Pomoc Multi LAN Qnap - z wyjściem na świat i lokalnie w różnych podsiecia

[Qmpel7]

Cześć!

Z góry dziękuję za wszelką pomoc i odpowiedzi na mój problem. Przejdę od razu do rzeczy. Mam taką oto sytuację:

Sprzęt sieciowy

• modemo-router od dostawcy internetowego (brak możliwości konfigurowania opcji sieciowych bezpośrednio na nim)
• switch (TP-Link bodajże ale to nie powinno mieć znaczenia)
• router własny (ASUS ale to również nie powinno mieć znaczenia)

Klienci

• Qnap NAS - nie wybrałem modelu bo nie wiem do końca, który się nadaje. Liczę na Wasze wsparcie w tej kwestii (prawdopodobnie jakiś z min 2x LAN?)
• komputery stacjonarne (około 10)
• drukarki sieciowe (2 sztuki)

Problem: Jak połączyć to wszystko by:

• Qnap NAS był dostępny z zewnątrz (z internetu). Publiczne IP może być nadane na 1 adres MAC.
• Qnap NAS był dostępny przez LAN z komputerów stacjonarnych (dla max prędkości wymiany plików)
• Komputery miały dostęp do internetu
• Drukarki były dostępne przez LAN dla komputerów stacjonarnych

Dotychczas używałem Qnapa TS-228A (popsuł się..). Połączenia wyglądały tak jak poniżej:

Powyższa konfiguracja ma tą wadę, że PC1, PC2 nie widzą Qnapa poprzez LAN bo są w innej podsieci. Ponadto, drukarki muszą mieć przypisany statyczny IP (z wiadomych względów), który mogę ustawić jedynie na swoim routerze. Na routerze dostawcy jest oczywiście DHCP bez możliwości konfiguracji więc nie mogę przenieść drukarek do podsieci 1...

I tu właśnie się zastanawiam czy Qnap z 2x LAN mógłby rozwiązać mój problem? Wtedy LAN nr 1 podpięty by był do modemo-routera i dostępny z zewnątrz a z LAN nr 2 do routera z dostępem LAN dla komputerów i drukarek? Czy tak to zadziała?

Przepraszam z góry jeśli coś jest nie jasne, trudno tekstem to opisać..
Wszelkie podpowiedzi mile widziane Dzięki!​

 

[SiewcaRyżu]

jeśli zależy Ci na extra karcie grafiki (a to kolejny temat ...) to czemu nie
bo sieci 10 GB to raczej w domu nie masz

jak masz na to szmal ,czemu nie

tylko pamiętaj będzie cieplej i trochę głośniej

 

[VDR]

https://forum.qnap.com/viewtopic.php?t=110864
z tego co rozumiem piszą, że podłączając do NASa dwie różne sieci, z każdej z nich jego zasoby będą widoczne. Czy próbował ktoś z Was czegoś takiego?

Dlaczego miałyby nie być ? Pytanie tylko czy to jest to co chcesz osiągnąć. Przydzielając publiczne IP dla NAS wystawiasz go na świat - tak jakbyś wystawił go w DMZ. Bezpieczeństwo żadne. Spóźnisz się z upgrade softu, albo wyjdzie jakiś 0-day na który jakiś zły człowiek stworzy botnet szukający qnapów i dostaniesz pięknego dnia komunikat, że Twoje dane są zaszyfrowane i jak chcesz ich je odszyfrować to tutaj jest portfel na który należy wpłacić ileś tam bitcoinów

Kupujesz router, na którym możesz postawić VPN. Dajesz mu publiczny adres IP. Całą resztę chowasz w sieci lokalnej. Na świat wystawiasz tylko to co potrzebne.
Jak wykorzystać 2 ethernet ? Robisz bonding i masz 2Gbps łącze do NASa w LAN. Albo wystawiasz na nim usługi np. dockerowe czy VM w oddzielnej podsieci. Na routerze firewall, który zapewnia rozdział ruchu do tych zasobów.

Z zewnatrz dostajesz sie po VPN do tego co nie ma być dostępne ze swiata.

Zasoby możesz udostepniac w trybie RO np. jakies zdjecia do przegladania. Z wewnatrz sieci nic Ci ich nie zaszyfruje jak zlapiesz np. na jakims windowsie. Do wrzucania na NAS mozesz sobie zrobic folder RW a w nim np. katalogi: dane/filmy/muzyka/inne itp i skrypciki które automatycznie Ci przerzucą wrzucone dane do katalogów RO. To taki już przerost formy nad treścią - ale jeśli masz kompy które mają podpięte zasoby NAS i nie masz do nich zaufania sprawdza się całkiem dobrze.

 

[Qmpel7]

Poszedłem po rozum do głowy i zrobiłem tak jak sugerowaliście od początku Od teraz łączenie z zasobami mojego QNAPA jest możliwe wyłącznie przez VPN'a.

Pozostaje jednak jedno 'ale' - straciłem niestety dość mocno wykorzystywaną funkcję do sharowania plików przez Qsync komuś z zewnątrz. Póki co korzystam z google drive'a tylko do tego celu ale zastanawiam się czy wciąż nie można upiec dwóch pieczeni na jednym ogniu: zachowując ochronę vpna i wystawiając 'readonly' dla plików udostępnionych?

Uważacie, że jest to w ogóle sensowne/możliwe? Dajcie proszę znać jak ktoś ma jakiś pomysł / komentarze.

 

[SiewcaRyżu]

wrzuciłbym to w nextclouda - a pliki udostępniał za pomocą SSLa (port 443).

albo samego QTS z portu 443.

 

[VDR]

wrzuciłbym to w nextclouda - a pliki udostępniał za pomocą SSLa (port 443).

albo samego QTS z portu 443.

Nextcloud daje radę i całkiem fajnie się sprawdza do takich zadan. I dość łatwo się go stawia np w dockerze

 

[SiewcaRyżu]

Si - tylko nie wiemy czy mamy model Intel/AMD ;P

 

[Qmpel7]

Tak, wziąłem TS-473 on jest z AMD.
Hmm Nextcloud no ok tylko ma on coś czego Qsync nie ma? I konfiguracji sobie jak na razie nie umiem wyobrazić zwykły port forwarding na 443 wystarczy?

 

[VDR]

Tak, wziąłem TS-473 on jest z AMD.
Hmm Nextcloud no ok tylko ma on coś czego Qsync nie ma? I konfiguracji sobie jak na razie nie umiem wyobrazić zwykły port forwarding na 443 wystarczy?

O ile 443 masz wolny. Nie wiem co ma Qsync, Nextcloud za to ma to że mogę go przenieść na dowolną platformę w zasadzie