[Thread Ufficiale] SYNOLOGY Disk Station: New NAS Experience - News,Test,Faq,ecc.ecc.

[djdavid]

Quote:

Originariamente inviato da burghy

Non usare le porte standard. E usa solo https. Crea un ddns synology e genera il certificato lets encrypt su quello.

Si si le porte le ho cambiate.
Ok grazie dei consigli, ci provo.

[djdavid]

Quote:

Originariamente inviato da burghy

Non usare le porte standard. E usa solo https. Crea un ddns synology e genera il certificato lets encrypt su quello.

Ho fatto come hai detto.
Si effettivamente non dice più nulla riguardo la non attendibilità del certificato, tranne che da locale (ma poco importa).
Il problema è che con DS Photos, mettendo nome.synology.me: portaHTTPS non carica le foto.
Rimettendo il mioIP: portaHTTPS torna a funzionare bene caricando le foto rapidamente.

[burghy]

fallo fuori dal wifi.

Inviato dal mio SM-G991B utilizzando Tapatalk

[DIDAC]

Ciao ragazzi,
ho finalmente trovato il tempo di studiare ed "abbandonare" quickconnect e creare un collegamento esterno attraverso il DDNS.
Ho cosi:
creato il mio host name pippo.synology.me (da dsm 7 è come se gia esistesse e va solo selezionato però mi è sembrato di capire)
creato certificato let's encrypt e messo come predefitnito (ne essiteva gia uno perchè quickconnect anche ora usa un certificato uguale)
modificate le porte del DSM (gia le avevo modificate cmq)
attivato l'https (che gia avevo cmq attivato)
fatto l'inoltro porta sul router delle porte http e https modificate ed anche della 80 e della 443 (ho letto che serve per il certificato, anche se non sono sicuro)
aperta come TCP anche la 6690 che serve al client drive desktop
poi ho modificato tutte le app mobile che gia erano in https ma avevano il quickconnect "name" sostituito ora dall'host name
infine disattivato il quickconnect sul NAS.

Bene, non ci crederete ma funziona tutto

Adesso però vorrei capire come fare una cosa:
sul NAS ho condiviso nella LAN una cartella a cui accedo io come amministratore ma anche altri due utenti con meno privilegi.
Vorrei che quando mi collego dall'Italia col pc, questa cartella sia presente tra le risorse del PC o di rete.
Ho fatto una prova al volo qui, scollegando il pc e collegandolo all'hot spot del cellulare in modo da non essere sotto la stessa LAN.
Mi mancano le basi però , come faccio "connetti unità di rete?" e se si che indirizzo devo digitare? Perchè host + la porta pare non funzionare.
Probabilmente devo attivare qualche altra tipologia di connessione?

Grazie a tutti

EDIT: ho risolto, dovevo aprire sul router le porte server windows (137,138,139 e 445) usate da SMB.
Tutto ok!

Certo che di porte aperte adesso ce ne sono un po'...

[DIDAC]

Il mitico burghy mi ha dato dei consiglio, riporto qui prima che qualcuno segua i miei passi e faccia qualche disastro:
non aprire le porte SMB che nn è buona cosa!

[djdavid]

Quote:

Originariamente inviato da burghy

fallo fuori dal wifi.

Inviato dal mio SM-G991B utilizzando Tapatalk

Hai ragione!
Funziona da fuori, dalla stessa LAN (con il WiFi) non va, chissà come mai.
Grazie

[djdavid]

Quote:

Originariamente inviato da DIDAC

fatto l'inoltro porta sul router delle porte http e https modificate ed anche della 80 e della 443 (ho letto che serve per il certificato, anche se non sono sicuro

Quelle 2 porte le devi aprire quando hai un altro tipo di certificato, non da Let's Encrypt.
E solo temporaneamente quando si deve rinnovare.

[DIDAC]

Ok grazie, si ho sentito burghy, al momento ho solo aperto la porta per https (che ho modificato dalla 5001 originale) e poi quella per il client drive, ho cercato quale porta servisse aprire.
Il prossimo step durante le vacanze di natale sarà creare una vpn.
Ho solo il dubbio che sul pc del lavoro dove già ho una vpn possa fare qualche casino la seconda vpn per permettere di far comunicare il client drive, però tempo fa Davide mi aveva rassicurato che possono coesistere due vpn.
Ci proverò

[djdavid]

Io ho aperto solo le 2 porte 5000 e 5001 (ho cambiato i 2 numeri) e funzionano tutte le app compresa Drive.

Ho aperto anche una porta in più, per fare scaricare più velocemente Download Station con i torrent, la 16881.

[DIDAC]

Allora, ho fatto un po di test e scambiato un po di chiacchiere con burghy e altro ragazzo entrambi molto disponibili vedi link firma burghy
Io ho aperto solo la corrispondente 5001 perchè tutto viaggia via https.
Per drive la 6690 serve solo se hai il client desktop, almeno ieri mi pare servisse ma ho fatto cosi tante prove compreso modifiche al firewall del nas che potrei sbagliarmi, poi riprovo a chiudere la 6690 e vedo se il client drive si allinea comunque.
Ho anche aperto una porta per la VPN perchè ho provato il server VPN, funziona molto bene, a quel punto potrei chiudere tutto e lasciare aperta solo quella della VPN, ma non voglio installare openvpn sui cellulari di moglie e figlio, quindi lascio aperta anche la 5001 (che ho cambiato ma ci siamo capiti) oltre alla vpn che mi servirà per pc in italia.
La porta 80 al momento tengo la regola sul router spenta, ma la dovrò attivare per quando il certificato let's sarà scaduto, serve per riaggiornarlo, me lo sono segnato sul calendario.
Questo per quanto concerne il router e le porte.


Discorso a parte per il firewall del nas che ho iniziato a settare meglio senza lasciare tutti i possibili IP.
Ho duplicato alcune regole ed inserito ip locali per far funzionare le app mobile quando sono sotto wifi oppure ip regionali per far funzionare le app quando sono da remoto (ho scelto solo ip italiani e spagnoli). Duplicato le regole perchè non è possibile contemporaneamente settare una regola con ip locali + ip regionali.

Al momento funziona tutto molto bene, anche le prove fatte sul firewall, appena disattivo una regola alcune cose non funzionano piu, cioè mi sembra tutto perfettamente in linea alle regole ora, sono abbastanza soddisfatto


EDIT: provato ora a chiudere sul router la porta 6690 TCP e il client desktop di drive non si allinea piu, confermato

[djdavid]

Quote:

Originariamente inviato da DIDAC

Io ho aperto solo la corrispondente 5001 perchè tutto viaggia via https.

Fatto anche io, prima avevo aperto anche la HTTP, effettivamente non serve.

Quote:

Originariamente inviato da DIDAC

Ho anche aperto una porta per la VPN perchè ho provato il server VPN, funziona molto bene, a quel punto potrei chiudere tutto e lasciare aperta solo quella della VPN, ma non voglio installare openvpn sui cellulari

E' la ragione per cui anche io non utilizzo la VPN.

Quote:

Originariamente inviato da DIDAC

La porta 80 al momento tengo la regola sul router spenta, ma la dovrò attivare per quando il certificato let's sarà scaduto, serve per riaggiornarlo, me lo sono segnato sul calendario.

Ah quindi al rinnovo bisogna aprirla anche con LET'S. Bene, me lo segno anche io

Quote:

Originariamente inviato da DIDAC

Discorso a parte per il firewall del nas che ho iniziato a settare meglio senza lasciare tutti i possibili IP.
Ho duplicato alcune regole ed inserito ip locali per far funzionare le app mobile quando sono sotto wifi oppure ip regionali per far funzionare le app quando sono da remoto (ho scelto solo ip italiani e spagnoli). Duplicato le regole perchè non è possibile contemporaneamente settare una regola con ip locali + ip regionali.

Il discorso Firewall non l'ho ancora affrontato, ma ci guarderò.
Quindi serve solo a schermare possibili attacchi.



Io ho fatto delle prove dalla LAN, da desktop, accedendo al NAS da browser, in porta https e mi da che il sito non è sicuro.
Questo perché il certificato è stato creato per il DDNS quindi è una cosa normale.
C'è un modo per creare un certificato per una rete locale e non avere il fastidio della dicitura "non sicuro" del browser ma non importa, sono nella mia LAN, non c'è nulla di pericoloso.

Se invece apro il NAS digitando l'indirizzo DDNS, funziona e dice che il certificato è giustamente valido.
Però è lentissimo, e non capisco perché.
Come diceva Burghy, ho provato collegandomi in HOTSPOT al telefono, e magicamente torna ad essere veloce.

Ho fatto ancora una prova, sempre dalla LAN, ad aprire direttamente l'IP senza usare il DDNS, mi da sito non sicuro ma torna ad essere veloce.

Quindi, per curiosità, (da LAN) perché se digito il DDNS rallenta tutto e invece con l'IP fisso pubblico fila liscio?


EDIT: siccome stiamo parlando di come mettere al meglio in sicurezza il NAS, aggiungo che è molto importante l'autenticazione a 2 fattori per l'account primario (la devo ancora abilitare).11
Inoltre dicono di disattivare l'account ADMIN che di default è già disattivato, ma anche il primo account creato ha i privilegi di ADMIN, perché con questo account posso modificare qualsiasi impostazione. Quindi questo punto non mi è chiaro.

[djdavid]

Aggiungo, per chi fosse interessato, ho comprato 2 ventole NOCTUA NF-A9 FLX, per migliorare il flusso d'aria e ridurre il rumore (arrivano a breve).
Attualmente (se non girano gli HDD) si sente un fruscio.
Comunque ho monitorato le temperature, non si va oltre 26° per i 4 HDD (WD RED PLUS da 2TB) a massimo carico e la CPU intorno ai 60°, stanza a 20° circa.

DS920+.

[LentapoLenta]

Per Natale upgraderó il NAS passando da un 211j ad un 720+.
Posso semplicemente togliere i dischi dal vecchio e metterli nel nuovo e penserà il DSM ha sistemare il tutto? O ci vorrà una nuova installazione?

[supertopix]

Quote:

Originariamente inviato da LentapoLenta

Per Natale upgraderó il NAS passando da un 211j ad un 720+.
Posso semplicemente togliere i dischi dal vecchio e metterli nel nuovo e penserà il DSM ha sistemare il tutto? O ci vorrà una nuova installazione?

https://kb.synology.com/it-it/DSM/tu..._5_0_and_later

[LentapoLenta]

Quote:

Originariamente inviato da supertopix

https://kb.synology.com/it-it/DSM/tu..._5_0_and_later

Ottimo, grazie!

[Totix92]

Quote:

Originariamente inviato da teo180

Non credo, che io sappia non esiste un qualcosa che simili un server HomeKit.

Per quanto ne so Home Assistant lo può fare, rileva dispositivi Homekit e si possono aggiungere.

[DIDAC]

@djdavid
Questa cosa della lentezza non l'ho notata ma domani ci guardo.
Io però non ho ip statico pubblico

[DIDAC]

Ho provato ora dal Cell sotto wifi.
Con ip mi dà non sicuro, con hostname invece connessione sicura. In entrambi i casi lo trovo molto veloce l'accesso al dsm

[djdavid]

Quote:

Originariamente inviato da DIDAC

Ho provato ora dal Cell sotto wifi.
Con ip mi dà non sicuro, con hostname invece connessione sicura. In entrambi i casi lo trovo molto veloce l'accesso al dsm

Non so come mai faccia così.
Io noto differenza di velocità soprattutto con l'app Photos.
Però non è un problema, ho impostato direttamente l'IP pubblico per ogni app quindi da lan o fuori va alla stessa velocità.
L'hostname lo usa chi si collega per usare lo spazio come Cloud per le foto, connettendosi sempre da fuori.

[DIDAC]

Si è strano, ma non sarà un discorso di firewall?
Io nella app photos (e in tutte le app android) ho messo l'hostname necessariamente, perché se metto l'IP interno, quando sono fuori dalla lan non accedo ovviamente.
Ho poi creato come ti dicevo due regole sul firewall per la porta https, una con indirizzi ip locali che lavora per prima e poi una con origine ip per nazione che lavora per seconda. All'inizio non avevo creato la prima regola e sotto wifi non funzionava, perché l'accesso avveniva per ip interno trovandomi nella lan e non c'era la regola.
Però non andava proprio e non è che era lento.
Ma tu avendo un ip statico il ddns potresti anche non usarlo giusto? Quindi va bene cosi