logoclanky.png, 12kB turris-logo.png, 1,7kB
SSL certifikát
NAS

 
cerni.net:
 
   Úvod 
   Funkce serveru 
   Log serveru 
   Stav serveru 
  + Nápověda 

 
Články:
 
   Synology NAS 
   Auta, navigace 
   PROJECT:TURRIS 

 
NAS menu:
 
   Webhosting 
   Fotogalerie 
   Email cerni.net 

Synology DS213j, základní nastavení

  Je mnoho způsobů jak zprovozni NAS. Buď ho zapnout, nainstalovat vše a pak zkoušet co to vůbec dělá, nebo postupně zprovozňovat funkce a nastavení. Já napíšu svůj postup a snad pro někoho to bude jednoduchý shrnutý návod na zprovoznění NAS aniž by se zbytečně nezamotal do veškerých možností, co nabízí.

  V první řadě než jsem si koupil NAS jsem přečetl pár tutoriálu a návodu k DS213j a hlavně odzkoušel Live demo běžících na jejich stránkách. Tak jsem dostal aspoň určitý pojem o systému a věděl jsem kde, jaké položky najdu. Taky je možnost si stáhnout návod na DSM 5.0 v PDF zde.

  Krok:

  1. Bezpečnost vždy na prvním místě. Pokud budete chtít přistupovat k NAS z internetu (vzdálená správa, email, webdav, SFTP, SSL atd.), první si vytvořte certifikát zabezpečení. Ten bude sloužit k šifrování https připojení k vaší doméně a tedy i k NAS. Certifikát získáte na www.startssl.com. Certifikát třídy 1 získáte zdarma. Ten ale obsahuje pouze celou adresu včetně subdomény www.neco.cz, nelze zadat neco.cz a čekat, že certifikát bude platit pro všechny subdomény. To bohužel jde, ale za to musíte zaplatit. Což je pro soukromé účely zbytečné.

startssl.jpg, 4,7kB  class1.jpg, 8,0kB

  Návodu a postupů jak přesně si nechat vygenerovat certifikát s osobním klíčem je spousty. Stačí hledat. Dávám jeden odkaz zde.

  2. Když máte NAS koupený, zapojené disky, zapojený do elektrické i počítačové sítě a puštěný je třeba si ujasnit, jak je v počítačové síti zapojen. Lepší je, když je zapojení následovné: Internet - router - NAS a další počítače ve vnitřní síti. Router, který stojí mezi vnitřní sítí a vnějším internetem je první Firewall a zeď před útoky z venčí. Je ale třeba jej správně nastavit.

  3. Nastavení routeru. Tak jako máte pevnou veřejnou IP adresu je nutné mít pro NAS nastavenou také pevnou IP adresu, ale samozřejmě vnitřní sítě, kde je zapojen. Na tuto vnitřní adresu totiž budete směřovat veškeré potřebné porty z internetu na NAS. Pokud by NAS pevnou IP adresu neměl a router by mu ji změnil, tak směrování portu by bylo na neplatnou adresu a z venčí by přestal NAS existovat. Když máte pevnou IP nastavenou, pokračujeme dále.

  4. Instalace systému na NAS. Na počítač, který je ve vnitřní síti spolu s NAS nainstalujeme program Synology Assistent. Ten se jednoduše stáhne ze stránek Synology. Po spuštění programu sám najde NAS na vnitřní síti a ukáže nám v jakém je stavu. Konečně se k němu pomocí Asistentu připojíme. Přes internetový prohlížeč se nám ukáže průvodce instalace systému. Při dotazu zda instalovat systém ze souboru nebo z internetu doporučuji instalovat z internetu. Nainstaluje se Vám ten nejaktuálnější.

synoassistant.png, 47kB

  5. Uživatel a heslo. První uživatel po instalaci DSM (Desktop Synology Manager) se objeví admin a žádá o nastavení hesla. Nastavte heslo (silné a zapište si ho) a potvrďte. Přihlásíte se tak do DSM NASka. Otevřete Ovládací panely -> uživatel -> dejte vytvořit nového. Vytvořte si uživatele s administrátorskými právy, pod kterým se budete přihlašovat a nastavovat NAS. Když máte uživatele vytvořeného, odhlaste se z DSM a přihlaste se pod nově vytvořeným uživatelem. Poté opět otevřete ovládací panely -> uživatel a dejte upravit účet admin. Zadejte deaktivovat účet okamžitě. To je základ.

admin.png, 45kB

  Proč? Účet "admin" vytvořený na počátku je totiž zároveň uživatel "root". Rozdíl mezi nimi je ten, že klasický účet administrátor může měnit uživatelské parametry, vytvářet nebo rušit uživatelé, instalovat software a další. Jen uživatel "root" má však přístup do systémové oblasti a adresářů, může měnit systémové soubory, jejich hodnoty či přímo mazat systémové soubory. Proto je dobré tento účet běžně vůbec nepoužívat a rovnou zakázat. Použití tohoto účtu je potřeba pouze v případě, že vědomě budete přistupovat do systémových oblastí systému a měnit jej například přes terminál.

  6. Disky. Pokud máte dvou a více diskové NAS je třeba řešit, jak tyto disky využijete, jestli je budete zrcadlit nebo sčítat. Já jsem je zrcadlil klasicky v Raid 0. Nepoužil jsem SHR záměrně z toho důvodu, že u dvoudiskového NAS nemá smysl a také v případě poškození desky v NAS data uložené na HDD již nikde nepřečtete. SHR je totiž vázán přímo na hardware daného NAS. Správa disku je pod aplikacemi jako "Správce uložiště".

spravcehdd.png, 59kB

  7. Import certifikátu. Když už máte vytvořený certifikát i s osobním klíčem a uložený na disku, tak je třeba ho vložit do NAS. Tak dáme Ovládací panel -> Zabezpečení -> Certifikát a dejte Importovat certifikát. Vložte osobní klíč i certifikát. Vše potvrďte. Teď můžete používat zabezpečené a šifrované stránky.

certifikat.png, 79kB

  8. Zabezpečený přístup. Teď zabezpečíme přístup do DMS. Ovládací panely -> Síť -> Nastavení DSM, zaškrtnout Povolit připojení HTTPS a hned na to zaškrtnout Automaticky přesměrovat připojení HTTP na HTTPS. Vše potvrdit. Od teď kdykoli budete chtít se připojit do DMS, tak automaticky jen přes chráněné HTTPS.

dsmhttps.png, 72kB

  9. HTTPS pro ostatní běžící aplikace. Aby nám běžely i další aplikace přes HTTPS musíme tuto funkci zapnout. Ovládací panel -> Webové služby zaškrtnout Povolit připojení HTTPS pro webové služby. Opět potvrdit a uložit.

wwwhttps.png, 79kB

10.Souborové služby nebo li způsoby jak přistupovat k souborům na NAS. Pomocí tohoto nastavení povolíte nebo zakážete jak se ke svým soborům dostanete. Pokud máte NAS na vnitřní síti s dalšímí PC, tak pro většinu bude ideální klasický přístup přes vnitřní síť a mapování síťových složek. Pro přístup jak z vnitřní sítě tak i z internetu máme na váběr varianty FTP, SFTP a WebDAV. Mějte na paměti že každý povolený přístup z internetu je otevřená brána pro bezpečnostní rizika. Používejte zabezpečené přípojení jako SFTP, nebo zabezpečené WebDAV (port: 5006).

sluzby.png, 73kB

  11. Nastavení portů v routeru a přesměrovat vše na NAS. Každý router nebo výrobce se konfiguruje jinak. Záleží jaký máte typ. Po přihlášení do vašeho routeru (směrovače) hledejte položku buď port forwarding nebo taky třeba Virtual server. Do tabulky musíte vyplnit jednak IP adresu NAS vnitřní sítě. Tu musíte vědět když jste nastavovali fixní IP při zprovoznění. Poté musíte zadat hodnoty portů které chcete přesměrovat z internetu na něj. Přesměrovávejte opravdu jen ty porty, které budete využívat. Každý zbytečně otevřený port zvyšuje bezpečnostní riziko nabourání se do vaší vnitřní sítě. Tady je jednoduchý seznam portů, které využívá Synology:
5000 - vzdálená správa DMS (nepoužívat)
5001 - vzdálená správa DMS https zabezpečená (používat)
5005 - Webdav, Caldav (nepoužívat)
5006 - Webdav, Caldav https zabezpečená (používat)
80 - Webserver (v případě provozu Webserveru)
443 - https webserver (nutnost)
25 - SMTP mail server (nepoužívat)
465 - SMTP mail server zabezpečeno SSL (pokud budete využívat mail server používat)
993 - IMAP mail server zabezpečeno SSL (pokud budete využívat mail server používat)
995 - POP (místo IMAP) mail server zabezpečeno SSL (používat)
20,21 - FTP (podle potřeby, osobně nepoužívám, využívám Webdav)
22 - SFTP šifrované FTP SSL. Dobrá náhrada za WebDAV.
To jsou ve zkratce ty nejpoužívanější porty. Je jich více a pokud budete využívat i jiné aplikace na které se přistupuje z venčí je třeba si zjistit na kterém portu běží a ten přesměrovat na NAS.

  12. Aplikace. Teď už záleží jen na Vás co chcete používat. Vysvětlím ty nejpoužívanější.
Webserver se aktivuje Ovládací panel -> Webové služby a zatrhnete Zapnout stanici Web station. V kořenovém adresáři se objeví složka web ve kterém bude uložen veškerý web. Pokud zadáte url adresu NAS, načte se index.html (php) z tohoto adresáře.
Subdomény se aktivují na tom stejném místě, jen stiskněte tlačítko Virtuální hostitel. První zadáte "Název podsložky", to je vlastně podadresář ve kterém jsou uloženy stránky subdomény. Tam bude webserver hledat index.html. Pokud ho nenajde, spustí hlavní index.html. Pak zadáte "Název hostitele" to je samotná subdoména co zadáváte do url. Tam dáte třeba "neco" to pak bude znamentat, že když zadáte "neco.vasedomena.cz" otevře se index.html z podadresáře který jste mu nastavili.
Jen pro informaci, pokud mate doménu vasedomena.cz a chcete, aby se otevíral stejný index.html po zadání jak www.vasedomena.cz tak i po zadání vasedomena.cz musíte tak v Seznamu virtuálních hostitelů vytvořit dva záznamy směřující do stejné podsložky, ale v Názvu hostitele bude jeden záznam prázdný a druhý s www.

virtualhost.png, 82kB

® cerni.net | 2015 | ver. 1.4.3