Konfigurace routeru Synology RT2600ac

Od routeru jsem měl několik očekávání. Chtěl jsem aktivní Threat Prevention, Safe Access, velmi rychlou WiFi, přesměrování vybraných portů z veřejné IP adresy na WAN na některé lokální zařízení a „DNS spoofing“ pro jedno moje doménové jméno.

Control Panel

Jako první je vhodné projít nastavení přímo v ovládacích panelech routeru, kde najdete základní nastavení přímo systému routeru.

Uživatelské účty

Můžete například spravovat uživatelské účty routeru, vynutit pro účty vícefaktorové ověření nebo integrovat správu účtů s LDAP.

Úložiště

V menu úložiště můžete spravovat úložná zařízení připojená k routeru. Já jsem do routeru strčil 32 GB paměťovou kartu, takže zde mohu pracovat s ní. Základem je úložiště naformátovat, což lze přímo v routeru. Doporučeným systémem souborů pro Synology router je EXT4, který používám i já. Router ale zvládne pracovat i s jinými souborovými systémy – EXT4, EXT3, FAT32, FAT, HFS, HFS Plus a NTFS.

Souborové služby

Router umí připojené úložiště publikovat i dál v lokální síti přes souborové služby. Je možné použít klasické SMB/CIFS sdílení (síťové disky), Apple sdílení (AFP), FTP/FTPS nebo WebDAV.

Služby

Ve službách je možné povolit SSH přístup na router, SNMP, NTP nebo například spravovat certifikáty, které se pak používají u dalších služeb (https v administraci, VPN server apod.).

Notifikace

Můžete si také nastavit způsob notifikací. K dispozici jsou notifikace emailem (musíte si nastavit poštovní server, přes který se budou emaily odesílat), SMS (musíte mít registraci na nějaké externí službě umožňující odesílání SMS) nebo push notifikace do mobilních zařízení s nainstalovanou aplikací DS Router.

Zařízení

Záložka zařízení nabízí bližší informace o hardware daného routeru. Poskytuje také možnost nastavení LED diod routeru, sdílení připojené tiskárny v rámci lokální sítě nebo konfiguraci automatického restartu routeru.

Systém

Poslední položkou v ovládacích panelech je systém. Zde je možné kontrolovat, konfigurovat a instalovat aktualizace routeru (já jsem si zvolil nastavení na automatickou instalaci aktualizací každý den ve 3:00) nebo obnovit router do továrních nastavení. Dále je možné instalovat aktualizace systémových databází. To jsou databáze například pro Threat Prevention, geolokace podle IP adres, Google Safe Browsing databáze apod. Konfigurovatelné je také zabezpečení samotného systému a jeho rozhraní. Jako například vynucení https včetně HSTS, změna portu administrace, změna NTP serveru pro synchronizaci času (doporučuji používat oficiální celosvětový pool.ntp.org), změna lokace nebo jazyka rozhraní (čeština je k dispozici 🙂 ) nebo stylu přihlašovací obrazovky a spárování se Synology účtem.

Centrum sítí

V centru sítí se konfiguruje lokální síť, WAN, port forwarding, firewall a další.

Status

Na této stránce vidíte základní přehled o routeru. Vidíte stav připojení k internetu (WAN) pro IPv4 i IPv6. Vidíte také stav WiFi sítě, aktuální přenos dat do internetu, seznam připojených zařízení a vytížení routeru.

Internet

Položka Internet poskytuje možnosti nastavení WAN, tedy připojení k internetu. WAN je možné nechat na automatické konfiguraci, což je pravděpodobně vhodné pro drtivou většinu domácností. V takovém případě je WAN rozhraní konfigurováno automaticky prostřednictvím DHCP.

V případě ověření pomocí jména a hesla je ale k dispozici i PPPoE, případně manuální IP konfigurace, pokud v síti poskytovatele není DHCP server nebo ho z nějakého důvodu nechcete použít. Na úvodní stránce je také možnost nakonfigurovat druhé rozhraní pro WAN, viz výše popisovaná funkcionalita Dual-WAN. A také je možné ručně nakonfigurovat adresu DNS serverů, pokud byste nechtěli používat ty od poskytovatele. Osobně doporučuji používat otevřené resolvery od Cloudflare se snadno zapamatovatelnými adresami 1.1.1.1 a 1.0.0.1.

Na dalších záložkách v nabídce Internet můžete nastavit funkci Smart WAN, pokud byste měli víc než jedno internetové připojení. Případně povolit Quick Connect pro vzdálený přístup odkudkoliv. Nebo DDNS pro dynamickou aktualizaci DNS záznamu v případě, že máte dynamickou veřejnou IP adresu.

Port Forwarding

Pokud máte veřejnou IP adresu a chcete vzdáleně přistupovat pomocí vybraných portů na některé lokální prostředky, pak k tomu můžete použít funkci předávání (přesměrování) portů.

Já port forwarding používám pro Plex, abych se odkudkoliv mohl dívat na filmy a seriály uložené na lokálním úložišti. A také pro Remote Desktop Gateway (RDGW), abych měl bezpečný přístup odkudkoliv na vzdálenou plochu lokálních PC. Kvůli bezpečnosti a vzdálenému přístupu mám publikovaný také port 443 pro SSTP VPN server, který mám na lokálním serveru. Jako poslední jsem si nastavil port forwarding pro port 445, což je klasické síťové sdílení (SMB/CIFS).

Protože potřebuji jen pár vybraných portů a navíc na různých zařízeních v lokální síti, je pro mne jednodušší a bezpečnější nastavit jen forwarding potřebných portů. Pokud bych ale chtěl publikovat celé nějaké zařízení do internetu a tedy všechny porty, protokoly a služby na něm, mohu dané zařízení dát do tzv. DMZ.

O otvírání zařízení do internetu buďte ale obecně velmi opatrní a otvírejte jen to, co skutečně otevřít potřebujete. A i u toho otevřeného dbejte na bezpečnost. Šifrujte tedy veškerý provoz (nejlépe pomocí TLS 1.2 nebo 1.3). Přístupy zabezpečte silnými přihlašovacími údaji (unikátní náhodně generovaná hesla o dostatečné síle) optimálně s vícefaktorovým ověřováním (MFA). A pravidelně instalujte všechny bezpečnostní aktualizace. A rozhodně do internetu neotvírejte žádné IoT zařízení typu bezpečnostní kamery, chytré žárovky, ledničky, trouby apod. Lokální síť si z internetu v případně potřeby zpřístupněte prostřednictvím zabezpečené VPN.

Lokální síť

V části lokální sítě konfigurujete lokální IP rozsah a rozsah přidělovaných adres pomocí DHCP serveru. A to jak pro vaši lokální síť, tak i pro síť pro hosty. A pokud používáte IPTV, doporučuji nastavit IGMP Snooping i IGMP Proxy na Disabled. A určitě doporučuji zakázat nebezpečné UPnP (Enable UPnP: Disabled).

Dále je zde možné vidět aktivní DHCP klienty nebo nastavovat DHCP rezervace a to jak pro IPv4, tak i IPv6.

Kontrola provozu

Zde vidíte všechna zařízení připojená do sítě. A to jak aktivní (aktivně komunikující), tak i neaktivní a tak i zařízení připojená někdy v minulosti. Dvojklikem na zařízení si můžete zařízení přejmenovat nebo změnit jeho ikonku pro snadnější orientaci.

Na záložce Pokročilé můžete nastavovat pravidla provozu. Ta mohou limitovat maximální rychlost stahování a odesílání nebo naopak garantovat alespoň nějakou minimální rychlost pro stahování a odesílání pro určitá zařízení. Stejně tak lze rychlosti nastavovat podle aplikací nebo protokolů. Můžete omezit například protokol BitTorrent na maximálně 5 Mbit/s a naopak pro YouTube garantovat alespoň 10 Mbit/s. Případně některým zařízením můžete přístup na internet úplně zakázat nebo jim naopak nastavit vyšší prioritu.

Bezpečnost

Nejdůležitější částí v bezpečnosti je firewall a jeho pravidla. Ve firewall jsou automaticky definovaná pravidla podle port forwardingu, takže každý port forwarding automaticky vytváří i pravidlo ve firewallu. Na druhou stranu obvykle není nutné daný port otevřít úplně do celého internetu, ale stačí to omezit jen na některé vzdálené IP adresy nebo regiony. Což je další obrovský benefit tohoto routeru, jelikož si sám udržujte seznam IP adres podle regionů, takže ve firewall pak můžete jednoduše nastavit region Česká republika (Czech Republic) a on se sám postará o seznam všech IP adres patřících pod Českou republiku. Díky tomu je možné významně omezit bezpečnostní riziko nějakého útoku, protože provoz ze všech ostatních zemí bude blokovaný. Přitom vy se v rámci ČR odkudkoliv na daný port připojíte.

Dále do této položky menu patří ochrana proti DoS útokům. Povolení nebo naopak zakázání některých služeb samotného systému. Nebo funkce automatické blokace přístupu na služby routeru v případě opakovaného zadání špatných přihlašovacích údajů.

WiFi Connect

Nastavení WiFi Connect u Synology routeru slouží pro konfiguraci bezdrátových sítí, případně k rychlému vypnutí nebo zapnutí některých bezdrátových sítí.

Status

Hned na úvodní stránce vidíme stav bezdrátových sítí. Já zde například vidím, že hlavní bezdrátová síť pojmenovaná Selfiehome je aktivní, ale WiFi pro hosty je aktuálně deaktivovaná. Vidím také počet připojených zařízení k jednotlivým WiFi sítím.

Wireless

Položka Wireless nabízí možnost zapnout nebo vypnout WPS. WPS doporučuji vypnout, jelikož se jedná o v podstatě bezpečnostní díru do WiFi sítě.

Možností nastavení WiFi je zde mnoho. Z pokusů, které jsem prováděl, mi vyšlo nejlepší aktivovat Smart Connect (2.4GHz/5GHz auto selection). To znamená, že router vysílá na 2,4 GHz i 5 GHz pásmu. Každé pásmo má své výhody a nevýhody. Pásmo 2,4 GHz lépe prochází přes překážky (zdi, nábytek apod.) a je mnohem univerzálnější (2,4 GHz umí každé zařízení, které má WiFi připojení). Na druhou stranu má ale mnohem menší přenosové rychlosti a v hustší zástavbě (nedejbože na sídlištích) bude 2,4 GHz pásmo pravděpodobně velmi zarušené okolními WiFi sítěmi.

Oproti tomu 5 GHz pásmo má horší prostup přes překážky a není k dispozici na všech zařízeních, ale spíš jen na dražších telefonech, tabletech nebo noteboocích. Nabízí ale nesrovnatelně vyšší přenosové rychlosti a i v husté zástavbě pravděpodobně najdete volný kanál bez zarušení. A díky Smart Connect máte k dispozici 2,4 GHz i 5 GHz pásmo a router si sám určuje podle různých aspektů, jestli klientské zařízení připojí na 5 GHz nebo 2,4 GHz.

Název sítě nastavte dle vlastního uvážení, to nemá na nic vliv. Zabezpečení nastavte na WPA2-Personal. WEP nebo WPA nejsou z dnešního pohledu již bezpečné a naopak WPA3 je zatím tak moc nové, že prakticky žádné zařízení s ním neumí pracovat. Nicméně do budoucna je dobře, že router umí i WPA3. Heslo sítě nastavte nějaké silné, aby někdo (třeba jen nudící se soused) heslo neprolomil a nedostal se do vaší domácí sítě. Optimálně by heslo mělo mít alespoň 20 znaků a skládat se z malých a velkých písmen, čísel a speciálních znaků.

Kanál WiFi nechte automatický. Můžete nějaký zvolit i ručně. Je ale pravděpodobné, že dříve či později se objeví nějaká nová WiFi v okolí, která může s vaší WiFi kolidovat. Při automatickém kanálu si router sám kanál podle potřeby změní.

Šířku kanálu u 5 GHz jsem po nějakých testech nastavil na 80+80 MHz. Tato šířka má pořád použitelný dosah a kvalitu, ale přitom velmi vysoké rychlosti reálně kolem 500 Mbit/s. 160 MHz kanál by sice teoreticky poskytoval ještě vyšší rychlosti, na druhou stranu ale také mnohem hůře prochází přes překážky. A navíc ne každé zařízení s podporou 5 GHz WiFi zvládne 160 MHz kanál. U 2,4 GHz WiFi jsem šířku kanálu nastavil na 20 MHz kvůli co nejvyšší kompatibilitě a nejlepšímu prostupu přes překážky.

WiFi Point

Pokud byste měli víc routerů od Synology, můžete je mezi sebou propojit bezdrátově a dosáhnout lepšího pokrytí velkého prostoru. A to i s plynulým předáváním klientských zařízení mezi routery.

Síť pro hosty

Router samozřejmě umí vytvořit oddělenou síť pro hosty. Tuto síť budete mít nejspíš běžně vypnutou a jen když k vám hosté přijdou, tak ji například přes mobilní telefon zapnete. Síť pro hosty je standardně oddělená od vaší domácí sítě. Hosté se tudíž nedostanou na vaše zařízení připojená k síti, jako jsou různá úložiště, tiskárny, bezpečnostní kamery apod., což je obvykle žádoucí. Nikdy nevíte, v jakém stavu je zařízení vašeho hosta, jestli náhodou neobsahuje nákazu, která by se mohla šířit i po vaší domácí síti a ohrozit vaše zařízení.

Síť pro hosty můžete automaticky zapínat a vypínat podle plánovače. Můžete také nastavit automatické přesměrování hostů na nějaký váš portál nebo web po připojení na WiFi.

Filtrování MAC adres

Poslední položkou je filtrování MAC adres, které ale z pohledu bezpečnosti v domácí síti nemá reálný smysl. Navíc každé nové zařízení byste musel přidávat do tohoto seznamu, aby se mohlo připojit. Tudíž to nedoporučuji používat.

Smysl by to mohlo mít jen tehdy, pokud byste chtěli blokovat připojení některých zařízení. Pak můžete přidat MAC adresu takového zařízení na seznam blokovaných a v takovém případě se zařízení vůbec k síti nepřipojí.

Více o balíčcích pro router Synology RT2600ac se dočtete v našem článku Balíčky na routeru Synology RT2600ac. Jaké jsou možnosti tohoto routeru se dočtete v článku Vlastnosti routeru Synology RT2600ac. A jak vybrat router do domácnosti se dočtete v článku Výběr WiFi routeru do domácnosti.