作者ZZZZ0 (问号)
看板Storage_Zone
标题Re: [问题] Synology Nas的videos station问题
时间Tue May 28 23:12:06 2024
※ 引述《ZZZZ0 (问号)》之铭言:
: ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Storage_Zone/M.1716814058.A.702.html
: → tomsawyer : 又一个教学把nas对外的 05/27 20:57
: → ZZZZ0 : 对外怎麽了?我最近一次被人家扫是2022年的事耶… 05/27 21:15
: → ZZZZ0 : 现在DSM6.2.4-25556都懒得更新,除了我根本没人用 05/27 21:18
: → raidcrash : 你这种说法很不精准 QC是有很多种连线方式的 前面的 05/27 21:37
: → raidcrash : 方式都不通才会用relay 也就是你所谓的有限流 05/27 21:39
: → raidcrash : 至於要不要埠转发 就看个人斟酌 只能说有其风险 也 05/27 21:41
: → raidcrash : 有相对安全的其他方案 建议最好知道自己在做啥在用 05/27 21:42
: → ZZZZ0 : https://i.imgur.com/ym0YjWW.jpeg 对我不精确 05/27 22:19
: → raidcrash : https://i.imgur.com/lA7DmST.jpg 先去搞懂QC 可怜 05/27 23:00
: → ZZZZ0 : 嗯,活在搞懂就没有限流就能解决问题的世界真的很棒 05/27 23:25
: → raidcrash : 笑死 自己一知半解传播错误知识 还容不下别人纠正 05/27 23:30
一次回一回好了,
如果能活在有核能,没有核废料的世界有多棒,
大大说的没有错呀,relay service是三小我根本不明白,
但是搞懂了之後,那句「quickconnect伺服器有限速」就不成立吗?
我也不知道,其实那个限流也不是真的限流,
就是看影片看一看会断线,然後要整个重连,
不至於到不能用,总之就是很烦,
後来丢去问工程师,来来回回弄了很多次,
才得到这个「伺服器是有限速」的答案
而您也明白「个人斟酌 只能说有其风险」
大家买NAS的想法就不同,
一开始就是准备拿来当影音中心的,
一直重连就很烦,
说激烈一点,
只是为了备份,我买个NAS干嘛?
不如组两台文书机放在旁边,断网自己定期搬砖,
超级安全。
敏感的东西就不要丢上去,真的中标就只能承受,
总之,希望能有一个没有限流又能解决问题的NAS,
又能躲在後面又安全又连网,想连都没有问题,还不用搞东搞西的,
事实上就没有。
: → hollen9 : >>现在DSM6.2.4-25556都懒得更新 05/27 23:52
: → hollen9 : 话不要说太满喔 >< 最好保持更新 特别对外 05/27 23:53
: → hollen9 : 之前有一波群辉中标 SynoLocker 就都是没更新的用户 05/27 23:53
有啦,其实有偷偷在看有没有重大漏洞,
并不是太好的设备,有时候装新的东西是负担而已,
没有钱就不要想东想西,连ipad3都还没退役…
: 嘘 s25g5d4 : 装个 VPN 很难吗 05/28 00:21
: 推 saito2190 : 你都会VPN了,NAS还是不要对外吧 05/28 00:27
这个慢慢学设定之後,真的不难呀,
但是每台要进来的装备都要搞这个vpn,
真的不要折腾自己家里的长辈。
: 推 ppon : QC真的慢唯一优点只有穿墙 直接用域名解析会快很多 05/28 01:55
: → ppon : 防火墙规则设定好 其实安全性没有这麽不堪 05/28 01:57
: → ppon : 特定服务port只开给特定ip 非台湾ip一律deny 05/28 01:58
: → ppon : 再开个2fa 安全性已经算不错了吧 05/28 01:59
: → tomsawyer : 阿台湾肉鸡打你 不就直接暴毙 05/28 02:02
: → tomsawyer : 骇客就最爱你这种自以为是懒得更新的人 漏洞握在手 05/28 02:04
: → tomsawyer : 里等着扁人 05/28 02:04
暴就暴呗,唉个两下,再慢慢把片子抓回来,不然怎麽办?
骇客想办法冲进来也是找到一堆外面应该都抓得到的片子,
他应该会:蛤?
把NAS网路线拔掉,我日子会比较开心吗?
这边的大大都很厉害,
每个都一堆术语,超强,
可是没有解决需求呀,
不然大大您给个影音中心解决方案呀,
我简单提一下需求,
1.安全连网
2.多人多设备使用设定简单
3.不限流不要断线
: 推 ppon : 光2fa 要在30秒内破解代码 又不能惊动登入错误尝试 05/28 02:15
: → ppon : 次数 就不容易了 05/28 02:15
: → raidcrash : MFA的前提是别人是走正门进来的 05/28 02:16
: 推 ppon : 另外台湾扫port ip 网路上有整理一些 黑名单 把它 05/28 02:23
: → ppon : 加进拒绝存取清单会更安全 05/28 02:23
: → ppon : 帐号不要用预设admin 密码复杂度用产生器大小写数 05/28 02:25
: → ppon : 字乱码 要攻破比较难 05/28 02:25
: → ppon : 自动封锁 5分钟内失败3次我就永ban了 05/28 02:29
: → ppon : 会try nas的门都是用bot 所以通常都会被挡下来 平 05/28 02:30
: → ppon : 常也会检查登入日志 很安全啦 05/28 02:30
: → raidcrash : 或许吧 只要没有漏洞的话 可以参考前一波Deadbolt 05/28 02:42
: → raidcrash : 当时只要能进到WebUI入口 基本上你说的那些都没作用 05/28 02:43
: 推 righer : 之前开ssh真的一堆来try密码的 原来还有挡国外ip的 05/28 08:11
: → righer : 功能 之前是设定try几次就封锁 05/28 08:11
: 推 ppon : QNAP意外吗? https://is.gd/6gIX1n 05/28 10:46
: → hollen9 : WebUI漏洞就是管你有没有2FA, 自动锁, 没开ssh 05/28 11:48
: → hollen9 : 直接绕过去 对外就是要更新 不更新就是等死 05/28 11:48
: → hollen9 : 群辉软体资安团队非常优秀 但你不更新等於把他当 05/28 11:50
: → hollen9 : QNAP 05/28 11:50
只能三不五时就看一下新闻跟重大更新资讯,
真的有必要就会捏上去,
前面有补充了,
不太更新还有因为设备不怎样,
没有钱就不要想东想西……
: → tomsawyer : 漏洞之所以叫漏洞 就是可以绕过平常要过的一大堆认 05/28 12:10
: → tomsawyer : 证 只要看得到你的大门就能绕过 也不会在你的log上 05/28 12:10
: → tomsawyer : 出现 05/28 12:10
肉洞之所以是肉洞,
就是插了网路线。
: 推 ijwbg : 请问用VPN就没有漏洞吗?如果VPN有漏洞是不是代表骇 05/28 15:01
: → ijwbg : 客可以任意进到内网? 05/28 15:01
: → raidcrash : 虽然不能说VPN绝对安全 但要确保整个系统和单个软体 05/28 15:21
: → raidcrash : 没有漏洞 难度是天差地远 再来现在主流的VPN如OVPN 05/28 15:22
: → raidcrash : 、WG基本上都是以安全为主要设计方向 所以通常相对 05/28 15:26
: → raidcrash : 是安全的 反正资安没有什麽绝对安全啦 只能在你的需 05/28 15:27
: → raidcrash : 求中找出方便与安全的取舍 真要安全多备份才是真的 05/28 15:28
有喔,这次有跟大大学到原来这些东西还可以这样用呀。
: 推 phoque : WG架构简单且开源 易受公众检视 宁可用WG也不裸奔 05/28 15:41
这边一样是看需求啦,
开VPN就对长辈来说比较麻烦,跳过。
想好自己的需求,弄好防火墙设定,
其实对外并不会马上就哔哔哔世界末日,
对外的可怕还比不上硬碟坏轨的可怕,
尤其我还没有组raid勒,就靠hyper backup,
上次硬碟坏轨才是真的一裤子尿…
NAS要不要连网,要怎麽连网,
整理一下就是:
1.不要连最安全
2.quickconnect算方便安全
3.vpn较不方便也算安全
4.裸奔最爽但不安全
再讲下去也是potato,potato,
就这样。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.250.234.155 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Storage_Zone/M.1716909129.A.F7B.html
2F:→ raidcrash : 你可以从架构中看到QC尝试的优先顺序分别是LAN>WAN> 05/28 23:36
3F:→ raidcrash : 打洞>最後才是Relay 前三者就是建立端对端的直接连 05/28 23:37
4F:→ raidcrash : 线 中间不会经过Synology 所以也不会有所谓的限流 05/28 23:38
5F:→ raidcrash : 连线稳定度也取决於你的设备两端 基本上就跟DDNS是 05/28 23:39
6F:→ raidcrash : 几乎一样 当然我也不没特别推荐用QC 因为QC一来算是 05/28 23:39
7F:→ raidcrash : 个半公开的东西 二来他的安全性也很仰赖Synology 05/28 23:41
8F:→ ZZZZ0 : 那个图後来有理解,但是当时就一直断线有去问s家 05/28 23:55
9F:→ ZZZZ0 : 然後还丢日志过去,得到的答案是伺服器有限速 05/28 23:57
10F:→ ZZZZ0 : 更具体的东西已经超出我能力范围,就开起来凑合着用 05/28 23:58
11F:推 gogoj : 我的作法你参考一下 ,我是使用jellyfin做为平台, 05/29 01:14
12F:→ gogoj : 但前端机器是一台便宜的intel n95挂jellyfin档在前 05/29 01:14
13F:→ gogoj : 面,nas对外全不开放,n95权限帐号设定好只能读不 05/29 01:14
14F:→ gogoj : 能写,另外nas端一样用docker放一套jellyfin管理删 05/29 01:14
15F:→ gogoj : 除档案但不对外,这样nas不会整个暴露在外,而且s 05/29 01:14
16F:→ gogoj : 家的我用到了1520硬解机种,那个jellyfin速度还是 05/29 01:14
17F:→ gogoj : 输n95太多,在效能与安全上有取得一个平衡,可以参 05/29 01:14
18F:→ gogoj : 考看看 05/29 01:14
19F:推 ks031239 : 骇进来应该不是资料问题。是被当中继僵屍电脑那类的 05/29 02:37
20F:推 saito2190 : 嫌VPN麻烦可以试试看Tailscale、ZeroTier这类服务 05/29 04:29
21F:→ saito2190 : ,几乎不用设定,登入+连线,就这麽简单 05/29 04:29
22F:→ saito2190 : 底层一样是WireGuard但免设定 05/29 04:29
23F:→ saito2190 : Android跟Apple都有连线捷径,跟长辈说看影片前先 05/29 04:30
24F:→ saito2190 : 点这个小按钮就好,完全不影响 XD 05/29 04:30
25F:→ saito2190 : 一楼一直想表达的是,你的连线走到Relay去了才会被 05/29 04:32
26F:→ saito2190 : 限制,正常的路由器应该打洞(UPnP)就会通了 05/29 04:32
27F:嘘 B0988698088 : 假如走quickconnect就有机会过他的relay server 废 05/29 08:45
28F:→ B0988698088 : 话他伺服器又不是做慈善的当然有限频宽 你不想被限 05/29 08:45
29F:→ B0988698088 : 制就自己搞DDNS这麽简单 这样就走你家网路 你家网 05/29 08:45
30F:→ B0988698088 : 速多少就多少 05/29 08:45
31F:推 ultimatevic : 你可以玩看看自架nginx reverse proxy server 05/29 11:12
32F:→ ultimatevic : 搭配DDNS跟DNS proxy server来做内外网连线 05/29 11:13
33F:推 phoque : 不然CF tunnel也可行 不过要付费才有台湾节点 05/29 11:26
34F:→ x000032001 : 但你不会嫌自己家大门要锁 自己车要钥匙很麻烦吧 05/29 11:55
35F:推 ppon : noip的ddns设定满简单的 加上lets encrypt ssl凭证 05/29 12:51
36F:→ ppon : 两者皆免费 05/29 12:51
37F:→ prussian : 你可以去问看看他们想不想卖收费频宽让你当 vpn用 05/29 17:37
38F:→ prussian : ,毕竟要自己搞这堆 app 又ddns的还是麻烦又曝露风 05/29 17:37
39F:→ prussian : 险,现成的qc加大频宽对他们反而简单, 懒人需求多 05/29 17:37
40F:→ prussian : 的话也许他们会考虑 XD 05/29 17:37
41F:推 NTUT56 : 我用cloudflare tunnel, QC真的比较慢 05/29 20:05
42F:→ raidcrash : 如果是影音用途 理论上是违反CF tunnel的ToS 05/29 20:39
43F:推 phoque : 企业级不违反ToS 而且还有台北节点 有钱可以考虑 05/30 00:05
45F:→ carlos017 : tunnel一直都有台湾节点 05/30 09:28
46F:推 carlos017 : 不过我是用在docker,如果用在影音方面如楼上所说 05/30 09:34
47F:→ carlos017 : 违反tos,自己要考虑清楚 05/30 09:34
49F:→ phoque : 我的怎麽跑去日本Q_Q 05/30 14:08
50F:推 phoque : 没事 看错 台湾隧道的主机的确是在台湾 05/30 14:18
51F:→ raidcrash : 我现在是用Oracle的免费VPS架Nginx+Authelia CF的 05/30 14:53
52F:→ raidcrash : Access groups实在难搞 有些服务又不想直接对外 05/30 14:54
53F:推 brucetu : 时间太多才会在那边研究东研究西你还跟他们认真?他 05/31 09:17
54F:→ brucetu : 们巴不得看个影片要输入十种认证不怕麻烦的 05/31 09:17
55F:推 violetflames: 只有影音需求其实可以自己搞ubuntu来用的,硬体上 06/02 19:25
56F:→ violetflames: 会比nas好太多 06/02 19:25
57F:→ raidcrash : ubuntu是OS 跟硬体没什麽正相关吧 06/02 19:54