在現今數位工作普及的世代,在家中擁有一台 NAS 對數位工作者相信都能帶來不少效益。然而,當將筆電、手機帶離家中時,該怎麼連回家中的 NAS 呢?
不管你是剛購置 NAS 的新手,對如何從外網存取家中的 NAS 毫無概念。或是使用 NAS 好一段時間的老手,對網路並不熟悉、又不想讓 NAS 在網路上裸奔,而遲遲不敢開啟相關設定。
今天,本文即將帶大家來細數在外網存取 NAS 的數種方式,並且搭配手把手教學,帶你挑選最符合你使用情境的外網存取解決方案!
值得注意的是,不同種類的存取方式也都會有對應的資安風險。因此,在進行任何設定之前,都應該確認後台密碼強度、封鎖過多失敗登入、開啟防火牆等基本設定。
不同存取方式所面臨的資安風險面向也不同,可以依據自己的風險偏好選擇。每家服務供應商都有被攻陷的可能,包含 NAS 本身的韌體也可能有零日漏洞。雖然事件發生的機率不大,但也可以試想如何確保事件發生時損失不要太大。像是在外存取 NAS 時,使用非管理員權限的一般帳號,這樣在帳密被偷走的時候至少不會 NAS 整碗被端走。除此之外,平時定期更新 NAS 的韌體也非常重要,近來有不少針對 NAS 的勒索病毒事件發生,因此關於 NAS 的安全議題真是不得不慎。
本文架構:
- 方法一:Synology QuickConnect - 超級簡便又快速!
- 方法二:DDNS - 浮動 IP 也不怕!
- 方法三:VPN - 個人虛擬網路,不管到哪都彷彿置身家中!
- 方法四:ZeroTier - 虛擬區網,全世界都是你的區域網路!
- 方法五:ngrok - 內網穿透神器
- 方法六:固定 IP 並直接插上小烏龜 - 最直覺但不推薦的方式
- 結論與綜合比較
方法一:Synology QuickConnect - 超級簡便又快速!
簡介:
Synology QuickConnect 是 Synology 家的 NAS 獨有的功能,只要註冊一個「QuicConnect ID」後,便能輕鬆從各處連回家中的 NAS,進入 DSM 後台管理設備、取用 Synology Drive、Synology Moments、DS file、DS audio…等核心服務。完全免除了所有路由器、防火牆的複雜設定,使用一個 ID 便能走遍天下。需要注意的是,若在外面想使用 Windows 網路磁碟或 Mac 的 Finder 連入 NAS 的話,則需要搭配 DDNS 功能一起使用,這部分會留到「方法二」一同說明。
設定方法:
首先,先在 Synology DSM 的控制台點選「QuickConnect」。
勾選「啟動 QuickConnect」,並點選「登入或註冊 Synology 帳戶」。
登入 Synology 帳戶,如果還沒有帳戶那就創建一個,務必確認密碼強度夠強。
回到 DSM,輸入你想使用的 QuickConnect ID,並確保不要與他人重複。
設定成功的畫面應該會長這樣子,就可以使用這組 QuickConnect ID 存取各種服務了!好方便!
在「進階」這個分頁可以選擇授權 QuickConnect ID 存取的服務。
我們也可以在這裡看到需多常見的服務都有 QuickConnect 的支援!
小結:
不得不說 QuickConnect 的設定體驗真的是簡單又快速,只要設定一個 ID 就解決了外網存取 NAS 的問題。也可以直接使用 Synology Drive 隨時隨地存取檔案。若要使用 SMB、AFP 等檔案服務的話,還是得搭配 DDNS。需要注意的是,就是因為 QuickConnect 太方便了,為了避免密碼被暴力破解的可能,務必記得要把 DSM 的密碼設得複雜一點、不與其他服務重複,並且建議開啟兩階段驗證、封鎖過多次數失敗登入等功能。方法二:DDNS - 浮動 IP 也不怕!
簡介:
為什麼外網連進 NAS 總是需要許多設定?這個問題大致可以從兩個方向來回答。第一,台灣的家用網路若無特別申請,大多為浮動 IP,這會導致家中的 IP 每過一段時間就會變動一次,造成我們無法找到固定的位址讓我們連到家中網路。第二,大多人家中都會使用路由器/分享器/防火牆等中介設備,因此就算連到家中 IP 了,還需要透過設定,讓中介設備知道哪些流量是要轉發到 NAS 上面去的。流量的種類是以協定來區分,而不同協定則是透過不同的埠口(Port)傳送,因此這個設定在路由器後台通常叫做埠轉發(Port Forwarding)。而 DDNS,則是幫我們解決了上述的第一個問題。我們可以透過 DDNS 的供應商設定一個方便、好記且固定的域名,隨時向 DDNS 的服務供應商獲取家中的 IP,無論 IP 再怎麼變動,NAS 都會向 DDNS 的供應商回報最新的 IP 位址。
至於埠轉發(Port Forwarding)的問題,就得進入「中介設備(路由器/分享器/防火牆等)的後台」設定(注意,並非 NAS 後台)。因此,必須知道如何進入中介設備的設定頁面,並擁有中介設備的管理權限。各廠家的設定頁面不盡相同,在此處會以 ASUS 的路由器為例。
(若根本不知道如何進入中介設備的後台,或是根本沒有管理權限也不要氣餒,後面介紹的其他方式可以解決這個問題哦!)
設定方法:
首先,先在 Synology DSM 的控制台點選「外部存取」。
點選「新增」。
選擇 DDNS 的服務供應商,通常要另外註冊並輸入帳密。
如果是使用 Synology 的 NAS 而且有登入的話,直接輸入想使用的域名就好。
點選「是」,從 Let's Encrypt 取得憑證。
設置完成後等待網頁伺服器重啟。
完成設定的畫面應該會長這樣!
現在利用我們設定的域名就可以對應到 NAS 的 IP,但接下來還需要告訴我們家中的中介設備要把哪些埠 (Port) 的封包轉送到 NAS 上
我們到「路由器配置」的分頁,點選「設定路由器」。
小工具會自動檢測所處的網路環境需要哪些設置。
若你所在的環境只有一台路由器且在 Synology 所支援的設備內,這個小工具可以自動幫你完成設定。
(如果不支援的話,就自己到路由器後台設定轉送規則即可,後面會有範例!)
點選「確定」。
接下來我們可以點選「路由器配置」中的「新增」。
並選擇「內建應用程式」。
如此一來,我們就可以看到所有 NAS 的服務會用到哪些埠,再設定轉發即可!
以 ASUS 的路由器為例,我們進到「外部網路」->「虛擬伺服器」分頁。
(其他廠牌路由器,可以用「Port Forwarding」作為關鍵字查詢如何設定)
假設我們希望可以使用 NAS 上的 FTP 服務,就要把所有「21」號埠口的封包轉向 NAS 上。
新增完成後,就可以順利使用自己的 DDNS 域名使用 FTP 的服務了!
小結:
DDNS 除了可以讓你用精簡好記的域名來取代一長串的 IP 位址外,也能解決浮動 IP 的問題。而 DDNS 也有許多服務商可供選擇,若是使用 Synology 的 NAS 則可以直接使用原廠提供的 DDNS 服務,若有自己購買的域名也可以在 DDNS 的相關設定直接填入,往後分享給別人檔案時,網址就是自己的域名,非常帥氣XD方法三:VPN - 個人虛擬網路,不管到哪都彷彿置身家中!
簡介:
VPN 可能是大家最常見的網路解決方案之一,無論是學生時期要用 VPN 連進校園下載期刊論文,或是進入職場後要用 VPN 連進公司存取工作檔案、郵件等服務。然而,不是每個人都有架設 VPN 伺服器的經驗。不過也別擔心,現在許多廠家的 NAS、路由器都內建了 VPN 功能,只要填入幾個必要的相關資訊,短短時間內就可以架設好屬於自己的 VPN 伺服器!設定方法:
其實 VPN 的伺服器不見得需要是 NAS 本身,也可以是家中的其他網路設備。不過在這邊我們以 NAS 作為 VPN 伺服器來介紹。
首先,到「套件中心」下載「VPN Server」這個套件。
開啟「VPN Server」這個套件,並進入「L2TP/IPSec」分頁,啟用後設定 VPN 金鑰。
(選擇 L2TP/IPSec 的原因是 iOS/Android/macOS/Windows 都相容)
啟動連線後,接下來一樣要到路由器設定轉發規則。
在外部通訊埠中填入 500, 1701, 4500 三個埠,並在本地 IP 填入 NAS 的內網 IP。
這樣一來就大功告成了!成功將 NAS 設定為 VPN 伺服器!
小結:
VPN 除了有快速存取異地服務的好處,適當的設定也可以保護自己的上網足跡。VPN 伺服器也不見得需要是 NAS 本身,可以也是家中的路由器、樹莓派等設備。只要將平常工作用的筆電、手機都預設連入 VPN,則可以隨時隨地存取 NAS 資源。值得注意的是家中的網路方案是否足夠通暢,否則也可能影響到裝置的上網體驗!方法四:ZeroTier - 虛擬區網,全世界都是你的區域網路!
簡介:
ZeroTier 是筆者目前最常採用的內網解決方案,因為其功能實在是太強大了!ZeroTier 可以將你無論是在家中、公司、學校的設備通通串連在一起,形成一個虛擬內網,並給每個裝置一個虛擬 IP,只要在每個裝置上都安裝好 ZeroTier 客戶端,並且在 ZeroTier 控制台授權裝置,存取裝置就像在家中一樣簡單。更重要的是完全不需要設定路由器的埠轉發(Port Forwarding),並且也不需擔心浮動 IP 的問題。對於不想費心/沒有權限設置的防火牆、路由器的人是首選的解決方案!(若是在工作場域使用此方案的人建議先諮詢貴單位的網路管理員,因為在公司使用此類內網穿透方案需要顧慮是否違反公司所訂定的資安規範。)
設定方法:
首先,先到 https://www.zerotier.com 創立帳號並新增一個虛擬網路。
先將這串虛擬網路的 ID 記下來,稍後會用到。
進入 NAS 的「Docker」套件,下載「bltavares/zerotier」這個包裝好的映像檔。
在這裡我們下載最新的版本。
進到「映像檔」這個分頁,雙擊它,啟動我們的容器。
勾選「使用更高權限執行容器」,並且進入「進階設定」。
在「網路」分頁中,勾選「與 Docker Host 使用相同網路」。
在下一步勾選「在精靈完成後立刻啟動容器」,並且「套用」。
在「容器」分頁中,可以看到我們剛剛新增的容器已經啟動了。雙擊它進行設定。
這裡可以看到容器執行的概況,點選「終端機」這個分頁。
點選「新增」旁邊的箭頭,再點選「使用指令執行」。
輸入「zerotier-cli join <剛剛複製的虛擬網路 ID>」
終端機顯示「200 join OK」就表示加入成功啦!
進到 ZeroTier 的虛擬網路管理後台,並且把剛剛加入虛擬網路的 NAS 勾選授權。
如此一來,就可以使用 ZeroTier 的虛擬區網 IP 存取你的所有設備了!(也記得要在所有設備上安裝 ZeroTier 客戶端並加入同一個虛擬區網)
小結:
ZeroTier 是多裝置、多工作地點用戶的好選擇,然而需要注意此解決方案是否符合工作場域的相關規定。除此之外,ZeroTier 的服務帳密也必須妥善保護,並將裝置依需求配置到不同的子網路,以縮小如果子網路的設備遭到入侵後的影響範圍。方法五:ngrok - 適合快速測試的內網穿透神器
簡介:
ngrok 是許多服務開發者常用的內網穿透神器,當然也能用於穿透 NAS 上的服務。安裝後只要指定想公開的服務埠口,一行指令就能獲得服務的臨時存取位址。適合想短暫將服務分享給他人存取的使用情境,並且在使用後只要將服務停止就能終止分享。設定方法:
首先,先到 https://dashboard.ngrok.com/login 註冊 ngrok 帳號。
註冊完成後,在下面先把 ngrok 的服務金鑰複製起來。
接著,進到「控制台」,並且開啟「進階模式」
點選「終端機 & SNMP」
勾選「啟動 SSH 功能」,連接埠預設是 22,怕有人針對 Port 22 暴力掃描的話可以換個埠號。
開啟電腦的終端機並 SSH 登入 NAS。
在 NAS 上輸入指令「wget https://bin.equinox.io/c/4VmDzA7iaHb/ngrok-stable-linux-arm64.zip」(這會下載官方壓縮後的 ngrok 執行檔)
將下載後的 zip 檔壓縮。因為 Synology NAS 沒有內建 unzip 指令,所以用 Python 的內建模組來解壓縮:
「python -m zipfile -e ngrok-stable-linux-amd64.zip . 」
將解壓後的檔案加入執行權限:
「chmod +x ngrok」
驗證(登入)ngrok 服務:
「./ngrok authtoken <剛剛複製的 ngrok 金鑰>」
最後,選擇你要公開的服務以及埠號
「./ngrok <服務名稱> <埠號>」
做到這步就完成了!如此一來,就可以用這串網址在外部存取本機的服務了!
小結:
ngrok 適合臨時的測試、開發,以及短暫分享給他人的使用情境。若想長期使用此類內網穿透方案,可考慮方法四的 ZeroTier 或是 ngrok 的付費方案。方法六:固定 IP 並直接插上小烏龜 - 最直覺但不推薦的方式
簡介:
有些用戶會向網路供應商申請居家的固定 IP,或是學校等企業等機構也會有固定配發好的數個公網 IP,在此情況下,若把 NAS 直接接上外網(不經過任何路由器、防火牆),則可以很方便的隨時隨地透過公有 IP 存取 NAS 的服務。然而,這樣的配置方式是非常不推薦的!因為網路上隨時都有惡意的程式在掃描每個 IP 的主機、服務等相關資訊,直接將 NAS 接到公網上沒多久,可能就會在管理後台收到有人嘗試登入的警告。這也是為什麼許多 NAS 使用者都會叮嚀新手千萬別讓 NAS 在網路「裸奔」,因為這樣的配置方式所面臨的資安風險極大的 😨設定方法:
與網路服務商申請固定 IP,並且將 NAS 插到小烏龜上,直接用公網 IP 就可以存取 NAS。(超簡單但完全不推薦XD 這部分就不另外花篇幅教學了)
小結:
其實向網路供應商申請固定 IP 也不是那麼方便,倒是在學校或企業等機構比較會遇到一條網路線就配一個公用 IP 的場景。在此情況下還是建議搭配防火牆或具防護能的路由設備一同使用較為安全。結論與綜合比較
今天為大家介紹了一共 6 種在外網存取 NAS 的方式。可以發現每種方式配置的複雜程度與使用限制都有所不同,在此也為大家準備了一張比較表格,大家可以依據自己的使用情境與願意接受的資安風險來選擇偏好的使用方式。
最後,還是必須再度強調基本的防護設定一定要做好!關閉不必要的服務、確認後台密碼強度、使用低權限帳號登入、封鎖過多失敗登入、開啟防火牆等基本設定都是很基本的。開啟各項服務時,也建議將預設埠 (Port) 號改為自訂的埠號,降低受到針對埠口進行掃瞄攻擊的機率,千萬不要讓自己的方便變成黑客的方便了 😂
