Synology DS218 startup e impostazioni

[Wayne23]

Salve,
in un'altra discussione ho chiesto suggerimenti per scegliere un modello di NAS. Alla fine ho preso il synology 218.
Dal momento che è la mia prima esperienza con un NAS, vorrei capire dal punto di vista della sicurezza cosa devo fare. Per ora ho seguito le istruzioni sulla pagina di supporto Synology e ho creato un certificato SSL sicuro tramite synology. Questo certificato però è stato creato con il mio indirizzo IP esterno, quindi vorrei capire cosa succede se decidessi di accedere al mio NAS da fuori casa quindi al di fuori dell'indirizzo fornito dal mio ISP. Inoltre proprio su questo argomento vorrei capire come fare per accedere al nas attraverso internet. Ho bisogno di comprare un dominio DNS?

EDIT: l'obiettivo è accedere ai file su questo nas tramite il file manager del telefono che supporta protocolli FTP SMB WebDAV e simili, senza dover passare per applicazioni proprietarie.

 

[r3dl4nce]

No, registrati con l'apposito servizio synology quick connect e sei a posto
www.quickconnect.to

 

[Wayne23]

Sì ho già impostato la connessione con QuickConnect, ma se non volessi ricorrere alle credenziali dell'account Synology? Diciamo che vorrei capire come funziona senza dipendere da Synology.

 

[Reeaver]

C'è EZ-Internet: https://www.synology.com/it-it/know...ake_Synology_NAS_accessible_over_the_Internet

 

[Wayne23]

Ho seguito il wizard di EZ Internet. Tutto ok ma quando provo ad andare all'indirizzo del mio NAS dal telefono con LTE mi dà ERR_CONNECTION_REFUSED. Devo impostare una regola di firewall?

Il punto è che vorrei accedere ai file su questo nas tramite il file manager del telefono che supporta protocolli FTP SMB WebDAV e simili, senza dover passare per applicazioni proprietarie.

 

[Reeaver]

Devi impostare una porta che è libera sul router.



Inoltre, più che con l'IP, conviene impostare un DDNS e usare quello (scheda DDNS della stessa sezione)

A me funziona accedere da telefono usando i dati.

 

[Wayne23]

Sul router ho impostato la porta 5001 come hai fatto tu, ma non capisco perché tu ti trovi una porta locale diversa da quella del router. Poi per usare il file manager dello smartphone dovrei mettere come nome host il DDNS? E come protocollo cosa scelgo? FTP, SFTP o WebDav? Non ci capisco niente... Grazie per l'aiuto comunque :(
Ah inoltre è sicuro tenere aperta la porta 80 costantemente? Mi avevano suggerito di fare in modo che qualsiasi richiesta alla porta 80 fosse ridirezionata alla 443

 

[Reeaver]

Sul router ho impostato la porta 5001 come hai fatto tu, ma non capisco perché tu ti trovi una porta locale diversa da quella del router. Poi per usare il file manager dello smartphone dovrei mettere come nome host il DDNS? E come protocollo cosa scelgo? FTP, SFTP o WebDav? Non ci capisco niente... Grazie per l'aiuto comunque :(
Ah inoltre è sicuro tenere aperta la porta 80 costantemente? Mi avevano suggerito di fare in modo che qualsiasi richiesta alla porta 80 fosse ridirezionata alla 443

Guarda attentamente, sopratutto la parte sul DDNS:

Anche io all'inizio ho fatto fatica ma ora sono più o meno capace di giocarci. Con i file manager del telefono dovresti accedere facilemente facendogli fare la ricerca automatica. Prova e dicci che errori ti vengono fuori; così, dando istruzioni, mi viene difficile anche a me in quanto non so ancora tutto/bene sulla DSM.

Non saprei come guidarti nella configurazione del router...

 

[Wayne23]

Ok ti ringrazio. Darò un'occhiata al video. Col file manager del telefono inserendo il nome host sulla LAN lo trovo e riesco ad accedervi. Vorrei fare lo stesso anche da fuori casa senza ricorrere al QuickConnect o altre app proprietarie. Sto usando Solid Explorer su Android, versione PRO non so se hai mai avuto modo di provarlo.
Comunque guardo il video e ti faccio sapere. Grazie ancora!

 

[r3dl4nce]

Perché non ti piacciono l'app e il quick connect? Mah
Detto, ciò, se vuoi fare manualmente quello che app e quickconnect fanno in automatico, devi impostare una vpn sul synology, aprire le porte necessarie sul router, configurare la vpn sullo smartphone e a quel punto puoi accedere ai dati del nas.
Aprire direttamente ftp o http senza algoritmi di security vorrebbe dire far passare i tuoi dati in chiaro tramite internet, te lo sconsiglio

 

[Wayne23]

Avevo pensato ad un protocollo WebDAV su https con un certificato SSL firmato da qualche provider in realtà. Va bene anche usare quickconnect ma quell'indirizzo creato da quickconnect lo vorrei impostare sul file manager che preferisco io. Se si può fare mi va benissimo!
Inoltre pensavo: ma l'accesso al NAS è protetto da un'autenticazione. Quindi oltre al protocollo in HTTPS che dovrebbe proteggermi da attacchi MITM, ci sarebbero anche le credenziali per chi volesse accedere dall'esterno. Ho impostato un kick degli indirizzi IP che tentano di accedere con attacchi bruteforce o che falliscono l'autenticazione più di 10 volte in un minuto.

Allora sono riuscito a collegarmi con protocollo WebDAV aprendo la porta 5006 sul router. Ora nonostante tutte le precauzioni del caso, se volessi creare una connessione VPN diretta tra smartphone e router, dovrei poi una volta abilitata la connessione, inserire l'IP che il NAS ha sulla rete locale e non più il DDNS. Nella VPN invece andrò ad inserire il DDNS del router. C'è cmq bisogno di aprire una porta che è quella della VPN, però così sarebbe pur sempre meglio che aprire più porte per tutti i servizi del NAS (mettiamo il caso che oltre al file sharing un domani vorre anche usare il NAS come media server e quindi una sorta di Netflix personale).

Solo che mi domandavo: se imposto una VPN sul mio Fritzbox poi gli indirizzi della rete locale devono essere diversi da quelli della VPN? Nella guida di AVM c'è una parte che non ho capito molto bene

Spoiler

Adattare la rete IP del FRITZ!Box
Entrambi gli estremi di una connessione VPN devono utilizzare indirizzi IP di diverse reti IP. Se il proprio computer è connesso a un router (ad esempio, un altro FRITZ!Box) che utilizza la stessa rete IP del proprio FRITZ!Box, non è possibile alcuna comunicazione VPN.

Nota:Tutti i FRITZ!Box utilizzano alle impostazioni di fabbrica la rete IP 192.168.178.0.

Configurare nel proprio FRITZ!Box un indirizzo IP che sia diverso dagli indirizzi IP dei router utilizzati per collegarsi al FRITZ!Box, ad esempio 192.168.10.1 (maschera di sottorete 255.255.255.0):

1. Cliccare nell'interfaccia utente del FRITZ!Box su "Rete domestica".
2. Cliccare nel menu "Rete domestica" su "Rete" oppure su "Schema rete".
3. Cliccare sulla scheda di registro "Impostazioni di rete".
4. Cliccare sul pulsante "Indirizzi IPv4". Se il pulsante non viene visualizzato, attivare innanzitutto la modalità avanzata.
5. Inserire l'indirizzo IP e la maschera di sottorete desiderati.
6. Cliccare su "OK" per salvare le impostazioni e, se richiesto, confermare che la procedura possa essere eseguita sul FRITZ!Box.

UPDATE: sono riuscito a settare una VPN tra il mio Smartphone e il modem di casa. Ora se mi connetto con la 4G risulta l'IP fornito dal mio ISP, quindi come se mi connettessi da casa. Tuttavia nel file manager Solid Explorer ora dovrei trovare il mio NAS come se fossi sulla LAN, ma così non è. Se invece provo ad accedervi via Chrome, come se fossi appunto sulla LAN, ci riesco.
Ah sapreste dirmi come si fa a reindirizzare le porte? Se a me serve una specifica porta ad esempio 5006 come faccio a reindirizzarla in modo che sia un'altra più sicura e magari non utilizzata da altri servizi? Il mio router ha un range di porte che vanno da 1 a 99999? Non ho mai capito questa cosa delle porte. Su cosa si basa la loro scelta?

 

[r3dl4nce]

Le porte TCP / UDP generalmente sono da specifiche RFC utilizzate per servizi / programmi appositi appunto per convenzione, ma nulla ti vieta di usare porte a tua scelta, anche se security through obscurity serve a poco. Se hai impostato una vpn in maniera sicura (non con password ma con certificato chiave pubblica / privata) sei a posto.
Non conosco Solid Explorer, io uso Total Commander con il suo LAN plugin per connettermi agli share SMB

 

[Wayne23]

Sì la VPN è stata impostata con una chiave privata generata dal mio modem/router. Tuttavia come dicevo sembrerebbe che Solid Explorer se connesso via 4G con questa VPN non trova in LAN il NAS (ovviamente in WiFi senza VPN lo trova), mentre se connesso a questa VPN accedo tramite Chrome inserendo il suo indirizzo locale, mi apre l'interfaccia del NAS. Ma dell'interfaccia via mobile me ne faccio poco. Da lì non si può accedere alle cartelle. Total Commander lo conosco ma non mi piace lo stile grafico che non è aggiornato allo standard UI attuale di Android e inoltre non mi piace il concetto dei plugin per cose che dovrebbero essere invece integrate nell'app principale. Spero di venirne a capo...

Scusate ma a cosa servirebbe invece impostare una connessione con un provider tipo NordVPN sul NAS? Non posso usare le mie credenziali NordVPN giusto?

Allora lo scrivo per i posteri: per fare quello che volevo fare io, ossia connettersi al NAS da fuori casa in modo sicuro, vi serve un DynamicDNS che Synology offre gratis, un certificato SSL che Let's crypt tramite Synology offre sempre gratis e una connessione VPN col NAS. Solo che nel pannello di controllo non c'è la possibilità di crearla. Bisogna scaricare un'app dal centro pacchetti chiamata VPN Server e impostare una connessione con OpenVPN. Dopo aver applicato le impostazioni vi scaricate il certificato univoco e la configurazione, leggete il file README, poi trasferite il file config e il certificato nei dispositivi che intendete connettere e quando settate via client la connessione cercate il file config e il certificato. Tutto qua. Quando vi connetterete con la LTE o una WiFi da fuori casa, è come se foste nella vostra rete locale. Questo non è un metodo per ottenere più privacy perché tutto ciò che fate rimanderà al vostro IP fornito dal vostro IPS, però è un metodo per ottenere più sicurezza. In pratica se siete su una WiFi pubblica, vi instrada il traffico in maniera criptata sulla vostra rete, elabora lì le richieste e poi tornano sul vostro telefono o laptop. Stessa cosa per ottenere una connessione sicura con un NAS. Dopo un pomeriggio intero ce l'ho fatta!
Tutto ciò implica comunque aprire una porta sul vostro router/modem. Sempre meglio che aprirne diverse per tutti i servizi oppure reinstradare le porte.

 

[r3dl4nce]

Hai fatto tutto perfettamente

 

[Wayne23]

Anche se non ho capito come mai il certificato rilasciato da Let's crypt non può estere installato tra le CA di Firefox o Chrome, quindi quando accedo la prima volta al mio NAS tramite indirizzo locale, sebbene sia https dice che non è sicura la connessione. Forse perché non è riconosciuto Let's crypt tra le authorities?