Zkušenosti s NAS Synology DS218

Dřív jsem měl doma vždy nějaký domácí server. Začalo to slaboučkým počítačem s Atom 330 a 2 GiB RAM s Ubuntu. Ten jsem po letech vyměnil za počítač s Intel Core i5-6500 a 64 GiB RAM s Windows Server. Ten pak ale začal zlobit, tak jsem ho vyměnil za Synology NAS.

Počítač se serverovým operačním systémem přinášel mnoho výhod. Mohl jsem si tam nainstalovat a nastavit prakticky co jsem chtěl. Výkonu měl dost, takže jsem na něm virtualizoval další různé testovací systémy. Ale bylo potřeba se o něj starat a měl zbytečně velkou spotřebu.

Věděl jsem tedy, že až nastane čas na výměnu, vezmu nějakou „hloupou“ NAS. Virtualizovat mohu na svém počítači, případně využít Microsoft Azure.

Přínosy NAS v domácnosti – laický pohled

Dříve než se podíváme na technické detaily, je nutné si vyjasnit, jaké přínosy pořízení NAS má a to ze zcela laického pohledu.

V Selfiehome na NAS nahráváme veškeré dokumenty a fotografie, protože se k nim dostaneme odkudkoliv na světě přes webové rozhraní. To znamená, že když například k někomu půjdete na návštěvu, budete mu chtít ukázat fotografie a nebudete mít s sebou zařízení, na kterém je máte uložené, dostanete se k nim i přes cizí zařízení.

NAS nám zároveň slouží pro zálohování dat, protože co není zálohováno, je ztraceno. Takže veškeré dokumenty máme ve svých noteboocích, na NAS a ještě v cloudu na OneDrive.

Na NAS máme nahrané také filmy a seriály, takže naše TV je přehrává přímo odtud a nemusíme mít filmy v noteboocích či na jiných úložištích (flashdisky, pevné disky,…), které bychom pak museli připojovat k TV.

Pokud někomu chceme nasdílet fotografie nebo cokoliv jiného, nemusíme využívat externí služky jako Dropbox, Ulož.to aj. Jednoduše je nasdílíme přímo z naší NAS.

Bezpečnostní kamery jsou schopné s NAS komunikovat a ukládat na ni záznamy.

Na NAS je možné nainstalovat nespočet doplňkových balíčků, které vám pomohou v řadě oblastí. Balíček Moments umí automaticky třídit fotografie do složek, pomocí LimeSurvey si vytvoříte online dotazníky, jejichž data se po vyplnění automaticky shromažďují do přehledných grafů a mnoho dalšího. Jednotlivé doplňkové balíčky naleznete zde.

Výběr NAS do domácnosti

NAS, tedy Network Attached Storage, jsou síťová zařízení, která původně vznikla jako úložiště dat. Dnes už toho umí ale mnohem víc, proto jsem také psal hloupou NAS v uvozovkách, protože dnes už to ani zdaleka nejsou hloupá zařízení.

Dnešní NAS kromě klasického úložiště (SMB/CIFS, FTP, rsync, AFP, …) umí spoustu dalších věcí. Umí to být centra pro dokumenty, fotografie nebo videa včetně multimediálního serveru, záznamová zařízení pro různé síťové kamery, VPN servery a mnoho dalšího. Ty výkonnější mívají i podporu virtualizace.

Výrobců NAS je mnoho, ale asi nejznámější, nejrozšířenější a nejpokročilejší jsou NAS od firmy Synology. Já jsem měl hned jasno, že budu brát Synology, jen jsem se musel rozhodnout, který model.

Synology má mnoho řad i modelů od malých jednodiskových NAS pro domácnosti až po velké NAS pro desítky disků schopných uchovávat stovky TB dat do velkých firem.

Já jsem chtěl NAS pro dva disky, která bude sloužit jako domácí úložiště dat, multimediální centrum a záznamové zařízení pro naše bezpečnostní IP kamery. Kvůli multimediálnímu centru jsem potřeboval dostatečný výkon pro zpracování 4K videa. Prakticky jsem se tedy rozhodoval mezi DS218, DS218+ a DS218play.

Nakonec jsem zvolil DS218, protože má podporu překódování 4K videa s 60 snímky za sekundu a k tomu 2 GiB RAM. Tato NAS mi koneckonců vyšla i jako doporučená pro mé použití ze Synology NAS Selectoru.

První spuštění Synology DS218

V krabici je spolu s NAS napájení adaptér a LAN kabel. Celý postup prvního spuštění je detailně včetně obrázků popsaný v dokumentaci Synology.

Nejdřív je do NAS nutné vložit disk(y). Ty jednoduše přišroubujete do vysunovacích šachet. Po vložení disků můžeme NAS připojit do zásuvky a k internetu. V rámci prvního spuštění NAS se z internetu stáhne aktuální verze operačního systému DSM. Tento systém je nainstalovaný spolu s veškerým dalším software přímo na vložených discích. První spuštění tedy trvá déle, protože se celý systém musí stáhnout z internetu a nainstalovat.

Celý systém DSM je přeložen do češtiny. Já překlady do češtiny nemám moc v oblibě, takže používám anglický jazyk rozhraní. Proto i na následujících screenshotech je vidět rozhraní v angličtině.

Nastavení Synology DS218

Rozhraní Synology DSM je poměrně intuitivní, takže i bez předchozích zkušeností je možné se v něm snadno orientovat. Ve výchozím stavu běží webové rozhraní na portu 5001, takže si ho můžete otevřít zadáním IP adresy NAS s tímto portem, například tedy 192.168.1.10:5001. Základem prvotní konfigurace budou ovládací panely (Control Panel).

Konfiguraci jsem začal nastavením samotného systému.

Hardware & Napájení

Nejdříve jsem šel do části Hardware & Power, kde jsem nastavil, aby se po výpadku napájení NAS sama opět zapnula, povolil jsem překódování videa, nastavil režim chlazení na tichý a snížil jas LED diod.

Dále jsem povolil hibernaci disků po 20 minutách a povolil podporu UPS, jelikož NAS je připojená k UPS od APC, se kterou umí NAS komunikovat přes USB, takže v případě slabé baterie v UPS při delším výpadku proudu se NAS včas řádně vypne.

Notifikace

Synology NAS umí zasílat notifikace na email, SMS a do mobilní aplikace jako push notifikace. Je ale potřeba nastavit používanou službu pro každý typ notifikace. Takže pokud chcete odesílat notifikace emailem, musíte nastavit schránku pro odesílání pošty (SMTP) a příjemce. Pokud chcete odesílat SMS notifikace, musíte nastavit SMS bránu, přes kterou budete zprávy posílat. Pokud chcete posílat push notifikace do telefonu, musíte aplikaci v telefonu spárovat s NAS.

Regionální nastavení

V regionálním nastavení můžete nastavit formát data a času, časovou zónu a zdroj pro synchronizaci času. Dále je možné nastavit jazyk rozhraní a notifikací a povolit službu NTP serveru, která musí být povolená v případě, že máte k NAS připojené bezpečnostní IP kamery, které si synchronizují čas právě s NAS.

Zabezpečení

Zabezpečení je velmi důležitá část nastavení. Naštěstí ve výchozím stavu je zabezpečení poměrně slušně nastaveno, ale lze to rozhodně vylepšit 🙂 Rozhodně tomu věnujte pozornost v případě, že chcete nějaké služby Synology publikovat přes internet. A na uživatelských účtech vždy používejte silná unikátní hesla.

Určitě je vhodné povolit ochranu proti DoS a povolit všechna pravidla pro ochranu účtů. Rozhodně byste při přístupu k NAS měli používat šifrované spojení. Aby se vám v prohlížeči nezobrazovalo varování o nedůvěryhodném certifikátu, můžete používat vlastní certifikát, například zdarma od Let’s Encrypt.

Síť

V nastavení sítě není nutné nic měnit, pokud je NAS součástí běžné sítě jako běžné síťové zařízení – IP konfiguraci dostane automaticky z DHCP serveru, který typicky běží někde na routeru apod.

Jediné, co bych doporučil změnit, je nastavení DSM. Obecně je vhodné výchozí porty 5000 (pro HTTP) a 5001 (pro HTTPS) změnit za nějaké jiné vlastní kvůli bezpečnosti – útočník jako první zkouší připojení na výchozí porty u běžně používaných služeb, takže změnou výchozího portu můžete automatizované port scannery zmást.

Co bych ale určitě doporučil je použití vlastního certifikátu pro HTTPS, viz odstavec Zabezpečení. A dále vynutit použití HTTPS, tedy nastavit přesměrování z HTTP na HTTPS, povolit HTTP/2 a povolit HSTS.

Externí přístup

Synology NAS můžete publikovat do internetu. Můžete publikovat webové rozhraní DSM a/nebo některé služby, které Synology poskytuje. Například multimediální server prostřednictvím aplikace DS Video, správce souborů pro sdílení dat s přáteli, VPN server, webový server apod.

Při publikování do internetu je ale potřeba myslet na zabezpečení. V takovém případě byste měli rozhodně povolit automatické aktualizace DSM i nainstalovaných balíčků. Měli byste také používat silné unikátní náhodně generované heslo a optimálně povolit i vícefaktorové ověřování na svém Synology účtu. Do internetu bych ale určitě nedoporučil publikovat samotné DSM, ale jen služby, které chcete využívat, takže například jen webový server nebo DS Video apod. Zbytek nechejte pouze z interní sítě, případně prostřednictvím VPN serveru, který publikujete do internetu.

Já například nemám z internetu dostupnou žádnou službu. Vše je dostupné pouze prostřednictvím VPN (OpenVPN pro mobily a SSTP VPN pro počítače s Windows).

Uživatelé

Obecně každý uživatel přistupující k NAS by měl mít svůj vlastní účet. A stejně tak každá služba by měla mít svůj vlastní účet, takže například TV, která se bude připojovat k aplikaci DS Video, bude mít svůj vlastní účet s vlastními právy. A také je vhodné oddělit účet správce od běžného účtu.

Já tedy například mám svůj účet správce, který používám jen pro správu NAS. Pak mám druhý běžný účet, který používám pro běžnou práci, na kterém mám práva pro přístup ke sdíleným složkám, k aplikaci DS Video apod. A TV má také svůj vlastní účet, který má práva jen k aplikaci DS Video. Je to kvůli eliminaci rizik, když by byl účet napaden například prostřednictvím zranitelnosti v TV, ve které máte účet přidaný.

Souborové služby

V rámci souborových služeb se konfiguruje přístup k datům na Synology NAS. Já používám jen SMB/CIFS sdílení na Windows (klasické síťové disky), takže žádnou jinou službu povolenou nemám. V pokročilých nastavení SMB jsem vynutil minimální verzi SMB2, protože SMB1 je nebezpečné a nemělo by se používat. Maximální verzi mám nastavenou na nejnovější SMB3, v rámci které Synology podporuje poslední verzi SMB 3.1.1 představenou spolu s Windows 10.

Sdílené složky

Sdílené složky jsou adresáře publikované prostřednictvím některých souborových služeb. Já zde tedy mám adresáře, které mám publikované prostřednictvím SMB. Adresářů zde můžete mít kolik chcete a je tedy opět dobré data nějak rozumně oddělit. Já mám například publikovaný sdílený adresář pro každého uživatele + nějaké společné adresáře na sdílená data.

Každý adresář má individuálně nastavená práva pro jednotlivé uživatele a může mít například i vlastní kvótu, pokud byste chtěli nějak omezit úložný prostor na jednotlivých složkách.

Sdílené adresáře je možné i šifrovat, ale Synology pro šifrování používá eCryptfs, které umí maximální délku cesty 47 znaků pro znaky z neanglické abecedy, takže je to prakticky nepoužitelné. Navíc eCryptfs je oproti jiným modernějším metodám šifrování dat výrazně pomalejší.

Používané balíčky na Synology NAS

Synology má obrovské množství vlastních balíčků, kterými je možné funkce NAS rozšířit. Další obrovské množství balíčků je od externích tvůrců, protože DSM je otevřený systém a prakticky kdokoliv může vytvořit pro NAS vlastní balíček.

Video Station

Balíček Video Station umožňuje pohodlné sledování videí z různých zařízení – aplikace je dostupná pro počítače, mobilní telefony, tablety i chytré televize. Aplikace navíc pro filmy a seriály stahuje z internetu obaly, popisky, hodnocení, případně i titulky ve zvoleném jazyce, takže díky této aplikaci si snadno můžete vytvořit vlastní videotéku.

Download Station

Balíček Download Station slouží ke stahování obsahu z internetu. Umí stahovat ze sítě BitTorrent, ale i klasické FTP, HTTP a další. Stažené soubory umí automaticky i rozbalit, pokud jsou zabalené.

Media Server

Balíček Mediální Server v rámci lokální sítě poskytuje média prostřednictvím DLNA protokolu. Pokud tedy máte zařízení, které nemá k dispozici DS Video aplikaci, i na něm můžete být schopni přehrávat multimediální obsah právě prostřednictvím DLNA. Jedná se primárně o starší TV nebo různá chytřejší rádia, která umí přehrávat hudbu ze sítě právě prostřednictvím DLNA.

Surveillance Station

Balíček Surveillance Station slouží pro správu IP kamer. My k němu máme připojené naše bezpečnostní kamery. Díky tomu můžeme přímo z NAS kamery sledovat, plnohodnotně ovládat a NAS si sama trvale ukládá i záznam z těchto kamer na lokální disk.

Cloud Sync

Balíček Cloud Sync umožňuje synchronizovat libovolný adresář na lokálním disku NAS s Google Drive, DropBox, OneDrive a mnoho dalšími cloudovými službami. To je velmi výhodné v případě, kdy máte v počítači malý disk, takže nemůžete mít všechna data synchronizovaná přímo z počítače. Všechna data jsou ale na NAS a ta je synchronizuje do cloudu. Hodí se to také jako záloha NAS.

Plex

Balíček Plex je příkladem balíčku od externího autora. Plex používáme již dlouho a jsme na něj zvyklí. Navíc jedna starší TV nemá k dispozici DS Video, ale Plex umí. Ve své podstatě je Plex velmi podobný právě DS Video, dělá a umí prakticky to stejné. Takže až nebude potřeba přehrávat obsah na starší TV, která nic jiného neumí, tak balíček Plex plnohodnotně nahradíme balíčkem DS Video.

Zhodnocení Synology DS218

Se Synology DS218 jsem velmi spokojený. Umí to mnoho věcí a je to chytřejší, než jsem si myslel. Takže celkově jsem opravdu spokojený a do jiné značky bych nešel.

Když bych vybíral NAS znovu, možná bych jen do budoucna zvolil NAS pro 4 disky. A asi bych zvolil výkonnější variantu s plnohodnotným Intel procesorem. Ale DS218 je rozhodně dobrá volba pro drtivou většinu domácností.

Negativa Synology DS218

Protože použitý CPU Realtek RTD1296 nemá podporu hardwarového šifrování AES-NI, jsou přenosy přes šifrované SMB3 výrazně pomalejší. Bez šifrování NAS zvládne přenosové rychlosti kolem 110 MB/s, tady prakticky maximum 1 Gbit/s sítě. Se zapnutým šifrování přenosová rychlost klesla na přibližně 25 MB/s.

Druhé omezení bylo již zmíněno a týká se šifrovaných sdílených složek. Použitý eCryptfs zvládne délku cesty maximálně 47 znaků, pokud jsou v cestě obsaženy znaky neanglické abecedy. Což je velmi limitující a prakticky nepoužitelné pro většinu úložišť. Nezbývá než doufat, že Synology eCryptfs nahradí co nejdřív něčím modernějším.

Posledním negativem tohoto NAS je hluk. Samotný NAS je velmi tichý, prakticky není slyšet a rozhodně je tišší než klasický PC. Odhlučnění disků je ale mizerné, takže plotnové disky lze slyšet. Běžné PC mívají odhlučnění lepší a disky v nich tolik slyšet nejsou.