Robimy domową chmurę za pomocą serwera Synology. Co potrafi własny serwer NAS?

Serwer multimediów

Jest to obowiązkowy pakiet u mnie. Dzięki niemu, na moim między innymi smart telewizorze mogę przeglądać filmy, zdjęcia oraz muzykę. Ten pakiet nie wymaga wręcz żadnej konfiguracji – po prostu wystarczy go zainstalować.

Domyślnie indeksowane są multimedia w trzech systemowych folderach współdzielonych: photo, music i video. Najprościej będzie tam umieszczać nasze multimedialne zasoby, lub ewentualnie wskazać w ustawaniach inne foldery, które mają być indeksowane.

Serwer VPN

Na serwerze Synology możemy uruchomić własny serwer VPN. Będzie on tunelował ruch pomiędzy naszym serwerem, a urządzeniem klienckim.

Po co taki serwer VPN może się przydać:

 Jestem poza domem i chcę uzyskać dostęp do innego urządzenia znajdującego się i dostępnego tylko z sieci domowej.

 Korzystam z ogólnodostępnego hotspotu i chcę zabezpieczyć mój ruch sieciowy. W tym przypadku zakładam, że chcę się uchronić tylko przed zagrożeniami w obrębie hotspotu, a nie przed dostawcą internetu do mojego serwera Synology.

 Jestem zakręcony na punkcie bezpieczeństwa i chcę logować się do wybranych usług serwera (na przykład do panelu administracyjnego DSM), które są dostępne tylko przez sieć lokalną.

Na serwerze Synology możemy skonfigurować 3 protokoły do wyboru: PPTV, L2TP/IPSec oraz OpenVPN. Polecam głównie ten ostatni, który jest uznawany za wysoce bezpieczny. OpenVPN pozwala na sporo opcji konfiguracji co jest plusem i jednocześnie minusem, ponieważ można mieć z tym mały problem. Efektem końcowym skonfigurowaniem protokołu z poziomu pakietu VPN jest mały plik o rozszerzeniu .ovpn. W klientach VPN oprócz loginu i hasła będzie potrzebny właśnie ten plik, który zawiera konfigurację naszego serwera VPN. Problem polega na tym, że ten plik, po wyeksportowaniu musimy jeszcze dodatkowo ręcznie skonfigurować. Możemy to zrobić choćby za pomocą notatnika.

Zmienną „YOUR_SERVER_IP” zastępujemy naszym zewnętrznym adresem IP lub domeną (o czym szczegółowo napisałem w kolejnej sekcji na temat sposobu łączenia się z serwerem). Jeśli chcemy po połączeniu mieć jednocześnie dostęp do zasobów sieci lokalnej serwera dopisujemy linkę tekstu „redirect-gateway def1”. Jeśli nasz serwer jest podpięty pod domenę (i w miejscu „YOUR_SERVER_IP” wpisaliśmy adres domeny) to warto dodatkowo dodać komendę „remote-cert-tls server”. Czasem niektóre sieci (na przykład mobilne) blokują domyślny port protokołu OpenVPN. Wtedy jedynym rozwiązaniem jest zmiana portu na jakiś niestandardowy – rada na przyszłość. Jeśli interesuje nas duża prędkość połączenia VPN musimy zwrócić uwagę na prędkość internetu dostarczanego do serwera NAS. Zazwyczaj prędkości wysyłania u dostawców są niższe, a połączenie VPN jest tak szybkie, jak jego najsłabsze ogniwo.

Do połączenia z serwerem VPN możesz użyć z programu OpenVPN lub jego mobilnego odpowiednia w postaci aplikacji na Androida OpenVPN Connect.

Jak połączyć się z serwerem Synology przez internet?

Korzystając z serwera w sieci lokalnej nie mamy żadnych problemów z uzyskaniem do niego dostępu. Ustawiamy na serwerze stały adres IP, wpisujemy łatwy do zapamiętania adres np. 192.168.0.100 i korzystamy z tego adresu przy łączeniu się z serwerem przez przeglądarkę, bądź dowolną aplikacje Synology.

Możemy oczywiście korzystać z serwera tylko z poziomu naszej sieci, ale nie po to kupuje się dyski sieciowe, żeby korzystać z ich zasobów tylko z określonej lokalizacji. Dostęp do serwera z poziomu internetu możemy skonfigurować na kilka sposobów, które właśnie opiszę. Niech każdy wybierze najlepszą opcję dla siebie.

Opcja nr 1: QuickConnect

QuickConnect to najprostsza z możliwych opcji. Nie potrzebujemy do tego nawet wiedzy z zakresu przekierowania portów czy jak działa router. Na początku potrzebujemy do tego konta online Synology. Następnie wybieramy nazwę naszego serwera (QuickConnect ID), ale nie może być ona już używana przez żadnego innego użytkownika tej usługi. Otrzymujemy adres wyglądający jak http://QuickConnect.to/*ID*. To właśnie ten adres wykorzystujemy do połączenia się z naszym serwerem.

Jeśli korzystamy za aplikacji Synology (jak Drive, Moments itp.) wystarczy, że zamiast adresu podamy sam identyfikator QuickConnect. Usługa sama zestawi połączenie z naszym serwerem.

Opcja nr 2: mam zewnętrzny adres IP i skorzystam z Synology DDNS

Do tej opcji również potrzebujemy konta online Synology. W tym przypadku otrzymujemy subdomenę z wielu dostępnych domen udostępnionych przez Synology jak *.synology.me, *myDS.me. Podobnie jak w poprzedniej usłudze, nazwa nie może być zarejestrowana przez innego użytkownika. Ta subdomena będzie wskazywała na nasz zewnętrzny adres IP.

Aby nasz router wiedział do jakiego urządzenia ma przekierować połączenie musimy skonfigurować na nim DMZ lub przekierowanie portów. DMZ polega na tym, że cały ruch ma być kierowany na określone urządzenie w naszej sieci lokalnej. Przekierowanie portów daje nam możliwość przekierowywania wybranego, konkretnego ruchu, usług sieciowych i jest opcją lepszą.

Ostatnią rzeczą, którą warto zrobić jest skonfigurowanie certyfikatu SSL. Co prawda możemy już łączyć się z naszym serwerem z poziomu internetu, ale szyfrowane połączenie HTTPS definitywnie warto skonfigurować. Polecam skorzystać z darmowych i zaufanych certyfikatów Let’s Encrypt.

Na samym początku, przed jego skonfigurowaniem pamiętajmy, że są to certyfikaty 90-dniowe, odnawiane całkowicie automatycznie, ale w tym celu serwer musi mieć odblokowany port numer 80. Certyfikat dodajemy w ustawieniach serwera, w zakładce Bezpieczeństwo – Certyfikaty.

Wpisujemy nazwę naszej domeny oraz adres e-mail (wymóg Let’s Encrypt). Zatwierdzamy, ustawiamy ten certyfikat jako główny (o ile mamy ich kilka), odświeżamy stronę i gotowe. Od teraz dysponujemy bezpiecznym połączeniem do serwera.

Opcja nr 3: jestem profesjonalistą i mam własną domenę

Jeśli nie chcemy korzystać z żadnych zewnętrznych usług Synology, chcemy mieć własną domenę (nie tylko subdomenę), to ta opcja jest dla nas. Pierwszym krokiem będzie pozyskanie własnej domeny internetowej. Nie musi być to oczywiście domena .pl. Mogą to być inne tańsze „końcówki” jak .pm, .me. Są nawet darmowe domeny z bardziej egzotyczną końcówką. Jak dobrze poszukacie to nawet za domenę .pl nie powinniście zapłacić więcej niż 15 złotych za rejestrację (pierwszy rok) lub 50 złotych za odnowienie (każdy kolejny rok).

Jeśli interesuje Was wygoda łączenia się z serwerem po całkowicie własnym adresie myślę, że są to niewygórowane koszty. Po wykupieniu domeny u dowolnego dostawcy przechodzimy do skonfigurowania rekordów DNS. Można to z robić z poziomu panelu administracyjnego dostawcy domeny. W zasadzie to musimy stworzyć tylko jeden rekord. Tworzymy rekord A (lub AAAA w przypadku adres IPv6), który będzie wskazywał na nasz zewnętrzny adres IP.

Następnie identycznie jak w opcji nr 2 konfigurujemy przekierowanie portów, certyfikat SSL i gotowe. Cóż za profesjonalista z Ciebie jeśli wybrałeś tę opcję ( ͡° ͜ʖ ͡°)

Kilka porad na koniec

Mam nadzieję, że pokazałem Wam jak przydatny jest domowy serwer NAS. Na koniec, jako długoletni użytkownik takiego serwera, przygotowałem dla Was kilka praktycznych porad:

 Regularnie aktualizujcie DSM oraz wszystkie pakiety. Te aktualizacje nie tylko zwiększają funkcjonalność, stabilność, ale również bezpieczeństwo. Możecie ustawić automatyczne aktualizacje, aby nie martwić się tym. Jeśli wolicie to robić ręcznie, możecie ustawić w tym celu powiadomienia e-mail.

 Korzystajcie z silnego i unikatowego hasła do logowania. Wyłączcie domyślne konto administratora i używajcie innego pod swoją własną nazwą. Unikniecie prób automatycznych ataków siłowych na panel logowania.

 Skonfigurujcie weryfikację dwuetapową opartą o aplikację mobilną taką jak Google Authenticator chociaż na koncie administratora.

 Skonfigurujcie zaporę sieciową. Udostępniajcie w internecie jak najmniej usług i na jak najmniejszy obszar. Możecie dostosować wiele reguł odpowiadającym rożnym usługom. Szczególnie uważajcie przy udostępnieniu na zewnątrz panelu logowania lub dostępu SSH (o ile używacie). Usługi, które chcecie mieć ogólnodostępne ograniczajcie do np. krajowych adresów IP. Wycieczki do Chin być może w najbliższym czasie nie planujecie, ale chińscy hakerzy chętnie odwiedziliby was „zdalnie”.

 Włączcie automatyczne blokowanie adresów IP po przekroczeniu określonej liczby prób logowania. Unikniecie ataków siłowych.

 Przy łączeniu się z serwerem korzystajcie z szyfrowanych protokołów takich jak HTTPS.

 Wyłączcie nieużywane usługi i korzystaj z aplikacji Doradcy ds. zabezpieczeń. Część porad z tego narzędzia już wymieniłem, ale pozwoli was na automatyczną i regularną analizę serwera pod tym względem.

 Wykonujcie kopie zapasowe. Jeśli was serwer jest centralnym miejscem przechowywania wszystkich danych zadbajcie o bezpieczeństwo swoich danych na wypadek awarii dysku twardego lub też przypadkowego usunięcia. Wykonywanie kopii zapasowej serwera możecie skonfigurować za pomocą pakietu Hyper Backup.

Możecie ustalić jakie dane mają być zabezpieczane i ustawić harmonogram takich zadań. Miejscem docelowym kopii zapasowej może być dysk w innej kieszeni serwera, zewnętrze urządzanie bezpośrednio podłączone do serwera lub inne zdalne miejsce w sieci. Kopie zapasowe mogą być szyfrowane i obsługują rotację wersji plików. Jeśli posiadacie ograniczone zasoby pod względem pojemności miejsca docelowego, to rozważcie wykonywanie kopii zapasowej chociaż najważniejszych folderów.

Ewentualna utrata osobistych, najważniejszych plików byłaby znacznie bardziej bolesna niż utrata na przykład biblioteczki filmowej.

SPIS TREŚCI:

1. Synology DS718+ | Serwer plików, Synology Drive, Office, Synology Moments, Notatki
2. Serwer multimediów, Serwer VPN. Jak połączyć się z serwerem Synology przez internet? Kilka porad na koniec.