|
06.05.2023., 17:26 | #1291 |
Premium
Datum registracije: Jul 2017
Lokacija: Ramura
Postovi: 2,506
|
Nema potrebe razvlačiti priču. Pogledao sam linkove što je @tomek@VZ gore naveo i imam osjećam da svi mi ovdje slično mislimo samo svako tepe svoje. Što se tiče SSL certifikata i HTTPS-a, jedino se spajam na Synology preko HTTPSa kada nisam u lokalnoj mreži. Default je 443 i 5001, dok je kod mene neki random. To je web port za DSM sučelje i većinu (ili možda sve) DSM android aplikacije. HTTP port je off, tj. nije dostupan izvana. |
06.05.2023., 19:46 | #1292 |
Premium
Datum registracije: May 2006
Lokacija: München/Varaždin
Postovi: 3,428
|
A jebo... https://www.thesslstore.com/blog/is-...cure-https-is/ https://stackoverflow.com/questions/...ata-over-https https://www.eff.org/deeplinks/2011/1...re-https-today https://www.kaspersky.com/blog/https...an-safe/20725/ Ukratko - HTTPS nije nekaj na kaj se mozes osloniti 100% kao "hacker proof" tehnologiju. Sigurnost sustava je delikatna tema i odraduje se u slojevima - sto vise slojeva - sustav je sigurniji. HTTPS je dobar da netko na lokalnoj mrezi ne vidi traffic ali nije garancija za ista. VPN je dodatni sloj zastite kojim osiguravas sigurnu i DIREKTNU konekciju izmedu 2 uredaja. Ako imas gore samo Severinin pornic - HTTPS je dosta. Ako imas ista privatno gore na istoj kanti , bilo da se radi o dokumentima, slikama itd - zelis da sustav bude sto sigurniji ako ga spajas na internet, bez obzira koji port bio u pitanju. |
06.05.2023., 21:14 | #1293 | |
Premium
Datum registracije: Nov 2004
Lokacija: Velika Gorica
Postovi: 1,474
|
Citiraj:
HTTPS *je* dovoljno secure. Problem nastaje kad se ne upotrebljava 'ispravno', kad se ignoriraju certifikati, itd... tocnije - najveca greska je korisnik sam. Kako se HTTPS moze hackirati, tako se moze i VPN (OK, nije 'ista' stvar, ali znas sto mislim). Za home usera VPN smanjuje glavobolju najvise na nacin da taj prvi layer - VPN mora biti dovoljno 'hack-proof', sto u vecini slucajeva je. Sa HTTPS-om, tu dolazimo do mogucih greski u konfiguraciji, potencijalnih bugova kod web servera, itd... no, vecinom se svodi na konfiguraciju.
__________________
Idiocracy. Kad satira postaje stvarnost. |
|
06.05.2023., 21:41 | #1294 |
Premium
Datum registracije: May 2006
Lokacija: München/Varaždin
Postovi: 3,428
|
|
07.05.2023., 09:42 | #1295 | |
Does youer dewg byte?
Datum registracije: May 2006
Lokacija: Zagreb
Postovi: 1,916
|
Citiraj:
Zaključak, radi što hoćeš, tvoj život i podaci, no ovaj setup nije pametan ni siguran. Sent from my SM-G991B using Tapatalk
__________________
" Have you tried turning it off and on again ? Are you sure it is plugged in ? " |
|
07.05.2023., 10:23 | #1296 |
49%winner
Datum registracije: Sep 2007
Lokacija: PU
Postovi: 8,867
|
Vrijedi li isto misljenje i ako pristup nas-u kontrolira proxy manager (instaliran na odvojenom hardveru, ne nas-u)? Primjer: imam Drive app na remote kompu, logiram se preko moje domene mojsynology.com, domena je na cloudflareu, a na lokalnoj mrezi proxy manager upravlja pristupom prema synologyju. Na proxy manageru je importani cloudflare CA certifikat, SSL je podesen na full (strict) i sve je maxano. Na cloudflare firewallu je izmedju ostalog blokiran non-https traffic (vidim masu takvih blokiranih upita na mjesecnoj bazi), forsira se redirekcija na https itd itd. Nisam neki web expert, mjesecima sam se jezio kada sam trebao pustiti domenu online, pa sam dosta vremena ulozio u setup i ucenje. E sad... Uvijek moze bolje/sigurnije, to mi je jasno. Znam samo da nisam htio otvarati portove direktno na nas-u nego od starta ici iskljucivo preko proxyja na 443.
__________________
♕ Keep calm and fastboot oem unlock. ♕
|
07.05.2023., 10:55 | #1297 | |
Premium
Datum registracije: May 2006
Lokacija: München/Varaždin
Postovi: 3,428
|
Citiraj:
Da. RevProxy je dodatan bonus. Tak bi inace trebalo uvijek biti. |
|
07.05.2023., 11:18 | #1298 | |
Does youer dewg byte?
Datum registracije: May 2006
Lokacija: Zagreb
Postovi: 1,916
|
Citiraj:
Sent from my SM-G991B using Tapatalk
__________________
" Have you tried turning it off and on again ? Are you sure it is plugged in ? " |
|
07.05.2023., 11:51 | #1299 | |
Premium
Datum registracije: Jul 2017
Lokacija: Ramura
Postovi: 2,506
|
Citiraj:
Drugi da ga spajam preko USB-a i da je cijelo vrijeme offline, ali i u tim trenucima (spajanja) mi netko može štetu nanijeti. Treba naći balans između korištenja nečega i sigurnosti istog (ili u krajnjem slučaju paranoje). Meni NAS kojem ne mogu pristupiti izvana, jednostavno ne treba. Ako ga stavim 100% iza VPN-a opet, može koristiti samo MENI i nikom drugom u mom kućanstvu ili izvan njega. VPN server je isto tako izložen Internetu kao i https port, u jednakoj mjeri. Vrlo vjerojatno je VPN server jednostavniji software od DSM-a sa manjom površinom za napad i otkrivanje bugova, ali nije sigurno sveti gral sigurnosti. Treba naći mjeru i način na koji će NAS ostati upotrebljiv, a i maksimalno siguran. Morat ću se uputiti što točno kolega @xlr misli pod hostanjem domene na cloudflare i kako radi taj proxy manager da vidim ima li smisla uvoditi isto. Meni je npr. na routeru postavljen firewall na način da komunikacija koja kreće sa NAS-a može ići na Internet isključivo i jedino preko VPN-a (NAS je VPN client na random server od 60-tak mogućih). Jedino kada NAS ne ide na Internet preko VPN-a je kada dobije upit putem normalne veze na taj (https) port, tada odgovara istim putem. Default admin račun je isključen. Obavezno je korištenje https, sve se preusmjerava na njega. Šifre su ozbiljne, ne igračke. DSM je uvijek ažuran, router također, itd. Znači neka razina sigurnosti postoji, samo ne apsolutne. Vidjet ćemo da li se može još nešto podići. Zadnje izmijenjeno od: Libertus. 07.05.2023. u 11:57. |
|
07.05.2023., 12:08 | #1300 | |
Premium
Datum registracije: May 2006
Lokacija: München/Varaždin
Postovi: 3,428
|
Citiraj:
Ti ides iz jednog extrema u drugi. VPN + HTTPS je RAZUMNA razina sigurnosti za tvoje potrebe. Drugo kako to mislis da samo se ti prek VPN-a mozes spojit? VPN-u podrzava vise korisnika, inace ga nitko nebi koristio. |
|
07.05.2023., 12:18 | #1301 |
Premium
Datum registracije: Jul 2017
Lokacija: Ramura
Postovi: 2,506
|
Vjerojatno se NE razumijemo PONOVNO. HTTPS mi je za pristup NAS-u izvana (DS aplikacije na mobitelima, dijeljenje linkova itd). VPN mi je kada NAS pristupa Internetu. Znači VPN u mom slučaju nije tunel putem kojeg ja pristupam NAS-u nego tunel putem kojem NAS ide na Internet. |
07.05.2023., 12:21 | #1302 | |
Does youer dewg byte?
Datum registracije: May 2006
Lokacija: Zagreb
Postovi: 1,916
|
Citiraj:
Sent from my SM-G991B using Tapatalk
__________________
" Have you tried turning it off and on again ? Are you sure it is plugged in ? " |
|
07.05.2023., 14:09 | #1304 |
Moderator
Datum registracije: Sep 2006
Lokacija: St
Postovi: 22,648
|
Dečki budite dobri, bez nepotrebne svađe |
07.05.2023., 16:02 | #1305 | |
Does youer dewg byte?
Datum registracije: May 2006
Lokacija: Zagreb
Postovi: 1,916
|
Citiraj:
Kaj si to točno dobio da NAS ide prek vpna na Internet? I drugo, izložen ti je na internetu, sretno ti bilo, ransomware ekipa bit će oduševljena, a ti ćeš saznati koliko tvoji podaci vrijede. @Nikky I nema tu nikakve svađe, valjda se čovjeku može reći da mu rješenje nije kvalitetno. Sent from my SM-G991B using Tapatalk
__________________
" Have you tried turning it off and on again ? Are you sure it is plugged in ? " |
|
07.05.2023., 16:30 | #1306 | |
49%winner
Datum registracije: Sep 2007
Lokacija: PU
Postovi: 8,867
|
Citiraj:
Na nas-u slozis updejtanje IP adrese na cloudflare pod external access - ddns - dodas cloudflare kao providera: https://github.com/mrikirill/Synolog...areMultidomain Sada ti cloudflare u svakom trenu zna koja je IP adresa na tvom ruteru/nas-u. Nakon toga malo prouci reverse proxy, sto radi i kako radi. Mozes koristiti synologyjev reverse proxy (ja ga ne volim) ili ga slozis u dockeru ili nekom drugom stroju mimo nas-a. Koristim nginx proxy manager jer mi je jednostavan za setup i zasad mi je vise nego dovoljan. U proxy manageru importas cloudflare certifikat, forsas https i to je mislim ukratko sto sam slagao. Ako nekad negdje zapne ili imas pitanja, vici. Moram priznati i mene sada zanima zasto ti je nas iza vpn-a.
__________________
♕ Keep calm and fastboot oem unlock. ♕
|
|
07.05.2023., 16:41 | #1307 |
Premium
Datum registracije: Jul 2017
Lokacija: Ramura
Postovi: 2,506
|
@m4dm4n Nitko osim tebe mi nije objašnjavao zašto je blesavo da NAS ide na net preko VPNa niti je bilo uopće predmet razgovora. @xlr Zahvaljujem. Ma imamo gotovo identičan setup. Isto imam domenu samo radi DDNSa, ali meni ruter ažurira IP. Ako stavim na NAS izbacivao bi VPN IP. Ali 99% ima za Asus Merlin i couldflare pod DDNS providerima. Što se tiče pitanja. Zbog videoteke. @tomek@VZ Nisam vidio pitanje prije. Znam da može ići više ljudi na VPN, ali objasni ti to mojoj ženi i djeci da moraju pokrenuti VPN prije pokretanja Photos aplikacije ili streamings audia itd. A i dijeljenje datoteka sa Drive postaje nemoguće. Uglavom, kužim, sigurnije, manja površina za napad, ali mi toliko okrljašti funkcionalnost da ću prije sve druge sigurnosne stvari pokušati nego staviti iza VPNa. Zadnje izmijenjeno od: Libertus. 07.05.2023. u 16:48. |
07.05.2023., 18:23 | #1308 |
Moderator
Datum registracije: Sep 2006
Lokacija: St
Postovi: 22,648
|
|
07.05.2023., 20:57 | #1309 | |
49%winner
Datum registracije: Sep 2007
Lokacija: PU
Postovi: 8,867
|
Citiraj:
https://github.com/RMerl/asuswrt-mer.../DDNS-services A i mislio sam, torentosi. Ako si na Merlinu, mozda bi ti to VPN director mogao odraditi. Nisam previse istrazivao, baci oko. Nisam siguran hoce li to biti najlaksi zadatak na svijetu ako ti se trnt klijent vrti na istom lokalnom IP-u kao i nas. Sigurno bi bilo lakse to podesiti ako je trnt klijent virtualiziran (docker) i ima lokalni IP drukciji od nas-a (macvlan). U tom slucaju samo videoteka ide preko vpn-a, ne i ostatak prometa sa nas-a. Ne znam da li bi bas sav promet pustao preko nekog vpn-a, ja im ne vjerujem previse, ali to sam samo ja Ja sam iz one grupe ljudi koji takve sumLJive rabote separiraju na dedicirani hardver ili ih utrpam u kontejner na odvojenu mrezu. Trenutno me jos ne brine sto ISP vidi jer zivimo tu gdje zivimo. Sori na monologu, samo sheram misljenje.
__________________
♕ Keep calm and fastboot oem unlock. ♕
|
|
19.05.2023., 23:02 | #1310 |
Premium
Datum registracije: Jul 2017
Lokacija: Ramura
Postovi: 2,506
|
Napokon sam dovršio NAS u potpunosti pa da se pohvalim. Hardware sam riješio prije dva mjeseca, ali nikako nisam uspio riješiti kućište pa je sve bilo u starom Fractal Design Mini kućištu, tj. midi desktop kućištu. Jučer sam napokon uz XY kombinacija uspio nabaviti Jonsbo N2 kućište, i svaka preporuka, barem ovako na prvu svježe nakon sastavljanja. Case: Jonsbo N2 MBO: Asrock B660M-ITX CPU: Intel i3 13100T CPU fan: Arctic Alpine 17 CO RAM: 2 x G.Skill Ripjaws V DDR4-3200Mhz 16GB HDD: 2 x Seagate IronWolf 8TB - storage disks SSD: Nvme Adata SX8200 Pro 512GB - cache disk PSU: Corsair SFX SF450 Nvme i RAM su nepotrebni, ali nvme sam imao na stanju iz starog računala, a RAM, kad je bal... Drugi NAS sada služi isključivo za kamere i kao backup na koji kopiram podatke sa prvog pomoću hyperdrivea. Mjesta ima za još dva diska jednostavno, treći ukoliko ubacim neku SATA PCI karticu pošto imam samo 4 SATA porta na matičnoj. |
19.05.2023., 23:27 | #1311 |
Moderator
Datum registracije: Sep 2006
Lokacija: St
Postovi: 22,648
|
Posloži malo te kabele kako nebi završili u ventilatoru a zbog protoka zraka, ovi data sata se mogu izolirom po 2 ... barem u ovom gornjem dijelu ... |
20.05.2023., 11:27 | #1312 |
Premium
Datum registracije: Jul 2017
Lokacija: Ramura
Postovi: 2,506
|
Pretpostavljam da misliš na ova dva na vrhu slike. To su USB i USB-C za front panel, trebao bi mi jedno 5cm kabel da bude uredno pošto su priključci na matičnom jedno 2cm daleko od kablova. Samo ću ih nekom vezicom povezati iako oni ne smetaju. Ovaj drugi je ATX napajanje matične, dolje lijevo je napajanje tako da je to zategnuto, neće nigdje i ne smeta. Kupio sam srećom 30cm SATA kablove (moraju biti kutni za kućište), i taman su u cm da dosegnu portove na matičnoj. Znači napeto kao u tvornici tregera. Da ih složim sa strane morao bih kupiti kablove od barem 40cm. |
20.05.2023., 12:41 | #1314 |
Premium
Datum registracije: Jul 2021
Lokacija: Sesvete
Postovi: 569
|
Ajd ako ti nije problem cijene komponenti i koliko je došlo na kraju. I kaj od OS-a ide gore? |
20.05.2023., 19:44 | #1315 | ||
Premium
Datum registracije: Jul 2017
Lokacija: Ramura
Postovi: 2,506
|
Hvala, radi ko urica. Citiraj:
Citiraj:
Da idem ponovno jedino bi možda uzeo 13100F umjesto ovoga pošto se iGPU ne može iskoristiti. Prenov je za DSM sustav, ne prepoznaje ga. |
||
20.05.2023., 23:15 | #1316 |
Premium
Datum registracije: Jul 2021
Lokacija: Sesvete
Postovi: 569
|
|
26.05.2023., 21:14 | #1317 |
Registered User
Datum registracije: Mar 2015
Lokacija: Doma
Postovi: 136
|
Pozdrav! Složio i ja napokon svoj NAS danas. Sve radi, ali mrežna me zeza. Prepoznaje samo integriranu 1Gbit. Dodatna 10G kartica svijetli, ali TrueNAS kaže LINK STATE DOWN No Traffic Ista kartica na Windowsima radi perfektno. Izgleda da ću morati staviti Intel X550 T-2 u mašinu. Sreća pa sam ih kupio više. |
27.05.2023., 08:05 | #1318 |
Moderator
Datum registracije: Sep 2006
Lokacija: St
Postovi: 22,648
|
Vjerojatno TrueNAS nema drajver u sebi za tu 10G karticu (nisi naveo koja) ili je nije sam konfigurirao kako treba. Da zaviriš u terminal pa ..... Zadnje izmijenjeno od: Nikky. 27.05.2023. u 19:37. |
27.05.2023., 09:46 | #1319 | |
Propali Amigaš
Datum registracije: Jan 2003
Lokacija: Nin
Postovi: 6,959
|
Citiraj:
Ovaj na Linuxu podržava više hardvera, pogotovo bi me čudilo da mrežnu ne prepoznaje |
|
27.05.2023., 12:49 | #1320 |
Registered User
Datum registracije: Mar 2015
Lokacija: Doma
Postovi: 136
|
TrueNAS Core zadnja stabilna verzija. Stavit ću Intel X550-T2 drugi tjedan. Planet ENW-9801 Zadnje izmijenjeno od: softwaremaniac. 27.05.2023. u 12:55. |
|
|