[Thread Ufficiale] SYNOLOGY Disk Station: New NAS Experience - News,Test,Faq,ecc.ecc.

[giscko]

Temo di non capire come ragiona il firewall del DS720
Io ho inteso così il funzionamento e le vostre indicazioni

Per quanto riguarda la prima regola, autorizzo tutti gli IP Italia
al traffico sulla porta HTTPS

Per quanto riguarda la seconda regola, autorizzo tutti gli IP della lan
al traffico indipendentemente dalla parta.

La terza regola blocca tutto il resto

Ora, ed è qui che non capisco, perchè devo specificare la porta agli IP della lan , tipo TV o pc windows, come hai fatto tu ( Ho visto le tue regole al post 29226 https://www.hwupgrade.it/forum/showp...ostcount=29226) se
sono abilitati dalla seconda regola ?

https://www.hwupgrade.it/forum/attac...1&d=1665654933

[DIDAC]

Scusa colpa mia, non avevo visto la tua seconda regola e che quindi hai aperto TUTTE le porte al traffico LAN.
Io non lo ho fatto, ma ho deciso ogni SINGOLA porta per il traffico LAN.
Pwr me è stato un continuo test scrivere quelle regole che adesso sono pure cambiate.
La tua via è più veloce e sbrigativa, ma non so dirti se potenzialmente più debole a livello di sicurezza.

[giscko]

ok .... adesso penso di aver afferrato il concetto

invece di aprire tutte le porte agli IP della lan suggerisci,
per aumentare il livello di sicurezza,
aprire specifici IP a specifiche porte/servizi.

Inizio così che è già di più di quello che avevo ieri.
Piano pano andrò a rafforzare il firewall

Grazie 1000

[DIDAC]

Esatto.
Anche io ci sono arrivato per step.
Poi quando ho attivato il server VPN la situazione firewall si è complicata un attimino perché è come avere un terzo ingresso: LAN, WAN e VPN appunto.
Ma tu la gestisci a monte dal Fritz.

[\_Davide_/]

Quote:

Originariamente inviato da oro125

Sono l'unico che da due giorni ha il NAS "sotto attacco"? Centinaia di tentativi di accesso all'account "admin" (disabilitato).

Tra io e un amico abbiamo 3 NAS Synology e sono tutti nella stessa situazione. Non mi era mai capitato prima.

Se avete il NAS aperto sul WWW non c'è nulla di strano, al massimo potreste disabilitare le notifiche e mettere in sicurezza il resto (considerando sempre che se Synology ha un bug siete fritti).

Se invece lo raggiungete tramite VPN il problema non si presenta (perché dovrebbero prima avere bucato la VPN), e se ricevete tali notifiche c'è da preoccuparsi

[recluta]

ciao, siccome viaggio spessissimo uso sempre nordvpn su tutti gli apparati informatici.
Tra un pò mi scade l'abbonamento. Ma la vpn server che si può installare sul nas, mi permetterebbe di connettermi al nas come se stessi nella stessa linea oppure può essere utile anche per navigare in modo anonimo sul cellulare o sul portatile che come client si connetteranno alla vpn?
In tal caso quale opzione di vpn mi consigliate di installare? openvpn o le altre soluzioni proposte dal Synology?
grazie per il chiarimento

[\_Davide_/]

Quote:

Originariamente inviato da recluta

Ma la vpn server che si può installare sul nas, mi permetterebbe di connettermi al nas come se stessi nella stessa linea oppure può essere utile anche per navigare in modo anonimo sul cellulare o sul portatile che come client si connetteranno alla vpn?

È utile a navigare in modo anonimo, dato che sai anche da dove uscirai sul www. A mio modo di vedere le cose molto più utile dei vari provider stile nord vpn che ti proteggono sì dalla connessione in cui ti trovi ma con cui non hai nessuna certezza sul trattamento dei tuoi dati.
(Sia chiaro, anche passando dalla tua VPN privata arrivi sulla connessione del provider. Insomma, prima o poi sul pubblico ci devi uscire a meno che tu voglia metterti a usare proxy a manetta come se dovessi fare passare traffico della CIA).

Quote:

Originariamente inviato da recluta

In tal caso quale opzione di vpn mi consigliate di installare? openvpn o le altre soluzioni proposte dal Synology?
grazie per il chiarimento

Le due opzioni migliori dovrebbero essere:

- OpenVPN: classica, sicura.
- Wireguard: protocollo più recente, molto più performante di OpenVPN, altrettanto sicuro.

Se il tuo nas supporta le VM puoi crearne una per farci girare il server VPN.

Sul mio ho una VM con DNS (che fa anche da ad-blocker) e VPN wireguard di backup (la principale è sul firewall) e performa molto bene. In passato ho usato anche OpenVPN allo stesso modo.

Altro argomento:

Mi si sono danneggiati 4 settori sul disco 3, che ha solo un anno in quanto lo avevo già cambiato per lo stesso motivo. È una coincidenza o c'è qualcosa a livello software?

A questo giro mi sa che resterà con i bad sectors per un po'

[supertopix]

Quote:

Originariamente inviato da \_Davide_/

È utile a navigare in modo anonimo, dato che sai anche da dove uscirai sul www. A mio modo di vedere le cose molto più utile dei vari provider stile nord vpn che ti proteggono sì dalla connessione in cui ti trovi ma con cui non hai nessuna certezza sul trattamento dei tuoi:

Sei sicuro? Non sono esperto, ma io connesso dagli USA alla VPN del NAS risultavo - per SKY Go - a casa mia, indirizzo ip esterno del mio provider, quello del NAS. Quindi non anonimo direi.
Se sono connesso a NordVPN, invece, ho ip casuali.

[giscko]

Quote:

Originariamente inviato da \_Davide_/

Se il tuo nas supporta le VM puoi crearne una per farci girare il server VPN.

Ma è necessaria una VM o si può far girare anche senza?

[DIDAC]

Io uso il server VPN del Nas.
La VM la uso solo per home assistant.
Se fate passare tutto il traffico dalla vostra VPN ovviamente sarete "limitati" dalla connessione di dove si trova il vostro server vpn.

@Supertopix: non sono un esperto nemmeno io ma quello che dici dovrebbe essere corretto.
Io non uso la mia VPN come gateway predefinito, cioè vado diretto in internet con Cell senza passare dal mio server VPN, che lo uso solo per collegarmi col Cell o altri PC al Nas quando sono fuori casa.

[Okkaido]

Ciao a tutti ragazzi oggi il mio ds220+ mi ha abbandonato. Prevedendo di comprare un altro ds220+ il passaggio dati é indolore? Basta tirare dal vecchio e inserire nel nuovo giusto?


Grazie mille

[DIDAC]

Ma cosa gli é successo? Il 220+ è abbastanza recente

[recluta]

Quote:

Originariamente inviato da \_Davide_/

È utile a navigare in modo anonimo, dato che sai anche da dove uscirai sul www. A mio modo di vedere le cose molto più utile dei vari provider stile nord vpn che ti proteggono sì dalla connessione in cui ti trovi ma con cui non hai nessuna certezza sul trattamento dei tuoi dati.
(Sia chiaro, anche passando dalla tua VPN privata arrivi sulla connessione del provider. Insomma, prima o poi sul pubblico ci devi uscire a meno che tu voglia metterti a usare proxy a manetta come se dovessi fare passare traffico della CIA).



Le due opzioni migliori dovrebbero essere:

- OpenVPN: classica, sicura.
- Wireguard: protocollo più recente, molto più performante di OpenVPN, altrettanto sicuro.

Se il tuo nas supporta le VM puoi crearne una per farci girare il server VPN.

Sul mio ho una VM con DNS (che fa anche da ad-blocker) e VPN wireguard di backup (la principale è sul firewall) e performa molto bene. In passato ho usato anche OpenVPN allo stesso modo.

Altro argomento:
:

usando la vpn del nas non dovrei uscire con l'ip del nas? non navigherei in modo anonimo, o mi sfugge qualcosa?

uso già una VM per homeassistant..
quale pregio creare una VM piuttosto che usare l'applicazione fornita dal nas?
grazie mille per i consigli e chiarimenti

[bagnino89]

Quote:

Originariamente inviato da Okkaido

Ciao a tutti ragazzi oggi il mio ds220+ mi ha abbandonato. Prevedendo di comprare un altro ds220+ il passaggio dati é indolore? Basta tirare dal vecchio e inserire nel nuovo giusto?


Grazie mille

Cosa è successo?

[burghy]

Io ho wireguard installato tramite spk, e un docker per la gestione utenti e generare i qr.va da dio

Adguard sempre tramite docker

[\_Davide_/]

Quote:

Originariamente inviato da supertopix

Sei sicuro? Non sono esperto, ma io connesso dagli USA alla VPN del NAS risultavo - per SKY Go - a casa mia, indirizzo ip esterno del mio provider, quello del NAS. Quindi non anonimo direi.
Se sono connesso a NordVPN, invece, ho ip casuali.

Esci esattamente come se fossi a casa tua, ormai il tracking su IP non va più di moda.

Quote:

Originariamente inviato da giscko

Ma è necessaria una VM o si può far girare anche senza?

La VPN nativa può girare anche senza, mentre per wireguard non so se c'è altro modo.

Quote:

Originariamente inviato da recluta

usando la vpn del nas non dovrei uscire con l'ip del nas? non navigherei in modo anonimo, o mi sfugge qualcosa?

Come dicevo su, il tracking su IP è il male minore: la maggiorparte delle connessioni 4G (ed ora iniziano anche quelle domestiche) sono nattate quindi identificare un user sulla base dell'indirizzo IP non è nulla di attendibile, a confronto di tutti gli altri metodi a disposizione.

Senza considerare che dal momento in cui io esco da un IP di NordVPN loro hanno il controllo sui dati che transitano sui loro sistemi (la VPN è cifrata end to end, ma dalla loro "end" verso il www il traffico deve pur uscire in chiaro), di conseguenza preferisco uscire sul mio ip di casa (che so dove transita) piuttosto che su server che non si sa bene cosa facciano.

Se poi devo proprio farmi mandare il riscatto per il ransomware che ho installato a quel cliente antipatico che non mi pagava le fatture preferisco comunque starmene fuori dai provider noti di VPN e rimbalzare su un po' di proxy + tor

[Schilo]

Quote:

Originariamente inviato da \_Davide_/

È utile a navigare in modo anonimo, dato che sai anche da dove uscirai sul www. A mio modo di vedere le cose molto più utile dei vari provider stile nord vpn che ti proteggono sì dalla connessione in cui ti trovi ma con cui non hai nessuna certezza sul trattamento dei tuoi dati.

Ma anonimo dove? da remoto verso server VPN su NAS, esci con l'IP del NAS, di casa tua. Utile invece al contrario per essere identificati univocamente con l'IP della propria utenza residenziale, per quei servizi che lo richiedono come Sky e Netflix.

Quote:

Originariamente inviato da \_Davide_/

Esci esattamente come se fossi a casa tua, ormai il tracking su IP non va più di moda.


Come dicevo su, il tracking su IP è il male minore: la maggiorparte delle connessioni 4G (ed ora iniziano anche quelle domestiche) sono nattate quindi identificare un user sulla base dell'indirizzo IP non è nulla di attendibile, a confronto di tutti gli altri metodi a disposizione.

Appunto prova a dirlo ad es. a Netflix che fa geofencing e rilevazione degli abbonamenti condivisi sulla base degli IP. Tra l'altro cannando spesso di brutto: se tu e tua moglie, pur nello stesso posto ma fuori casa, volete guardare netflix contemporaneamente su due device diversi con le vostre connessioni 4G diverse, dovete uscire con lo stesso IP di casa, altrimenti Netflix vi interrompe la visione e vi butta fuori... sperimentato di persona. Internet è pieno di info simili nell'ultimo anno. Quindi il tracking su IP continua ad essere di moda eccome.

L'uso di un CLIENT vpn verso servizi esterni (NordVPN etc.) ed eventuali anonimizzazioni è collegato, ma sostanzialmente è tutt'altro discorso, al contrario.

[Totix92]

Quote:

Originariamente inviato da Okkaido

Ciao a tutti ragazzi oggi il mio ds220+ mi ha abbandonato. Prevedendo di comprare un altro ds220+ il passaggio dati é indolore? Basta tirare dal vecchio e inserire nel nuovo giusto?


Grazie mille

L'alimentatore si accende? il led intendo.
Secondo me è lui il problema, mi sembra strano che si sia guastato il NAS.

[Okkaido]

Quote:

Originariamente inviato da Totix92

L'alimentatore si accende? il led intendo.
Secondo me è lui il problema, mi sembra strano che si sia guastato il NAS.

Ciao e grazie per la risposta... allora in effetti l'alimentatore non si accende e ci ho fatto subito caso ma il nas per fortuna é in garanzia. A questo punto credo proprio che sia davvero l'alimentatore il problema perché appunto come da te ipotizzato non si accende il led.
É sembrato strano anche a me che dopo un anno e mezzo un prodotto del genere potesse giá rovinarsi.

[recluta]

ciao, da due giorni sto ricevendo attacchi... solo questa notte ho ricevuto dal nas 14 mail: "l'indirizzo IP....ha riscontrato 2 tentativi non riusciti di accedere a DSM in esecuzione su ..in 5 minuti ed è stato bloccato".

Ho il blocco dopo 2 tentativi in 5 minuti. il firewall attivo, admin disattivato, autenticazione a due fattori attiva, quickconnect disattivato, servizio ssh disattivato, mi connetto in https. Posso star "sereno"?
E' normale essere preso di mira così? senza esagerazioni in due giorni avrò ricevuto più di 60 avvisi...