www.elektronik.si

[v.j.]

Kupil sem NAS strežnik Xtreamer e-TRAYz v malih oglasih tu na forumu. Škatlica je zanimiva zadeva, poraba z enim diskom je pod 10W, nekje dobrih 7W se giblje in to je v redu in všečno, varčno. Uporabniški vmesnik je nekam čuden ne preveč hitro odziven, ampak ni problema, saj se nastavitve ne spreminjajo pogosto, nastaviš in pustiš pri miru... Ponuja še nekaj opcij, ki me ne zanimajo in jih ne rabim.

Kaj točno rabim in želim?

Želim mrežni disk oziroma NAS strežnik, ki mi bo omogočal omejevanje dostopa oziroma dovoljenje za dostop samo za določene računalnike, ne uporabnike. Želim torej določanje pravic na podlagi računalnika oziroma IP naslova računalnika v lokalni mreži.

Da razložim bolj natančno:

Imam lokalno mrežo, v katero so doma priključeni desktop PC, prenosni PC, tablice, android telefoni. Mreža je razširjena trenutno k enemu sosedu oziroma sosedi, kjer je en desktop PC, vsaj 2 prenosna PC, 2 tablici, nekaj android telefonov. V prihodnosti imam namen razširiti mrežo še k eni sosedi, kjer bo vsakodnevno priključena ena tablica in čez vikend še vsaj en prenosni PC, še ena tablica in vsaj 2 telefona android. Kasneje bo mreža razširjena še k enemu sosedu z enim desktop PC (ta sosed je bil že priključen, vendar trenutno ni zaradi tehničnih razlogov). Povzetek je takle: Lokalna mreža je za domače računalnike, tablice in telefone, razžirjena je k 3 sosedom. Internetna linija je 120Mbit, tako da količina uporabnikov ne povzroča nobenih težav in preobremenitve linije... ampak to sploh ni bistvo vprašanja, saj je to rešeno.

Potrebujem omejitev dostopa za podatke na mrežnem disku. Želim omogočiti dostop do podatkov le nekaterim uporabnikom oziroma računalnikom. Otroci doma imajo lastne podatke na mrežnem disku, da lahko delajo na katerem koli računalniku doma, hkrati pa na teh računalniku dejansko sploh ni nobenih podatkov, saj so na mrežnem disku. Za backup poskrbim jaz, moji podatki niso na mrežnem dosku pač pa na mojem računalniku. Trenutno imam rešeno z mrežnim diskom, ki je v bistvu USB disk priključen na router. >Nastavitve so bolj revne, lahko kreiram skupine uporabnikov in dovoljenja, žal mi to ne zadošča, saj map v omrežju ne skrije ampak samo nekako onemogoči dostop brez ustrezne prijave in gesla.

Želim NAS strežnik, ki na podlagi IP naslovov določa kaj bo vidno in kaj ne, kakšne so pravice za pisanje, branje, brisanje, ... Seveda je IP filtracija po svoje slaba zaščita, ampak če drugi uporabniki nimajo pojma kako je rešeno, bi moralo zadostovat. Še najraje bi videl določanje pravic na podlagi MAC naslova, ker potem bi pa res zelo težko do podatkov dostopal nekdo, ki ni pooblaščen.

Filtracija dostopa in dodeljevanje pravic na podlagi uporabniškega imena in gesla mi nekako ne odgovarja, saj se po mreži brska še z android napravami pri katerih je ta način lahko nemogoč ali vsaj zelo neroden, možno pa je dostopati do mrežnih map oziroma map v skupni rabi, ki nimajo omejitev, oziroma so omejitve kot read-only.

Če bi filtriral dostop na podlagi IP naslova naprave, bi bilo mojim željam zadoščeno, ker bi potem nepooblaščeni imeli onemogočen vpogled in delo s podatki, oziroma teh podatkov in map sploh ne bi veideli in ne bi vedeli da sploh obstajajo. IP naslove bi za naprave rezerviral v DHCP strežniku v routerju, tako da bi domače naprave imele vedno iste IP naslove in prav ti naslovi bi bili vključeni v nastavitve s pravicami za dostop. Vsi ostali uporabniki v mreži bi imeli dostop le do public map kot read-onli, za privatne mapa pa bi bil dostop onemogočen in ne samo, to, te mape bi bile nevidne.

Dokler smo bili na mreži samo "ta domači" je bilo preprosto, vse je bilo vidno na mreži in označeno read-only, le mape nekaj uporabnikov so bile označene tudi za pisanje, to so bile mape otrok, vsak je imel svojo mapo in je notri delal kar je hotel. Tak način je lahko nevaren, lahko po nesreči brišeš, kar je možno tudi če so podatki lokalno na računalniku... no, v nekaj letih ni bilo težav. Sedaj, ko so na mreži še tuji uporabniki, se je to spremenilo, k sreči so to uporabniki ki nimajo pojma in na omrežje sploh ne znajo, ampak... to jim lahko uspe tudi zgolj slučajno in potem se težave lahko začnejo

Mogoče sem vse skupaj nerodno in nerazumljivo napisal, zato lahko, če želite, napišem še nekoliko drugače. Lahko da sem si vse skupaj zamislil čudno in narobe, zato sem odprt za predloge in enostavno rešitev.

Razmišljal sem tudi, da bi uporabil 2 routerja. En router bi bil glavni, nanj bi priključil uporabnike. Naše domače omrežje bi bilo priključeno na drugi router (level 2) in ta router bi bil z WAN portom priključen na LAN port prvega routerja, s tem bi bil onemogočen dostop v naše lokalno omrežje od zunaj, saj bi to preprečeval firewall routerja. Sosedje bi bili priključeni na prvi router, tako kot naš router št. 2. Sosedi bi tudi imeli vsak svojo dostopno točko AP za brežični dostop ..., no, to je že sedaj rešeno, vsak ima svoj AP z lastnim SSID. Vendar... s tako rešitvijo potem sosedje ne morejo dostopati do nekaterih map v skupni rabi, ki jih nameravam imeti in omogočiti dostop vsem na naši strani modema.

Dostop in pravice bi rad torej uredil na podlagi nekakšne IP tabele, brez uporabniških imen in gesel. Vsi s pravicami za dostop bi imeli vedno isti IP določen s strani rezervacije IP v DHCP, vsi ostali (oziroma vse ostale naprave) bi imele dostop le do public map v skupni rabi in seveda le kot read-only, seveda bi dodal še eno temp mapo z možnostjo pisanja, tja bi se res dajalo notri le za test in kar tako...

[gkrusi]

Ideja s filtracijo preko IP-ja bi bila manj varna kot brez, ker bi se hitro kdo zelo zanašal na to. Verjetno se vsaj del IP-jev dodeljuje tudi dinamično...

Ideja z MAC naslovom je boljša, ampak se tudi da skopirat in posledično ni primerna kot višja varnostna zaščita. Potem še je tu ranljiv prenos podatkov v danem primeru.

V omenjenem NAS-u imaš med nastavitvami možnost upravljanja z uporabniki. Samo svoj račun pustiš kot sysadmin in ustvariš gostujoče račune. Posameznemu računu lahko dodeliš določeno ime, geslo, količino prostora in nekaj drugih omejitev. Posamezni uporabnik lahko nato dostopa do svoje mape direktno preko brskalnika ali raziskovalca ali najbolje preko njihovega namenskega programa (na privzeti strani od NAS-a je nekje povezava za njegovo inštalacijo, tako da preneseš program in ga naložiš na vsak računalnik, vneseš statični IP od NAS-a, port, uporabniško ime ter geslo in se NAS vsakič samodejno pojavi v raziskovalcu, kot zunanji disk s poljubno črko). Pa ne pozabit NAS-u dodelit statičnega IP-ja.

Nekako tako bi moralo it, če me spomin ne vara.

[Highlag]

gkrusi ima prav. IP-je in mace je možno pod določenimi pogoji spremenit, sploh, če imaš dinamično dodelovanje naslovov.

Glede na to, pa da je večina softwera, ki poganja nas-e spisana na podlagi linuxa bi pa mogoče lahko omejil dostope preko firewala, če ga je na takšni napravici možno zagnat oziroma vključit / naložit.
Seveda pa to zahteva nekaj "hekanja" Poglej si tole: https://en.wikipedia.org/wiki/Iptables Za detajle pa boš moral pobrskati po internetu.

[v.j.]

Kako ranljiva je zaščita oziroma omejevanje na podlagi IP naslova ali mogoče MAC naslova, mi je povsem jasno, kar sem tudi zgoraj napisal, pojasnil sem tudi, da mi tak način zadostuje. Ker bodo na omrežju uporabniki, ki nimajo pojma, je filtracija na podlagi IP dovolj, saj ne vedo niti kaj je IP naslov in kako se dodeljuje, kako se ga spremeni in kje se ga spremeni in zakaj se ga spremeni, če je potrebno.

Ker na omrežnem disku ne bodo občutljivi podatki, je varnost manj pomembna, omejevanje želim le zato, da vsak naključni padalec ne pride do čisto vsega, kar se nahaja na disku in da tisto, kar ni označeno z read-only ne bo šel kdo po pomoti brisat. Morebitno brisanje sicer ne bi pomenilo izgubo podatkov, ker se pri meni redno dela backup, pomenilo bi kvečjemu delo, da podatke naložim nazaj in te zadeve, lahko bi kvečjemu šlo za izgubo datotek, ki še niso bile zajete v zadnji backup.

Precej podatkov, ki so dostopni v omrežju je tudi na mojem računalniku, označeno read-only s strani mreže oziroma za skupno rabo. Žal so podatki vidni celotni delovni skupini in zato na ta način ne morem deliti vseh podatkov, ki bi jih želel. Editiranje je možno le na mojem računalniku, do katerega imam dostop izključno jaz, noben drug se ga ne dotika, ker če ne bi bilo zanj zelo hudo, lahko bi rekel, da je moj računalnik nedotakljiv in se ga zato nihče ne dotika nikakor in pod nobenim pogojem, niti v moji prisotnosti ne, saj sta 1m stran 2 druga računalnika, ki sta namenjena drugim družinskim članom.

Imel sem tudi mapo v skupni rabi, na katero se je dalo tudi pisat in je bila namenjena za omrežne uporabnike, spet odprto za vse in uporabniki morajo vedeti kako in kaj in zakaj tako, znati morajo tudi delat s tem, kar domači znajo, tudi otroci, ki so v bistvu najstniki in jim to ne pomeni neko posebno znanost. Problem so tisti, ki so totalni abervezniki in nimajo pojma in slučajno pridejo tja, kamor jim ni treba, zato rabim omejitev dostopa, preprosto in učinkovito.
Zakaj imam priključene sosede? zaradi delitve stroškov kajpak in hkrati testiranja opreme in omrežja.

Kot sem že napisal zgoraj, se IP naslovi dodeljujejo dinamično ampak domačim računalnikom so IP naslovi rezervirani in so dodeljeni vedno isti naslovi, so izven DHCP območja v routerju, da so bolj prepoznavni. Običajno je v routerjih DHCP območje od 100 naprej, včasih do 50 naslovov, včasih do 100 naslovov, odvisno od privzetih nastavitev določenega routerja. Jaz večinoma nastavljam naslove od 100 naprej do 100 uporabnikov, torej so naslovi od 100 do 199 tisto zadnje, ker je maska 255.255.255.0 Stalne IP nalsove dodeljujem v območju od 10 naprej, router je 1 naprej AP imajo spet druge številke, tako da obstaja nek sistem.

Večinoma imajo naprave za brezžični dostop vklopljeno DHCP določanje naslova s strani routerja, sem spadajo vse android in podobne naprave, prenosni računalniki, ... večinoma tudi desktop PC. Za običajne uporabnike, ki nimajo pojma in jih tudi ne zanima kako kaj deluje, je to prava nastavitev in način, da jim stvari delujejo avtomatično, saj jih ne zanima kako deluje, glavno jim je, da imajo internet...

Uporabniki imajo za dostop do računalnika s torrenti oziroma do downloads mape na namizju bližnjico, ker sicer do te mape, ki je v skupni rabi, ne znajo priti. Enako velja za druge mape, ki so v skupni rabi in so namenjene za vpogled vsem, seveda so te mape read-only.

Nastavitve za eTRAYz sem videl, kreiram lahko uporabnike, imajo lahko svoje diske, programček eTRAYz connector deluje, mrežni disk je lahko viden v "moj računalnik" in preprosto dostopen preko raziskovalca, enako kot lokalni disk.

Privatni diski so dobra stvar, še vedno pa rabim mape, ki so vidne več uporabnikom. Imel sem en linksys router in na njem postavljen mrežni disk, bila je možnost nastavitve uporabnikov, skupin, žal pa zadeva ni delovala najbolje, v bistvu sem za vsakega uporabnika kreiral svojo skupino v kateri je bil član samo en uporabnik, tako je bilo omejevanje omogočeno, tudi mape so bile potem skrite, žal pa je bilo treba uporabljat gesla.

Sam želim določanje dostopa urediti na podlagi IP, brez uporabnikov in gesel.

Vem, da bi mogoče z uporabo IP tables na linuxu šlo, razmišljal sem tudi, da bi NAS postavil kar na en PC, na katerem bi tekel linux, ampak poraba energije pri PC je večja, če uporabim kakšen prenosnik bi mogoče šlo tam nekje 20W do 25W, pri desktop pa sem hitro na 40W in preko 50W tudi, zato mi je škatlica, kot je eTRAYz všečna, ker ima porabo pod 10W, no, tudi router ima majhno porabo in nekoliko večjo, če mu dodam USB disk. Nedavno sem zamenjal router, sedaj je en TP-LINK router z USB in naj bi znal delat z mrežnim diskom, še print server ima, vendar ga še nisem preizkusil.

Trenutno je malo problem čas, ki ga nimam, da bi se zelo poglobil v to, zato iščem predloge, ki bi mi omogočili hitro in enostavno rešitev.

[mato1111]

Malo si poglej tole Synology DS215j
https://www.synology.com/en-uk/products/DS215j

Ni najbolj poceni ker moraš dokupit diske posebej ampak omogoča veliko stvari, za domačo uporabo in majhno podjetje je čisto dovolj zmogljivo.

[vpeter]

Na Etrayz lahko uporabiš iptables. Sam uporabljam kar arno-iptables firewall. Je šlo namestitit z malce ročnega dela.
Lahko pa uporabiš kar direkt uporabo iptables.

[v.j.]

vpeter, če prav razumem, imaš tudi ti tale VPN strežnik etrayz?

Najprej bom poskusil nastavit userje in dovoljenja za mape, če ima to funkcijo, bom videl, ko bodo userji kreirani in ko opravim teste. Verjetno bom vsaj nekaj uspel testirati že v prihodnjih dneh, ko bo dež in ne bom mogel delat zunaj.

Menda naj bi se dalo nanj inštalirat tudi sambo in ta naj bi tudi omogočala nekaj filtracije.

[vpeter]

Imam etrayz za sekundarni backup. Sam sem že pozabil v katerem prostoru...

Samba mislim da je že nameščena po defaultu. Tudi neke vrste firwall bi verjetno že obstajal. Jaz sem namreč želel boljšo kontrolo, zato sem uporabil arno.

[v.j.]

Poglobil sem se v tisto, kar ponuja eTRAYz, kreiral uporabnike, dodelil pravice, vendar.... uporabno samo za računalnike, ne morem dostopat do mrežnega diska z android napravami, tako da je tak NAS strežnik popolnoma NEUPORABEN, žal.

Še dostop z windows računalniki je tak, da brez etrayz connectorja sploh ne prideš noter, razen do privatnega diska je mogoče priti preko "moja omrežna mesta", do public pa ne, kljub vpisanemu ID in geslu. Tudi program etrayz connector mi nekako ni všeč, želel bi dostop čisto normalno preko mojih omrežnih mest, da na računalnik ali katerokoli drugo napravo ne inštaliram nič, preprosto imam dostop in to je to, na enak način, kot če dam mapo v skupno rabo v omrežju, ta je vidna z vseh računalnikov in android naprav.