiny manželek.

Pro mě nakonec zbytečné. Na NAS nikoho cizího pouštět nebudu (z LAN je zbytečné tohle řešit; pokud účelově budu muset někomu něco vytáhnout, stejně to budu dělat já/sdmin), dceru a syna dořeším později a jinak (respektive mám to vyzkoušené, bude to v některém z dalších bodů)

Uživatelskou skupinu jsem zrušil, tu mou lepší polovičku taky a založil nového uživatele "mamina" (ze skupiny everyone). Nastavil jsem jí přístup do adresářů, někde RW (číst, zapisovat, sdílený adresář "MAMINA"), někde RO (pouze číst, sdílený adresář "NAS2"), zbytek Deny (zákaz).
A aby to měla pěkně po ruce, ty sdílené adresáře, kam má přístup, jsem ji namapoval ve Windowsech, s písmeny disku.
Ve skutečnosti jsou ty "její" sdílené adresáře rozsáhlejší, je jich více, jako příklad ale uvedené stačí.

Kromě přístupu ke sdíleným složkám se nastavují i práva k aplikacím, ponechal jsem (zatím?) jen Windows sítě:

14. Sdílení vyhrazené složky "světu"

QNAP umožňuje snadné sdílení formou vytvoření odkazu (takové domácí "ulož.to"). Abych ale na NAS nepustil kohokoliv, kdo se k linku dostane, využívám možností routeru/Mikrotiku a tam specifikuji, ze kterých IP adres je možno se přes odkaz vygenerovaný QNASem do příslušných míst NAS dostat (na toto téma mám v přípravě článek, s JaFim jsme to vyzkoušeli a je to funkční). Podmínkou je, že "cílový subjekt" (ten, komu chci soubory zpřístupnit), má veřejnou IP adresu; podle toho pak nastavím pravidla na routeru. Já veřejnou IP mám.

Tohle řeším kvůli dceři/synovi, kteří jsou ve světě. Dcera ale (navzdory očekávání) nemá statickou, alébrž dynamickou IP adresu (statické jsou prý jen součástí nějakých business tarifů) a tak tohle nastavení na MTiku asi padá.

Otázkou teď je, jak to sdílení určitých adresářů bezpečně a neprůstřelně zabezpečit. Tohle možná není jen záležitost NAS, ale i pravidel na routeru. Ale třeba tohle jde zabezpečit nástroji QNAP. Jak postupovat? Nemohu? se pravděpodobně spolehnout ani na MAC adresu dcery… netuším, zda se "bere" adresa jejího NB, routeru nebo "něčeho" u providera (AT&T, USA).

edit: pro přístup na NAS zvenčí jsem schopen nastavením vynutit https protokol.

Domaci VPN server. Jakekoliv jine reseni je k z hlediska bezpecnosti k nicemu...

Tak ale ten si (asi) musíš platit. Nebo je možno tohle nějak rozchodit "vlastními prostředky"?

---
O VPN mám mizerné povědomí. Akorát tuším, že "tak nějak" funguje i Tor, který jsem párkrát zkusil…

Jiste ze zdarma. Bezi mi doma na RasberryPi. Mel by to umet i ten mikrotik (alespon PPTP). Muzu o tom mem reseni napsat clanek...

To by bylo príma (pokud by to fungovalo i na MTiku). Další krám (raspberry nechť promine) pořizovat už určitě nechci.

Ja ty kramy (RPi) doma provozuji tri... Ohledne nastaveni PPTP na mikrotiku urcite poradi zdejsi mikrotik odbornici...

Díky za odkaz. Ale asi to budu muset svěřit někomu zdatnějšímu (via TeamViewer), mně z toho jezdí oči jak elektrické myši
O dalších - tam popisovaných - alternativách, tedy L2TP či openVPN vím taktéž kulové, rád se nechám nasměrovat.

Obavam se, ze mtik umi jen PPTP. Ja mam na tom RPi prave OpenVPN...

Aha. Pokud ale splní účel PPTP, asi je to nakonec jedno. Ten odkaz k přístupu k NAT lze navíc chránit i heslem, bez jeho zadání se prolézání sdílených adresářů stejně nekoná…

Mikrotik umí OpenVPN (TAP i TUN) i PPTP + ještě nějaké další.
Pro normální lidi, kteří se budou připojovat, bych doporučil PPTP, protože klient je přímo ve Windows, nemusí instalovat a nastavovat nic jiného.

PPTP si dovolím silně NEdoporučit.
Raději OVPN (ideálně) nebo L2TP.

edit: viz https://www.comparitech.com/blog/vpn-privacy/the-pptp-vpn-protocol-is-not-secure-use-these-alternatives-instead/

Jj, vim. Ale jde OVPN na Mtiku bez problemu?

OVPN jede bez problémů.
Můžeš to pro jednoduchost udělat tak, že certifikáty si vygeneruješ na NAS ve VPN, abys to nemusel řešit přes příkazový řádek v nějakém OpenSSL, protože generování certifikátů už není součástí OpenVPN balíku

Pro TW: problém bude u uživatelů, kteří se tam mají připojovat. Pokud to používáš pro sebe, pak to jde, ale s normálními lidi (rodinu, která se chce dívat na fotky) řešit instalaci OVPN klienta a jeho nastavování m§ůže být problematické.

Pro klienty se daji vygenerovat .ovpn soubory, ktere se do klienta jen naimportuji. Netreba nic nastavovat...

Ono jde třeba jen o nutnost instalovat OVPN klienta.
Pak můžeš, pokud to chceš sifrované mít certifikáty jako součást OVPN, ale nevím, jestli se ti vygenerují do OVPN nebo je tam musíš dostrčit ručně.
A pak musíš vysvětlit lidem, jak do program files dostanou ty OVPN soubory, protože je to tam normálně nepustí...

Jde to, jen je to docela dost práce.

Za článek se přimlouvám. Raspberry mi doma leží nevyužité. I když bych do toho nakonec nešel, určitě to bude zajímavé čtení

Ok. Snad si najdu aspon dve cisteho hodiny casu na sepsani...

VPN můžeš rozjet na routeru (Mikrotiku), VPN můžeš rozjet i na NAS. Pak ale musíš na routeru přesměrovat VPN port zvenku na NAS.

15. Rozjetí deduplikace na QNAP

V souvislosti s touchwoodovým článkem o jiné formě zálohování dat, https://pc.poradna.net/articles/2930406-lehky-uvod-do-deduplikace-dat mě napadlo, že tohle by bylo dobré provozovat na NASce a obhospodařovat připojené počítače v LAN tak nějak globálně.

Jelikož - co se týče využívání možností NAS - se považuji jen za "lehce poučeného učně", netuším vůbec, jak případně na to. Zda případně existují nástroje zdrama, které by se nějak do QNAS doinstalovaly.

Cosi jsem teď rychle našel, https://www.qnap.com/solution/hbs3/en/, je tam i utilita na extrakci souborů ve Win, Mac, Linuxu. Případné rozchození bude tuším nad mé schopnosti (a "odvahu"), momentálně (kvartál DPH) na hraní ani nemám moc času…

HBS 3 s deduplikací je zatím v betě, vyžaduje (betu) QTS 4.4.1, zatím to tedy odkládám…