Voisiko joku viisaampi (vaikka HardSoft, kun tuntuu tietävän) kertoa, millä saisin toteutettua QNAP:lla seuraavan systeemin tietoturvallisesti. Eli QNAP:iin tiettyyn jakoon tallennettuihin tiedostoihin pitäisi päästä ulkomaailmasta kiinni niin, että saisi suoraan myös kirjoitusoikeuden. Tällä hetkellä esim. jaossa olevan excel kirjan saa auki webfilemanagerilla, mutta on read only. Eli pitäisi tallentaa ja uploadata uudelleen. Ei oo kivaa. Syy siis on että useampi käyttäjä muokkaisi tuota samaa excel kirjasta. Eli pitäisikö olla joku toinen ohjelma kokonaan? Suosituksia sellaiseksi? Toisiko esim jokin FTP clientti (vaikka filezilla) toivotulla tavalla? Toinen ongelma on, että ulkomaailmasta yhteyden otto (http puoli ainakin) tuntuu takkuavan. Välillä toimii, sitten yht'äkkiä yhteys katkeaa. Välillä ei saa yhdistettyä ollenkaan. Käytän dyndns:n palveluita ja olen oletusportit qnap:sta vaihtanut ja tehnyt vastaavat portinohjaukset taas modeemiin. Onkohan minulta unohtunut jotain tuossa modeemin virtual serveriä asetettaessa. Vihaan epäsäännöllisiä (ei koko ajan olevia) vikoja, kun silloin syyllisen löytäminen on aina niin vaikeaa...
Eilen FreeNASin ohjeita selatessani oli mielestäni vastaava systeemi toteutettu SSH-putkella, niin että vain Public Key Authentication on käytössä. Kaipa tuo Qnapillakin onnistuu.
Pitääpä tutkia - ei ole itsellä ollut pahemmin tarvetta muokata tiedostoja, kun Qnap on ollut enemmänkin tiedostovarastona (lukuunottamatta web-palvelinta, jonka tiedostoja on muokattu Microsoft® Expression Web Designer:lla). Palaan asiaan kun saan jotain aikaiseksi.
Kiitokset (myös Buranalle ). Onko ajatuksia tuosta, miksi yhteys ulkomaailmasta käsin pätkii sitten? Se olisi oikeastaan se ensiksi korjattava onkelma. Homma toimi jo yhdessä vaiheessa nätisti (siis yhteys ulkomaailmasta, ei editointi), mutta sitten TS:n sisällä ollut seagate poksahti ja sitä myötä meni kaikki. Otin silloin myös porttiohjaukset pois modeemista, kun ajattelin etten enää laita koko QNAP:ia ulkomaailmalle näkyväksi. Enkä tietenkään muista enää, mitä kaikkia portteja oli auki... Mutta eikös jos jokin portti olisi kiinni, niin en saisi yhteyttä ollenkaan? Nyt saatan päästä loggautumaan sisälle ja vähän räpeltämään, muuta yht'äkkiä sivu ei enää lataudukaan... Harmittavaista on.. Modeemina muuten A-Link RR24, jos joku tietää tuon kanssa jotain ongelmia olevan. EDIT: Yksi vaihtoehto on, että kirjoittelen visual basicilla exceliin pätkän, joka lataa tuon excelin NAS:lta, tekee muutokset ja tallentaa uudellen NAS:lle. Pitäisi (ehkä) olla mahdollista, jos vain saan kayttiksen ja salasanan vaihdon hoitumaan. Pitää tuota tutkailla. Yksi vanha kirjoittamani makro jo onkin joka netistä latailee taulukoita... Ainakin lataaminen onnistuu... Tuo excel-kirjanen meinaan, jota käyttäjät muokkailevat on jo valmiiksi hyvinkin makroitettu D ) visual basic:llä...
(S)FTP:n, webdavin yms yli voi mapata levyjä apuohjelmia avulla. Netdrive (löytyy parilta eri valmistajalta tällä nimellä), FTP drive, ExpandDrive tulevat nyt ainakin mieleen. Huono puoli vaan että tahtovat olla maksullisia melkein kaikki. Mutta hyvästä softasta nyt voi aina vähän maksaakin.
Onko muuten Qnapin webihallinnan kautta mahdollista purkaa rar-paketteja, ja varsinkin moniosaisia sellaisia? Ja voiko kansion johon paketit puretaan valita itse? Ainakin Synologyn NAS:ssa on tällainen mahdollisuus mutta Qnap on muilta spekseiltään kiinnostavampi.
No voi :OI Mielenkiintoinen ilmiö Tuossa herrojen kysymyksiä testaillessani huomasin ulkoverkosta Qnappiin yrittäessäni mielenkiintoisen ongelman, kun olen parantanut verkon tietoturvaa. Qnapin webbikäyttöliittymä yrittää ulkoa päin laitteen web-liittymän tarjoamiin palveluihin käyttäen sitä porttia, joka laitteen "System Port"-kenttään on syötetty. Tämän takia reitittimen portin uudelleenohjausta ei voi käyttää, koska, Qnap ei tietenkään tajua olevansa ulospäin toisen portin takana, kuin on sisäverkossa, vaan yrittää "väärällä" portilla ulkoa ja aikaansaa virheilmoituksen. Kun sitten manuaalisesti syöttää selaimen osoiteriville em. virhesanoman sivulla oikean portin oletusportin sijaan, pääsee sisään.... Ehdotuksia !!! Portti auki reitittimeen ja kivenkova salaus + salasana ???
Tässä nyt kaikenlaista testannut ja hermo menee :OI. Aluksi, olen nyt palauttanut oletusportit QNAP:iin testien ajaksi. FTP:n kanssa seuraavanlaista: QNAP:ssa aktivoitu nyt normi FTP sekä suojattu. Lisäksi remote loginiin laitoin että SSH sallittu oletusportissaan (22) Filezillalla kokeiltaessa: FTP ei toimi (ECONNREFUSED-connection refused by server) SFTP admin tunnuksilla (elikkäs ssh tunnelointi) toimii FTPS ei toimi (ECONNREFUSED-connection refused by server) Suoraan exploderin D ) osoiteriville ftp://nönnönöö... toimii Mistäs perkuleesta tuo normi FTP:n ja ftps:n toimimattomuus filezillalla johtuu?? clienttikoneen palomuurista? miksei se estä exploderilla selailua? reitittimestä portit 20,21,22(FTP ja SSH), 989,990 (SSL/TLS), ja QNAP oletus ftp passiivialue ohjattu QNAP:n IP:hen. Ennen tuo on kyllä normi FTP toiminut filezillallakin.. FTPS olisi kuitenkin se, minkä haluaisin toimivan, koska en halua admin tunnuksia jaella ympäri kyliä. (SFTP toimii QNAP:ssa vain admin tunnuksella). Taas niin s...nan vaikeeta
Kuullostaa enemmän joltain käyttäjätunnus/oikeus ongelmalta jos kerran anonyymi(?) FTP toimii explorerista? Silloinhan liikenne pelaa. Tai tiedä sitten mitä sääntöjä sinulla on palomuurissa sallimassa eri ohjelmien liikennettä ulospäin..?
Testailen illemmalla noita FTPS ja SFTP-yhteyksiä. Meni eilen turva-asetusten säätelyyn ja testailuun (mikä kokoonpano toimii ja mikä ei) loppuilta. PKA:ta pitäisi opiskella, kun ei ole mitään käsitystä ko. toiminnasta. Onneksi pääsen yhdellä koneella kännykän kautta ulkokautta systeemeihin ja toisella sisäkautta, niin ei mene niiden säätämiseen aikaa....
Juu jäi sanomatta, että anonyymit clientit olen QNAP:sta estänyt. Eli exploderkin kysyy käyttistä ja salasanaa. Ne eivät VOI olla väärin filezillassakaan, siitä olen varma.
FTPES toimii hyvin FileZillan uusimman version kanssa. (Kirjoita siis Host: -kenttään myös protokolla eli ftpes://xxxxxx.xxx) Reitittimessä avoinna portit 55536 - 56559 jotka vaadittaneen salattua liikennettä varten ja 22 SSH:ta varten. Qnapissa valittuna ainoastaan FTP with SSL/TLS (Explicit), FTP (standard) pois päältä. _ System Administration > Security > Network Access protection -sivulla IP-blokkaukset päällä tuonee lisäturvaa porttiskannereita vastaan. Lisäksi on portinkäännöt reitittimen virtuaalipalvelimella päällä sovelluksille, jotka eivät siitä sekoa.
Nyt tarttis jakaa ystävälle hiukan materiaalia eli hänellä vain selain (IE, versiosta ei tietoa) ftp-käytössä. Eli pitääkö hänen tulla NAS:iini kiinni ftp://minun_ip:12345 Ja sittenhän selain kyseleekin tunnaria ja salasanaa, jotka olen hänelle ilmottanut. Selaimilla ei liene onnistu tuo ftps? En ainakaan saanut toimimaan Kaks ummikkoa yrittää epätoivoisesti siirtää kuvia ettei tarttis lähetellä s-postilla Toisaalta samoilla asetuksilla vois siirtää työpaikan koneelle hieman musiikkiakin (kun sinnekään ei voi erillisiä ftp-softia asennella) Kun QNAP:sta laittaa FTP:n päälle, niin automaattisesti se jakaa ulkomaailmaan kaikki kansiot, saisko noita muuten "piiloon" kuin säätämällä kansioiden access controlissa käyttäjäkohtaisesti?
Ei kai FTP-serveri jaa oletusarvoisesti kaikkia kansioita - ei ainkaan täällä. Varmista, ettei Guest:illä ole oikeuksia kansioihin (Access Right management > Share Folders > VALITSE KANSIO ja oikealta Access Control > "Access Right to the Share Folder:"-ikkunassa sitten kohdassa "Guest Access Right:" valitse "Deny Access" / Guestilla on kansiokohtaiset read/write oikeudet oletusarvoisesti, mutta onneksi FTP-Service sivulla "Enable Anonymous:" on oletusarvoisesti estetty. Jokaiselle kansiolle olen valinnut käyttäjät oikeuksineen = saavatko vain lukea, vai myös kirjoittaa. Tosin en web-selaimen läpi ole aiemmin kokeillut, kun esim. FileZilla on naurettavan helppo softa kenelle tahansa ja tehokkaampi kuin selainhössötykset. FTPES-salattu ei toiminut, kun kokeilin selaimella, perus FTP:tä en enää käytä.
Kiitokset taas kaikille . Filezillan toimimattomuus normi FTP:llä taisi selvitä. Taitaa johtua työpaikkani palomuurista, koska kotoa kokeiltuna toimi hyvin. Voisikos joku selventää, mikäs tuo tuollainen FTPES on? Tai siis tiedän mikä se on, mutta luulin, että pitäisi laittaa ftps:// Nyt yhteys on siis ilmeisesti passive modessa ja juuri nuo passive moden portit pitää avata (on auki). Mutta onko FTP porttina sitten edelleen se 21? mihinkä helkutaan sitä 22 sitten tarvitaan, kun eihän tällä SSH:n kanssa ole tekoa? Eli nyt vaikka on "FTP over TLS/SSL" niin niitä tuolle normaaleja(?) portteja 989 990 ei tarvitsekaan avata? Nuo on ilmeisesti sitten siinä implicit tyypin FTPS:ssä.. huh mikä sotku tämäkin nykyään on.. Illalla pitänee laittaa jaot toimimaan EDIT: HardSoft, onko sinulla ruksi siinä "Respond with external IP address for passive FTP connection request"?
Turhaa pähkäilyä kun ei näemmä täältä töistä pääsee NAS:siini kiinni. Ei toimi niin FTP kuin ihan se perushallintakaan http://minunip:8080 Eiku hetki, kylläpä pääsin töistä wippiesin tiliini käsiksi ftp:llä eli jokin on nyt tuossa QNAP:ssa
Omat FileZillan kanssa toimivat asetukseni: - Dynaaminen DNS käytössä DYNDDNS.COM kautta (tarviitko tästä tietoja?) Qnapissa: - FTP with SSL/TLS (Explicit) ainoa siirtotapa, portti 21 - Unicode support: No - Enable anonymous: No !!! - Passive FTP Port Range: Use the default port range(55536 - 56559) - Respond with external IP address for passive FTP connection request EI VALITTUNA En tiedä tarvitaanko FTPES:ään sivulla Remote Login "Allow SSH connection" salatun loginin lähettämiseen, mutta on silti valittuna, portti 22 Reitittimessä: - FTP-palvelun portti 21 on portinkäännön takana eli ulkoa portti xxxx > 21 - SSH-portti 22 on auki - FTPES:n porttialue 55536-56559 on auki - Etähallinnan mahdollistava portti 8081 on auki