PC Ekspert Forum - View Single Post - NAS

xlr · 22.11.2021., 12:02

Svog sam slozio (i jos uvijek nesto fajn tjunam) na nacin da sam uzeo domenu za saku dolara (u ovom primjeru domena je "nas.hr"). Nisam siguran hoce li ti ista od ovoga biti korisno ako se NE planiras igrati s vlastitom domenom pa posem ovo i za ostale, a i za to da me mozda netko uputi ili ispravi, ako sam negdje zajebo

Login portal - DSM
Pod domain sam unio domenu za pristup DSM-u "nas.hr". To koristim kada mi treba pristup DSM-u i ostalim appovima. U vecini slucajeva koristim ovo ispod.

Login portal - applications
Appovima koje koristim sam podesio njihov customized domain. Npr filestationu pristupam preko "files.nas.hr", "drive.nas.hr" i sl. Preduvjet je da u DNS postavkama kod providera svoje domene dodas potrebne CNAME-ove - to je nevezano za NAS.

Opcionalno:
Login portal - advanced
Tu sam podesio proxy koji mi preusmjerava promet sa "plex.nas.hr" na shield tv koji mi vrti plex server ili "vault.has.hr" gdje hostam bitwarden password manager i sl... Ako imas neke servise na kucnoj mrezi nevezano za sam NAS/DSM, a zelis im pristupiti izvana na jednostavan nacin, tu mozes preusmjeniti promet na pravu adresu.

U ruteru sam otvorio samo portove 80 i 443 prema NAS-u.

Security - firewall - edit rules:
Tu ces polako doci i do potrebe za podesavanjem NAS-ovog firewalla pa pazi da otvoris samo ono sto ti zbilja treba i koristis. Preporuka je da zadnji rule u firewallu bude deny all, a iznad tog rulea omoguci sto ti treba

E sad dolazis do drugog "problema" - zastite svog public IP-a i pristupa izvana. Ako ne planiras koristiti neki oblik zastite svog public IP-a, mogao bi imati dosta nepozeljnih upita i tkoznacega. To mozes rijesiti na par nacina:
1) preseliti domenu na Cloudflare i koristiti njihov proxy+firewall cime ces filtrirati pun k random upita i botova. Mana je sto na ovaj nacin ne mozes uploadati fajlove vece od 100MB (Cloudflare proxy ogranicenje).
2) ako nastavis bez proxyja, imho nije lose podesiti block listu na samom NAS-u pa ces na taj nacin uspjeti blokirati barem neke poznate "lose IP-eve":
https://mariushosting.com/ip-block-list/

I na kraju kad si gotov sa svime ovime, ostaje cackanje po certifikatima, forsanje SSL-a, integracija Synology appova na raznim kompovima s custom domenama (Active backup, Drive).

I sve ovo do sada radi bez potrebe za VPN-om, sa svakog kompa/moba koji ima pristup netu ili koristi Synology appove.

U svakom slucaju, imam VPN i koristim ga ako pristupam admin accountom. Trenutno vrtim OpenVPN na NAS-u, ali u planu je PiVPN Wireguard split tunnel, samo dok shvatim kako zbilja natjerati cudo da radi kao split tunnel. Neka druga tema...

Nisam jos sve do kraja slozio, ali je setup u pogonu i funkcionira. Dosta vremena mi ode na informiranje i "best practices". Trenutno zavrsavam pricu oko certifikata i razmisljam bi li sve ostavio kako sam ovdje opisao (podeseno kroz DSM login portal) ili dignuti proxy manager (Traefik) na RPI-ju i sve kroz njega. Svakako mi je u planu jednom savladati taj Traefik, cisto za osobni gust

22.11.2021., 12:02	#3075
xlr 49%winner Moj komp Datum registracije: Sep 2007 Lokacija: PU Postovi: 8,786	Svog sam slozio (i jos uvijek nesto fajn tjunam) na nacin da sam uzeo domenu za saku dolara (u ovom primjeru domena je "nas.hr"). Nisam siguran hoce li ti ista od ovoga biti korisno ako se NE planiras igrati s vlastitom domenom pa posem ovo i za ostale, a i za to da me mozda netko uputi ili ispravi, ako sam negdje zajebo Login portal - DSM Pod domain sam unio domenu za pristup DSM-u "nas.hr". To koristim kada mi treba pristup DSM-u i ostalim appovima. U vecini slucajeva koristim ovo ispod. Login portal - applications Appovima koje koristim sam podesio njihov customized domain. Npr filestationu pristupam preko "files.nas.hr", "drive.nas.hr" i sl. Preduvjet je da u DNS postavkama kod providera svoje domene dodas potrebne CNAME-ove - to je nevezano za NAS. Opcionalno: Login portal - advanced Tu sam podesio proxy koji mi preusmjerava promet sa "plex.nas.hr" na shield tv koji mi vrti plex server ili "vault.has.hr" gdje hostam bitwarden password manager i sl... Ako imas neke servise na kucnoj mrezi nevezano za sam NAS/DSM, a zelis im pristupiti izvana na jednostavan nacin, tu mozes preusmjeniti promet na pravu adresu. U ruteru sam otvorio samo portove 80 i 443 prema NAS-u. Security - firewall - edit rules: Tu ces polako doci i do potrebe za podesavanjem NAS-ovog firewalla pa pazi da otvoris samo ono sto ti zbilja treba i koristis. Preporuka je da zadnji rule u firewallu bude deny all, a iznad tog rulea omoguci sto ti treba E sad dolazis do drugog "problema" - zastite svog public IP-a i pristupa izvana. Ako ne planiras koristiti neki oblik zastite svog public IP-a, mogao bi imati dosta nepozeljnih upita i tkoznacega. To mozes rijesiti na par nacina: 1) preseliti domenu na Cloudflare i koristiti njihov proxy+firewall cime ces filtrirati pun k random upita i botova. Mana je sto na ovaj nacin ne mozes uploadati fajlove vece od 100MB (Cloudflare proxy ogranicenje). 2) ako nastavis bez proxyja, imho nije lose podesiti block listu na samom NAS-u pa ces na taj nacin uspjeti blokirati barem neke poznate "lose IP-eve": https://mariushosting.com/ip-block-list/ I na kraju kad si gotov sa svime ovime, ostaje cackanje po certifikatima, forsanje SSL-a, integracija Synology appova na raznim kompovima s custom domenama (Active backup, Drive). I sve ovo do sada radi bez potrebe za VPN-om, sa svakog kompa/moba koji ima pristup netu ili koristi Synology appove. U svakom slucaju, imam VPN i koristim ga ako pristupam admin accountom. Trenutno vrtim OpenVPN na NAS-u, ali u planu je PiVPN Wireguard split tunnel, samo dok shvatim kako zbilja natjerati cudo da radi kao split tunnel. Neka druga tema... Nisam jos sve do kraja slozio, ali je setup u pogonu i funkcionira. Dosta vremena mi ode na informiranje i "best practices". Trenutno zavrsavam pricu oko certifikata i razmisljam bi li sve ostavio kako sam ovdje opisao (podeseno kroz DSM login portal) ili dignuti proxy manager (Traefik) na RPI-ju i sve kroz njega. Svakako mi je u planu jednom savladati taj Traefik, cisto za osobni gust __________________ ♕ Keep calm and fastboot oem unlock. ♕