Budowanie NAS

[sebekoo]

A jak to wygląda od strony technicznej. Które jest funkcjonalniejsze ??
https://www.ipfire.org/ tego w ogóle nie znam
DMZ na ruterze tez w sumie nie znam.

Załóżmy że stawiam DMZ na ruterze.
Co się zmieni w funkcjonowaniu obecnej sieci ?
Blokada dostępu z WAN do całego LAN czy tylko do podsieci? LAN będzie funkcjonował jak do tej pory
Jedno z gniazd w ruterze będzie przeznaczone tylko i wyłącznie do "podsieci" np 192.168.5.0/24, pozostałe będą funkcjonować ja do tej pory.

Jeśli mowa i "ipfire" to jest to podobna funkcjonalność jak DMZ tylko softwarowa. Ruter pozostaje całkowicie bez zmian.

Wolnych LAN nie ma
LAN-y teraz mam wszystkie cztery wykorzystane - PC, Zyxel, Ubunty, tuner,
WAN tez wykorzystany

Skłaniałbym się do 'ipfire', z tego względu że będzie chyba szybciej i łatwiej

[TataPingu]

Wolnych LAN nie ma
LAN-y teraz mam wszystkie cztery wykorzystane - PC, Zyxel, Ubunty, tuner,
WAN tez wykorzystany

W końcu to ile masz GNIAZDEK RJ-45 (do LANu po kablu) ?

[sebekoo]

4 LAN
1 WAN

[TataPingu]

4 LAN
1 WAN

No to w takim razie optymalnie...
Tam, gdzie dotychczas jest Zyxel, zostanie Zyxel...
- z tą tyłlko różnicą, że "przerobisz" go na DMZ...

[sebekoo]

No to w takim razie optymalnie...
Tam, gdzie dotychczas jest Zyxel, zostanie Zyxel...
- z tą tyłlko różnicą, że "przerobisz" go na DMZ...

Widzę że dokonałeś za  mnie wyboru. Dziękuję  ;)

Jednak mam jeszcze pytanie: co z VPN może to zastosować??
Nie wiem tylko czy można VPN "połączyć" z FTP?

[gosc]

Można połączyć VPN z FTP.

[sebekoo]

Jeśli można to co jest lepsze VPN czy DMZ?
Czy w ogóle można w ten sposób porównywać (zestawiać)
Czy zastosować jedno i drugie?

[sebekoo]

Teraz napisz, jakiego dokładnie serwera FTP używałeś na Zyxelu?

Znalazłem nazwę FTP na Zyxelu vsftpd

[gosc]

VPN, DMZ, FTP to zupełnie różne usługi, ale można je łączyć ze sobą.

[TataPingu]

Widzę że dokonałeś za  mnie wyboru. Dziękuję  ;)

Nie, nie dokonałem.. :)
- po prostu, stwierdziłem, że sprzęt masz odpowiedni i teraz od Ciebie zależy, jak to chcesz rozwiązać.
Omówiliśmy ogólnie możliwości, teraz powinieneś się zdecydować:
- swoją, homogeniczna sieć z serwerem na czele, całkowicie zamkniętą "na zewnętrz" (zarazem bezpieczną),
plus
Zyxel, jako strefa DMZ (z usługami "na zewnątrz" i dostępem z WANu),

albo remix powyższego i przygotowanie serwera do usług wewnętrzno-zewnętrznych ?

Oczywiście, ta druga opcja nie należy do bezpiecznych, szczególnie, gdy w sieci są windy 10 (wróć do moich rozważań o SAMBIE)

Jednak mam jeszcze pytanie: co z VPN może to zastosować??
Nie wiem tylko czy można VPN "połączyć" z FTP?

To już rzeczowo odpowiedział Kolega @arecki

[sebekoo]

DMZ stworzony wg tego poradnika https://morfikov.github.io/post/konfiguracja-dmz-openwrt/

Jedynie tutaj muszę to chyba jeszcze przerobić na port FTP 21

Kod [Zaznacz] Rozwiń

onfig 'redirect'
    option 'name' 'http'
    option 'src' 'wan'
    option 'dest' 'dmz'
    option 'proto' 'tcp'
    option 'src_dport' '80'
    option 'dest_ip' '192.168.30.234'
    option 'target' 'DNAT'
    option enabled '1'

Bo tutaj jest port HTTP 80

Czy teraz tą zbudowana usługę można już jakoś sprawdzić ??

[gosc]

Postaw sobie jakiś prosty serwer www i sprawdź, czy da się z nim połączyć poprzez DMZ.

[TataPingu]

Jedynie tutaj muszę to chyba jeszcze przerobić na port FTP 21

Kod [Zaznacz] Rozwiń

onfig 'redirect'
    option 'name' 'http'
    option 'src' 'wan'
    option 'dest' 'dmz'
    option 'proto' 'tcp'
    option 'src_dport' '80'
    option 'dest_ip' '192.168.30.234'
    option 'target' 'DNAT'
    option enabled '1'

Bo tutaj jest port HTTP 80

Czy teraz tą zbudowana usługę można już jakoś sprawdzić ??

Domyślam się, że zdecydowałeś się na DMZ-ta (na Zyxelu) i już sobie przygotowałeś odpowiednio router..
- słuszna decyzja, te kilka dodatkowych "stówek" na nowy HDD (do kopii) nie jest warte tego, co mogło by nastąpić po "kompromitacji" na wpół "otwartego" na WAN serwera...
I nie chodzi tutaj o to, że ktoś na serwer się "włamie", bo to jest mniej istotne, przecież nie masz tam jakichś wielkich "strategicznych tajemnic", chodzi o to, że dane można stracić na zawsze (różne VaraCry itp), a pewne rzeczy są nie do odzyskania (np. fotki dojrzewających dzieciaków, relacje filmowe z wydarzeń rodzinnych itp)...
- te dane powinny być chronione w szczególny sposób (włącznie z kilkoma kopiami)!

Szczególnie, jeśli chodzi o robienie kopii, ludzie bagatelizują to sobie. Dopiero, gdy coś stanie się z nośnikiem i dane są NIE DO ODZYSKANIA, dochodzi to do świadomości normalnych userów, że to NIRWANA i znikąd nie uzyska się pomocy (w niektórych przypadkach jest to możliwe, ale koszty są bardzo duże).
Już kiedyś to mówiłem, ale powtórzę jeszcze raz, jeśli chodzi o backup, to użytkownicy dzielą się na:
- tych, co robią regularny backup, i tych, co
- BęDą ROBIć REGULARNY BACKUP (w momencie, gdy stracą swoje dane)...

A teraz do rzeczy, port 80 to standard i jak sam wiesz, przeznaczony jest do HTTP. To w przypadku, gdy połączenie "z zewnątrz" z DMZem nastąpić ma poprzez przeglądarkę internetową (i najczęściej to zachodzi).
Nawet do serwera FTP możesz dojść w ten sposób (FTP://...), więc na pewno jest OK.

Nie znam OpenWRT (i powiem szczerze, że nie mam ochoty tego dogłębnie poznawać), ale widzę, że wiesz, jak sobie go skonfigurować. W głównej mierze chodzi o to, że wszystkie sprzęty znajdują się w sieci wewnętrznej LAN (chyba u Ciebie 192.168.1.0/24), a Zyxel jest w innym zakresie (192.168.30.0/24). Oczywiście, dochodzi do tego WAN.
Wszystkie zakresy rozdziela router (OpenWRT) przyporządkowywując odpowiednio sieci do fizycznych gniazdek RJ-45. Widzę, że z tym sobie poradziłeś.
Teraz tylko kwestia konfiguracji i masz profesjonalnie działającą sieć.

             ROUTER
                  |
WAN<----->eth0  <--- eth1 - LAN (zakres np. 192.168.1.0/24)
                 |      <--- eth2 - LAN (zakres np. 192.168.1.0/24)
                 |      <--- eth3 - LAN - wlan0 - WIFI (zakres np. 192.168.2.0/24 - strefa WiFi)
                 |              |
                 |              |
                 |              |---> |
                 ----------------> eth4 - LAN (zakres np. 192.168.30.0/24 - strefa DMZ)

Oczywiście, powinieneś jeszcze tak skonfigurować OpenWRT, że z sieci 192.168.1.0/24 masz dostęp do 192.168.30.0/24 (ale nie odwrotnie!)

Co do "sprawdzenia", to bardzo łatwo, po prostu łączysz się z poza zasięgu własnych sieci (np. z internetu komórką) z Zyxelem. Jeśli jeszcze nic na nim nie przekonfigurowywałeś, to powinien tak działać, jak przed "przebudową". Prawdopodobnie, jedyne, co trzeba będzie zmienić, to ustawienia w OpenWRT (wcześniej "puszczał" na wszystkie zakresy, a teraz powinien tylko na 192.168.30.0/24)

[sebekoo]

Domyślam się, że zdecydowałeś się na DMZ-ta (na Zyxelu) i już sobie przygotowałeś odpowiednio router..

Tak zdecydowałem się na DMZ-ta.
Ruter muszę jeszcze dopracować

A teraz do rzeczy, port 80 to standard i jak sam wiesz, przeznaczony jest do HTTP. To w przypadku, gdy połączenie "z zewnątrz" z DMZem nastąpić ma poprzez przeglądarkę internetową (i najczęściej to zachodzi).
Nawet do serwera FTP możesz dojść w ten sposób (FTP://...), więc na pewno jest OK.

Muszę sprawdzić to, rano dziś to zrobiłem ale już czasu i wiedzy brakło na sprawdzenie

W głównej mierze chodzi o to, że wszystkie sprzęty znajdują się w sieci wewnętrznej LAN (chyba u Ciebie 192.168.1.0/24), a Zyxel jest w innym zakresie (192.168.30.0/24). Oczywiście, dochodzi do tego WAN.
Wszystkie zakresy rozdziela router (OpenWRT) przyporządkowywując odpowiednio sieci do fizycznych gniazdek RJ-45. Widzę, że z tym sobie poradziłeś.[

Podobnie jak wyżej sprawdzę wieczorem.

Teraz tylko kwestia konfiguracji i masz profesjonalnie działającą sieć.

             ROUTER
                  |
WAN<----->eth0  <--- eth1 - LAN (zakres np. 192.168.1.0/24)
                 |      <--- eth2 - LAN (zakres np. 192.168.1.0/24)
                 |      <--- eth3 - LAN - wlan0 - WIFI (zakres np. 192.168.2.0/24 - strefa WiFi)
                 |              |
                 |              |
                 |              |---> |
                 ----------------> eth4 - LAN (zakres np. 192.168.30.0/24 - strefa DMZ)

Oczywiście, powinieneś jeszcze tak skonfigurować OpenWRT, że z sieci 192.168.1.0/24 masz dostęp do 192.168.30.0/24 (ale nie odwrotnie!)

Mam coś takiego

             ROUTER
                  |
WAN<----->eth0  <--- eth1.1 - LAN WIFI (zakres np. 192.168.1.0/24)
                 |     
                 |     
                 |              |
                 |              |
                 |              |---> |
                 ----------------> eth1.3 - LAN (zakres np. 192.168.30.0/24 - strefa DMZ)

Całą resztę konfiguracji muszę jeszcze dokonać.

Co do "sprawdzenia", to bardzo łatwo, po prostu łączysz się z poza zasięgu własnych sieci (np. z internetu komórką) z Zyxelem. Jeśli jeszcze nic na nim nie przekonfigurowywałeś, to powinien tak działać, jak przed "przebudową". Prawdopodobnie, jedyne, co trzeba będzie zmienić, to ustawienia w OpenWRT (wcześniej "puszczał" na wszystkie zakresy, a teraz powinien tylko na 192.168.30.0/24)

I tutaj coś nie gra.
Bo wchodząc na główny adres wan port 80 (zew IP) pojawia się strona "anteny" (antena ma połączenie radiowe z dostawcą internetu, a w drugą stronę przewodem do rutera) tak jak to było dotychczas. Musze najprawdopodobniej przekierować porty odpowiednie na 192.168.30.0/24

[gosc]

To "antena" to prawdopodobnie router dostawcy, więc będziesz musiał jeszcze z nim porozmawiać na temat przekierowania portów lub przestawienia urządzenia w tryb mostu jeśli jest taka możliwość.