タグ: AD-RT6600ax

  • [Synology] RT6600acは,lotとプライマリネットワークを分離してセキュリティを高める [2022/12/11]

    [Synology] RT6600acは,lotとプライマリネットワークを分離してセキュリティを高める [2022/12/11]

    さらにセキュリティをアップさせる

    家庭でも機器の制御にIoTが一般化してきました.高度にセキュリティを施しているアメリカのNASAでさえ,IoTからのネットワーク侵入を許したという記事 (2019)があります.その記事では,野良IoT機器(管理されていないネットワークに接続された機器; Shadow IT; シャドーIT)が原因であったとのこと.

    家庭でもIoT機器について,更なるセキュリティの向上が必要であると感じています.

    RT6600acでは

    SynologyのRouter製品は,RT2600acとRT6600axおよびメッシュ製品があります.RT6600axでは,管理ソフトウェアSRM (Synology Router Manager)が1.3となり,IoTをプライマリネットワークから分離できる機能が付きました.残念ながら,RT2600acのSRMはバージョン1.2系のままです(2023/11/05).

    この分離のための方法は,以下のリンクに設定方法があるので,それに従って,設定を行っていきます.

    特定のデバイス間の通信を許可する一方で、2つのローカル ネットワーク間のアクセスをブロックする方法は? – Synology –

    https://kb.synology.com/ja-jp/SRM/tutorial/how_to_best_configure_network_isolation_and_firewall

    編集履歴

    2022/12/11 Mr.Harikiri

  • [Synology] Wi-Fiルーター RT2600ac/RT6600axをSoftbank Airに接続してワイヤレスAPとして使用する – 次世代ルーターRT6600についても解説 [2022/10/11]

    [Synology] Wi-Fiルーター RT2600ac/RT6600axをSoftbank Airに接続してワイヤレスAPとして使用する – 次世代ルーターRT6600についても解説 [2022/10/11]

    Synology RouterとSoftbank Air

    家庭で使用するには,過度と思える高度な機能を持つSynology社のWi-Fiルーターですが、blogなど自宅からの発信や出先からのNASのデータ閲覧など高度なことをする場合は外せないのがSynology社のルーターです。出先からどうしてもFree Wi-Fiを使用して自宅のローカルネットワークに繋げなければならない場合など,VPN Plusによる接続は強い味方です.

    これまで、ルーター製品RT2600acが、僕の家でも活躍していましたが、2022年の春頃にRT6600ax * という新しいWi-Fi規格(結果3バンド)および2.5GbE * に対応した高速ルーターが上市されました。一時期品薄になった時に、少し高額でしたがAmazonで手に入れて2022/08から運用しています。

    * RT6600axの特徴
    Wi-Fi接続を複数のネットワークに分離:
    例えば以下のような構成が可能です。基本的にIoT機器は、Wi-Fi接続されています。その接続で脆弱性がある場合、ネットワークが分離されていないと、すべての接続されているデバイスに脅威にさらされることになります。Wi-Fiネットワークの分離が重要であることが理解できます。

    (1) ホームネットワーク :
    プライマリネットワークに接続します。Safe Accessによる悪意のあるコンテンツ(例えば、シッピングサイトやアダルト)をデフォルトプロファイルに簡単に作成して、お子様のオンライン上での行動を管理することができます。

    (2) ゲストネットワーク :
    ゲストネットワークを簡単に分離し、ChromecastやAirplayデバイスへ接続設定が可能です。より厳しい帯域制約とウェブフィルタリング、などにより接続品質が危険なデバイスによって影響されないようにします。

    (3) IoTネットワーク :
    一般的にIoTデバイスは、アップデート頻度が低く脆弱性が高めです。これらデバイスをプライマリネットワークから切り離すことで、潜在的な悪意のある攻撃のバックドアになることを防止できます。一方通行ファイアウォールルールも活用します。

    (4) オフィスネットワーク :
    サーバーやデバイスを分離することで、ネットワークが外部のリソースをホストしている場合や同僚が遠隔地からアクセスする場合に干渉やセキュリティの問題を回避することができます。

    (5) 監視ネットワーク :
    IPカメラ接続ネットワークを隔離、単方向ファイアウォール、独立したトラフィック制御ルールにより、監視タスクの中断、速度低下を抑制が可能です。

    * 2.5GbE(2.5 giga bit ether): 有線規格。歴史的には10baseT→100bastT→1000baseT(1Gbps: giga bit per second), 1GbE)と普及してきた。近年10GbEの普及があると思われたが、なかなか普及しなかったことからその途中を補完する2.5GbEが市場投入されてきている。

    有線LANはいよいよ2.5Gbpsの時代へ!

    2.5GbEカンタン導入術 – planet comm –

    https://www.planex.co.jp/articles/lan/25gbe_no2/

    これまで使用していたRT2600acは、「別宅」に設置しました。別宅には、Synology NAS DS918+を設置しています。Wi-FiルーターはSoftbankの「Softbank Air」です。Softbank Airの有線端末にRT2600acを接続し、RT2600acのWi-Fiにはローカル・デバイスを接続することにしました。

    Softbank Airは、無線の電話回線を使用するWiFiルーターであるため設置工事が不要です。Softbank Airの前には、AU Speed Wi-Fi Homeを2週間使用していました。僕の地域ではSpeed Wi-Fiでは、その通信速度は朝では問題ありませんでしたが、夜7時を過ぎると100bpsと極端なスピード劣化が頻繁にありました。それが我慢できずに、Softbank Airに乗り換えたのでした。Softbank Airは、AU Speed Wi-Fi Homeと比較して極端な通信速度低下はなく満足しています。

    というわけで、Synology NASを使用していて高度なことをしているのに、Softbank Airにネットワーク・セキュリティやローカル通信を任せてはおけないと思い、本宅からRT2600acを別宅に持ってくることにしました。

    僕のネット環境ですが、RT2600ac/RT6600axおよびNASは、同じSynology製であることから、その操作性は同じでそれぞれの管理は楽です。RT2600acは2台あります。故障に備えてもう1台準備していたので、一台は別宅に設置して、もう一台は本宅に予備機として保管しておくことにしました。本宅には、blogサーバーとしてDS920+があります。ルーターにはRT6600axを置きました。RT6600axのローンチと同時にSRMもバージョンアップされました。より高いセキュリティ性や操作性を期待しています。

    RT2600acのSRMバージョン: SRM 1.2.5-8227 Update 5 (2022/09/23現在),
    添付のVPNクライアントのライセンス数は1ですが、追加で20(RT6600axでは増加したことを確認済み、CPUの処理能力に依存しているので妥当な数のはずですが、要確認)まで増やすことができます。今は、その追加は無料で可能です。

    (Release notes)

    RT6600axのSRMバージョン: SRM 1.3.1-9346 Update 1(2022/09/23現在),
    添付のVPNクライアントのライセンス数は1ですが、追加で40(最大同時アカウント数)まで増やすことができます。今は、その追加は無料で可能です。

    (Release notes)

    工事がいらないおうちのWi-Fi – Softbank –

    https://www.softbank.jp/internet/special/air/?utm_source=gkt&utm_medium=cpc&utm_campaign=air&utm_content=2_4_1_10000&gclid=Cj0KCQjwj7CZBhDHARIsAPPWv3eB62-kELQR9C5stZGksVD0IROhFTmGqrEdOBz_t211F9GOXezkiJkaAlt8EALw_wcBhttps://www.softbank.jp/internet/special/air/?utm_source=gkt&utm_medium=cpc&utm_campaign=air&utm_content=2_4_1_10000&gclid=Cj0KCQjwj7CZBhDHARIsAPPWv3eB62-kELQR9C5stZGksVD0IROhFTmGqrEdOBz_t211F9GOXezkiJkaAlt8EALw_wcB

    Synologyルーターを選ぶ理由

    以下に示したような機能/アプリがあり、いろいろな作業が可能です。例えば、セキュリティの維持のための基本的な設定(DoS攻撃対応、ログイン回数制限など)、VPN (Virtual Private Network)によるローカール環境での作業、また、ルーター自体のiPhoneアプリによる管理の容易性、などが特徴として挙げられます。

    SRMとは

    SRM (Synology Router Manager) は、Synology ルーターのOSです。PCのWIndowsにあたります。Webブラウザ/アプリからアクセスして作業します。

    アクセス方法は、以下の2種類が用意されています。Webブラウザでは出来ないことが、アプリではできたりと、少し挙動が異なっています。操作に悩んだ時は、切り替えて作業をしてみてください。

    1. Web ブラウザにより指定のポートにてurlにアクセスしてログインする。
    2. iPhoneアプリ「DS Router」を使用してログインする。

    Synologyルーターを管理するために主に使用するアプリを以下に示します。

    ルーター用アプリ

    1. パッケージセンター:
      標準でインストールされていない機能をインストールしたり、アプリのアップデートしたりする機能があります。Synology NASのDSMにも搭載されているアプリです。
    2. コントロールパネル :
      通常管理に使用する機能群が集約されています。ユーザー設定、地域設定、証明書、SRMのアップデートなど。
    3. ネットワークセンター:
      特にネットワーク管理の機能が集約されています。(1)状態、(2)インターネット、(3)ポート転送、(4)ローカルネットワーク、(5)トラフィックコントロール、(6)セキュリティ、(7)操作モード、などの管理ができます。以下、選択して特記しておきます。
      1. (3)ポート転送:
        ワイヤレスAPモードのRT2600acでは使用できなくなる。因みに、RT6600axではワイヤレスAPモードが選択できない。
      2. (4)ローカルネットワーク:
        ワイヤレスAPモードのRT2600acでは使用できなくなる。使用できなくなるとRT2600acのWi-Fiに接続しているデバイスがあるのに、そのデバイス名を確認できなくなるため非常に困るが、DS Routerを使用すると下のメニューにある「デバイス」から確認できるので、今はこの方法で対応しておく。
      3. (5)トラフィック コントロール:
        ワイヤレスAPモードのRT2600acでは使用できなくなる。
      4. (6)セキュリティ:
        証明書の発行管理などの操作が可能です。
      5. (7)操作モード:
        1. (1)ワイヤレス ルーター:
          Synology NASをプロバイダー経由でインターネットに繋ぎインターネットを使用する場合に使用します。
        2. (2)ワイヤレスAP:
          今回の事例のように、すでにプロバイダーに接続するルーターがあって、そのルーターにSynologyルーターを接続する場合に使用します。
        3. (3)ワイヤレス リピーター:
          Wi-Fiの距離を伸ばす場合に使用します。一般家庭では必要ありません。RT2600acではこの機能は使用可能ですが、RT6600axには搭載されていません。
    4. ネットワークツール:
      pingや経路の検査ができます。脅威のあるパケットを監視するアプリ「Threat Prevention」で脅威として認識されているIPアドレスを、このツールで検査したりできます。
    5. Threat Prevention:
      パケット内容を監視して脅威のレベルに応じてアラートしてくれたり、パケット自体のドロップをしてくれます。アドオン・アプリです。パッケージセンターからインストールして使用します。使用には外付けUSBメモリの接続が必要で、ログ記録に使用します。
    6. VPN:
      このコロナ禍で一気に知られることになった。外部からのアクセスツールです。アドオン・アプリです。パッケージセンターからインストールして使用します。使用には外部ネットワークから接続するため、サイト(IPアドレス)に対するLet’s Encryptなどから得た「証明書」のインストールが事前準備として必要です。

    つまづいたこと

    iOSのWi-Fi設定で「インターネット未接続」、Windows PCで「Npcap Loopbakc Adapter」

    この問題が起きた当初は、Synology NASおよびSynology RouterをSoftbank Airへの接続が原因であると思い込んでいました。ネットネーブルを抜き差しして確認しました。Synology RouterをSoftbank Airに接続し、Synology NASは未接続とすると、iOSでの「インターネット未接続」は表示されませんでした。そこで、Synology NASの設定に原因があると考え、その設定をあれこれ変更しましたが、解決しませんでした。

    何気にWindows 11のSurface Pro 6の下のメニューにあるWi-Fiアイコンにマウスカーソルを持って行った時、「Npcap Loopback Adapter」の表示が出てきました。ググってみると、自分自身にpingを送る時などの検査に使用するもののようです。解決方法は、「Npcap Loopback Adapterという項目が有効になっているはずなので無効化せよ」とのことでした。結局、これを無効化することで、Windows11の「Npcap Loopback Adapter」の表示は消えましたが、iOSでの「インターネット未接続」については、若干、表示が消える時があるものの、まだ表示の継続、たまに表示が消えるなどの状態は改善できてませんでした。

    しばらく様子を探った結果、Synology NASの通信の多さが原因でした。以下の項目でまとめたように、NASにはバックアップ設定をSynology Driveを使っていることで、バックアップが完了していないファイルの転送によるトラフィックが回線を占有する状態となって、iOSが、「インターネット未接続」を判断したようです。NASでのバックアップが完了した後は、この問題は解決しました。

    しばらく様子を探った過程で、ルーターの接続形態(下図)は「ワイヤレスルーター」および「ワイヤレスAP」のいずれでもSoftbank Airを介したインターネット接続が可能であることを確認できました。現在は、「ワイヤレスルーター」で設定しています。この設定により、Softbank AirをDNSとてアドレスを与えられるデバイス群とSynology NASをDNSとしてアドレスを与えられるデバイス群とにローカルアドレスを分けることができました。これによって以下の設定が可能になります。

    1. ホームオートメーションに使用している温度計、赤外線リモコン、スイッチなど制御関係のデバイスが接続されているネットワークをその他のネットワークから切り離す。
    2. データ共有などを利用するWindowsマシン、iOS, Synology NASをホームオートメーション関連のネットワークから切り離す。
    Figure

    VPNクライアント

    Synology Routerの製品別において,同時接続できるVPNクライアント数は以下の通りです.

    デバイス モデルクライアント VPN アクセスライセンスの最大数
    RT6600ax40
    WRX56020
    RT2600ac20
    MR2200ac10
    RT1900ac10
    クライアント VPN アクセスライセンス │ Synology VPN Plus | Synology Inc.

    Npcap Loopback Adapter -ボッチSEのパドリングブログ-

    https://paddling-blog.com/1910-2

    まとめ

    別宅にRT2600acを導入しました。RT2600acは最も外部にあるSoftbank Airに有線で接続しています。RT2600acには、NASやPCおよびiPadなどをWi-Fiで接続しました。

    ローカルネット内は、RT2600acを経由させることで、PC、iPadなどの間で行うファイル転送が高速になると期待できます。おそらくSoftbank AirはRT2600acと比較してそれほど高性能ではないと考えられるためです。

    以上

    編集履歴

    2022/09/23 Mr.Harikiri
    2022/09/24 追記: RT6600axの特徴
    2022/09/29 追記: iOSの「インターネット未接続」とWindows 11の「Npcap Loopbakc Adapter」の問題について。
    2022/10/11 追記: (1)iOS「インターネット未接続」問題の解決したことについて、(2)Softbank AirとSynology Routerの共存設定(ワイヤレスルーター、ワイヤレスAP)。
    2023/04/10 追記: Router別の同時接続可能なVPNクライアント数
  • [Gear] スイッチングハブ – 24ポートもあるネットワークハブに、既存の5/8ポート機器から置き換える – NETGEAR, S350 – GS324T – [2023/07/09]

    [Gear] スイッチングハブ – 24ポートもあるネットワークハブに、既存の5/8ポート機器から置き換える – NETGEAR, S350 – GS324T – [2023/07/09]

    GS324T スマートスイッチ

    ネットワークのハブは、これまでにネットワーク機器が増えるたびに5ポートや8ポートのハブを追加してきましたが、どんどん複雑になり絡まってきたことから、シンプルにしたくて24ポートのこの機器を導入しました。選択理由は、スチールケースであること、ポート数が多いこと、および価格の安さ(約¥1.6万円)です。

    このハブはスイッチングハブであり本格的です.本体にネットからログインして,以下の通り各種設定を行うことができます.

    1. システム
      • 管理
      • デバイスビュー
      • SNMP
      • LLDP
      • サービス
    2. スイッチング
      • ポート
      • LAG
      • VLAN
      • Auto VoIP
      • STP
      • マルチキャスト
      • アドレステーブル
      • ループ防止
    3. QoS
      • QoS
      • DiffServ
    4. セキュリティ
      • 管理セキュリティ
      • アクセス
      • ポート認証
      • トラフィック管理
      • ACL
    5. モニタリング
      • ポート
      • ログ
      • ミラーリング
    6. メンテナンス
      • リセット
      • エクスポート
      • アップデート
      • ファイル管理
      • トラブルシューティング
    7. Help
      • オンラインヘルプ
      • 登録
    8. 索引
      • サイトインデックス

    接続機器には、以下のような機器があります。

    • DS918+ (Synology)
    • DS920+ (Synology)
    • RT2600ac (Synology)
    • DBR T660 (TOSHIBA, Blue Ray Disk Tuner)
    • REGZA RE1 (TOSHIBA, TV)
    • Windows 10 PC x 2 (i7, i5自作)
    • IPHL2A (I-O DATA NAS)
    • RockDisk x4 (I-O DATA)
    • RockDisk Next x3 (I-O DATA)

    色々機能があるようですが、使い道はよくわかりません。これまで通り、有線のネットワーク機器を繋いでいるだけですが、今後は、少しずつでも備わっている機能について確認しなが活用できればと思っています。

    • 【S350スマートスイッチシリーズ「GS324T」】
    • 中小規模ネットワーク向けの高機能・高コストパフォーマンスなL2スマートスイッチの5年保証モデル
    • ノンブロッキングのギガビット帯域と強固なネットワークセキュリティを、手頃な価格で実現
    • ウェブブラウザーベースの管理GUIまたはスマートコントロールセンターで容易に管理
    • 高度なVLANサポート/ L2/L3/L4アクセスコントロールリスト / ポートベース、802.1p、L2/L3/L4 DSCPベース QoS
    • 自動DoS保護 / ポートミラーリングによるネットワークモニタリング
    • レートリミットおよびプライオリティキューイングによる帯域幅の割り当ての最適化
    • 5年保守

    パスワードリセット

    初期パスワードは”password”です.忘れた場合は,フロントパネル左隅にあるスイッチ穴に細いマイクロドライバーなどを指して5秒以上押し続けてすべての設定を初期状態にできます.

    GS324T シリーズギガビット24ポートスマートスイッチ (SFPポート×2) — NETGEARサイト —

    1. 製品データシート
    2. インストールガイド
    3. ハードウェアインストールガイド
    4. ユーザーマニュアル

    https://www.jp.netgear.com/support/product/gs324t.aspx#docs

    シリーズギガビット24ポートスマートスイッチ (SFPポート×2)

    GS324T – NETGEAR 購入Site –

    https://store.netgear.jp/products/detail/74

    初期設定/NETGEARスマートスイッチ

    https://beginners-network.com/netgear/smart_first.html

    GS324T – Firmware ダウンロード

    ファームウェアのアップデートするページは,メンテナンス -> アップデート -> ファームウェア.

    https://www.jp.netgear.com/support/product/gs324t#download

    編集履歴

    2021/01/04 Mr.HARIKIRI
    2023/07/09 追記: パスワードのリセット.ファームウェアのダウンロード.設定項目リスト
  • [Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する  [2021/08/01]

    [Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する [2021/08/01]

    はじめに

    Synology NASおよびRouter製品のセキュリティの話です。今回は、Router製品の上位機種であるRT2600acのパッケージ「Threat Prevention」の分析結果をネットワーク管理者としてファイヤーウォールとの連携について解説します。

    Threat Preventionは、日々、怪しいパケットの重大度に応じて、バケットを「ブロック」、「アラート」及び「何もしない」の3つの基本的な処理を実行してくれます。

    怪しい動作をするパケットのデータベースは、外部のデータベースであり有志によって日々アップデートされています。Threat Preventionでは、重大度の高いパケットは、デフォルトでドロップ(ブロック)されます。

    たまには、Routerの管理者は自らで、Threat Preventionのログを確認して、怪しいパケットのIPアドレスを確認し、頻繁にアクセスするIPアドレスに対して、ファイヤウォールによる拒否設定をしておくことが、ネットワークセキュリティをより安全に維持できると考えます。以下は、そのルーチンワークとしての設定して方法を簡単に解説しました。

    ルーチンワークの概要

    1. Threat Preventionのログの日々の確認
    2. 怪しいIPアドレスを認識したら、
    3. ファイヤーウォールの設定で、そのIPアドレスを拒否設定

    ルーチンワークの詳細

    • 週に一度は、Threat Preventionのログを見る
    • Threat Preventionからのドロップ通知メールを活用しても良い
      • 例えば、通知メールがきたら、そのタイミングを活かしてThreat Preventionのログを確認する
    • Threat Preventionのログを確認して、アクセスしてくる(ソース)、または、自サイトのデバイスからの、アクセス先(ディスティネーション)として、頻度の多いIPアドレスを確認する
    • Threat Preventionのログにおいて、自動でドロップされているものは、セキュリティに重大な影響を与えるものと認識されているので、そのIPアドレスを手元に控える(コピー)
    • ネットワークセンターのセキュリティからファイヤウォールタグを開き、そのIPアドレスの「拒否」設定を行う

    Threat Preventionでは、アラート処理に留まっており、ドロップしていないことがログよりわかりました。何かの対応策が必要です。

    Threat Preventionの操作

    ネットワークセンターの操作

    ネットワークセンターのセキュリティからファイヤーウォールを開いて、目的のIPアドレスを「拒否」設定する。「作成」タグを開いたら、設定画面が現れる。以下の設定リストを参照して、「名前」、目的のIPアドレスは「ソースIP」、「操作」は「拒否」に設定、その他はデフォルト(すべて)で問題ないと思います。

    Alert

    ET POLICY Outgoing Basic Auth Base64 HTTP Password detected unencrypted

    • ID/PWをHTTP経由で送信する場合に、MD5アルゴリズムでBASE64(バイナリ基数64)に変換(エンコード)される。これは決して暗号化を意味していない
    • DDNSのサービスを提供している「myDNS.jp」関係で、このファルター検出に引っかかることがある(要調査)。

    RT2600acにいて

    Synology RT2600ac (WiFiルーター)については、以下の記事もご参照ください。

    まとめ

    Synology Router RT2600acのパッケージツールとして、「Threat Prevention」と「ファイヤーウォール」の連携による運用(ルーチンワーク)の事例を解説しました。

    Threat Preventionは、Synology Routerのパッケージなので、その他のメーカーのルーターで、同様の機能があれば、今回と同じ概念で運用が可能だと思います。因みに、Threat Preventionは、シンプルなIDSのひとつですが、一般的な家庭用ルーターには装備されていません。

    編集履歴

    2021/03/22, Mr. はりきり
    2021/05/08, 文言整備
    2021/08/01, 文言整備
  • [Synology] DS920+のblog server – 15時間のアクセス普通について、今回の原因とは、そしてその対応 [2021/02/22]

    [Synology] DS920+のblog server – 15時間のアクセス普通について、今回の原因とは、そしてその対応 [2021/02/22]

    はじめに

    なぜか、RT2600acのポート転送にWeb Serverへの設定が消えていたことで、HARIKIRI-INSIGHTのBlogへのアクセスができず普通になっていた。そのサーバーダウンの期間は、2/22 AM3ごろからPM3の12時間です。Google Search Consoleからアクセス数を見ていて、「おや、今日は休日の間にある平日だから、8人しかアクセスがないのかな。いつもは50人程度の訪問者がいるのに」と、思いました。いやいや、そんなことは無いと思い直して調査を開始。

    ブラウザからBlogページにアクセス出来なし、DSMへのリモートアクセスもできません。そうです、全く、DS920+にアクセスすることができなかったのでした。

    SynologyのツールのDS FindでDS920+を探して、これを使ってようやく、DS920+のDSMにログインできました。あとは、以下のように調査と対策を行いました。

    対応した作業

    RT2600acのポート転送が消えていることに気づくまでには、Web Server/WordPressをの載せているDS920+のEZ-Internetで再設定したりして、盲目的に解決を試みましたが、アクセスができずにいました。

    ポート転送を確認してみると、EZ-Internetで再設定したはずなのに、RT2600acの設定には、Web Server/WordPressのDS920+の設定が一切ありませんでした。どうやら、RT2600acでのポート設定も消えたし、PnP設定も機能していないようです。RT2600acが怪しそうです。

    とりあえず、DS920+のポート設定をPnPではなく、手動で設定して、確かに設定されていることを確認し、プラウザーからアクセスして接続できることを確認して、この問題の解決に至りました。

    RT2600acの再起動が必要かもしれませんが、このように、NASのEZ-InternetのPnP設定によるルーターRT2600acへのリモート設定がちゃんと働かないことが以前にも多くありました。

    原理を理解しているなら、手動による設定が最も良い対策になることを今回の不具合で理解しました。

    みなさまもお気をつけ下さい。原理は知っておく必要性を強く感じました.

    編集履歴

    2021/02/22 MR.HARIKIRI
  • [Gear] 無線ルーター WXR-2533DHP2 – [2020/12/31]

    [Gear] 無線ルーター WXR-2533DHP2 – [2020/12/31]

    Buffalo WiFiルーター WXR-2533DHP2

    DS918+でブログを開始するまでは、このWXR-2533DHP2をAmazonのタイムセールで購入して1~2年程度使っていました。現在は、Synologyの高速ルーターRT2600acを使っています。NASがSynologyなので、相性的にはこの組み合わせが正解です。

    WXR-2533DHP2は、いざと言うときに備えて、すなわち、RT2600acが故障した場合に備えて、我が家の遊休品になっています。

    接続方法

    長期間使用していないと忘れてしまうため、ここに接続方法を残します。

    <local IP address>/html/login.html

    取説・ファームウェア

    ダウンロード

    最新ファームウェア Ver.1.45, 2020/02/25

    https://www.buffalo.jp/product/detail/software/wxr-2533dhp2.html

    初期化方法 – youtube –

    https://youtu.be/2QUQ4Gjk7WE

    編集履歴

    2021/01/01, Mr.HARIKIRI

  • [Synology] 以前からeo光(1Gコース)なのに速度が遅く感じられていた(100Mbps) – 6A型(CAT6)のネットケーブルで改善 (300 ~ 500Mpbs) [2021/03/30]

    [Synology] 以前からeo光(1Gコース)なのに速度が遅く感じられていた(100Mbps) – 6A型(CAT6)のネットケーブルで改善 (300 ~ 500Mpbs) [2021/03/30]

    eo光の速度の測定

    もう数年以来、ネットの速度が遅いなぁ~と思っていたが、ありまり実害が感じ無かったので放置していました。ネットでの実害と言えば、nintendo Swithcの「スプラトゥーン2」をしていて、夜中12になるとそろそろ始まり、1時には、もう頻繁に接続が切れることくらいでした。現在も続いていますが、以下のネットワークケーブルを交換してどうなることは、今後確認してみます。

    今回は、単にネットの測定結果として、速度が改善されたという話題です、以下のeo専用のeo光の速度測定サイトから測定します。

    コースごとの測定

    コースごとの測定が選べますが、全てのコースで測定しましたが、僕にとっては、どれもそれほど差があると思えないのですが、とりあえず1Gコースがホームネットワークに適用されています。eo光は100Mコースから始めていますが、途中、色々とコースが提供されていました。でも、特に必要性を感じなかったので、これでまで流されてきています。100Mコースが自動的に200Mコースになり、今の1Gコースも多分自動的に適用されたと記憶しています。

    今回、上述したようにネトゲの通信問題、WordPressでのあるプラグインで処理した時のtime out問題、少し放置しておくのも限界と思いたました。

    ケーブル交換前の速度

    朝10時ごろの測定結果を以下の図に示します。下りが131Mbps、上りが76Mbpsと、あっと驚く測定結果でした。まさかと思いました。

    ケーブル交換後の速度

    ケーブルの交換後、朝11時ごろの測定結果を以下に示します。下りが、1回目で304Mbpsと上りが488Mbps、2回目で364Mbpsと538Mbps、結構な改善効果でした。

    その他のコースで測定

    参考に、適応されている1Gコースではない、その他のコースで測定した結果を以下に示します。

    関西在住者必見「10ギガ」の「eo光」はどのくらい速い? – ASCII –

    ブラウザによつては、ネットの速さはだいぶ違うようだ(はりきり)。

    https://ascii.jp/elem/000/001/830/1830511/2/

    使用したケーブル

    ケーブルの選択は、同じ過ちをしないために、これまで使用していたスリムタイプでなく、シールドがしっかり施されている従来通りの太いケーブルを選びました(A6, ストレート)。特に「eo光」対応や、A6と記載されている、少し価格帯が高いものです。

    ホームネットワークの無線ルーターは、Synology RT2600acです。eo光の終端装置は、富士通のONU3GEF/FE2です。この間の上記ケーブルの5mで接続しました。また、この終端装置は、1Gコースまで使用できるとOptageからアナウンスされている機種です。今後、5G/10Gコースに変更する場合は、変更が必要な終端装置になります。

    ●バッファローのケーブル表示 E301195 AWM STYLE 2725 V W− — 教えて! goo —

    CAT5e相当のケーブルでは、信号線のツイストペアが4本(合計8本)は、平型ケーブルで作られているものがあるが、CAT6では、ツイストペアを確実に分別するために十字の仕切り物があるので、平型は作ることはできない。CAT7では、更に各サイストペアにシールドが施され、コネクタがアースが必須のSTPコネクタとなっており、業務用となっている

    https://oshiete.goo.ne.jp/qa/11918302.html

    回線テスト

    ある時刻になると、途端に接続が断続的に切れたり、繋がったりを1分間隔で発生してます。毎日です。この現象は、24時を過ぎる、あるいは調子がいいとは、1AMまで大丈夫で突然に発生します。~6PM頃でも、同様の現象を経験していますが、時間が一定であることから、eo光側の運用の影響ではないかと強く思っています。

    そこで、ネットが切れる現象が生じた時を見計らって、以下のリンクに示したeo光のユーザーサポートにある「回線テストを行う」を実施してみました。その結果、接続に問題なしの判定でした。

    この問題は、1年以上前から生じているので、現在のeo光1Gコースから5Gコース、または、10Gコースに変更することを何度か検討しましたが、現在まで保留にしていました。現在(2021/03)、インターネットの切断/接続を繰り返すという原因を掴み切れていませんが、最近、Synology Router のRT2600acのネットワークモニターとNintendo Switchの回線ストを使って確認してみました。ネットワークモニターでは、(1)WiFiは正常につながっているのに、(2)インターネット側で「制限付き接続」という表示が、上記の記載の通りに断続的に表示されます。正常接続を交互に繰り返しています。

    Nintendo Switchの回線テストを実施したとき、まず、インターネットの接続状況を判定し、正常であれは、NATタイプ、ダウンロード速度およびアップロード速度を測定します。それぞの値は、通常、~70kbpsと~30kbpsです。この場合、RT2600acのネットワークモニターでのピーク速度は、ダウンロードで300KB/s、アップロードで6KB/sです。一方、ダウンロードで150KB/sを下回ってくるとと、この測定の段階でエラー(接続不良)を報告してきます。

    Nintendo Switchでの回線テストを実施しなくても、インターネットの接続は、断続的に接続/切断を繰り返すことを観察できているので、ゲームによる大容量の通信が原因でインターネットの回線が切断されているとは考えられず、eo光側の問題であると思われます。ただ、RT2600acのハードウェア的な問題である可能性も排除できていません。この問題については、もう一台RT2600acを準備してから検討する予定です。

    eo光側が原因である可能性というのは、eo光の設備の問題、加入しているコース(1G)の問題も含みますが、コースの問題だとして5Gコースのコース変更は、現在、申し込みが停止されています。新型コロナの問題が発生した初期(2020/~5)では、まだ、コース変更の申し込みは停止されていませんでしたが、現在は、5G/10Gコースへの変更・新規加入は停止されています。世界的に半導体の供給が少ないことが理由であるとOptageは言っています。以上のように、現在まで、長らく続くホームネットワーク問題です。

    障害情報一覧 — Optage —

    「回線テストを行う」から光回線の状態をテストできます。eo光設備から、宅内のONU(終端装置)までの不具合をチェックできるようです。おそらく、光ファイバーの劣化・断線についてチェックされるものと思われます(2021/03/30, MR.HARIKIRI)

    https://support.eonet.jp/ac_list/

    [Q] eo光ネット 1ギガコースへ変更したが、コース変更前と速度が変わらない – eo光ネット –

    https://support.eonet.jp/usqa/net/4202367_14139.html
    編集履歴
    2020/10/19 Mr.Harikiri
    2021/03/27 ホームネットワークのメンテナンスとしてELECOM Laneed 6A型を1m x 2, 2 m x 3, 3m x 1を購入したので、この機に文言整備、CAT5,6および7の違いについて、教えて!goo、blue_plusさんの回答を参照.
    2021/03/30 追記 (eo光の「回線テスト」について)
  • [Synology] 自宅に設置したNASにWordPressを構築してblog配信、高まるネット・リスクとセキュリティ対策 –  [2020/12/31]

    [Synology] 自宅に設置したNASにWordPressを構築してblog配信、高まるネット・リスクとセキュリティ対策 – [2020/12/31]

    ID22342

    はじめに

    これまで、DS918+を導入しblogを公開してから1年程度のサーバー管理をしてきましたが、アドレスを公開する前後では、サイバー攻撃を受ける割合が相当増えました。

    WordPressへのログインは、ログを取っていない(何かいいプラグインがあるかも知れません)のでわかりませんが、DSMへのログイン攻撃が増加しました。これは、別の記事でも述べている通り、正に、「Low and Slow」によるブルートフォース攻撃です。ブルートフォース攻撃では、DSMのログインに対して、2~3分ごとに、IDをAdminやその他考えられるIDに変更しながら、パスワードを試行してくるのです。

    今年2020の春ごろにDS918+のログを何気に見て気がついたので良かったものの、そのログから3ヶ月以上の間ひたすら2~3分毎に試行を繰り返していました。少し冷や汗が出てきます。

    この攻撃に対して、どのように対処したら良いのか、最近起こった「ドコモ口座」の内容に絡めて解説します。

    ドコモ口座の不正引き落としサイバー事件

    ドコモ口座は、簡単な手続きで広くユーザーに使ってもらうというコンセプトがあったようです。その結果、ドコモ口座の取得には本人認証がなく、偽名での口座開設が可能だったこと、更に、コンピュータからのドコモ口座へのアクセスも可能であった事から、コンピューターパワーを使ったサイバー攻撃により、口座IDとパスワードが盗まれたのではないかと推定されています。

    ドコモ口座について

    ドコモ口座は、数十もの銀行と連携しており、ドコモ口座のアプリをインストールした携帯電話などに現金を振り込み(チャージ)できます。そのチャージで簡単に決済ができる仕組みです。

    連携しているとは、ドコモ口座にログイすれば、ドコモ口座と連携している自分の銀行の口座から、ドコモ口座への入金が簡単にできてしまう事を意味します。

    日本の銀行が、二段階認証を進めているのに、連携している「ドコモ口座」が「ザル」では、セキュリティは台無しになります。ドコモ口座は、セキュリティホールになっていました。

    考えられるパスワードの漏出

    ドコモ口座の構造が分かれば、攻撃手法は想像に難しくありません。私が経験した「Synology NASに対する不正ログイン攻撃」の手法が、まず考えに浮かびます。

    そうです、2~3分おきにIPアドレスを変えながら(これを「Low and Slow」攻撃と言います)、一定のIDとその都度パスワードを変えて試行する事を、数ヶ月でも繰り返すやり方です。これをブルートフォース攻撃(あのブルートの力任せという意味)と言います。

    前回、春頃と今回、クリーンインストールした直後に攻撃された際のログを見ると規則的に試行しているのが分かります。

    あとは、類似の手法として、リバース・ブルトーフォース攻撃です。これは、パスワードを一定にその都度IDを変えて試行することを繰り返すやり方です。これらのほとんどは、攻撃に気付かれないように「Low and Slow」のやり方と合わせて攻撃してきます。最後に、参考文献では、「パスワードスプレー攻撃」というものもあるようです。少しロジックが凝っているので、ハッカー好みかもしれません。詳しくは、参考文献を確認してください。

    Synology NAS製品での対策

    Synology製品のルーターおよびNASであるRT2600acおよびDS918+では基本的に以下の対策を講じることができます。ルーターを直接攻撃あるいはアクセスしてくることは、機器の性質上から少ないのですが、それでもインターネットからのログインでルーターの管理を実施できるようにしている場合は、NASと同様の対策が必要です。Synology Routerの設定については、別の記事をご参照ください。NASの場合の設定は、「コントロールパネル」から行います。

    1. 管理者権限ユーザーの2段階認証を設定
      • 「ユーザー」画面から設定する
      • 管理者を選択して、2段階認証を有効に設定する
    2. パスワードを出来る限り長く複雑にする
      • ユーザー画面から設定する
      • 今回の「ドコモ口座の事件」では、他の銀行と同様にパスワードは4桁でした。ブルートフォース攻撃をしやすい桁数です
      • なぜなら、ドコモ口座へのログインは、パソコンを使用できるため、世界に溢れるその手のツールを使って、パスワードをハッキングする事は容易です
      • Synology NASやパソコンは、銀行口座のようにパスワードの長さ制限について、人間のレベルとしてほとんど無いと言えます。できるだけ長くして複雑にすれば、ハッキングでパスワードを盗まれるリスクは低下します
    3. 「ファイアウォール」によるIPアドレス、ポートの閉鎖
      • 「セキュリティ画面」の「ファイアウォール」タグから設定する
      • Synolgoy製品には、NASとRouterがありますが、いずれもLinux系のOSが使用されています。もちろん、Linuxはサーバーを意識した設計であり、UNIXを親に持つため、サーバー系のツールが豊富にあります。Synolgoyは、台湾の企業であり世界的な企業です。自社製品に対する最適化は日々続けています。安心して導入しましょう。
      • NASでは、今回の攻撃に対して、「ファイアウォール」の設定によって、どうにかこうにか、攻撃を退けることができました。
      • 設定としては、受け付けない「IP」、「国」、「Port」を設定(Deny}することができますが、1つの設定に15か国までしか選択することができません。すべての国を選択し終えるには、数十のルールを作りました。日本以外のすべての国をDenyにします。この設定の結果、身に見えて2~3分の間隔でのアタック間隔は長くなり数十分程度になりました。漏れもあり完全ではありません。この漏れ対策は、以下の「自動ブロック」に続きます
    4. 「DoS保護」
      • 「保護」タグから設定します
      • 「DoS保護を有効にする」をチェック
    5. 「自動ブロック」によるブロックリスト化
      • セキュリティ画面の「アカウント」タグから設定します
      • 「自動ブロックを有効にする」をチェック
      • 「ログイン回数」を10 (緊急時には1:リアルタイムでの対策時の設定、でも1でもいいかも知れません)
      • 「分以内」を1440 (長い間隔でも漏らさないため)
      • 「ホワイト/ブロック リスト」ボタンで現れる画面から、「ブロックリスト」タグを開くと、自動で登録されたブロックIPアドレスを確認できます。このリストはエクスポートして、別のNASにインポートしておきましょう
      • ホワイトリスト」タグでは、ローカルのアドレスを設定しておきましょう。いざという時に、ローカルでのログインができるように。
      • 漏れたIPアドレスは、自動的に「ブロックリスト」に登録されますが、この設定の結果、「ファイアウォール」の設定により、70余りのIPアドレスがブロックリストに登録されました。その後、数日間続いたDSMへのログイン攻撃は、全く無くなりました
      • 自分の操作として出先から、DSMへのログインを上記の設定を超えて失敗した場合、自分の通信事業者のIPアドレスがブロックリストに追加されてしまい、出先からのログインができなくなります。その場合の対処方法は以下の通りです
        • 自宅に帰ってから、ホワイトリストに登録していローカルアドレスでログインして、ブロックリストから、おそらく通信事業者は日本のはずなので、日本を目当てにプロックされている項目を探して解除する。その他自分に関連するものも解除する
        • 出先からは、VPNに接続してローカルアドレスでログインして、上記の内容と同様に解除します
    6. もしもSynology Routerを使用しているなら、「Threat Invension」は是非導入すべきです。もちろん「ファイアウォール」も設定することもできます。

    参考文献

    「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は

    https://www.itmedia.co.jp/news/articles/2009/09/news048.html

    「ブルートフォース攻撃」と「リバースブルートフォース攻撃」の違い

    https://wa3.i-3-i.info/diff312attack.html

    パスワードスプレー攻撃とは?仕組みと被害の特徴、対策方法について徹底解説, 2019 – CyberSecurity.com –

    1) ブルートフォース攻撃とリバース・ブルートフォース攻撃 : ブルーとフォース攻撃とは、あるIDに対して、総当たりのパスワードを入力して当たりを探す、力任せの攻撃。転じて、リバースが付くリバース・ブルートフォース攻撃は、パスワードを固定してして、IDを総当たりで行ってくる攻撃

    2) パスワードスプレー攻撃 : 同じパスワードで、同時に多数のアカウント(ID)に対して、不正アクセスを試みる攻撃

    3) Low and Slow攻撃 : 攻撃もとのIPアドレスを一回一回変えながら、しかも、数分の間隔を空けて、不正アクセスを試みる攻撃の手法。ブルートフォースなどの攻撃手法と組み合わせて攻撃してくる

    https://cybersecurity-jp.com/column/30629

    まとめ

    Synology NASの不正ログイン試行への対策について解説しました。レンタルサーバーを使わない茨の道を選んだのですから、頑張って地道に確実に行きたいものです。

    編集履歴

    2020/09/11 はりきり(Mr)
    2020/12/31、追記 (自分がログインを何度も失敗してブロックされた場合の対処方法)
  • [Synology] フルスペック化した DS918+ / DSM更新ができずクリーンインストールを余儀なくされたが、なんとか復旧に至るまでの道程 -[2021/03/06]

    [Synology] フルスペック化した DS918+ / DSM更新ができずクリーンインストールを余儀なくされたが、なんとか復旧に至るまでの道程 -[2021/03/06]

    ID22058

    はじめに

    前回までに、導入初期にはDS918+を最小構成で立ち上げ、その後、予算と暇にまかせてフルスペックにしてきました。本サイトのWordPressによるblog配信やホームサーバーとして、しばらく安定稼働させていました。

    最近、安定稼働への不安要素が出てきました。それは、DiskStation Manager (DSM)のバージョンアップがあり、更新をしようとするとディスクスペースが不足するとのメッセージが出て更新を受け付けてくれない事です。このままアップデートできない場合、セキュリティ問題を少ならかず抱えてしまいます。

    • コントロールパネルのDSM更新画面を確認すると
    • 状態が、「DSM 6.2.3-25426をダウンロードできます。」となっていた
    • ダウンロードは正常に完了した
    • 状態が、「今すぐアップデートする」に変わった
    • アップデータを開始すると、確認画面が出るので、「はい」で開始した
    • 開始した途端、すぐに「このシステムでの利用可能なドライブ スペースが不足しています。」の表示が出て更新作業が中断された
    図1. DSMの更新ができない

    その後、なんとかしてDSMの更新作業ができないかSynologyのサポートを求めたり、ネットで調べたり(*)しましたが、結局は、以下のように、自力でクリーンインストールをすることにしました。問題があったバージョンは以下の通りです。

    (*) 因みに、ネットで情報を得るには、原文を読まないといけません。英語を翻訳していたりすると、さっぱり意味がわからないことが多いです。Synologyサイトにしても原文は英語です。Synology関連の日本語の説明を読んでもよく分からないことがあります。そんな時は、英語の原文にあたります。
    • マシン : DS918+
      • 16 GB メインメモリ(8GB x 2 * ), RAID5
      • 8TB HDD x 4 (WD RED)
      • SSD Cache 512 GB x 2 (WD), 読み書き
    • 旧バージョン : 6.2.2-24922 Update
    • 新バージョン : 6.2.3-25426

    概要

    Synologyのサポートセンター

    図2. Synology サポートサービス

    先ず、Synologyのサポートを利用(2020/06/05)しました。DSMにログインして「サポートセンター」から状況をテキストで記載して送信すると、数日するとemailに返事があり、状況をよく理解するために写真を送れと指示がありました。

    • エラ〜メッセージのスクリーンショット
    • ログ (debug.dat) : 「サポートセンター」の「サポートサービス」の「ログ作成」で「システム」をクリックして「ログ作成」をクリックすると、debug.datがダウンロードされる

    iPadの録画機能を使って、DSM更新する様子として、更新ができないと表示されるまでので様子を録画して、Synology オフィシャルページ・サポートから添付し返信しました。サポートからの提案としては、サポートがログインして作業する案が提案されていましたが、少し躊躇しました。一時的にであってもです。

    提案内容

    リモートアクセスの情報提供の方法

    1. 「メインメニュー」をクリックします。
    2. 「サポートセンター」をクリックします。
    3. 「サポート サービス」をクリックします。
    4. 「リモートアクセスを有効にする」のチェックボックスにチェックし、「適用」をクリックします。
      • ※リモートアクセスの有効期限内であることを確認します。
    5. 表示される「サポートIDキー」と「adminのパスワード(一時的パスワードに変更)」を当チケットに記載し、ご連絡ください。
      • 2段階認証が有効の場合は、当検証が完了するまで「無効」としてください。

    いくらSynoloygと言っても、ネットに招待すること、しかも、管理者権限でのアクセスはセキュリティ上難しいと思いました。

    数日考えた結果、その返事は保留して、クリーンインストールを含め自力で解決する方・対策を考えることにしました。

    Synology テクニカルサポートとのやりとり期間は、2020/06/05~2020/06/11でした。06/15には、Synology Online Support Surveyがemailに来ました。もちろん、私は、サポートの提案から”逃げた” ので、サーベイすることはありませんでした。

    方針はクリーンインストール

    Linux関連でそれらしい記事を見つけることはできましたが、DSMがいくらLinuxを元にしていると言っても、Synologyがカスタマイズしているため、やはり別物であり、その成り立ちは同一ではないと思われました。この時点で、クリーンインストールを念頭に、考え始めました。以下は取り進めた概要です。

    1. データバックアップは、Hyper Backupを使用します。共有フォルダ、インストールしたパッケージのアプリ、など全てをバックアップします。外付けUSB HDDでも、別のSynology NASのドライブでも可能です。
    2. 対象としているSynology NASをWebブラウザから見つけられるか確認する
    3. Synology NASをリセットして初期状態に戻す
    4. 再導入したDSMでの初期設定 (別途詳細に説明しています)

    以下に、上記概要の詳細を示しました。

    1. バックアップ

    できるだけ全てのDS918+にある情報をバックアップして、それから、クリーンインストールする戦略としました。

    日頃から「Hyper Backup」と「Snapshot Replication」で主要なバックアップを定期的に行っているため、バックアップ体制の構築はしないで済みました。

    今回は、Snapshot Replicationは使用しません。Hyper Backupのバックアップ機能とリストア機能で対応します。

    Hyper Backupでは、基本的にDS918+の外付けUSB HDDにバックアップしています。クリーンインストールの際には、その方がアクセスしやすいです。Hyper Backupでのバックアップについては、以下の記事をご参考にしてください。

    Hyper Backup のバックアップデータを .hbk ファイル形式で表示および復元する方法 – Synology Site –

    https://www.synology.com/ja-jp/knowledgebase/DSM/tutorial/Backup/How_to_browse_and_restore_Hyper_Backup_backup_data_in_hbk_file_format

    Hyper Backupの設定でバックアップに漏れがないかどうか、チェックを行い漏れている項目(システムアプリ、共有フォルダ)を追加して、最新のバックアップを取りました。

    因みに、バックアップに時間がかかったのは、どうでもいいはずの「スプラツーン2のプレイ録画ファイル」でした。1TB近くあったため、あれやこれやとやり直したりして、1週間以上かかりました。いざ、そのデータの価値を考えた時に、数年の記録であることを考えると、どうでもいいはずのデータが価値を持っていることに気づきました。自己満足です。

    2. 前準備 – Synology NASを見つけられるか

    Hyper BackupによるDS918+全体のバックアップを完了したと判断(*)した後、以下の手順でクリーンインストールを実施しました。

    * 当初は、クリーンインストールした後、リストアしてデータの復元具合を確認しておらず、思い通りのバックアップが、なされたのかどうかは分かりませんでした。実は、「暗号化」を解除していないと共有フォルダは、バックアップされていませんでした。それはそうなりますね、暗号化を解除しないとフォルダそのものが見えないからです。別途、暗号化を解除した状態で、WindowsのRobocopyによりバックアップ(Hyper Backupによる)のバックアップ(Robocopyによる)をとっていました。よかったです。全てはミスの可能性があります。そのためのリカバリーが大事であるということでしょうか。
    • クリーンインストール後に、DS918+を見つけられるか確認します。Web ブラウザに「find.synology.com」を叩いて、現在のローカルネットワークに繋がっているSynology製品を表示されるか確認します。その他の確認手段として、「Synology Assistant」というアプリもあります。

    3. NASのリセット

    1. DSMにログイン
    2. 「コントロールパネル」→「リセット」
    3. 「すべてのデータを消去」をクリック
    4. 確認ダイアログが表示されます。チェックボックスにチェックして「すべてのデータを消去」をクリック
    5. パスワード入力が促されます
    6. パスワードを入力して「送信」をクリック
    7. 「DiskStationが再起動しています再起動が完了したら、Synology Assistantを使用してDiskStationを検索して接続します。」と表示が出ます
    図3 ドライブ初期化の手順

    4. クリーンインストール

    1. Webブラウザから「find.sysnology.com」をたたく
    2. 検索中の表示が出て、数十秒待つと画面が切り替わり、左上に「Web Assistant」と表示され、製品の写真が現れる
    3. 複数台のSynology製品をネットに繋がっていれば、スクロールさせて、目的のクリーンインストールしたいDS918+を探す
    4. 見つけたDS918+をクリック
    5. ダイヤログが現れる「Synologyエンドユーザー ライセンス合意書」。同意にクリックして「OK」をクリック
    6. 「ようこそ!」画面となるので、「設定」をクリック
    7. 「DiskStation Manager (DSM)をインストール」画面が現れる。インストールしたいHDDであることを確認しつつ「今すぐインストール」をクリック
    8. データが削除されることの注意のダイアログが現れるので、チェックボックスにチェックして、「OK」をクリック
    9. 「DiskStation Managerのインストール」画面が現れ、%表示が出て、初期化中 → システムパーティションのフォーマット → ダウンロード中 → DiskStation Managerのインストールと、表示が変わっていく
    10. 「DiskStationを再起動しています」画面が現れる。10分間のカウントダウンです。
    11. QuickConnectの設定もWeb Assistantから行います。
    12. 「すべての設定が完了しました!」が表示されます。
    13. 「私のSynologyデバイスのネットワーク位置を共有して、私がそれをfind.synoloyg.com経由で見つけることを許可します。私はサービス規約を読み同意します。そしてプライバシーに関する声明を承諾します。」のチェックボックスは、チェックしませんでした。「移動」をクリック。
      因みに、ホームネットワークからは、「find.synology.com」は機能するようです。
    14. 以上で、クリーンインストールは完了です。DSM画面が現れます
    15. 初期のDSM画面では、いくつかの初期チュートリアルがあります。指示の通りクリックして終了です。DSMは使用可能になました。
    図4 DSMのインストール終了後の最初のログイン

    再導入したDSMでの初期設定

    システム設定

    Hyper Backupのバックアップからリストア*しました。リストアするには、Hyper Backupをインストールして、先ずは、バックアップファイルと再リンクする必要があります*。また、システムの設定については、Hyper Backupでもバックアップされないので、再構成することはできません。

    再導入したDSMから、再度設定する必要があります。具体的には、二段階認証やDoS保護など、特にセキュリティの設定がデフォルトになっていまいます。仕方がないので、以下のように特に重要な項目について再設定しておきます。

    * Synologyサーバ間のバックアップとリストア – ホームNW研究所-

    いつもお世話になっているblogerさんのページです。リストア方法の詳細が説明されています。Hyper Backupによるバックアップ先のSynology NASに必要なrsyncの設定、または、Hyper Backup Vaultをインストールする必要性についても解説されています。

    https://nw.myds.me/wordpress/howto-wpbackup1/

    「コントロールパネル」の「セキュリティ」

    セキュリティ
    • 「サイト間のリスクスト偽造攻撃からの保護を強化する」にチェック
    • 「HTTP Content Security Policy(CSP)ヘッダーでセキュリティを強化する」をチェック
    • 「iFrameでDSMが埋めこられないようにする」をチェック
    • 「システムの再起動に伴い保存したユーザーログイン セッションがすべてクリアされます」にチェック
    • 「現在のIPが変更されたら、DSMデスクトップ上に通知を表示」にチェック
    ファイヤーウォール
    • このマシンを目掛けて2分に1回程度の不正アクセスが、各国踏み台を利用して仕掛けてきているので、これを玄関払いしてもらいます
    • 最初、日本を許可を設定ししましたが、これでは、外国をブロックしてくれませんでした
    • そこで、日本以外の国全てをDSMログインを拒否する設定とします。一件につき15か国までしか登録できないので、地道に全ての国を拒否として登録しました(日本を除く)(図5)
    • リアルタイムに不正アクセスの攻撃のさなか、この設定が完了した直後から、DSMログインはぱったりなくなったことを確認できました(図6)。
    図5 ファイヤウォール設定の様子
    図6 設定によってブラックリストに自動的に登録される
    保護
    • 「保護」の「DoS保護を有効にする」をチェック
    アカウント
    • 自動ブロック
      • 「自動ブロックを有効化する」をチェック : 同一のIPアドレスからのエラー数でブロック
        • 「ログイン回数」を10
        • 「分以内」を1440
      • 「ホワイトリスト/ブロックリスト」から、ホワイトリストを作成 : 許すIPアドレス
        • 個別のIPの設定
        • フザネットの設定
        • IP範囲で設定
    • アカウント保護
      • 「アカウント保護を有効化」をチェック
      • 「信頼されていないクライアント」も「信頼できるクライアント」のいずれも以下の設定にする
        • 「ログイン回数」:10
        • 「分以内」: 60 (<1000)
        • 「プロック解除」: 30

    RAID5へ再設定

    クリーンインストールによりRAID設定は無効になっています。ストレージマネージャから作業します。

    1. 「ストレージマネージャ」の「ボリューム」に移動
    2. 「作成」をクリックして、ボリューム作成ウィザードを開く
    3. 「カスタマイズ」を選択し「次へ」をクリック
    4. 「ストレージプールを選択」画面から「新しいストレージプールを作成」を選択し、「次へ」をクリック
    5. 「ストレージプールのタイプを選択」画面から「より良いパフォーマンス」を選択し、「次へ」をクリック
    6. 「ストレージプールのプロパティを構成」画面からRAIDタイプを「RAID5」を選択し、「次へ」をクリック
    7. 「ディスクの選択」画面から、4つの全てのドライブが選択されていることを確認し、「次へ」をクリック
    8. 「警告」画面が現れ、データの消去についてアラートされるので、「OK」をクリック
    9. 「ファイルシステムを選択」画面から「Btrfs」(Snapshot Replicationの機能を利用するために必要です)を選択し、「」をクリック
    10. 「ボリュームの容量の割り当て」画面が現れます。必要があれば、説明を記入し、「次へ」をクリック
    11. 「設定の確認」画面が現れます。確認できれば、「次へ」をクリック
    12. 「ストレージマネージャ」の「ストレージプール」画面が現れます。ステータスが「作成しています」になり、100%になると完了です。最初の投稿で記事にしたように、DS918+を最初にRAID5に設定した歳は、100%になるまで、丸3日を要しました。今回も、3日間を覚悟していましたが、丸1日で処理は完了していました。
    13. ストレージマネージャのRAID5設定をしている間を活用してで、パッケージセンターからアプリをインストールしました(以下に続く)
    図7 ボリューム1にRAID5を構築中の様子

    SSDキャッシュの再設定

    SSDの設定も必要です。今回、あらためて設定したRAID5へのリンクが切れているためです。この設定は、RAID5の設定処理が完了してから実施しました。RAID5設定途中でも可能かもしれません。

    図8 割り当てがないSSDキャッシュをボリューム1のRAID5に再度割り当てる

    HDDハイバネーション

    RAIDシステムは常時稼働状態にするのが普通です。頻繁な電源の入り切りよりは、常時ONの方が安定稼働には良いようです。クリーンインストールの後は、「HDDハイバネーション」が有効になっているので、無効にしておきます。

    コントロールパネルのハードウェアと電源の「HDDハイバネーション」で設定します。

    図9 HDDハイバネーションを無効に設定

    パッケージセンターからのアプリのインストール

    ストレージマネージャがRAID5の設定をしている間を活用して、以下の主なアプリをインストールしました。後に実施するリストアで、設定内容を上書きし戻します。

    基本的に各ホームサーバーのそれぞれのクライアントの設定は、Synologyのホームサーバー関連のサーバーでは、port/port転送で設定したportを使用します。Plex Serverでは、32400に固定されています。

    付け加えて、port設定に関わることで重要な設定項目は、firewallの設定です。そのアプリをallowに設定します。

    もしも、RT2600acルーターを使用していてUPnPによりport転送ルールが自動的にしている場合は、その関連するportのinternet側のport番号を確認しておく必要があります。

    最後に、2段回認証を有効にしていても、各クライアントでの1回目のログイン設定の時に「デバイスを覚える」を設定すれば、その後ログインで「ワンタイムパス」を聞かれることはありません。

    • Hyper Backup
    • Hyper Backup Vaults
    • Plex
      • マルチメディア・ファイルをどんなフォーマットでも対応したサーバーです。クライアントは、有料ですが、ネットの外から閲覧が可能になります。
      • 元のPlexサーバーではなく、新たなPlexサーバーになってしまったようです。以前のDS918+にあったPlexサーバーは「オフライン」で使用不可になっていました。
      • 新しいPlexサーバーと思われるサーバーには、メディアファイルが1つもありませんでした。クリーンインストールしたDSMにPlexサーバーをインストールしてしまったせいかも知れません。リストアで設定が上書きされると思っていましたが、以前のPlexサーバーと新規にインストールしたPlexサーバーが別物扱いになってしまうためと思われます。
      • メディアファイルをリストアした後、あらためてメディアのデータベースを作ることにして、データベースを復旧することは諦めました。
    • Note Station
      • WindowsのOneNoteみたいなことができますが、もちろん、機能は、OneNoteの方が高いです。
      • iOSアプリ(DS note)
        • address: port
          • portは、外部からのDSMログイン時と同じ
        • user id
        • pass word
    • Photo Station
      • 保管した写真を鍵付きで共有したり、動画をYouTubeにアップしたりできます
      • iOSアプリ(DS photo)
        • address:port
          • postは、外部からのDSMログイン時と同じ
        • user id
        • pass word
    • Audio Station
      • 音楽ファイルをストリーミングできます。iTunesで購入した音楽ファイルを登録しています。外からアクセスかのです
      • iOSアプリ(DS audio)
        • address:port
          • postは、外部からのDSMログイン時と同じ
        • user id
        • pass word
    • Video Station
      • Synology製の動画サーバーです
      • iOSアプリ(DS audio)
        • address:port
          • postは、外部からのDSMログイン時と同じ
        • user id
        • pass word
    • メディアサーバー
      • Video Stationの動画データベースと統合して、機能拡張した動画サーバーです
      • UPnP/DLNA対応のテレビで視聴ができます。我が家では、東芝の古いRegza RE1があります。テレビにDS918+のメディアサーバーを表示させます。動画を再生させるためには、テレビにあったMIMEタイプの設定が必要なので、バカチョンで再生できない場合、テレビでの視聴についてはハードルが高くなります。
    • Moments
      • 写真のストックと表示アプリです。iPad用のMomentsからDS918+にバックアップします
      • シーンを自動で作成して表示してくれます
      • iOSアプリ(Synology Moments)の設定
        • address:port
          • postは、外部からのDSMログイン時と同じ
        • user id
        • pass word
      • 注意点
        • アップロードでは、MOVファイルはエラーが発生して、一時停止します
        • その他、停止したまま動かなくなるファイルがあります。
        • 安定するバージョンアップが出るまで、無効化することにしました。

    リストア

    Webブラウザから「find.sysnology.com」をたたいて、クリーンインストールしたDS918+にログインします。その後、各システム設定を確認します。Adminが無効になっていることや、管理者権限のユーザーの設定です。以下の操作が必要ですが素早く、バックアップからリストアして、管理者などのシステム設定を元に戻す方法でも構いません。これは、セキュリティ対策の一環です。

    Hyper Backupのインストール

    DSMのパッケージセンターから、「Hyper Backup」をインストールします。ついでに、「Hyper Backup Vault」もインスーとるしておきます。Synology製品間でのHyper Backupによるリモートバックアップに必要なパッケージです。

    Hyper backupからリストア

    関連付け

    クリーンインストールしたDSMに改めてインストールしたHyper Backを、以下のようにバックアップに関連付けします。

    1. File Stationを使って、バックアップしたファイルが、どの外付けUSB HDDにあるかを確認します
    2. Hyper Backupを起動します
    3. 左下の「+」をクリック
    4. 「データバックアップタスク」を選択
    5. 「バックアップウィザード」画面が現れる。左上のにあるSynologyの「ローカルフォルダ & USB」を選択し、「次へ」をクリック
    6. 「バックアップ先の設定」画面が現れる。「既存のタスクに再リンク」を選択する。
      • 「共有フォルダ」には、前述で確認したバックアップファイルがのあるフォルダを選択(今回は、外付けUSB HDD)
      • 「ディレクトリ」には、拡張子「hbk」のある該当するファイルを選択
    7. 「次へ」をクリック
    8. 確認画面が現れるが、「はい」をクリック
    9. 「データバックアップ」画面が現れる。
    10. 「フォルダ」及び「アプリケーション」は、何も選択せず、「次へ」でどんどん進んでデフォルト設定のまま完了させる
    11. 作成できたタスクは、Hyper Backupの左メニューに表示される。

    リストア

    関連付けされたタスクを使って、リストアを実行します。

    1. Hyper Backupの左下の「時計のマーク」を選択し「データ」を選ぶ
    2. 「復元タスクの選択」画面が現れる。先ほど再リンクしたタスクを選択し、「次へ」をクリック
    3. 「システム設定」画面が現れる。「システム設定情報を復元する」をチェック(全システム構成)し、「次へ」をクリック
    4. 警告ダイアログが現れるが、「はい」をクリック
    5. 「データの復元」画面が現れる。全ての「フォルダ」を選択し、「次へ」をクリック
    6. 「アプリケーションの復元」画面が現れる。全ての「アプリケーション」を選択し、「次へ」をクリック
    7. 確認画面が現れるが、「はい」をクリック
    8. 「データ復元サマリ」画面が現れる。確認して「適用」をクリック
    9. 「復元状況」画面が現れる。各タスクが%表示される。
    10. 以上で、処理が終了すればリストアは完了です。

    まとめ

    DS918+は、度重なるパーツの追加でフルスペックに仕立て上げ、blog配信やホームサーバーとして安定稼働させていました。しかし、DSMの新バージョン(6.2.3)への更新は、容量不足が原因ということで、古いバージョンのDSMでの運用が続いていました。新バージョンへの更新までのセキュリティに不安がありました。その間、Synologyのサポートパスに相談したり、ネットで解決策について情報を収集したりしてきました。意を決してクリーンインストールによる新パージョンのDSM 更新とシステム復旧を覚悟してDS918+の再構築を断行することができました。

    以上、参考になれば幸いです。はりきり(Mr)

    編集履歴

    編集履歴v^^)
    2020/09/05 HARIKIR(MR)
    2020/09/06 追記(写真を追加)
    2020/09/07 追記(ファイヤーフォールの設定によるDSMからの不正アクセスを拒否する設定)
    2021/03/06 追記 (リストア関する概説 - 詳細は「ホームNW研究所」へのリンク)