SFTP или SFTP с OVPN

[Cyxap]

Малко предистория.

Ползвам NAS на Synology от няколко години.

Причини:

1. Удобство и някаква условна сигурност при съхранение, запазване на файлове и споделянето им с членове на семейството, с които не сме географски на едно и също място.
2. Използвам няколко преносими компютъра, като на всеки от тях има инсталиран Synology Drive, като по този начин синхронизирам работните си файлове където и да се намирам и на което и да е устройство работя. Същото важи и за останалите членове на семейството, съдържанието на всеки се актуализира автоматично.
3. Достъп до мултимедийно съдържание, предварително свалено на NAS. В DSM има Download Station, клиент, имащ възможност да сваля, чрез BT, FTP, HTTP, NZB, and eMule. Достъп до сваленото отвсякъде, дори и да има национални ограничения от ISP за достъп до торенти.

Та, използвах NAS съвсем тривиално и приемах упреците на мои приятели, че го правя по този начин. NAS зад рутер с публичен, статичен IP, без VPN, като се има предвид, че по някаква причина продължавам да съм привързан към FTP, ползвам FTP клиент на компютрите ми и порт 21 винаги ми е бил отворен, без VPN.

Безумие и немарливост от моя страна, според приятелите ми.

Преместих NAS на друго място, географски, а и с друг публичен статичен IP адрес и сега ще намеря време да си конфигурирам VPN. Днес, след като отворих порт 22, указах правило за forward на порт 22 за да използвам SFTP, само за няколко часа DSM блокира над 50 адреса за въвеждане на 5 грешни пароли в рамките на 5 минути. Част от security на DSM на Synology. Което е досадно, тъй-като получавам нотификации, така съм си настроил NAS.

Въпрос 1: Смятате ли за удачно използване на SFTP зад VPN? Удачно ли е "тунелирането" на вече криптиран трафик, загуба на ресурси ли е, дали въобще е нужно?

Въпрос 2: Forward правилата в момента са ми такива:

Destination     Port    Protokol    Service    Internal       Port     /при включен UPnP/
xx.xx.xx.xx       21     tcp            FTP    192.168.88.80    21                 56472
xx.xx.xx.xx       80     tcp           HTTP    192.168.88.80    80                  5723
xx.xx.xx.xx      443     tcp          HTTPS    192.168.88.80   443                 60634
xx.xx.xx.xx     5000     tcp           DSM     192.168.88.80  5000                 60635
xx.xx.xx.xx     5001     tcp           DSM     192.168.88.80  5001                 60636
xx.xx.xx.xx       22     tcp          SFTP     192.168.88.80    22                 56473
xx.xx.xx.xx    16881     tcp            DS     192.168.88.80 16881
хx.xx.xx.xx     6881     udp            DS     192.168.88.80  6881                  6881

Ако включа UPnP, NAS указва на Mikrotik forward към различни портове, тези най-вдясно. Изключил съм UPnp.
По удачно ли е да редактирам правилата с тях, с тези в червено, както са при включен UPnP или да ги оставя така, еднакви за Destination и за Internal?

Благодаря предварително за отговорите.

[JohnTRIVOLTA]

Приятелите ви правилно ви съветват! Ползвайте VPN за достъп защитено през публична среда на услугите на NAS от колкото да са видими за всички. Имате рутер, който макар и слабичък към днешна дата поддържа широк набор от VPN-и. Може да се спрете на Wireguard, OpenVPN или такъв вграден в Win , като SSTP, L2TP/IPSEC !