NAS初心者 Synology DiskStation DS720+ https化断念とファイアウォール設定
Synology DiskStation DS720+ https化を断念した訳とSynologyのNASを選ぶ理由になったファイアウォールの設定をやってみた
まったくもって調べなくちゃ
ならないことが多い毎日です。
NASのセキュリティ対策として
まずはhttpからhttpsの暗号化
をしなければ!と思いました。
やっぱりNASの管理者アカウント
を入力して通信していますからね。
それが万が一漏れてしまっては
大変です。
SynologyのNASは使っている方が
多いので諸先輩方がブログなどで
解説してくれています。
読んでみるとそれほど難しくは
なさそうなので私もやって
みることにしました。
まず肝心なルーターのポート
フォワーディングの設定を
してしまおうと思いました。
私の住処では光コラボの回線では
なく回線とプロバイダが別々の
方式の光回線を使っています。
プロバイダはOCNさんです。
ですのでルーターはONUと
合体しているホームゲートウェイ
PR-500KIです。
(固定電話あり)
以前にもポートフォワーディング
の設定はしたこともあるので
楽勝のはずでした。
はずでした…
PR-500KIの設定画面に入ってみると
絶句しました…
操作したい箇所がグレーアウト
しています。
「アレレレ…」
そして更に追い打ち…
詳細設定の項目の中にあるはずの
静的IPマスカレード設定の項目も
無くなってしまっています。
どうなっちゃっているの?
これ?
なんとかできないものかと
ネットを漁ると設定業者モード
から入っていけばルーターの
設定ができるとのこと!
「やったぜ!どれどれ」
「は?え?無理じゃん…」
しょうがないのでプロバイダの
OCNさんに電話しました。
「あの~NASを購入したので
https化をするのにポート
フォワーディングの設定を
したいんですが設定項目が
グレーアウトしていて
できません」
「以前はできていたのに
なぜできなくなっちゃった
のですか?」
と。
答えはこうでした。
〇〇様少し前に対象のお客様には
メールでお知らせさせて頂いて
いますがご覧になられましたか?
「え…ごめんなさい見ていません」
IPv6をご利用のお客様には
お知らせしましたが通信方式が
変更になりました。
以前のIPv6の通信方式では
ルーターの設定変更ができましたが
今回変わったIPoE方式では
ルーターの設定変更はできなく
なってしまっています。
「マジか…」
もし〇〇様がどうしてもポート
フォワーディングの設定をしたい
ということでしたらIPv6のご利用
は解約することもできますが?
「IPv4だと混雑する時間帯は
速度が遅くなりますよね?」
そういうこともございますね。
「うむ~」
どうしても〇〇様がIPv6を維持した
ままIPv4 PPPoEでポートフォワー
ディングをしたいならば、二重
ルーターっぽくなってしまいますが
PR-500KIにもう一つルーターを
かませてIPv4 PPPoEを使う方法も
ありますよ。
「あ!ブリッジ(パススルー)
ですか」
そうですね。
「なるほど!」
「ありがとうございました
IPv6解約できる件はもう少し
検討してみます。
せっかく速度のでるものを
使っているので」
ということになりました。
ちなみに聞いてみました。
「IPv6で接続なのにPR-500KIの
表示はIPv4 PPPoEになっていますが
大丈夫なんですか?」
と。
それは気にしなくても大丈夫です。
とのことでした。
こうなるとプロバイダ乗り換え
というのも頭をよぎりましたが
違う使い方だとOCNさんは私に
とっては
神プロバイダ
の面がありますのでこのまま
お世話になります。
気を取り直してPR-500KIの
設定を見てみます。
ありますね。
ブリッジ(パススルー)設定の項目が。
ようはこうですね。
どれどれ有線接続のルーターを
探してと…
ここで私は気になりました。
「あれ…配線タップの空きって
あったっけ?」
「無い…まったく余って
いない…どうする?」
配線タップから更に配線タップ
にするしかない。
もしくは配線タップを買い換えるか。
いや…これ以上差し込み口の多い
配線タップはなかったはず。
困りました。
なにかいい方法はないかと
ネットを更に漁るとでてきました。
出典:NTT東日本 フレッツ光の小型ONUの提供開始についてより引用
こ、これは!
これを使えばONU部分とルーター
部分を分離して使えます。
で、対応できるルーターは?と。
こちらです。
これを使えば配線タップも現在
使用しているPR-500KIと入れ替える
ことになるのでコンセントに差す数
は変わらないですね。
配線タップから配線タップという
よりは良いはずです。
というかこれ以上配線タップを
増やしたくはありません。
業務用のルーターばかりですが
個人宅で使用できそうだとなると
ヤマハ製でしょうか。
無線も欲しいしな!
接続はこんな感じになるんでしょうか。
IPv6とIPv4 PPPoEが別々に設定
できますね!
これは良さそうです。
どれどれお値段は?と。
中古でこの値段ですか…
ちなみに新品はおいくら?
え…
10万オーバーのルーターですか…
そうですか…
小型ONUへの切り替え料金も
かかるしそれに+して10万オーバー
ルーター代ですか…
冷静になって詳しく調べるとこの
YAMAHA NVR700Wは無線WAN
でした。
無線LANではありません。個人用途
では意味がない。
使うならば無線なしのNVR510の
ほうですが評判はいまいち宜しく
ないようです。
それとNVR510は無線は無しなので
やっぱり別で無線のルーターが必要。
となるとPR-500KIに安いOCN
バーチャルコネクト対応ルーター
を追加するのと同じになってしまう。
けっきょくコンセントがたりない…
いくらなんでもhttps化の為に
この料金は払えません。
無理です。
ということでNASのhttps化は
諦めます。
代わりにVPNを通して通信する
ことにしました。
スマホで外からNASにアクセス
するときにもね。
正直に言えば少し面倒だなと
思ったのでhttps化したかったの
ですがこうなってはVPNを通す
しか方法はありませんのでね…
万が一管理者アカウントが漏れる
よりはいいでしょう。
ということでhttps化も
わかりやすく記事にしたかった
のですが、ごめんなさい私の
環境では無理でした。
Synology NASファイアウォール設定とセキュリティチェックをやってみた
初心者の私がNASを購入する上で
一番拘った部分の一つです。
自分だけ安全に接続して他からの
接続をいかに簡単に遮断できるか?
ファイアウォールの設定ですね。
やってみましたがとても簡単に
設定できました。
まずはコントロールパネルを
開きます。
そしてセキュリティを開きます。
上段のファイアウォールのタブを
クリックします。
ファイアウォールを有効にするに
チェックを入れます。
すると項目が操作できるように
なりますので赤丸の三角をクリック
してcustomを選択します。
選択したら規則の編集をクリック
します。
作成をクリックします。
ソースIPの項目の位置をクリック
して選択をクリックします。
日本にのみチェック入れます。
そしてOKボタンを押します。
操作の項目で可能をクリックして
OKボタンを押します。
これで規則の作成ができました。
OKボタンを押します。
もう一度OKボタンを押します。
最後に適用ボタンを押します。
これでほぼ安全にNASを使えるよう
になりました。
国内のみのアクセスを許可で
海外からのアクセスは弾く設定に
なります。
ですが完璧はありませんので
用心はしてNASを使わなければ
なりませんがね。
ここまでできたのでついでに
セキュリティチェックも
してみました。
メニューを開きます。
そしてセキュリティ
アドバイザーを起動します。
自宅と個人のまま
起動ボタンを押します。
するとまだ設定していなかった項目
が表示されました。
その項目をクリックすると設定の
項目が表示されます。
このまま青いコントロールパネルを
開きます。
電子メール通知を有効にするに
チェックを入れると項目が選択
できるようになります。
GmailとOutlookとQQとカスタム
SMTPが選べるようですが私は
Gmailを使っているのでその
メールアドレスを入力しました。
そして適用のボタンを押すと
Gmailからアクティビティの許可を
求められますので許可します。
すると設定完了です。
このメールアドレスはNASを使う上で
色々なことに使うので登録しておいた
ほうが良いと思います。
そしてもう一度セキュリティ
チェックをしてみます。
今度は良好になりました。
結果の項目もすべてチェックが
つきました。
次はスマホのアプリをインストール
して設定してみます。