【NAS】BONUSで買ったNAS【BONUS】

2025.04.30

※2025/05/11追記


こんにちは、skkです。

約3年前に購入したNASをいよいよ使ってみようと思い調べました。
まず購入したものは以下です。

スペックの情報は以下の通りです。
NAS型番:DS220j HDD型番:ST2000VN004
HDDベイ:2ベイ HDD容量:4TB (2TBx2台)

さて、環境構築にあたりおおまかな構成は以下のとおりです。

この構成要件を満たすために実施したことを主にセキュリティ関連でまとめようと思います。

事前準備

PC(MacOS)からNASにアクセスする

「Synology Assistant」を公式からダウンロードして、同一LAN内にあるNASが表示されることを確認します。表示されたNASをクリックすると、ブラウザでDiskStation Manager(以降DSM)が開きます。

adminアカウントの削除と新規ユーザー作成、2FA認証の有効化

DSMにログイン後、adminユーザーを無効化します。adminユーザー無効化後に、administratorsグループのユーザーを作成します。
この際に2FA認証を有効にします。
2FA認証をするには、モバイル端末でApp Storeから「Synology Secure Signin」のアプリをインストールします。次回のログイン時から、パスワード認証後、アプリに表示されるOTPを入力する必要があります。

DDNSの設定

自宅のグローバルIPアドレスは、おそらくDHCPで動的に変化してしまうため、ホスト名でアクセスできるようにDDNS(以降Dynamic DNS)の設定をします。

OpenVPNの構築と接続

以下は、外部端末からNASへ直接アクセスしないためのOpenVPN環境構築と、モバイル端末(iPhone)からの接続手順です。

VPN Server

DSMからOpenVPNを構築するためのパッケージをインストールして、OpenVPNを有効化します。

  1. Synology DSMにログイン(ex. https://nas-ip.5001)
  2. パッケージセンターを開く
  3. 「VPN Server」を検索→インストール
  4. VPN Serverを開く
  5. 左メニューより「OpenVPN」をクリック
  6. 「OpenVPNサーバーを有効にする」にチェック
  7. 「適用」ボタンをクリック

NASのIP固定化とルーターのUDPポート解放

NASのIPを固定化(ルーター設定のIPアドレス予約機能を使用)します。
ルーターのUDPポートを解放します。(デフォルトは1194ですが、ルーターのUDPポート範囲内であれば任意のポートも可)
※いずれもルーターによって異なるため手順は割愛

VPN接続を許可するユーザーの設定

VPN接続を許可するユーザーを設定します

  1. DSMの「VPN Server」を開く
  2. 左ペインで「特権」を選択しOpenVPNにチェック(「事前準備」で登録したadministratorsグループのユーザー) ※他のプロトコルにチェックが入っている場合は外す
  3. 「適用」ボタンをクリック

OpenVPN設定ファイルのエクスポートおよびインポート

OpenVPN設定ファイルをエクスポートして、編集します。

  1. VPN Server→OpenVPNタブ→「エクスポート設定」ボタンをクリック
  2. openvpn.zipがダウンロードされるので解凍する
  3. openvpn.ovpnの以下二点を編集する
    1. remote your_nas_address 1194のyour_nas_addressをDDNSで設定した値とUDPの解放したポートに置き換える
    2. redirect-gateway def1がコメントアウトされていれば解除する。これでNASへのアクセスをVPN経由限定にします。

編集したopenvpn.ovpnをモバイル端末(iPhone)にAir Dropかメールで送信します。
インポートするために、iPhoneでApp Storeより「OpenVPN Connect – OpenVPN App」をあらかじめインストールしておきます。
送信した.ovpnファイルをOpenVPN Connectで開くことによりインポートします。
OpenVPNに接続する際に入力するユーザー名とパスワードは、事前準備で作成したユーザー名とパスワードを入力ます。

動作検証

実際にNASと同一LAN内にいないモバイル端末からファイルをアップロードします。

※2025/05/11追記内容
NAS外部のネットワークにある、MacOSからOpenVPNに接続するには、Tunnelblickを使用します。
Tunnelblickを公式サイトからインストールし、編集したopenvpn.ovpnファイルをインポートします。
OpenVPN接続後は、http://NASのローカルIPアドレス:5000でアクセスできます。

DS fileのインストール

モバイル端末からファイルをアップロードするには、OpenVPNに接続した上で、DS fileからアップロードする必要があります。

  1. App Storeより「DS file」をインストールします。
  2. 以下の情報を入力しログインをする
    接続先:NASのローカルIPアドレス(※DDNS名やグローバルIPを入力すると接続できない)
    アカウント:事前準備で作成したアカウント
    パスワード:アカウントのパスワード
    HTTPS:オフ
  3. 共有フォルダにアップロードできることを確認する

補足事項

VPNを構築するには、「WireGuard」というものもありますが、私のNASとルーターともに対応していなかったため、今回はOpenVPNを採用しました。

まとめ

今回はモバイル端末から自宅のNASにファイルをアップロードするために、なるべくセキュリティを強化することを重点的に書きました。
書いてて思いましたが、あまりにもNASの製品や自宅ルーターに依存しているので、あまり汎用的ではないかもしれないですね。いずれにもしても外部回線からは、VPN経由でNASへアクセスした方が、セキュリティ的には安全です。
普段はネットワークのエンジニアではないので、結構むずかしかったです。(GWを半分消費)

では、また🍆

コメント

タイトルとURLをコピーしました