QNAP-NAS (levypalvelimet)

Juu kyllä sain cooliriksen toimimaan, editoin sen mielestäni vanhempaan viestiin. Liekö hävinnyt bittiavaruuteen..??

Sain jo toimimaan ulkoverkon ip:llä kotoa käsin mutta ei kaverin koneelta toisesta paikkaa.... Mutta kyllä se varmaan tästä:hitme:
Joutuu käyttämään näitä portinohjauksia ja ip juttuja niin harvoin että unohtaa edellisellä kerralla oppimansa ja taas alkaa alusta:OI

Ja varmistuksena, että käsitin oikein- dyndns on kotisivujen "ip:n päivityspalvelu" joka hakee tietyin väliajoin uuden ip:n jos vaikka operaattori olisi sattunut sen vaihtamaan...

 

Siis tämä dyndns. Sinun modeemisi lähettää oman IP tuonne palveluun säännöllisin väliajoin. Sieltä taas saat www osoitteen, joka ohjaa sinne sinun modeemisi lähettämään IP osoitteeseen.

 

Jos ohjeistusta forwardointiin tarvitaan, niin

http://portforward.com/routers.htm

 

Portiohjaus ideologia for Dummies:

Kuvittele, että

-asuntosi on pieni hotelli, jossa on aina yksi huone varattu jokaiselle laitteelle/palvelimelle (Qnapissa on monta palvelinta yhdessä laitteessa).
- hotellin nimi on ADSL-reitittimen ulospäin näkyvä ip-numero (84.***.***.***)
- huoneiden ovinumerot ovat samat, kuin laitteiden ip-numerot (192.***.***.***)
- huoneissa asuvat henkilöt, joiden nimi on laitteen/palvelimen porttinumero (8080)
- vastaanottotiskin virkailija on portin uudelleen ohjaus
- virkailijalla on huoneiden varauslista (porttien ohjauslista ADSL-reitittimessä)

Tarve - halutaan ottaa yhteyttä herra 8080:n !

- Mennään hotellin 84.***.***.*** tiskille kysymään virkailijalta (portin ohjaus) "Missähän huoneessa herra 8080 asuu?"
- Virkailija katsoo huoneiden varauslistasta (porttien ohjauslista ADSL-reitittimessä) mihin huoneeseen vierailija tulee ohjata.
- Saadaan vastaukseksi "Huoneessa numero 192.***.***.***.***"
- Mennään huoneeseen 192.***.***.*** ja ollaan saatu yhteys herra 8080:n

 

Kiitos vaan kaikille jeesanneille sain toimimaan, oli osoite ja kirjoitusvirheitä ymym.

DynDNS- justjust luulin että se on palvelimella olevia "oikeita" kotisivuja varten mutta sillähän saisikin siis rekisteröityä ilmeisesti ilmaisen osoitteen tuolta palvelusta ja palvelu ohjaisi qnnappiin. Tutkimukset alkakoot...

Ha se dyndns:hän toimii, nyt on helppo osoite qnappiin, ei tartte muistaa ip osoitetta!!

 

Huomasinpa tässä eräänä päivänä liikennettä QNAP:iin ulkoverkon suunnalta. Arvelin jonkun tutun käyneen kuvia katselemassa. Kävinpä sitten katsomassa yhteyslokia, kuka lienee. No ei ollutkaan tuttu(ja). Näitä sarjoja oli tullut jo muutaman kerran ja eri IP osoitteesta. Joku muukin on löytänyt tuon minun IP:n ja oikean portin QNAP:iin. Joukossa oli muunmuassa muutamia tuttuja tunnuksia esim root, guest, admin yms. Sen verran tykkäsin huonoa, että kävin ottamassa porttiohjaukset pois reitittimestä.
Kysymys
Voikohan tai onko kenties joku tehnyt niin että luo QNAP:n oletus pääkäyttäjälle rinnakkaisen pääkäyttäjän ja sitten poistaa sen alkuperäisen oletus pääkäyttäjän? Siksi ajattelin näin tehdä että pystyisi näin vaihtamaan pääkäyttäjän tunnuksen.

Tässä vielä pikku pätkä yhteyslokia

Spoiler

2009-01-11 20:42:09 gopher 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:42:08 rpc 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:42:06 rpcuser 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:42:05 nfsnobody 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:42:05 mailnull 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:42:04 workshop 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:42:03 desktop 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:42:02 aptproxy 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:42:02 popa3d 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:42:01 divine 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:42:00 harrypotter 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:59 radiomail 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:58 snort 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:57 james 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:56 dan 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:56 frank 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:55 zzz 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:54 sys 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:53 proxy 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:52 eleve 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:52 list 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:51 irc 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:50 jeff 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:49 gnats 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:48 identd 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:47 telnetd 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:46 eppc 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:45 qtss 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:44 cyrusimap 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:43 mailman 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:42 appserver 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:42 clamav 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:41 amavisd 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:40 jabber 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:39 xgridcontroller 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:38 agent 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:38 xgridagent 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:37 appowner 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:36 windowserver 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:34 tokend 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:33 securityagent 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:32 unknown 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:32 dean 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:31 smmsp 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:30 uucp 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:29 halt 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:28 shutdown 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:28 sync 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:27 lp 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:26 daemon 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:25 bin 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:24 admins 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:23 admins 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:22 users 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:22 sshd 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:21 sgi 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:19 operator 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:18 rpm 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:18 amanda 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:17 party 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:16 richard 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:15 robert 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:14 sara 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:12 search 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:11 ssh 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:10 steven 91.192.192.53 --- SSH --- Login Fail
2009-01-11 20:41:09 sunny 91.192.192.53 --- SSH --- Login Fail

 

Koska kaikki yhteysyritykset ovat päättyneet "Login Fail"-ilmoitukseen, oletan, että olet vaihtanut oletussalasanan ? Salasana tulee olla riittävän pitkä ja monimutkainen, ettei hakkerirobotti pääse loggaamaan sitä.

Yleisesti ottaen kaikkien verkossa olevie laitteiden, levypalvelinten, reititinten ADSL-modeemien ym. salasanat tulisi vaihtaa heti kun ne on otettu käyttöön.
Näin hakkerit käyvät vain kolkuttelemassa ovelle, mutta eivät pääse sisään.

Voit tietty sallia yhteydet vain määritellyistä MAC-osoitteista (oma + kaverin kone ym.) tai IP-osoitteista jos reitittimesi palomuuri antaa mahdollisuuden vaikuttaa siihen.

 

Tuohan näyttää ihan normaalita SSH-palvelimen logilta. Noita murtautumisyrityksiä näkee usein, kun pistää SSH-palvelimen verkkoon. Noissa on ideana se, että yritetään päästä sisään yleisimmillä käyttäjätunnuksilla ja salasanoilla. Laita riittävän monimutkainen ja pitkä salasana, niin voit olla hyvillä mielin.

 

Äkkiähän tuo oletus pääkäyttäjän poistaminen oli kokeiltu. Tulos, ei anna poistaa. Pitää tehdä just noin eli tarpeeksi pitkä ja monimutkainen salasana. Thanks

 

Terve,

Qnap on ollut toiminnassa kohta pari viikkoa. Kaikki on pelannut loistavasti ja käyttöönotto on lapsellisen helppoa.

En vain ole saanut tiedon siirron nopeutta sujuvaksi. Sekä vistan kanssa onnistuu lisäämään ainostaan Public kansioon.


Mitä teen väärin.

neuvoja kaivataan.

 

Tarkennappa hieman seuraavia:

1. Mikä malli
2. Jos useamman levyn malli, onko levyt a)RAID b)Stripe c)JBOD erillisiä
3. Onko siirtotie a) Ethernet b)WLAN (lisävarusteilla) c) Molempien sekoitus
4. Ethernetin/WLAN'n nopeudet eri laitteilla (HUB'it, Kytkimet, Tukiasemat ym.)
5. Mitä siirrät? Mihin siirrät? (Dataa, videota+audiota)

Tarkenna mitä tarkoitat lisäämisellä. Etkö saa muita jaettuja kansioita näkymään Vistassa vai etkö pysty siirtämään tiedostoja niihin.

Onko sulla ohjalmallinen palomuuri tietokoneessa?

Vastappa noihin, niin saattaa apua löytyä.

 

Kiitos HardSoft

1. TS 209
2. Sisällä kaksi 1t samsungia raidissa(peilaavat toisensa)
3. Ethernet
vista kone, xp kone sekä Qnap on kytketty D-Linkin DGS-1005D:hen, joka on gigabitin hub(vai kytkin).... tähän on kytketty TP-Linkin TD 8810. Joka takaa nettiyhteyden.
Jostakin syystä en pääse TP:n sisään konffaamaan porttireititystä Qnapille, joten en pääse siihen käsiksi kotiverkon ulkopuolelta, muutakuin selaimella.

5. Nyt sain muutkin kansiot näykymään vistan "Tietokoneessa". Tämä onnistui luomalla Vistan käyttäjätilin mukainen tili Qnappiin ja antamalla sille oikeudet kansioihin.

Silti nopeus on aivan onneton kopioidessa tiedostoja Koneelta Qnappiin. 06-100 kt/s. Pelkästään Qnapin kansioiden käsittely Vistan resurssien hallinnan kautta on erittäin hidasta.



Mikä nopeuteen avuksi? Ja miten saan konffattua tuon modeemin?
Vistassa on oma palomuuri... sen pois laitto ei vaikuta nopeuteen.

 

Mahdollisesti sun TP-Linkin TD 8810 on tilassa, jossa se on täysin läpinäkyvä molempiin suuntiin (Bridge-mode) - joihinkin laitteisiin ei silloin pääse kiinni. Ainoa, joka auttaa on Reset. Joudut silloin mahdollisesti asettamaan ADSL-asetukset jos haluat, että laite on ns. Router-modessa. Silloin TP-Linkin TD 8810 pystyy tekemään portin uudelleenohjaukset ym. Nyt sulla hyvin todennäköisesti kaikkien verkon laitteiden IP-numerot jakaa palveluntarjoajan DHCP-palvelin. Alkavatko sun IP:t jollain muulla kuin 192.168...... ?

ADSL-motikkaan pitäisi päästä sisään, kun kirjoitat selaimeen http://192.168.1.1 ja admin + admin (ellet ole vaihtanut salasanaa). Valitettavasti en saanut valmistajan sivulta käyttöohjetta, kun olivat tehneet virheellisen linkin firmis-sivulle.

Qnap'iin pitäisi päästä sisään myös:
-Mappaamalla jokainen jaettu kansio PC:ssä "verkkolevyksi" ja valitsemalla ~ "Kirjaudu toisella käyttäjänimellä" johon sitten jokin Qnap'iin tehty käyttäjä
- Menemällä verkkoympäristön kautta jaetuille levyille, mutta Qnap kysyy käyttäjätunnuksen/salasanan joka kerta

Windowsin resurssienhallinta on hidas tiedoston siirrossa. Ongelma on Windowsissa - ei Qnapissa. Jokin FTP-ohjelma on nopeampi. Qnap'in oma Web File Manager on tiedostonsiirrossa ylivoimaisen nopea, mutta kankea avaamaan kansioita.

Qnap'ista pitäisi kuitenkin kaikenlaisen median (myös HD) toisto = streamaus hoitua moitteetta. Itselläni on TS-209PRO ja kaikki lelut 1 GB lankaverkossa ja mulla on tuo sama DGS-1005D ja DGS-1008D ohjailemassa liikennettä ja toimivat erittäin hyvin. Mediatoistimena PS3 ja HTPC.

 

tattista....

Pääsin motukkaansisälle boottaamalla sen.... asetin seuraavat asetukset:

VPI / VCI: 00 /33
Connection Type: MER
Service Name: br_0_33
Servece Category: UBR
IP Address: Automatically Assigned
Service State: Enable
NAT: Enabled
Firewall: Enabled
IGMP Multicast: Enabled
Quality Of Service: Disabled

Oman koneen Ipconffit ovat automatiikalla.
Ip on todellakin 192.168....


Enää en saa yhteyttä edes lähiverkossa Qnappiin....
Mutta yhteyden saan tuohon modeemiin.


Tarkoituksena olisi saada nuo kansiot jaettua sekä kotiverkossa, jotta sen ulkopuolella koneen omissa verkkoresursseissa. Aikaisemmilla asetuksilla sain ne kyllä kotiverkossa ongelmitta asetettua... nyt kun yhteys Qnappiin hävisi niin ei toimi enään.

Mitä teen väärin.


Voitko vääntää rautalangalla.
Olen yrittänyt myös A-Linkin RoadRunner 40/44:lla, Kaapissa olisi myös Zyxelin Prestige 600.
---Porkkanana: jos saat tämän insinöörin ymmärtämään, niin palkkio tulee olemaan sen mukainen.

 

no tyhmä pää... luonnollisesti modeemi jakoi Qnapille uuden IP:n.... löytyi finderillä


Miten saan ulkopuolelta tähän yhteyden?

Entäs jos modeemi vaihtaa IP:n?

 

Terve,

Ohessa nopea yhteenveto onnistumisesta:

Modeemiin(ostin suosiolla uuden[TW-EA510v3]) DMZ:n asetukseksi ohjaus Qnappiin. Qnapille asennettu kiinteä IP, sama aliverkon peite kun modeemilla ja muilla koneilla, yhdyskäytäväksi modeemin IP.
DMZ hyväksyy kaikki portit molempiin suuntiin.
Kotiverkon koneilla on kiinteät IPt muotoa ***.***.***. 1 - 9
Modeemin asetuksiin on laitettu jotta sen DHCP aloittaa jakamaan IP:T vasta ***.***.***.10

DynDNS:ään tili, jonka asetukset modeemiin. Dynaamiseen nimipalveluun.

Kaverin koneelta sain verkkojaon onnistumaan komennolla \\[DynDNS:N osoite]\[haluttu kansio].




Tiedonsiirto onnistuu molempiin suuntiin.


Mitä yksityiskohtia puuttuu?

 

Onkos joku muu dyndns palvelua käyttävistä törmännyt tähän ongelmaan. Eli kun IP-osoitteen tarkistusväliksi on NAS:ssa määrittänyt esim 5min niin tästä seuraa sinne yhteyslokeihin joka 5 minuutti varoitus "Anonymous login attempt" osoitteesta 127.0.0.1. QNAP:n foorumillakin asiaa puidaan ja ihmetellään, muttei oikein ratkaisua tunnu olevan.

Tuo 127.0.0.1 on järjestelmän sisäinen osoite, joten mistään tunkelijasta tässä ei ole kyse. (sellainenkin tuossa kyllä yritti 31.1 2 sekunnin välein ulkopuolisesta IP:stä yritys ottaa FTP yhteys käyttäjätunnuksella Administrator, kaikki kyllä "Login FAIL")

 

Ymmärsinkö oikein, että olet konfiguroinut Telewellin palomuurin sallimaan liikenteen sisä- ja ulkoverkon välillä kaikkien porttien kautta? Ilmeisesti, koska Windowsin verkkolevyjen jako on mahdollista internetin läpi.

Olet samalla avannut suoranaisen moottoritien kaiken maailman hackereille ja crackereille koko sisäverkkoosi (ja samoin muuten kaverisikin). Erityisesti Windowsin levynjakoprotokolla on niin täynnä turvallisuushaavoittuvuuksia, ettei sitä tulisi ikinä avata ulkomaailmalle (sisäverkkossa tietenkin voi käyttää).

Ainoa turvallinen tapa tehdä se, mitä haluat, eli tehdä levyjakoja internetin yli, on LAN-LAN VPN (esim. IPSec-pohjainen) tai SSH-tunnelointi. Niin ne tehdään oikeassa maailmassa. Tuollaisen virittäminen kotikäyttöön kuitenkin ylittää helposti keskimääräisen harrastajankin taidot. Eli en suosittele lähtemään yrittämään, jossei tiedä mitä tekee. Käyttäkää jotain paremmin hallittavaa ja vähemmän haavoittuvuuksia sisältävää protokollaa, ei missään tapauksessa Windowssin levyjakoa. Noihin muihinkin protokolliin ja työkaluihin sisältyy monenlaisia huomioonotettavia asioita, ettei edes niitä voi suositella aloittelijoille (siis kun puhutaan sisäverkon palveluiden tarjoamisesta internettiin).

Jos siis joku lukee tätä säiettä ja toteaa, että "jee tolleen mäkin sen voin siis tehdä", niin ÄLÄ TEE!!! Paitsi tietenkin jos haluat valjastaa omat koneesi botiksi seuraavaan DDOS-hyökkäykseen.

Pahoittelut tästä varsin jyrkästä tekstistä mutta kun kaveri on hyppäämässä kaivoon leca-harkko jalkoihin sidottuna ja köysi kaulassa ja luulee lähtevänsä lemmenristeilylle ja on vielä kutsunut kaverinsakin mukaan, on paras toimia

 

TIETOTURVA !

DMZ:taa voi käyttää VAIN laitteille, joita ei ole mahdollista hakkeroida/sekoittaa ym. verkkoliitännän kautta !

Et maininnut konffasitko vain yhden vai kaikki LAN-portit DMZ:taksi. QNAP'in voi hätätilassa laittaa DMZ-liittimeen, jos käyttää erittäin vahvaa salasanaa ja HTTPS:ää. Kuitenkin suosittelen QNAP'ia palomuurin/NAT:in taakse ja ohjaamaan liikenne sinne portinohjauksen avulla, koska se ei ole mitään rakettitiedettä. Kyllä se liikenne toimii molempiin suuntiin palomuurin/NAT:nkin läpi.

Jos et pääse sisäverkossa QNAP'iin voi syynä olla, että esim. tietokoneesi ohjelmallinen palomuuri (F-Secure tms.) ei päästä sinua kaikille sisäverkon kaikille laitteille. Itselläni oli tämä ongelma, mutta ratkaisu on helppo. Luo palomuuriin uusi sääntö *, joka sallii liikenteen molempiin suuntiin sun DHCP-palvelimen luomalla osoiteavaruuden alueella.

Varmista myös että * QNAP'in "Network Settings" sivulla -> alasivulla "Microsoft Networking" -> kohdassa "Workgroup" on sama työryhmän nimi kuin tietokoneellasi verkkoasetuksissa (Ohjauspaneli -> Järjestelmä -> Tietokoneen nimi) esim. Workgroup tai Kotiverkko...

* Kuvaopastus alla, esimerkkinä F-Secure -> Lisäasetukset -> Lisää

* Kuvaopastus seuraavassa viestissä

Vinkit: Osa 1. Osa 2. Osa 3.

 

Kuvaopastus edelliseen....

Vinkit: Osa 1. Osa 2. Osa 3.