|
Citiraj:
A hebaj ga onda...ak ti znas sto je VPN i dalje pitas cemu ti to treba i odbijas moje objasnjenje i ak je tebi "HTTPS" = all safe > go for it :chears: |
Super.. sad vise neznam nista.
|
A jesmo prepametni. Pitam te zašto je VPN sigurniji od direktnog pristupa Synology uređaju? Nisi odgovorio zašto, nego eto, sigurniji je. Ne provociram, želim znati da vidim da li trebam svoj pristup izmijeniti.
Ne želim surfati preko kućnog interneta kada nisam kod kuće, ne želim pristupati uređajima u kućnoj mreži izvana. Želim se sa DS File / DS Audio / Synology Photos aplikacijama na mobitelu spojiti na Synology NAS kod kuće. To je to. Ne želim mountati diskove, raditi hyper backupe, pristupati NAS-u preko SSH... 1. Preko VPN-a - VPN server mora negdje biti, opcije su na routeru ili nekom drugom uređaju (često Synology kod ljudi koji ga koriste) - za openVPN mora se napraviti portforward standardnog 1194 porta (u slučaju servera na routeru to je automatski) - na mobitelu moraš prvo pokrenuti VPN aplikaciju, tek onda aplikaciju koju želiš koristiti - vpn cucla bateriju mobitela - ne možeš imati npr. automatski backup slika na NAS ako VPN nije stalno uključen na mobitelu - neki attack vector eventualnih zlonamjernih igrača je VPN server i njegov port, tj. sigurnosti i bugovi tog softwarea 2. Bez VPN-a - port forward ide direktno prema Synology uređaju, i sam biraš koji port, u mom slučaju je to u rasponu 20000+ - potreban je SSL certifikat - na mobitelu sve aplikacije rade bez potrebe dizanja VPN veze - attack vector je taj port koji si otvorio, u ovom slučaju ovisiš o sigurnosti Synology DSM operativnog sustava i njihovih bugova U mojoj glavi u oba slučaja mogućnost napada na tvoju internu mrežu je jednaka i ovisi isključivo tko je bolje napisao svoj software. Možda je to krivo i pogrešno gledam, ali tako ja na to gledam i zato i pitam zašto ti vidiš VPN kao nešto sigurnije za gore navedeno korištenje. |
Treba probati sve pa odabrati. Ja nemam katicu za sve pa kombiniram :/
Imam domenu, ddns i vpn. Kao backup se vrti i tailscale. Domena mi treba jer na nekim mjestima ne mogu koristiti vpn koristim domenu i za mobove za login na synology appove (ne zelim ovisiti o vpn-u). Domena je iza cloudflare firewalla i valjda 80% prometa je rejectano. Ddns koristim za vpn i za pristup plex serveru jer plex ne smijem tjerati preko cloudflarea. Vpn/tailscale su uglavnom tu samo za administriranje na daljinu i ako treba koristiti admin account(e). Ostaje mi za testirati cloudflare tunele koji ne traze otvaranje portova. Otom potom. |
Citiraj:
... :goood: https://nascompares.com/2017/07/18/w...ne-for-my-nas/ https://www.makeuseof.com/https-vs-v...-do-need-both/ https://www.reddit.com/r/synology/co..._to_use_which/ https://www.howtogeek.com/435452/how...om-ransomware/ https://www.reddit.com/r/synology/co...ccess_without/ https://www.reddit.com/r/synology/co...s_my_nas_from/ Pa da ponovimo gradivo: VPN = zakljucan (kriptiran) tunel od tocke A do tocke B HTTPS = "kriptiran" HTTP. I samo HTTP. Ako konfiguriras NAS doma i zelis imat pristup izvana - OBOJE je MUST HAVE. MINIMUM. Osobno bi ga lupio iza Reverse Proxy kante , just in case + upogonio Honeypot+Tripwire, Suricata (suricata logovi stroja koji je bez VPN-a na netu su jebeni :no2drug: ) i slicne sustave "just in case". SSH pristup? Pristup iskljucivo samo SSH kljucem + Port knocking + Fail2Ban. Plus naravno - sta god da koristis i ima pristup van OS-a - da se ne vrti na "defaultnim portovima". Plus nekakav monitoring , bar da ti mejlom sustavi jave kad ima sumnje za "cudnim aktivnostima". Ljudi cesto idu na NAS hype i naprave upravo to da ne misle na sigurnosti aspekt , okace kantu na net i kasnije su problemi. |
Molio bih pomoc, uzeo sam na forumu od kolege NAS-411+ i ventilatori proprdili. Naravno da u ovom trenutku nema 40x10mm gdje je "rotaiton detection wire" umjesto - tachometer output na PIN 3, pa me zanima dali ikako mogu zaglumiti taj dio ili da jednostavno u synology-u ugasim zvučne signale.
I druga stvar, 80mm ventilatori su vec poceli rondati ležajevi su otišli pa sam od Artica uzeo nove, ali imaju PWM kontrolu, dali se moze nabiti neki otpornik kako bi spustio brzinu okretanja za upola? Dali to može naštetiti samoj ploči na bilo koji način. https://www.reddit.com/r/synology/co...n_replacement/ https://www.pcbekey.com/products/1_5...EaApksEALw_wcB |
Ako ti je NAS u klimatiziranom prostoru, mozes probati zero fan curve do odredjene temperature. Recimo da bude pasivan do 40 C (temp diskova), a iznad toga se fan postepeno pali. Krivulju nastimavas na dvije fronte - za temp diskova i chipseta.
https://return2.net/how-to-make-syno...-fans-quieter/ |
Citiraj:
Kaže na linku koji si poslao da je to obični 3pin PC ventilator, samo je to "rotation detection wire" Synologyevo fancy ime za tach pin. Preko PWM pina ne možeš riješiti problem brzine otpornikom, on zahtjeva 20kHz PWM signal. Možeš eventualno u seriju sa 12V pinom staviti otpornik, ali tu će ti trebati otpornik od par watta da se ne bi grijao. Vjerojatno je bolje staviti par dioda u seriju, svaka spušta napon za cca 0.7V pa sa 6 komada dobiješ 4.2V manje što će sigurno usporiti ventilator, a diode se neće grijati kao otpornik. Uzmeš neke general purpose poput 1n4007. |
Treba biti pažljiviji oko tih njihovih (Synology) ventilatora,
izgledaju isto, imaju 3 žice, 3. je rpm ali i "rotor lock signal". Iz nekog razloga detekciju blokiranja rotora (lopatica) nisu napravili na osnovi rpm - a nego baš "rotor lock signala". Evo ovdje čoek objasnio i dao DIY rješenje ako se misli koristiti std. 3-pin vent > http://www.askrprojects.net/other/synofan/index.html nebitno šta je u primjeru 60x60x10 a kod tebe 40x40x10. Ako je problem slagati onda nabavi (skuplji) origigi vent. Za žuntu uputa za rastavljanje i zamjenu ventilatora na DS411+ II > https://docplayer.net/54845752-How-t...-ds411-ii.html |
Citiraj:
Ovaj dio ili ja ne kužim što si htio reći ili ti ne kužiš što si htio napisati. Pa molim te da elaboriraš prije nego napišem odgovor. Sent from my SM-G991B using Tapatalk |
Nema potrebe razvlačiti priču. Pogledao sam linkove što je @tomek@VZ gore naveo i imam osjećam da svi mi ovdje slično mislimo samo svako tepe svoje.
Što se tiče SSL certifikata i HTTPS-a, jedino se spajam na Synology preko HTTPSa kada nisam u lokalnoj mreži. Default je 443 i 5001, dok je kod mene neki random. To je web port za DSM sučelje i većinu (ili možda sve) DSM android aplikacije. HTTP port je off, tj. nije dostupan izvana. |
A jebo...
https://www.thesslstore.com/blog/is-...cure-https-is/ https://stackoverflow.com/questions/...ata-over-https https://www.eff.org/deeplinks/2011/1...re-https-today https://www.kaspersky.com/blog/https...an-safe/20725/ Ukratko - HTTPS nije nekaj na kaj se mozes osloniti 100% kao "hacker proof" tehnologiju. Sigurnost sustava je delikatna tema i odraduje se u slojevima - sto vise slojeva - sustav je sigurniji. HTTPS je dobar da netko na lokalnoj mrezi ne vidi traffic ali nije garancija za ista. VPN je dodatni sloj zastite kojim osiguravas sigurnu i DIREKTNU konekciju izmedu 2 uredaja. Ako imas gore samo Severinin pornic - HTTPS je dosta. Ako imas ista privatno gore na istoj kanti , bilo da se radi o dokumentima, slikama itd - zelis da sustav bude sto sigurniji ako ga spajas na internet, bez obzira koji port bio u pitanju. :kafa: |
Citiraj:
HTTPS *je* dovoljno secure. Problem nastaje kad se ne upotrebljava 'ispravno', kad se ignoriraju certifikati, itd... tocnije - najveca greska je korisnik sam. Kako se HTTPS moze hackirati, tako se moze i VPN (OK, nije 'ista' stvar, ali znas sto mislim). Za home usera VPN smanjuje glavobolju najvise na nacin da taj prvi layer - VPN mora biti dovoljno 'hack-proof', sto u vecini slucajeva je. Sa HTTPS-om, tu dolazimo do mogucih greski u konfiguraciji, potencijalnih bugova kod web servera, itd... no, vecinom se svodi na konfiguraciju. |
Citiraj:
Bingo :chears: |
Citiraj:
Zaključak, radi što hoćeš, tvoj život i podaci, no ovaj setup nije pametan ni siguran. Sent from my SM-G991B using Tapatalk |
Vrijedi li isto misljenje i ako pristup nas-u kontrolira proxy manager (instaliran na odvojenom hardveru, ne nas-u)?
Primjer: imam Drive app na remote kompu, logiram se preko moje domene mojsynology.com, domena je na cloudflareu, a na lokalnoj mrezi proxy manager upravlja pristupom prema synologyju. Na proxy manageru je importani cloudflare CA certifikat, SSL je podesen na full (strict) i sve je maxano. Na cloudflare firewallu je izmedju ostalog blokiran non-https traffic (vidim masu takvih blokiranih upita na mjesecnoj bazi), forsira se redirekcija na https itd itd. Nisam neki web expert, mjesecima sam se jezio kada sam trebao pustiti domenu online, pa sam dosta vremena ulozio u setup i ucenje. E sad... Uvijek moze bolje/sigurnije, to mi je jasno. Znam samo da nisam htio otvarati portove direktno na nas-u nego od starta ici iskljucivo preko proxyja na 443. |
Citiraj:
Da. RevProxy je dodatan bonus. Tak bi inace trebalo uvijek biti. |
Citiraj:
Sent from my SM-G991B using Tapatalk |
Citiraj:
Drugi da ga spajam preko USB-a i da je cijelo vrijeme offline, ali i u tim trenucima (spajanja) mi netko može štetu nanijeti. Treba naći balans između korištenja nečega i sigurnosti istog (ili u krajnjem slučaju paranoje). Meni NAS kojem ne mogu pristupiti izvana, jednostavno ne treba. Ako ga stavim 100% iza VPN-a opet, može koristiti samo MENI i nikom drugom u mom kućanstvu ili izvan njega. VPN server je isto tako izložen Internetu kao i https port, u jednakoj mjeri. Vrlo vjerojatno je VPN server jednostavniji software od DSM-a sa manjom površinom za napad i otkrivanje bugova, ali nije sigurno sveti gral sigurnosti. Treba naći mjeru i način na koji će NAS ostati upotrebljiv, a i maksimalno siguran. Morat ću se uputiti što točno kolega @xlr misli pod hostanjem domene na cloudflare i kako radi taj proxy manager da vidim ima li smisla uvoditi isto. Meni je npr. na routeru postavljen firewall na način da komunikacija koja kreće sa NAS-a može ići na Internet isključivo i jedino preko VPN-a (NAS je VPN client na random server od 60-tak mogućih). Jedino kada NAS ne ide na Internet preko VPN-a je kada dobije upit putem normalne veze na taj (https) port, tada odgovara istim putem. Default admin račun je isključen. Obavezno je korištenje https, sve se preusmjerava na njega. Šifre su ozbiljne, ne igračke. DSM je uvijek ažuran, router također, itd. Znači neka razina sigurnosti postoji, samo ne apsolutne. :) Vidjet ćemo da li se može još nešto podići. |
Citiraj:
Ti ides iz jednog extrema u drugi. VPN + HTTPS je RAZUMNA razina sigurnosti za tvoje potrebe. Drugo kako to mislis da samo se ti prek VPN-a mozes spojit? VPN-u podrzava vise korisnika, inace ga nitko nebi koristio. |
Vjerojatno se NE razumijemo PONOVNO. HTTPS mi je za pristup NAS-u izvana (DS aplikacije na mobitelima, dijeljenje linkova itd). VPN mi je kada NAS pristupa Internetu.
Znači VPN u mom slučaju nije tunel putem kojeg ja pristupam NAS-u nego tunel putem kojem NAS ide na Internet. |
Citiraj:
Sent from my SM-G991B using Tapatalk |
Najlakše je napisati da je glupost bez razmišljanja. Razmisli još jednom.
Ako ti moram crtati zašto onda stvarno ne vrijedi. |
Dečki budite dobri, bez nepotrebne svađe :fiju: :kafa:
|
Citiraj:
Kaj si to točno dobio da NAS ide prek vpna na Internet? I drugo, izložen ti je na internetu, sretno ti bilo, ransomware ekipa bit će oduševljena, a ti ćeš saznati koliko tvoji podaci vrijede. @Nikky I nema tu nikakve svađe, valjda se čovjeku može reći da mu rješenje nije kvalitetno. Sent from my SM-G991B using Tapatalk |
Citiraj:
Na nas-u slozis updejtanje IP adrese na cloudflare pod external access - ddns - dodas cloudflare kao providera: https://github.com/mrikirill/Synolog...areMultidomain Sada ti cloudflare u svakom trenu zna koja je IP adresa na tvom ruteru/nas-u. Nakon toga malo prouci reverse proxy, sto radi i kako radi. Mozes koristiti synologyjev reverse proxy (ja ga ne volim) ili ga slozis u dockeru ili nekom drugom stroju mimo nas-a. Koristim nginx proxy manager jer mi je jednostavan za setup i zasad mi je vise nego dovoljan. U proxy manageru importas cloudflare certifikat, forsas https i to je mislim ukratko sto sam slagao. Ako nekad negdje zapne ili imas pitanja, vici. Moram priznati i mene sada zanima zasto ti je nas iza vpn-a. |
@m4dm4n Nitko osim tebe mi nije objašnjavao zašto je blesavo da NAS ide na net preko VPNa niti je bilo uopće predmet razgovora.
@xlr Zahvaljujem. Ma imamo gotovo identičan setup. Isto imam domenu samo radi DDNSa, ali meni ruter ažurira IP. Ako stavim na NAS izbacivao bi VPN IP. Ali 99% ima za Asus Merlin i couldflare pod DDNS providerima. Što se tiče pitanja. Zbog videoteke. @tomek@VZ Nisam vidio pitanje prije. Znam da može ići više ljudi na VPN, ali objasni ti to mojoj ženi i djeci da moraju pokrenuti VPN prije pokretanja Photos aplikacije ili streamings audia itd. A i dijeljenje datoteka sa Drive postaje nemoguće. Uglavom, kužim, sigurnije, manja površina za napad, ali mi toliko okrljašti funkcionalnost da ću prije sve druge sigurnosne stvari pokušati nego staviti iza VPNa. |
Citiraj:
|
Citiraj:
https://github.com/RMerl/asuswrt-mer.../DDNS-services A i mislio sam, torentosi. Ako si na Merlinu, mozda bi ti to VPN director mogao odraditi. Nisam previse istrazivao, baci oko. Nisam siguran hoce li to biti najlaksi zadatak na svijetu ako ti se trnt klijent vrti na istom lokalnom IP-u kao i nas. Sigurno bi bilo lakse to podesiti ako je trnt klijent virtualiziran (docker) i ima lokalni IP drukciji od nas-a (macvlan). U tom slucaju samo videoteka ide preko vpn-a, ne i ostatak prometa sa nas-a. Ne znam da li bi bas sav promet pustao preko nekog vpn-a, ja im ne vjerujem previse, ali to sam samo ja :) Ja sam iz one grupe ljudi koji takve sumLJive rabote separiraju na dedicirani hardver ili ih utrpam u kontejner na odvojenu mrezu. Trenutno me jos ne brine sto ISP vidi jer zivimo tu gdje zivimo. Sori na monologu, samo sheram misljenje. |
Napokon sam dovršio NAS u potpunosti pa da se pohvalim. :D
Hardware sam riješio prije dva mjeseca, ali nikako nisam uspio riješiti kućište pa je sve bilo u starom Fractal Design Mini kućištu, tj. midi desktop kućištu. Jučer sam napokon uz XY kombinacija uspio nabaviti Jonsbo N2 kućište, i svaka preporuka, barem ovako na prvu svježe nakon sastavljanja. Case: Jonsbo N2 MBO: Asrock B660M-ITX CPU: Intel i3 13100T CPU fan: Arctic Alpine 17 CO RAM: 2 x G.Skill Ripjaws V DDR4-3200Mhz 16GB HDD: 2 x Seagate IronWolf 8TB - storage disks SSD: Nvme Adata SX8200 Pro 512GB - cache disk PSU: Corsair SFX SF450 Nvme i RAM su nepotrebni, ali nvme sam imao na stanju iz starog računala, a RAM, kad je bal... Drugi NAS sada služi isključivo za kamere i kao backup na koji kopiram podatke sa prvog pomoću hyperdrivea. Mjesta ima za još dva diska jednostavno, treći ukoliko ubacim neku SATA PCI karticu pošto imam samo 4 SATA porta na matičnoj. https://i.ibb.co/g3Qsxv3/20230518-214140.jpg https://i.ibb.co/q9cFXJc/20230518-214149.jpg https://i.ibb.co/3k9Gt9n/20230518-214155.jpg https://i.ibb.co/PYyKPq3/20230518-214324.jpg https://i.ibb.co/bWh2fNL/20230518-214331.jpg https://i.ibb.co/bFLhmhH/20230518-214342.jpg https://i.ibb.co/s1K7XcX/20230518-214530.jpg https://i.ibb.co/YBLttKw/20230519-221328.jpg https://i.ibb.co/TMBwh7h/20230519-223817.jpg https://i.ibb.co/FwMdmCS/20230519-223809.jpg |
Posloži malo te kabele kako nebi završili u ventilatoru a zbog protoka zraka,
ovi data sata se mogu izolirom po 2 ... barem u ovom gornjem dijelu ... |
Citiraj:
Ovaj drugi je ATX napajanje matične, dolje lijevo je napajanje tako da je to zategnuto, neće nigdje i ne smeta. Citiraj:
|
Najs! Ako dela jednako dobro kao sto izgleda, vrh :)
|
Ajd ako ti nije problem cijene komponenti i koliko je došlo na kraju.
I kaj od OS-a ide gore? |
Citiraj:
Citiraj:
Citiraj:
Da idem ponovno jedino bi možda uzeo 13100F umjesto ovoga pošto se iGPU ne može iskoristiti. Prenov je za DSM sustav, ne prepoznaje ga. |
Citiraj:
Tnx. |
Pozdrav!
Složio i ja napokon svoj NAS danas. Sve radi, ali mrežna me zeza. Prepoznaje samo integriranu 1Gbit. Dodatna 10G kartica svijetli, ali TrueNAS kaže LINK STATE DOWN No Traffic Ista kartica na Windowsima radi perfektno. Izgleda da ću morati staviti Intel X550 T-2 u mašinu. Sreća pa sam ih kupio više. |
Vjerojatno TrueNAS nema drajver u sebi za tu 10G karticu (nisi naveo koja) ili je nije sam konfigurirao kako treba.
Da zaviriš u terminal pa ..... |
Citiraj:
Ovaj na Linuxu podržava više hardvera, pogotovo bi me čudilo da mrežnu ne prepoznaje |
TrueNAS Core zadnja stabilna verzija.
Stavit ću Intel X550-T2 drugi tjedan. Planet ENW-9801 |
| Sva vremena su GMT +2. Sada je 20:05. |
Powered by vBulletin®
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 1999-2024 PC Ekspert - Sva prava pridržana ISSN 1334-2940
Ad Management by RedTyger