VPN Serverを仕込んでおきたかった

今回DS120jを設置するに辺り、(パッケージセンターから)VPN Serverを有効化させて東京の自宅からVPN接続できるように設定を済ませる予定でした。
kb.synology.com

VPN Serverの設定としてはL2TP/IPsecで繋げられるように設定したかったところですが、Windows系クライアントではルーター配下にあるVPN Serverに(WindowsビルドインのVPNクライアントで)接続したい場合は余計なレジストリのカスタマイズが必要なので今回はOpenVPNを利用することとしました。
docs.microsoft.com

VPN接続する場合は設定時に接続先のIPアドレスやDDNSが必要となるため、Synology側で用意されているDDNS(Synology DDNS)を利用しようと思いました・・・が、余計なお便利機能によりSynology DDNSで取得したアドレスをブラウザに打ち込むとDSM(NAS管理画面)のログイン画面が見えるようになってしまいます・・・。

一般的には「外出中でもインターネット経由でお家のNASの設定ができて便利！」なのかも知れませんが、実家利用のためにパスワードポリシーを激甘設定にせざるを得ないので、アドレスさえ分かればDSMログイン画面が表示される状況は大変都合がよろしくありません・・・。・・・えぇ、本当は最低限パスワード設定は入れ込みたかったのですが、どうしてもパスワードなしの設定が必要だったので・・・。

そのため、DDNS(Synology DDNS)を有効化するとインターネット経由でログイン画面が見えてしまい、パスワードなしユーザーが存在すると言う状況から、VPN Serverの設定を突っ込むのは諦めることとしました・・・。
やる気になれば他のDDNSサービスを使えば済む話ですが、他のDDNSサービスがどのくらい信頼できるかと言うリサーチから始めなければならないですし、また緊急事態宣言発令に加えて都市封鎖(ロックダウン)が行えるよう法改正云々の話もあるので今は下手なことをしないほうが良いと判断しました。*1

パスワードなしユーザーとか言う凄まじい脆弱な存在

正直なところ、Synology Photosを利用するためには初回にパスワードを入れれば(DSM側で定期パスワード更新を有効にしなければ変更しないので)OKなので、アカウントにパスワードを設定しておきたかった・・・のですが、PC側からの接続を考慮するとパスワードなしと言うヤベーアカウントを作らざるを得なくなりました・・・。

ご存じの方も多いかと思いますが、ワークグループ環境でもWindows PC側のアカウントID・パスワードとNAS側のアカウントID・パスワードが全く同一だとパスワードの確認なしにNASへ接続できます。*2
そのため、適切にWindows側のアカウントに適切なパスワードが設定されていればNAS側に同じアカウント・パスワードを設定すればNASへ接続するときに余計な認証なく接続できます。
・・・が、実家環境では基本的にPCのサインインパスワードは設定なし、更には自動サインインと電源入れたら全自動でデスクトップが表示されるように設定してしまったので、パスワードなしユーザーとか言うヤベーやつはその弊害です。
そんな状況をかなり昔から容認してきたため、今更PC使うときにパスワード入れろとかはできなくなってしまったので十数年前にPCを引き渡したときに「パスワードってのが必要で・・・」と文化として覚えさせておく必要がありました。*3
正直なところ、親のPCに関してはいつの日か来るであろうお通夜・葬式を行うその日までノーパスワード運用となると思われるので、これから親のPCを・・・と言う方は、PCを使う上でパスワードと言う文化は必須とお伝え頂くとNASなどのアレゲなものを導入するときに脆弱なアカウントを作らずに済むのかも知れません。

遠隔バックアップも入れたかった

今回導入したDS120jは、USB接続の2.5型HDD(500GB)に雑なバックアップを行う設定としています。・・・2TBのディスクに対して500GB(0.5TB)は色々駄目だろ・・・と思いつつ、最低限のバックアップ環境なので妥協です。
最低限のバックアップ環境は整えていますが、バックアップ先が使い古した2.5型HDDで容量も足りない有様に加え、DS120jはディスクが1本しか積めないNASなのでもう1つ別のストレージにバックアップ出来るようにしたいところ・・・。

思いついたのが東京の自宅にあるDS218Play、しかも東京の自宅はRTX830さんにVPN設定を突っ込んでいるので(DS120jから)VPNを張れば気軽に接続できます。
ただし、VPNを張っても時間経過で切断されてしまう上、再接続ができませんが遠隔バックアップは私が帰省したタイミングで手動で実行する形になりますが、それでも遠隔地バックアップが行えれば取得間隔がかなり空いてしまうとは言えデータ全ロストは避けれます。*4
sylve.hatenablog.jp

まぁ、それを実現するためにはHyper Backup Vaultと呼ばれる別のパッケージをDS218Playに入れる必要があり、私のポリシーに反するので積極的に行いたいとは思わないんですけど・・・。正直SMB辺りで適当に繋げられると思ったら、そう単純な話では無いので廃案。・・・ただ、(DS120jから東京環境への)VPN設定だけは入れるだけ入れているので、これは妙案が浮かんだらやってみようと思います。

リモート管理したいので適当なDDNSを見つけなければ

DSMのアップデートは自動で行うよう設定は入れていますし、パッケージも自動更新設定を入れているので基本的にノーメンテで済むような設定を入れています・・・が、何らかの形でメンテナンスのために接続出来る環境は整えたいところです。
雑な案としてはDSM内蔵のDDNS機能から利用出来るDDNSサービスで、IPアドレスの定期更新が行えるようなサービスを利用したいところですが、最悪は適当なLinuxサーバー替わりのナニカを配置して、DiCE辺りを動かして様々なDDNSサービスから気に入ったサービスを使ってみるのも一つの手なのかも知れません。*5

いずれにせよ機器も必要ですし検証も必要なので次回帰省時までにゆっくり考えることとしますが、検証・・・か・・・。
DiCE辺りで適当なDDNSサービス云々部分については、既にYAMAHAのNetVolanteでDDNS利用しているので自宅環境でどこまでチェック出来るのか・・・。

まぁ、時間はたっぷりあるのでリモート管理に向けてどうするかは、ゆっくり考えて機器を揃えて行こうと思います。リモート管理出来るよう環境整えるのもいいですし、ノーメンテで済むよう手を入れているので余計なことを考えないようにするのもいいですし・・・。