如何加強 Synology (NAS) 的保安(一)

1. 使

NAS,

Synology 來 NAS,

使 Synology 的 NAS, 使 NAS,

NAS 在

2. 多 使

1. 首 便 使 使 Synology 本 使 使

3. 減 使

2. 設 便 使 使 使 使 FTP 使

4. 關 使

3. 再 使 使 NAS 了

4. 然 使 brute force attack) Synology 本

5. 使 HTTP) FTP 等 使 HTTPS、 FTPS 等 Synology 是 使 使 使 便

5. 使

6. 在 使 Port) 使 NAS。 NAS 啟 使 NAS 就

6. 使

7. 使 Allow) Deny) 便 NAS 了 reset factory default)

6 的 IP 位 FTP 連 FTP 伺 LAN) 使

7. VPN Server

8. 使 Virtual Private Network, VPN) VPN 的 VPN, 使 VPN 來 VPN 本 http、 ftp) 使 VPN 之

NAS 

NAS 本
1. 服 使 FTP、 WebDAV、 Audio Station( Web Staion( phpMyAdmin 套 WordPress 套
2. 使 admin( WordPress 網
3. 路 port forwarding) 21( FTP) 80( HTTP) 5000( 5005( DS file, for iphone) 55536-55663( FTP passive)
4. 防
5. 固 IP 地 192.168.2.3 / 255.255.255.0;
6. 自

使

使 VPN, Port forwarding。 使 WordPress 網 使 VPN 連


1. 服 使 FTP、 WebDAV、 Audio Station( Web Staion( phpMyAdmin 套 WordPress 套 VPN Server 套
2. 使 admin( VPN_User1( VPN 登 使 WordPress 網
3. 路 port forwarding) 80( HTTP) 1723( PPTP VPN)
4. 防 deny all) HTTP Port 80 從 IP、 PPTP VPN Port 1723 從 IP、 192.168.2.1 / 255.255.255.0、 10.0.0.0 / 255.255.255.0 (更 : 10.0.0.1/255.255.255.0);
5. 固 IP 地 192.168.2.3 / 255.255.255.0;
6. VPN Server 設 PPTP, Server IP Address: 10.0.0.0;
7. 自 5 分 5 次 IP 地

VPN Server 套 使 VPN。 VPN 方 PPTP 多 OPEN VPN, 使 Windows、 Mac OS、 iOS、 Android都 PPTP 客

使 VPN_User1, PPTP VPN 一 VPN Server 內 Admin 登 VPN 的 Admin 的 便 VPN, VPN_User1 的 使 VPN,

使 VPN 登 使

使 VPN 連 Port forwarding 也 使 Port 80, PPTP VPN 使 Port 1723。

使 VPN 登 使 便 VPN 專 IP 地 10.0.0.x。 IP 連 Port 80 的 Port 1723 的 PPTP VPN 服 IP 地 192.168.2.x, VPN 登 10.0.0.x, 使

Port forwarding,

使 使 VPN 接 NAS。 IP 地 10.0.0.x ( 10.0.0.1) IP 地 10.0.0.0。 http://10.0.0.0:5000/。 iPhone 使 DS file 也 VPN 接 DS file 的 10.0.0.0。

VPN 登

NAS 的 phpMyAdmin 和 WordPress。 使 Port 80) 80 。

Synology DSM3.2 – 1922 或 VPN Server 套 version 1.0 – 1922 或
DS109j 或 VPN Server 套
ctleung
I.T. Consultant
……
This entry was posted in Computer & Network and tagged , , , , , , . Bookmark the permalink.

14 Responses to 如何加強 Synology (NAS) 的保安(一)

  1. boris says:

    你好, 最近我都試緊SET NAS FIREWALL, 都想係出面CONNECT左NAS個VPN 先可以ACCESS 到個DSM.

    FIREWALL 個ALLOW IP應該點SET呢?
    我試過用SUBNET (10.0.0.0/255.255.255.0), 佢就話10.0.0.0 invalid
    用SINGLE HOST (10.0.0.1), 連到VPN之後, 都係ACCESS.

    你有無相類近0既經驗呢?

    請指教, 謝謝

  2. C.T. Leung says:

    用 VPN Server 裡面設定好的 Server IP 來連接。例如你的 VPN Server 是 10.0.0.0,用 client 連接上之後,那就用瀏覽器打開 http://10.0.0.0:5000/ 來連 DSM。

    至於通過 VPN 來上 internet ,就是更高階的設定,你能夠連上 DSM 後再說吧。

    • boris says:

      我本身係大陸用開NAS個VPN上FB

      咁係早幾日戚起條根, 想加返大個安全性啫, 想要連VPN先可以ACCESS到DSM/FTP ETC.

      問題就係到喇, 我只係允許外部IP連到VPN/BT/EMULE/80 0既PORT, 我就試下連唔連到VPN啦, 連到, 不過ACCESS 唔到INTERNET.

      就係咁囉…

  3. Syman2007 says:

    如果Synology 的IP不是固定,那防火牆不能鎖定只開放 196.168.2.x ,要再想方案看看…

    • C.T. Leung says:

      先生惜字如金,惹人敬重。一般來說不用固定 IP,多數是由 DHCP server 派 IP 的吧 (雖則大部分 DHCP server 也是可以派固定 IP 的,是謂 mac address binding)。但總的來說,派 IP 也是會有一個範圍的吧 ( class a / b / c 的 subnet )。

      按說是 class c subnet 的話,防火牆打開 192.168.2.x ( 192.168.2.0 / 255.255.255.0 ) 就沒錯了。但就算你是用 class b 的 subnet,防火牆也一樣可以設定為 192.168.x.x 的吧 ( 就是 192.168.0.0 / 255.255.0.0 ) 。

      所以我估計你不單純是浮動 IP 的問題吧 ??

  4. stanley lau says:

    你好,閣下這文章很實用,本人依設定後,現可用外部手機、電腦經 VPN 進入家中存取 NAS 的檔案,尚有以下問題未能解决,請指教。
    1. VPN 遠端進入 NAS 後,能否在 Synology 內使用 file station 存取遠端內網中其它電腦的共用檔案呢?又可否使用檔案總管內的(連線網絡磁碟機)見到遠端其它電腦的共用檔案呢?
    2. 公司電腦不能經 VPN 進入 NAS 內,會否被公司網絡中的防火牆封了 VPN 遠端連結功能呢?若能封鎖 VPN,所謂的”翻牆”作用又是否沒意思?
    3. VPN 的功能附加在 NAS 中,使用後可免除大量路由器 port 位設定(只開 80 和 1732 PPTP 服務),其實是否可說成進入某一網絡的另一個有雙重身份認證的後門呢?

    多謝指導

    • C.T. Leung says:

      對不起,我實在很混亂,可能酒精綜合症候群…… 一般來說,我們會以自身個體作為觀點,去說所謂的本地(local)和遠端(remote)。但你上面說的「遠端內網」、「遠端其它電腦」等等,我也分別不出究竟是 synology 那邊的,還是 VPN client 那邊的….

      為免我自己也走進無限循環的彎曲空間,我姑且把它們叫做 server side 和 client side 吧,server side 就是 synology 以及它那邊的 subnet,client side 就算是 VPN client 那邊好了。

      問題一,按我的理解是想由 server (synology)存取到 client side 的電腦吧?一般來說這很有保安方面的問題,例如我由自家公司 VPN 去貴公司處理一點事情,但我連線好 VPN 之後就你就能看得到我整個公司的電腦,這聽起來就令人不安了,對不?所以,按照 default 設定,一般都是不可以的。

      但 default 不可以不等於完全不可能,其實你要的是 site-to-site 的 VPN connection,PPTP 是做不到的,但 open VPN 可以。由電腦到電腦的 open VPN 就可以做到 site-to-site VPN 的效果,但在 synology 上面的 open VPN,筆者當時玩了幾個月還是不成功。

      所以,問題一的簡單答案是,由 client side 去存取 server side 的所有電腦,當然是可以的。但由 server side 去存取 client side 的其他電腦,答案是不可以。

      問題二,任何的網絡通訊,都是可以被封鎖的,封鎖的方法有大大小小數百種,針對不同的通訊有不同的封鎖方法。所謂的「翻牆」,其實和 VPN 沒有必然的關係,很多人都覺得用 proxy 就是算是「翻牆」了。「翻牆」絕對不是只有一種解釋和作法。VPN 本身也有很多種,防火牆封了一種 VPN,不等於它封了所有的 VPN。又或者說,如果防火牆封了一個 PPTP VPN 的 default port,你只要改用別的 port 就可以了,你說這個封 port 的行為是封 VPN 麼?可以說是的,但它完全封了所有 VPN 麼?又不是。所謂的「翻牆」,就只是找出還沒有封鎖的方法來連線而已,這絕對是八仙過海,各顯神通的。不過,今日可行的方法,也並不保證永遠可行。所以,不管有 VPN 也好,沒 VPN 也好,牆,永遠會有人在翻。我們自己只要隨時準備好不同的知識來應付不同的挑戰就可以了。

      問題三,這要看你把「後門」看成是什麼。如果你是住 house 的,地理上你會有「前門」和「後門」,但這純粹是地理上的劃分,跟樓上樓下是一樣的意思,如果你的「後門」是「另一扇門」的意思,我沒意見。但如果你「後門」的意思是系統性的保安漏洞,我便不能認同了。VPN 是工具(其實也有很多種 VPN,不是種種 VPN 都是好的,但如果我們把 VPN 當成一個概念),是用來方便遠端存取的,它是被超廣泛使用、幫無數公司省了無數金錢、幫無數 IT 人節省了無數寶貴時間、光明正大的無上工具、無等等工具。但對於電腦人,其實,VPN 就只是 VPN 而已。

  5. stanley lau says:

    先多謝閣下很快的回覆,另外很抱歉字眼上不清悉而帶了你”遊花園”
    補充:
    1. VPN client 遠端進入設有 VPN server 的 Synology NAS 後,admin 登入 synology (http://10.0.0.0:5000/),在 file station 套件中怎樣存取遠端 (與 NAS 同一網域) 其它電腦 A 的共用檔案?又怎樣使用 VPN client 的 window 檔案總管連結 VPN server 網域電腦 A 呢?
    2. 問題明白
    3. 後門是指另一個有雙重登入認證更高保障的通道。
    謝謝

    • C.T. Leung says:

      Okay, 其實只要用 IP 連線就都可以了。假設你的 synology 是 192.168.1.10, computer A 是 192.168.1.50 吧。

      1a. 如果你已經能用 admin 登入 synology (不管是不是經過 VPN),你肯定已經可以使用 file station 裡面的 mount remote folder 功能。用它就可以了(照 mount \\192.168.1.50\share\ , 但當然你自己先要有 \\192.168.1.50\share 的存取權限)。

      1b. 至於 Windows,預設也是沒問題的。在檔案總管照連 \\192.168.1.50\share 就可以了。因為按 windows 的預設值,VPN 連線之後,所有 traffic 都是先走 VPN 的 (預設有打勾的選項:Use default gateway on remote network)。

      所謂的 Use default gateway on remote network,其實就是在 windows pc 的 routing table 加了一條 static route,把所有 traffic 都經過 VPN 再傳送到 VPN server,再由 VPN server 傳出去 internet (很明顯的,這就是翻牆了。)。

      例如本來在 vpn client,傳去 192.168.1.50 的 packet 是會送去 default gateway 的(一般就是你的 router),再由 default gateway 去轉送,但正常的話,該 packet 就會不了了之,因為你的 router 的 routing table 沒有 192.168.1.50 的記錄。但現在連好 VPN 之後,那個 packet 就不會再傳到你的 router,而是會傳到 synology,由於 synology 跟 192.168.1.50 是相同的 subnet,所以就自然會把 packet 傳給電腦 A 了。

      相對於 windows 的 Use default gateway on remote network,iOS 的同等設定叫做「傳送所有流量」(<–每一次我也要說流量)。

      Android OS 和 mac OS 的內建 pptp client 都沒有同等的設定。android 就必然會把所有 traffic 經由 vpn 傳送。mac OS 就相反,要你自己手動在 routing table 加一條 route 才行。

      但當然,「傳送所有流量」也不是完全沒有問題的。最簡單的例如 smtp server,如果你家裡是用 HKBN 的 smtp,又或者手機是用 3HK 的 smtp,如果你 VPN 連到了別的網絡供應商的網絡,那 HKBN / 3HK 的 smtp 就會拒絕你的連線了。

      先花一點點時間去了解一下 routing table 吧。這對你了解 VPN 如何運作,又或者如何設定好 VPN server,又或者如何解決使用 VPN 時遇到的問題會有很大幫助的。

  6. stanley lau says:

    多謝詳細的回覆
    1a. 終於發覺因權限設定問題而導致不能連結。
    1b. 情況一: VPN Client 預設是(打鈎)設定 “use default gateway on remote network “,若遠端 VPN Server 的 subnet 內找不到指定 192.168.0.xx 的 IP,系統會否再向 VPN Client 這邊的 subnet 內找尋 192.168.0.xx ?
    情況二:VPN Client 內 “use default gateway on remote network” 不打鈎
    a. 系統是否先在 VPN Client subnet 內找 IP,若找不到,再在 VPN Server subnet 內找尋呢?
    b. VPN Client 可看見網絡中有 1.VPN 連線 和 2.基本連線,可否自行選用 1. 或 2. 作上網,在 Windows PC 中又怎樣得知上網中正選用 1. 或 2. 路徑呢?
    c. 遠端 VPN Server 和近端 VPN Client 的 subnet 內都有一組相同 IP 的設備,系統怎樣回報或選取呢?
    謝謝

    • C.T. Leung says:

      1b. 肯定不會。

      情況二

      a. 絕對不會。

      b. 當然可以自定。簡單的,上面說的打不打勾就已經是了。進階的,整個 routing table 你都可以自由設定啊 (還記得麼? 我之前就說過,打不打勾其實也就只是更改了 pc 的 routing table),快快去 command line 執行 route print 吧。

      c. 假設兩邊的 LAN 真的是一樣的 subnet,例如兩邊都是 192.168.1.0 / 255.255.255.0 ,如果按 default setting,那毫無疑問,你只會連得到本地的設備。但千萬注意,這並不影響 VPN 本身的運作,因為當你的 VPN 連好線之後,VPN client 和 server 是有各自的 VPN IP 的 (都是你自己在 VPN server 設定的),在 synology 上面的預設值就會是 10.0.0.0 / 255.255.255.0,首先我們是用 10.0.0.1 (vpn client)和 10.0.0.0(vpn server)溝通的,而不是用 192.168.1.x 的 IP 地址溝通的。

      你問的都是 routing table 最入門的問題,如同的上次的建議,上網找點相關的文章看看吧,對你絕對有益。

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>