NAS/Server集中討論區

2. 唔夠，大把人掃port，睇你有咩port 係通
信唔過隻nas，又想要安全，一定要加vpn

3. 最少拎隻router 開vpn
最理想係router 同modem 之間，加一隻hardware firewall/vpn
咁係所有人都要連咗屋企個vpn，入咗你個network先access 到你d 嘢
同樣，你手機都要先連咗屋企vpn先用到nas

簡單講ddns 只係幫你ip 變做網名，唔使記得咁辛苦
你冇開port, set咗ddns 都連唔到
冇用ddns，但有開port，人哋亂掃中你ip 同port一樣會死

3.首先你要知咩係VPN先
好粗略咁講 你可以理解做:
你駁VPN Server上網~=你用VPN Server既身份上網
你之後既網絡流量都會被視為係VPN Server去做 (所以成日話VPN可以翻牆就係咁解,個VPN Server係國外 咪冇防火長城阻你上網)
咁因為你個VPN Server係屋企內網, 你駁屋企VPN上網~=你係屋企上網=你可以連接到部NAS或屋企其他任何service

既然想駁屋企VPN Service, 咁自然要放VPN service出街
假設你個VPN Server唔係部Router, 咁你咪要係router forward個VPN service port出街
咁你download VPN個app (OpenVPN同Wireguard都有mobile app), 指定<屋企IP>:<VPN個port>, 做埋authentication, 就駁到屋企VPN了
(最理想係Router/Firewall做VPN, 你如果有玩pfSense既話應該咁做)
用VPN係因為:
1. 只需要放一個port, 唔洗每個service都放一個
2. Attack surface細好多, 得VPN service可以被攻擊, 而VPN又出左名係安全 (前提係要識setup)
(Reverse proxying都做到1, 但做唔到2, 但reverse proxy係比VPN易用+唔洗encrypt, 所以係安全性同可用性既取捨)
壞處係VPN要做Encryption,燒CPU,會比直連既傳輸效果低

DDNS其實係比個易記D+基本上不變既名你去駁屋企個IP, 唔是必需
用IP其實都得, 只係1.難記 2.有機會變(香港好似唔會點變,但都係有機會,除非你比錢同ISP買Static IP)
你用DDNS既話仲要定時同DDNS provider講返自己個IP係咩 (例如用ddclient), 如果唔係你打岩link都會去錯IP, 冇用

btw可以考慮用tailscale
port都唔洗放 setup簡單
唯一要求係你要信tailscale

cpu 去到咁勁有咩用

呢度有冇玩開plex嘅巴打？(用緊ds920+)
啱啱先發現個遠端存取fail咗，顯示無法使用外部網絡存取。但用plex 手機app都仲係睇到嘅，所以一直無為意。研究完發現應該係比firewall 嘅rule block咗（我係跟漢科個教學只準香港ip access)，要加多條rule allow plex個port比所有ip入，咁plex遠端存取先會變返綠色。
我想問我開呢條firewall rule會唔會好唔安全？要比所有ip入呢個port。因為我唔開呢條rule個plex app照入到，照睇到嘢。

補充返：router已關upnp同有開plex個port

Server野玩下玩下就唔夠用了
有早知既話我會買720+/920+

自己砌部機行docker vm 咪仲好
快好多

是 但我一開始乜都唔識所以先買S牌

聽講黎緊Synology會用新方法禁止部份不能說用家.
你自己砌nas好易,其實咪又係一部電腦. 不過個OS要裝就有排你搞

有冇嘢唔SUPPORT

其實如果唔係要transcode同玩VM，一般docker野用S記plus系都應該夠晒做嘅
DS1621/1821呢水都已經用緊Ryzen
就算行VPN都無咩野
已經好過普通爛鬼WiFi router行ARM都要懶勁，OpenVPN從來上唔到1000mbps (除咗旗艦八爪魚嗰d款)

Thanks 巴打

7.0.1 之後唔好再更新就ok

砌NAS幾好玩
周圍執D二手野/淘寶 砌部性價比爆登既機出黎
幾有成就感

我理解既係DDNS 係你用一個名去代表不斷變既nas wan ip.
dynamic DNS丫嘛, 但就算係咁都應該要開port.

而我問題係, 我見網上都話DDNS 係安全過+速度快過你用 quickconnect
但為安全計又唔好做port forward. 咁唔通真係只有VPN一條路可以行?

想知平時Synology個堆手機apps係點樣login VPN?

我理解係 其實port forwarding本身冇所謂安唔安全
所謂安全程度係由你既port forward既野決定

例如你port forward QNAP個QTS出街 咁會出事 因為QTS security做得差
如果你port forward一個ssh server 但又做好best practices既話(e.g. 用D奇怪port number, 用public key encryption instead of password, block香港以外ip) 咁係十分安全
另外其實如果你個vpn server唔係部router本身 你都係要port forward個vpn service的不過vpn service係公認安全咁解

Security呢D取捨既姐 要安全就通常要犧牲可用性
我唔直接放DSM 5001 port 係因為萬一有0day 我損失會好大
但如果你冇乜所謂既 又相信Synology既話 放5001唔係唔得
平時上網小心D講野既話應該冇人會特意會搞你既

唔forward QTS出街 係唔係即係唔用QNAP 個 mycloudlink 出街?
(即係Synology 既quickconnect)

如果只用DDNS 搵返自己屋企隻nas, 應該最安全既做法

我諗上面好多討論DDNS都好似miss個重點: DDNS只係幫你將個IP mask響一個domain name背後，結局去到你LAN外你都係要用firewall防守

響無firewall情況下
DDNS + 開非典型port number + disable default admin user
已經防止到大部分風險，不過仍然處於一個好易奶野狀態；
例如scan你port，搵到係開DSM / QTS嗰個port就可以用0day exploit去爆你
而QNAP係充滿漏洞，S記相對無咁多已知

對於普通用家，你叫佢去maintain一隻firewall，甚至特登用WiFi router以外硬件去做firewall係苛求
所以好似呢個post，去到呢個位都會叫人不如中間加一層VPN一了百了
因為例如你只開一隻port，個port就係OpenVPN，而你config要用cert唔只係用password，咁基本上真係要執法機構級數先會有能力爆開你，而個firewall嗰度就唔太需要有咩要求

多謝巴打你既指教. 想問:

Q1) 你指既" 搵到係開DSM/QNAP個port", 係唔係指Synology 本身既 quickconnect / QNAP 本身既 mycloudlink 呢個功能?

Q2) 其實QNAP NAS做齊DDNS+轉port+熄admin+防火牆+熄uPNP+熄mycloudlink 應該都足夠安全吧?

Q3) 你講既: 叫人不如中間加一層VPN一了百了, 係唔係即係將NAS 指去出面既VPN server? 咁樣nas同vpn server之間既連線係加密左. 但如果係街點用手機連返屋企部nas呀? 又係用返DDNS都得?

1. No, 起碼quickconnect唔洗開port都用到
佢話放DSM個port (5001)姐係你router forward個<NAS_IP>:5001去你個<Public_IP>:<指定port number>
咁你出街係browser打<Public_IP>:<指定port number> 就駁到屋企個NAS

2. 其實單靠DDNS唔算係security, 因為DDNS只係方你出街駁返屋企，畢竟英文字易記過IP，最後點都係要port forward
我甚至會話security低左，因為除左直打IP之外而家仲可以靠DDNS去到你個NAS
重複返之前講既野，port forward既安全性係決定於你forward左咩service出去
你放QTS唔安全，係因為QNAP security做得差
放DSM [可能] 安全D， 起碼根據過往經驗佢比QTS安全先

DSM同QTS都有各自default port
你咩都唔(識)搞，照開5001的話咁個好處係你唔需要響apps或者其他setting度set過都會直去到5001，而壞處好明顯就係個hacker/木馬係一定會先試呢個default port
S記已經幾次突然有勁多用家報告俾人撞password就係咁發生 (當然QuickConnect流出都關事)
所以上面我話「開非典型port number」就只係針對呢點，假設你唔係俾人由頭scan port scan到落腳(port knocking)，你已經少咗一重風險直接俾人估中呢個port原來係用嚟做呢樣野
同一道理，port 80開http野，port 22開FTP都係死撚硬咁濟

而上面Q2咁樣問，我會覺得業餘個人用家係夠的
不過，都係嗰句，點解唔再額外加多層VPN? 咁你就大概封埋呢隻門
除非你需要用途係唔可以經VPN，例如某隻app，或者你行VPN個server唔夠快而你需要個bandwidth (如播片出去街)

Q3 「將NAS 指去出面既VPN server?」
完全唔係講緊呢樣野，唔係講緊三方VPN host去翻牆嗰隻VPN
講緊你要響LAN內有某硬件去host個VPN server
一般人應該係隻WiFi router有
而因為呢個post討論緊NAS，咁OK你可以響NAS去host，各有各好有唔好
再進一步係響一隻專做firewall嘅機度做，例如軟路由pfSense嗰種
無論點set，個point都係響你開port狀況下，呢個port只有VPN server係向外，咁樣任何人包括你都只可以用VPN連番入LAN，換言之將防守負擔交俾VPN去做
一般VPN都有嚴格加密，而且有幾種個交易方式係要求個client要拎得出一張cert，姐係唔止要有user / password，佢仲要有一個file有個好長嘅key先連到入嚟；你可以理解做一種雙重認證咁樣
非商用已經可以免費set到嘅級數嚟講我覺得咁樣已經算最安全

首先我知道vpn client 同server之間既connection 係加密, 算係安全既.
巴打照你意思, 即係係LAN內用一個裝置做VPN server (呢到當NAS A),
咁LAN內既所有device 都連上NAS A (PC, NAS B連上VPN server).

咁樣既情況之下, 係街外既裝置如果連NAS B就叫做安全了嗎?
咁如果連NAS A, NAS A本身就係VPN server, 佢就犧牲左自己, 保護下面既NAS B同PC, 自己失去左保護性. 咁樣岩嗎?

冇玩plex
鳩估係plex有個香港外server會check駁唔駁到你個plex service
但因為你block左香港以外 佢駁唔到 所以話遠端存取失敗
但你係香港 所以仲係存取到
(但應該唔會咁低能掛

可，但建議SSD set job sync去 HDD 唔需要行raid1

聽你咁講我又覺得有呢個可能性喎

最簡單咪 喺個file manager之類嘅嘢度就咁copy過去

首先，你幅圖上半係同我地個討論無關
衣家我地淨係講緊由外界連番入你隻(LAN內的)NAS個風險
(事實上你個VPN server仲響LAN內未出公海的話，佢對你堆devices只係LAN內其中一員)

而下半圖的話，你可以有幾個選擇安排個VPN server究竟響邊度行
一般人會用隻WiFi Router跟機OS嗰個，個好處係如果佢被爆咁都「只係」叫破咗入LAN呢吓，並未至於連(NAS內) files都GG，壞處係多數router個CPU都麻麻地，叫佢做routing + switching + 派WiFi都已經吃力，再叫埋佢host VPN server (加密解密)係百上加斤
而如果揀一隻NAS去行，好處係佢CPU等資源應該充裕d，壞處係佢被爆的話，你NAS內file被收皮係少咗一層障礙(甚至無障礙，視乎你NAS點set security)
「係街外既裝置如果連NAS B就叫做安全了嗎?」
你可以咁講，係安全過無set好多
「咁如果連NAS A, NAS A本身就係VPN server, 佢就犧牲左自己, 保護下面既NAS B同PC, 自己失去左保護性. 咁樣岩嗎?」
只係犧牲少少，家用唔算需要考慮
btw仲會有人用部PC去host VPN，咁CPU就當然會非常充裕，不過就輪到部PC易少少奶野同埋佢要全日著機
router / NAS / PC三者之間原則上係隻router最適合做VPN server，因為佢係作為對公海firewall都已經係第一屏障anyway，而且就算跟機OS無得俾你config好多野，個VPN server個default setting都已經幾夠做

其實都有諗過整返個NAS
買synology慢慢學
不過後尾好似聽講過security出過事，就放低咗
想問NAS security有啲咩要注意

唔放出街係最好既security
之後係vpn
再之後有排講

明白. 謝謝巴打

NAS 係咪好似icloud 咁用新手唔識呢d
係街到入唔入到雲端？

可以好似 icloud 咁用
要set 咗先可以係街入去