Synology Italia - Forum

Non conosco tutta la tua infrastruttura hw. Tu parlavi di diversi pc, stampanti e plotter di rete e telefoni cisco. I telefoni cisco lasciano intendere la telefonia voip. Supportano l'alimentazione PoE?

Un po di consigli:

Struttura: router, nas (con porte lan aggregate), ups e:
- switch tipo HP1910-16G o HP1910-24G (se i telefoni non sono PoE)
- switch Netgear GS516TP o GS728TP (nel caso tu voglia alimentare telefoni, accesspoint, telecamere con il PoE)

Il nas, router ed un unico switch centrale ti permetterà di gestire correttamente il traffico della tua lan e l'instradamento verso la wan (router) con eventuali vlan usando il QoS e le ACL per gestire priorità ed accessi. Se lo switch è PoE questo essendo sotto ups estenderà la copertura anche ai telefoni ed eventuali telecamere garantendone il funzionamento anche durante il blackout. Inoltre la resa è migliore non avendo tutte le apparecchiature gli alimentatorini esterni con le loro perdite.
Tutti i client, il nas, il router ed eventuale centralino voip (in realtà questo potrebbe farlo il nas con asterisk) vanno collegati allo switch di cui sopra. A seconda del supporto vlan/qos del router, il centralino voip e le stampanti di rete, in mancanza di porte, potrebbero essere collegate allo switch integrato del router.

Detto ciò poi sul nas con i due dischi in raid1 e quello singolo installi il server dhcp (non occorre per il dsm5, integrato), server dns, server radius, time backup, antivirus
- tutti i pacchetti vanno installati sul volume raid, per sicurezza (bisogna intervenire con uno script) tieni una copia di backup della cartella @appstore sul disco singolo: in caso di disastro e necessità di reinstallazione del DSM, dopo aver reinstallato i pacchetti potrai così recuperare le loro configurazioni.
- server dhcp: configurato opportunamente in ridondanza (assieme) a quello del router ti garantirà il funzionamento della rete. Se si guasta il nas i pc funzioneranno, accederanno ad internet ma non ai file del nas. Se si guasta il router i pc funzioneranno, accederanno ai file ma non a internet. In ogni caso riceveranno il loro indirizzo ip.
- server dns: avendo molti pc la sua funzione di caching ti permetterà di ridurre il traffico sulla wan delle query dns inoltre è semplicissimo da configurare come blocco (gratuito) dei banner pubblicitari nelle varie pagine e così specialmente in presenza di più pc non sprecare inutilmente la banda della adsl. I client statici ed i server dhcp vanno configurati con server dns primario ip del nas e server secondario ip del router.
- server radius: la gestione degli utenti del nas può esser estesa ai client wireless che così oltre alle credenziali dovranno essere in possesso anche del certificato digitale, impedendo così l'hackeraggio del wifi o eventuale collegamento abusivo di apparecchiature non autorizzate alle porte dello switch.
- time backup: svolge la funzione delle copie shadow di win 7. In pratica le cartelle dati di accesso comune avranno uno storico e backup sul disco singolo. Dopo una sovrascrittura accidentale o cancella zione di un file potrai recuperarlo all'ultima versione, quella di due ore fa, di ieri, della settimana precedente ... Crea una cartella condivisa es "MyLan" dove dentro salverai le configurazioni di router, switch accesspoint, telefoni voip ... accessibile solamente all'amministratore e parte del piano di backup. Tale cartella se contenente anche elenchi di password sarebbe meglio fosse crittografata e non montata in automatico.
- antivirus: con almeno pianificata scansione notturna di base (sistema e cartelle download) e settimanale (in ambiente office generalmente nel we) completa del nas. Ciò ti permetterà di limitare la diffusione di virus all'interno della rete, ovviamente anche i pc devono avere il loro antivirus.
- eventualmente server ldap se vorresti usare le stesse credenziali del nas anche per il logon su windows, ma non credo sia necessario, non è un controller di dominio AD ed oltre al SSO (ed una eventuale rubrica centralizzata) non offre nessun altro vantaggio. Diverrebbe invece utilissimo in caso di nas multipli non-HA.
Tieni abilitati tutti i firewall: quello del router (se presente attiva e configura le protezioni DoS), quello del nas (abilita la risposta ICMP solo per la lan) e quello dei pc (anche qui risposta al ping solo per la lan locale). Ricorda che gli attacchi possono avvenire anche internamente, per la presenza di un dipendente malizioso piuttosto che per la navigazione di un portatile quando in viaggio (meno protetto es con chiavetta 3G) che poi quando si connette internamente distribuisce il malware raccolto esternamente. Imposta password sicure per tutti i dispositivi per evitare che non autorizzati smanettino con le configurazioni (router, switch, stampanti di rete; ed in particolare modo centralini voip, primi bersagli: recentemente mi è capitato di "collaborare" con la polizia postale emiliana dove sono stati sfruttati i nas per entrare remotamente nella rete e riprogrammare i centralini voip per triangolare traffico internazionale, la truffa a prodotto svariate decine di migliaia di euro in un solo weekend, l'indagine è ancora in corso e non posso dire altro, ma non serve chiudere la stalla quando i buoi sono già scappati).


Per le tue richieste di accesso remoto invece, come ti ha ben detto Burgy non usare ez-internet e disabilita inoltre l'upnp sul router che ti espone a seri rischi di sicurezza inutilmente evitandoti di configurarlo manualmente, operazioni occasionali che puoi benissimo fare in prima persona sapendo così cosa viene fatto.
Per l'accesso remoto ti consiglio di usare la VPN possibilmente sul router in alternativa con il server del nas, ma sempre basata anche su certificato digitale in modo che gli sprovvisti non possano accedervi, le sole credenziali (user/pass) non sempre sono sufficienti a garantire la sicurezza. Anche il ddns se devi usarlo ove possibile configuralo sul router.
Come ti ha detto Burgy per la prima sperimentazione fai il port-forwarding sul router (chiaramente il nas deve avere un ip statico fuori dal range dhcp) ma io lo farei con la 5001 (dopo averla abilitata, senza redirect, dal pannello di controllo del nas). Ovviamente va aperta anche sul FW del nas, mentre sul router il port-forwarding dovrebbe già aprire il firewall, controlla. Prima di aprire tale porta DEVI però impostare una password COMPLESSA per l'account amministratore del nas. Se il router lo supporta usa anche il PAT (port address translation), ovvero redirigi una porta esterna diversa alla 5001 interna. La 5001 e oramai una porta standard ed i male intenzionati sanno che dove esistono 5000/5001 c'è dietro un synology. ABILITA il blocco degli ip sul nas per numero di password errate.

Piccola precisazione sui switch con poe.
Questi dispositivi per alimentare il dispositivo mandano la tensione su due coppie del cavo utp/ftp.

Di conseguenza tutti i dispositivi poe andranno alla massima velocità di 100mb/s

Attenzione a collegare i pc in cascata al telefono voip se volete le prestazioni gigabit

Burgy, devo correggerti per il PoE: quello gigabit funziona a gigabit ... i dati è l'alimentazione viaggiano sugli stessi fili il che non è niente di strano visto che l'alimentazione è DC mentre i dati sono differenziali.
Il mio DLink (in firma) ad esempio alimenta tutti gli altri switch tranne un GS108T che è alimentato in cascata attraverso un NJ2000G (che asua volta la riceve dal DLink). Tutti gli NJ2000G ed i GS108T vanno a 1G mentre ovviamente gli NJ220 vanno a 100M essendo switch fast ethernet. Così tutta l'infrastruttura di rete è sotto ups attraverso il DLink. (Gli NJ2000G (porta 1 e 2) e gli NJ220 (porta 1) possono a loro volta alimentare dispositivi PoE, loro invece ricevono l'alimentazione PoE/PoE+ dalla porta posteriore (5)).

Con uno switch centrale PoE+ è poi possibile averne di altri periferici tipo HP1810-8G, GS108Tv2, NJ2000G ...

E' invece vero che spesso nei telefoni voip lo switch integrato è un 100M. (per questo gli consigliavo un min16 e 24 porte)

Scusami.. ero rimasto indietro con gli switch.. alle lezioni a scuola. Ho visto che la tecnologia è andata avanti. Ma i prezzi non sono molto accessibili per gigabit poe.

Ora mi formo.. funzionano come le onde convogliate quindi

Nelle onde convogliate la trasmissione ad alta frequenza viene sovrapposta (sommata sullo stesso circuito elettrico) ai 50Hz della rete. Alcuni protocolli, tipo X10 che trasmette a 125KHz, usa il passaggio della sinusoide dei 50Hz per lo zero come sincronia. Per ricevere il segnale viene usato un filtro passa-alto che lo disaccoppia dai 50Hz.

Per il PoE non c'è sovrapposizione, il circuito dati e l'alimentazione, dal punto di vista elettrico, non sono la stessa maglia (Teoremi di Kirchhoff e metodo delle maglie). L'alimentazione viene prelevata/iniettata dal punto centrale dell'avvolgimento (lato campo) del trasformatore d'isolamento presente normalmente nel connettore RJ45. Ognuna delle due coppie trasporta una polarità, quindi dal punto di vista del circuito dati è ininfluente (entrambi i fili hanno lo stesso potenziale DC, che viene annullato dal trasformatore e quindi trasparente al ricevitore/trasmettitore delle apparecchiature), mentre per la modalità d'ignezione/prelievo il trasformatore è ininfluente per il circuito d'alimentazione, questo diventa una bobina in serie e le induttanze aumentano la resistenza all'aumento della frequenza (l'opposto dei condensatori) e quindi sono un corto circuito per la DC.
http://it.wikipedia.org/wiki/File:EndpoitPSEaltA.gif
Come vedi si potrebbero benissimo usare così tutte e 4 le coppie. Il problema è che essendo l'alimentazione veicolata in DC non poresti semplicemente unire i due poli positivi e i due poli negativi perchè metteresti in corto le coppie e addio trasmissione dati. Per usare tutte le coppie tu dovresti per ogni singola linea d'alimentazione (+ e - dello stesso circuito) convertire il DC in AC disaccopiarlo con un trasformatore e riconvertirlo nuovamente in DC. Solamente a questo punto le due DC provenienti dalle due linee potrebbero venir sommate (messe in parallelo). Per gli switch da 19" questo non sarebbe un problema, basterebbe integrare due alimentatori PSE distini, uno per ogni coppia di porte del connettore. Per le aparecchiature PD invece questo aumenterebbe il costo dei dispositivi e le loro dimensioni, su dispositivi particolarmente economici potrebbe non esser sostenibile.


I prezzi: dipende, certo non parliamo dei 25 euro di uno switch da fustino dixan. I due Netgear pero sono +/- €300. Non mi sembra uno sproposito per uno switch a 24 porte gigabit layer 3 (gestisce anche l'instradamento, può fare da router fra varie subnet/vlan ... diventa in questa configurazione lui il tuo default gateway) i HP1910 costano un po meno, sempre L3 ma non sono PoE.
Specialmente dove poi l'utenza lesina sul router o è costretta su una linea adsl domestica/pmi ad averne uno dell'isp questi switch possono sopperire alla mancanza del supporto vlan/qos del router e gestire correttamente le priorità delle varie tipologie di traffico ... per il voip è essenziale.
Cosa succederebbe se tu, su una adsl, avessi un paio di chiamate voip in corso mentre il tuo utente remoto (o più di uno) iniziassero dei download dal nas, come si comporterebbe la tua adsl con i 512K in uscita? Alcune componenti della rete devono essere più "intelligenti" ed evitare questo.

Le componenti che vedi in firma sono tutte a casa mia, ok ho anche qualche esigenza particolare, in condizioni normali avrei avuto un'adsl in meno e qualche switch periferico in meno, probabilmente il DLink centrale sarebbe stato un DGS1210-10P (fanless), ma la struttura della rete, il metodo di distribuzione non sarebbe cambiato. Io ad esempio ho tutto cablato, il wifi serve solo per gli smartphone e per gli ospiti. Sai, non vorrei avere allarme e domotica down in attesa di capitan ventosa ed il suo radio team che scovi nel rione il vicino di turno che ha acquistato l'ultima cineseria.
Sicuramente per un'attività gli strumenti business-critical devono avere ancora maggiori attenzioni e le cifre non mi sembrano spropositate (di che vivrebbe un tassista se avesse la propria auto sempre dal meccanico?).

Ciao ragazzi, buone notizie:

ho installato come mi avete indicato sul volume raid1 i seguenti applicativi:

- dns server
- radius server
- time backup
- antivirus essential

Poi sono andato sul router ed ho aperto le porte 5000 e 5001

sono andato sul nas in "accessi esterni" ed ho impostato un IP statico, e sul firewall ho consentito i vari accessi.

Poi tramite DSM5 ho creato un id quick connect.

Sono andato sul mio Samsung Galaxy, ho installato DSfile, ho inserito l'id quick connect, username e password e voilà, sono entrato con la connesione 3g quindi come se fossi all'esterno dell'ufficio...

Perfetto.

Domanda, da casa, quindi usando il pc windows 7 o 8 o MAC devo impostare una connessione VPN? i parametri che devo inserire? il PC di casa deve avere un IP fisso?

Poi ragazzi altra domanda.
Siccome ho 7 pc nel mio ufficio, quando accendo uno prima dell'altro l'ip di ogni PC cambia; ora ho capito come devo fare per impostare un ip fisso su windows 7, ma domanda, i vari ip posso metterli a caso oppure no? esempio:

PC1: 192.168.1.100
PC2: 192.168.1.101
PC3: 192.168.1.102

e così via?

In realtà se tutto funziona come dovrebbe, con apparecchiature serie e se non hai più pc di quanto sia grande il pool di assegnazione il server dhcp dovrebbe tenere memoria dei lease vecchi e riassegnare lo stesso indirizzo. Se invece spegni il router e riaccendi i pc in ordine diverso avranno indirizzi diversi. In ogni caso per evitare ciò devi usare il binding dell'indirizzo ip con il mac address.

Consiglio (esempio su rete 192.168.1.0/24):

• 192.168.1.254/24 router (ip statico)
  • DHCP pool 192.168.1.129..192.168.1.158
    1°DNS 192.168.1.10
    2°DNS 192.168.1.254
    Binds
    • 192.168.1.201 MAC pc1
      192.168.1.202 MAC pc2
      192.168.1.203 MAC pc3
      192.168.1.204 MAC pc4
      192.168.1.205 MAC pc5
• 192.168.1.10 NAS (ip statico)
  • Configurazione rete: 192.168.1.10/255.255.255.0 gtw 192.168.1.254 1°dns 192.168.1.10 2°dns 192.168.1.254
  • DNS Server
    • zona local (o evntualmente intranet.dominio.tld nel caso di possesso di dominio.tld)
      record della zona locale
    • zona dominio.tld (per la risoluzione con ip interni del eventuale dominio esterno posseduto)
      record principali della zona
    • zona null.zone.file (ad-blocker http://forum.synology.com/enu/viewtopic ... 26#p310721)
      configurazione automatica da script schedulato
    • Viste per
      assegnare forwarder diversi (esempio il nas su 8.8.8.8, generale su 192.168.1.254)
      blocco della navigazioe ad alcuni pc locali
      decidere a chi applicare l'ad-blocker
  • DHCP pool 192.18.1.161..192.168.1.190
    1°DNS 192.168.1.10
    2°DNS 192.168.1.254
    Binds
    • 192.168.1.201 MAC pc1
      192.168.1.202 MAC pc2
      192.168.1.203 MAC pc3
      192.168.1.204 MAC pc4
      192.168.1.205 MAC pc5
• 192.168.1.1 Switch centrale (PoE) (ip statico)
• 192.168.1.2 Eventuale switch periferico (ip statico)
• 192.168.1.3 Eventuale switch periferico (ip statico)
• 192.168.1.4 Eventuale switch periferico (ip statico)
• 192.168.1.5 Eventuale access point (ip statico)
• 192.168.1.6 Stampante 1 (ip statico)
• 192.168.1.7 Stampante 2 (ip statico)
• 192.168.1.8 Stampante 3 (ip statico)

* I pool dhcp configurati prevedono 30 client (smartphone, tablet, ospiti) presupponendo che tutti i pc/nb "noti" (dell'azienda) vengano dotati di bind in modo da avere sempre lo stesso ip. Essendo configurati due pool diversi sui due server dhcp è irrilevante da quale server il client oterrà l'indirizzo che mai andrà in conflitto nella rete. (server DHCP ridondanti per la business-continuity)

Avendo aperto le porte 5000/5001 imposta il blocco automatico degli ip per password errata.
Alla fine dopo le varie sperimentazioni ti consiglio di abilitare il server vpn sul router (in alternativa sul nas). Per la vpn se lan-2-lan (vpn statica fra due uffici, ufficio-casa ...) il client non ha bisogno di nulla, la vpn viene creata fra i due router ed il client accede (se autorrizato) a tutte le risorse da ambo i lati a prescindere da dove sia connesso. Qui almeno uno dei due lati deve avere un ip pubblico statico meglio se entrambi.
Per le vpn client-2-lan il client (smartphone, tablet, portatile con chiavetta 3G) ha praticamente sempre un ip dinamico, il lato server sarebbe meglio (sicurezza) avere un ip statico ma funziona anche con ip dinamico.
Il client effetivamente con la vpn riceve un ip interno della rete a cui si collega. Se l'ip è determinante nell'autorizzazione degli accessi e/o identificazione dell'utente normalmente si effettua anche qui un bind dell'indirizzo ip assegnato al mac address del client oppure alla credenziali di conessione.

Per l'ufficio (il server vpn), specialmente in caso di accessi remoti frequenti (dovuti ad esempio a causa di consultazioni dati sul nas, piuttosto che accesso al mail server o peggio ancora nel caso sul nas venga ospitato uno o piu siti web, caso questo valido non solo per le vpn) è megio/raccomandato che l'ip pubblico sia statico.
Con l'utilizzo di un ddns, quando l'ip pubblico cambia, il server dns autoritativo per la zona verra aggiornato immediatamente dal router/nas. Ma le modifiche ci metteranno un po' a propagarsi sui vari slave della zona. Per tutto questo tempo l'ufficio/sito web potrebbe non esser raggiungibile esternamente.

Ciao ragazzi ho un problema.

Stamattina vado in ufficio per installare il nas visto che a casa funzoonava bene ed avevo capito cosa fare, lo porto in ufficio.
Lo collego alla vodafone station attraverso la porta Gigabyte dietro nel modem, collego alla rete elettrica e lo accendo.
Poi vado sulla vodafone station ed apro le porte su port forwarding, rispettivamente TCP e UDP sia la 5000 che la 5001
Vedo che un altro indirizzo ha come porta associata la porta 80, ma lascio stare.

Vado in un pc della rete, provo a digitare \\192.168.1.202 che è l'ip del mio nas e non va; provo a vedere su gestione rete ma non me lo vede, provo a cambiare porta del nas ma niente; faccio anche questa prova, collego il mio notebook direttamente con un cavo lan alla porta del nas ma niente non funziona nemmeno così, cioè diretto senza passare per la vodafone o rete dell'ufficio ma un cavo lan tra notebook e nas. dal browser entro dentro il dsm ma se digito l'indirizzo su esegui dallo start di windows o guardo sulla rete non lo vedo il nas.
Ho provato anche a collegare il nas in una porta ethernet della vodafone station ma niente.

Sconsolato, lo riprendo, vado a casa, lo ricollego da me e non va ugualmente, provo a spostare il cavo lan in unaltra porta che sia diversa dalla 1 e 2 e funziona. Allora rimetto il cavo lan nella posizione 1 come ho fatto in ufficio e funziona.

Ho spento e riacceso il nas, e continua sulla lan 1 a darmi problemi, ho provato a spostare nella lan3 del nas e funziona a casa da me.

Premetto che sul nas non ho toccato nulla, ho notato inoltre che dall'ufficio nella sezione aggiornamenti dsm mi diceva che non era collegato ad internet.

Cosa può essere? come risolvo? faccio un'installazione da zero del nas direttamente in ufficio? oppure è difettoso il nas?

quando colleghi il nas direttamente al pc entrambi devono utilizzare indirizzamento statico (in quanto manca un server dhcp, a meno che tu non lo abbia correttamente configurato sul nas), gli indirizzi devono essere sulla stessa sottorete ed il cavo deve essere crossato.

Credo che difficilmente sia un problema hardware del nas

Forse, per ricevere aiuti mirati, dovresti indicare la composizione della tua infrastruttura di rete, tutti i device presenti e un minimo di loro configurazione.
Ad esempio collegare il nas sulla vodafone station non è una buona idea. Con 7 pc (che da quel che ho capito lo utilizzeranno come file server per il lavoro quotidiano) il nas dovrebbe esser collegato con le interfacce di rete aggregate ad uno switch che lo supporti assieme a tutti i pc. Sulla bretella fra switch e router (?vodafone station) passera solamente il traffico destinato a internet ed eventualmente a qualche stampante che per mancanza di porte è stata collegata ad una 100M del router. Non oso neanche pensare che i 7 pc siano in wifi sulla vodafone station.

no no Majo...

allora ho la vodafone station collegata ad uno switch che vedi in foto di colore bianco (dietro le porte sono tutte occupate), poi i cavi vanno a finire in un altro modulo, quello sopra di colore nero che identifica le varie porte poi che ho nei vari uffici (scatole a terra di collegamento lan).
Il modem zyxel non c'entra nulla è spento.
Nel nas ho inserito ip fisso (quello che ho indicato prima), inserito come dns 8.8.8.8 ed in alterntiva 8.8.4.4

Il server dhcp che mi hai fatto installare sul raid del nas no non l'ho configurato, ma non l'avevo configurato nemmeno quando ho fatto i test a casa e mi ha funzionato subito.