SynologyのNASは「Synology Quickconnect」という仕掛けを使って、「IPv4網」や「IPv6網」からアクセスする事ができる事は知っていましたがこれで利用できる範囲はDSMアクセスや特定アプリケーションだけなので、まだIPv6でのWebサーバ運用はまだ先と思っておりました。
しかし、無料で利用できる「Cloudflare」を利用するとWebサーバも「IPv4網」や「IPv6網」からアクセスできる事が判りましたので、このサイトは、「Cloudflare」を使ったサイトにURL変更しました。
ここではSynologyのNASをIPv6で利用する方法を解説しています。
1.SynologyのNASをIPv6で接続する
下記ドキュメントSynologyをIPv6に接続した時に行う事を説明しています。
その結果
・IPv4/IPv6環境からQuickConnectでDSMにログインできる様になります。
・IPv6環境からSyonoloyのDDNSを使ってDSMにログインできる様になります。
しかしIPv4/IPv6からアクセスできるWebサーバは構築できません。
2.Cloudflareを使ってIPv4/IPv6からアクセスできる環境を構築する
Cloudflareを利用する為には無料のDDNS(ダイナミックDNS)では利用できません。
そこで有料のドキュメント名をXServerから取得する方法を解説しています。
Cloudflareで利用するドメインをXServerから取得する
下記ドキュメントはXServerから取得したドメインでcloudflareをセットアップする方法を解説しています。
Synologyで利用するドメインをCloudflareに登録する
下記ドキュメントはSynologyの中のWebサーバをCloudflareのAAAAレコードを使って接続する方法を解説しています。SynologyのIPv6アドレスが変更になっても追随できる様にタスクスケジューラ機能でCloudflareのAAAAレコードを更新します。
SynologyのWebサーバをCloudflareとIPv6で接続する
SynologyのWebサーバをCloudflare経由でアクセスすると、Webサーバをアクセスした人のIPアドレスが取れなくなります。
これを回避する方法を下記で解説しています。
Cloudflareを経由するSynology Webサイトの訪問者IPの復元
下記ドキュメントはSynologyサーバにDockerを立ち上げCloudflareとトンネルで接続する方法を解説しています。これによりSynologyサーバの内部リソース(DSMやルータ等)にアクセスできる様になります。
以上を使う事によりIPv4/IPv6環境からSynologyのリソースにアクセスができる様になりました。
3.Cloudflare Zero trustを利用する
上記の2項でのCloudFlareの利用方法は、CDN機能を利用したWebサイトの公開と外出先から自宅内リソースへのアクセス方法という従来の考え方に基づく接続方法でした。
しかしCloudFlareは[Zero trust]というセキュリティ空間も無償で提供しています。
この[Zero trust]を利用した私の自宅のネットワーク構成は下図になります。
自宅や企業のネットワークをインターネットの脅威から守る最大のポイントは
・自宅や企業のグローバルIPをインターネットから見えなくする
事が最大のポイントでCloudflareのDNSプロキシーはこれを行ってくれていました。
これに加えてCloudFlareの[Zero trust]を導入すると考え方は下記の様に変わります。
①CloudFlareの高速ネットワーク上に自宅や企業のセキュリティ空間を構築する。
このセキュリティ空間に入る為の認証システムの導入と利用者管理の設計を行う。
②PCやスマートデバイスはWARPを使ってこのセキュリティ空間に接続する。
③利用しているローカルネットワークもトンネル機能を使ってこのセキュリティ空間に接続する。
④このセキュリティ空間からのインターネットアクセスは[Gateway]機能の設定で各種の脅威から守る。
⑤社内リソースや公開Webサーバのセキュリティ対策は[Access]機能の設定で行う。
以上を行う事により下記の事が可能となります。
①セキュリティ空間からインターネットアクセスはCloudflareが通信を総て分解しマルウェア等の危険なサイトのブロック、ファイルのダウンロードはウィルスチェックを行ってから返してくれる。
このコンテンツが充実すると将来的にはクライアントに入れるウィルスチェック等のセキュリティツールは不要になる可能性も出てきました。
②PCやスマホが社内/自宅/外出先のいずれにあっても、総てローカル環境になる。
よってファイアーウォールやVPN接続等の概念は無くなります。
③内部にあるWebサーバの公開はA/AAAA以外に、トンネル経由での公開も可能となる。
いずれの方法でもWAF対策、DDOS対策が自動で行われる。
④更に公開サイトでも利用者の制限、管理者モードのアクセス制限、phpMyAdmin等へのアクセス禁止等の細かなセキュリティ対策が行えるようになる。
セキュリティ対策用の余分なプラグイン等も不要になる。
今までこのサイトではSynologyの色々な使い方に合わせて各種のセキュリティ対策を紹介してきたが、今までのテクニックは何だったのかと思える程、CloudflareのZero trustはすごいです。
どの様に構築したら良いかを知りたい方は[お問い合わせ]から相談して下さい。
当初はこのサイトの中で紹介する事を考えましたが、個人や企業の現在の環境によってかなり構築方法が異なりますので「まずは何を行いたいのか?」をお聞きした後、判る範囲でお答えします。
尚、ご自分でできそうな場合は構築方法を記載した利用者限定のサイトに招待します。
このサイトには広告は表示されない上にコンテンツの書き方がGoogleを意識しない書き方となりますので見易いと思いますが、このサイトの利用にはGmailアドレスが必須となります。