QNAP maakt bèta QTS 5.0 met WireGuard-ondersteuning beschikbaar

QNAP heeft de bèta van versie 5.0 van zijn QTS-software voor nas-systemen beschikbaar gemaakt. Deze versie biedt onder andere betere beveiliging, prestatieverbeteringen en integratie van Wireguard-vpn.

QNAP heeft ook verduidelijkt welke nas-systemen de software kunnen draaien. QTS 5.0 is gebaseerd op Linux Kernel 5.10 en het bedrijf heeft onder andere de gebruikersinterface flink bijgewerkt, met onder andere een zoekbalk in het hoofdmenu om apps te vinden.

De software ondersteunt TLS 1.3 en biedt automatische updates voor QTS zelf en apps. Daarnaast kunnen gebruikers ssh-sleutels gebruiken voor authenticatie. QTS krijgt versie 2.0 van QVPN 2.0 met ondersteuning voor de lichtgewicht vpn-applicatie WireGuard om veilige verbindingen op te zetten.

Verder zijn de cacheprestaties bij gebruik van een NVMe-ssd verbeterd en is snellere beeld- objectherkenning mogelijk bij gebruik van een Edge TPU. Verder heeft QNAP de diagnostiek verbeterd met de functie DA Drive Analyze.

QNAP QTS 5.0 beta

Ondersteunde nas-systemen QNAP QTS 5.0.0 bèta

TS-328, TS-428, TS-230, D2 Rev-B

TS-231+, TS-431+, TS-131P, TS-231P, TS-431P, TS-131K, TS-231K, TS-431K, D2, D4, D4 Rev-B

TS-251B

TS-251D, TS-451D, TS-451D2

TS-253D, TS-453D, TS-653D, TS-453Dmini, HS-453DX, TBS-453DX, TS-453Bmini, TS-253B, TS-453B, TS-653B, TS-453BT3, TS-253Be, TS-453Be

TVS-472XT, TVS-672XT, TVS-872XT, TVS-872X, TVS-672X TVS-672N, TVS-872N

TS-473, TS-673, TS-873

TS-473A, TS-673A, TS-873A, TS-h973AX

TS-h2490FU

Reacties (41)

Snotvis 5 juli 2021 11:09

Ik gebruik nu een tijdje Wireguard op mijn mobiele apparaten en ik moet zeggen dat het heerlijk werkt. Er staat me bij dat er een tijd(je) geleden werd gezegd dat Wireguard nog niet klaar was voor commercieel/ enterprise gebruik. Alhoewel ik in de tussentijd wel updates heb geïnstalleerd, heb ik me niet echt ingelezen.

Kan iemand me vertellen in hoeverre Wireguard ongeveer gematured is?

lenwar

@Snotvis • 5 juli 2021 11:19

De primaire reden dat het niet voor zakelijk (en zeker enterprise) gebruik geschikt is, is doordat er geen infrastructuur bestaat om het te beheren. Wat je zakelijk gezien wilt, is dat je centraal op afstand de sleutels en configuratie van de clients kan beheren (dus sleutels toevoegen, verwijderen, vervangen, blokkeren, enz. en configuratie afdwingen middels policies of dergelijke technieken)

JonnyTheG @lenwar • 5 juli 2021 11:22

Klopt, zo een omgeving hebben ze niet zelf. Wel heb ik deze gevonden: https://github.com/WeeJeWel/wg-easy Wat ik daar dan nog in mis is de mogelijkheid om daar gebruikers in aan te kunnen maken. Dan kan het een soort van zelf service portal worden. Nog mooier is met LDAP integratie.

Ondertussen dus even gegoogeld en deze gevonden: https://github.com/h44z/wg-portal

[Reactie gewijzigd door JonnyTheG op 23 juli 2024 08:34]

lenwar

@JonnyTheG • 5 juli 2021 11:27

Die tool lijkt meer te focussen op alleen het server-stukje voor gebruikers op afstand (het 'inbellen' zegmaar). Dus je moet dan alsnog met de hand de keys op en neer sjouwen tussen de laptops/telefoons en de server en de client met de hand configureren. Ik doel meer op het beheren van de gehele omgeving. Dus dat je op afstand de sleutels kan vervangen op de clients zonder dat de gebruiker iets hoeft te doen.

Edit. Dus stel dat je 2000 werknemers hebt die je met die webinterface moet regelen, dan word je niet vrolijk. Zeker als je de sleutels iedere maand wil vervangen ;-)

[Reactie gewijzigd door lenwar op 23 juli 2024 08:34]

fretnn @lenwar • 5 juli 2021 12:20

het client gedeelte is idd iets complexer, tailscale (maakt in de achtergrond gebruik van wireguard) heeft dit heel goed opgelost

Jazco2nd @JonnyTheG • 6 juli 2021 00:03

Nu noem je iets dat totaal niet in verhouding staat met wat wordt omschreven en absoluut geen Enterprise level tool is.

Het is gewoon een web UI met QR codes.
Op Reddit staan stuk of 10 alternatieven die 1000x uitgebreider zijn. Inclusief ldap sso etc.

Voor thuis heb ik wg-easy na 10min weer weggedaan en uiteindelijk tevreden met deze:
https://github.com/vx3r/wg-gen-web/

Kan je users aan maken en zelfs default user profile. En ook de defaults van de server instellen (ip bereik etc).

PSCY @lenwar • 5 juli 2021 13:12

Ik moet zeggen dat LogonBox VPN een mooie beheersinterface is voor WireGuard. Voor het MKB een praktisch turnkey pakket.
https://www.logonbox.com/content/free-logonbox-wireguard-vpn

JonnyTheG @Snotvis • 5 juli 2021 11:19

Ik ben net begonnen met het gebruik van WireGuard. Wat ik prettig vind is dat het lijkt of je daadwerkelijk onderdeel bent van dat netwerk. Nadeel vind ik twee dingen, ik kan de Windows applicatie niet normaal werkend krijgen op een computer die in het domein hangt. De andere is het instellen dat je ook het huidige netwerk nog normaal kan benaderen, daar word ik momenteel volledig van afgesloten als ik de vpn tunnel aanzet.

Dus voor gebruik in een bedrijfsnetwerk waar een gebruiker gebruikers rechten heeft en geen admin rechten is de software niet makkelijk of zelfs wenselijk om te installeren.

fretnn @JonnyTheG • 5 juli 2021 11:43

wireguard installeren/beheren op laptops/pcs zonder admin rechten is idd lastig maar het kan.

https://www.johnbyrd.org/...cause-im-alive-live-wire/

Wij doen het hier sinds kort voor de laptops, op voorhand deployen we wireguard en een config file, de user heeft dan enkel permissie om de tunnel te stoppen of te starten

als je afgesloten wordt van je netwerk is het omdat je geen split tunnel op gezet hebt, zet in AllowedIPs in je config file (clientside) welke subnets/ip adressen er via de tunnel moeten gaan.

zet je 0.0.0.0/0 dan gaat alles via de vpn (dat is de default setting)

JonnyTheG @fretnn • 5 juli 2021 16:38

Bij Network Configuration Operators kan ik dan weer niet domein gebruikers kiezen, alleen gebruikers van de lokale pc. Het is niet een gebruikersvriendelijke manier om een vpn uit te rollen.

Tr1pke @fretnn • 5 juli 2021 18:10

Dit zou zo moeten zijn maar op iOS staat men setting 0.0.0.0/0 en toch kan ik nog steeds de locale servers benaderen ...

Tr1pke @JonnyTheG • 5 juli 2021 11:27

Voeg dit eens toe aan je cliënt config onder [peer]

AllowedIPs = 0.0.0.0/1, 128.0.0.0/1

Het joinen van een windows domain is geen probleem via WireGuard hoor, gebeurt hier vlekkeloos.

JonnyTheG @Tr1pke • 5 juli 2021 16:37

Bedankt voor de top. Dit werkt inderdaad voor Windows. Op ios werkt het vreemd genoeg niet.

Tr1pke @JonnyTheG • 5 juli 2021 18:07

op iOS werkt dit bij mij:

AllowedIPs = 0.0.0.0/0

---
En dit gebruik ik op men linux clients (raar maar waar, enkel dit werkt dus ik stel er mij geen vragen bij):

AllowedIPs = 0.0.0.0/0, 0.0.0.0/5, 8.0.0.0/7, 11.0.0.0/8, 12.0.0.0/6, 16.0.0.0/4, 32.0.0.0/3, 64.0.0.0/2, 128.0.0.0/3, 160.0.0.0/5, 168.0.0.0/6, 172.0.0.0/12, 172.32.0.0/11, 172.64.0.0/10, 172.128.0.0/9, 173.0.0.0/8, 174.0.0.0/7, 176.0.0.0/4, 192.0.0.0/9, 192.128.0.0/11, 192.160.0.0/13, 192.169.0.0/16, 192.170.0.0/15, 192.172.0.0/14, 192.176.0.0/12, 192.192.0.0/10, 193.0.0.0/8, 194.0.0.0/7, 196.0.0.0/6, 200.0.0.0/5, 208.0.0.0/4, 8.8.8.8/32, 8.8.4.4/32

[Reactie gewijzigd door Tr1pke op 23 juli 2024 08:34]

Jazco2nd @Tr1pke • 6 juli 2021 00:05

Huh. Waarom zou je al die adres ranges toevoegen als die helemaal niet bestaan in je netwerk.. dit slaat nergens op.

0.0.0.0/0 betekent al alles. Daarna nog eens een aantal apart definiëren doet niks.

jvwou123 @Jazco2nd • 6 juli 2021 08:19

Volgens mij heeft het te maken met dat sommige OS'sen (Windows b.v.) de 0.0.0.0/0 niet accepteren als route. Dus dan werkt die eerste niet, en dan vervolgens doe je daarna alle subnetjes die niet intern hangen apart 1 voor 1 toevoegen.

Tr1pke @jvwou123 • 6 juli 2021 14:45

Klopt en wij hebben verschillende locaties met verschillende subs. Daarmee

Tr1pke @Jazco2nd • 6 juli 2021 14:47

wij hebben verschillende locaties met verschillende subs. Daarmee, en de grootste reden is “enkel dit werkte” tenzij je een betere reden kunt geven dan “het werk” ga je gang.

Mirano

@JonnyTheG • 5 juli 2021 13:02

Ik heb een static route zodat ik ook me interne netwerk kan beheren, i.c.m. remote tunneled access

Vuurvoske @Snotvis • 5 juli 2021 17:50

Ik heb een hele dag geprobeerd een simpele wireguard server op te zetten, maar kreeg het niet voor elkaar. Ik kwam tot 'connected', maar nat routering etc wilde niet werken. Heb het uiteindelijk opgegeven.

Tr1pke @Vuurvoske • 5 juli 2021 18:11

staan je firewall settings correct en gebruik je iptables?

Vuurvoske @Tr1pke • 5 juli 2021 23:32

Ik heb letterlijk alles geprobeerd. Zelfs settings in sysctl mbt ipv4 forward en ik meen zelfs aanpassingen in securetty. Ik wil er op zich wel op doorgaan, maar zullen we dat dan doen in DM?

Marctraider @Snotvis • 6 juli 2021 03:21

Draai het al 2 jaar zo goed als onafgebroken, dus qua stabiliteit zal het wel schikken ;-)

bas-r 5 juli 2021 12:27

Jammer, mijn 18 maanden oude TS-128A staat niet in het lijstje.
Ik ben benieuwd of dit betekent dat de ondersteuning dan ook stopt. Ik wist dat het een budget NAS was, maar zo snel stoppen met ondersteunen is wel heel vlot.

Iemand die een NAS weet waar je zelf een Debian/Arch op kunt installeren? Of een andere Linux? Dat blijft toch wat langer up to date...

jvwou123 @bas-r • 6 juli 2021 08:22

Ik heb ooit debian op een Western Digital NAS geinstalleerd. Bedoel je zo iets? Als je gewoon debian wilt gebruiken zou ik zelf wat hardware gaan samenstellen, en neem een kijkje in https://gathering.tweakers.net/forum/list_messages/1673583 daar staat hardware die ook nog zuinig is.

bas-r @jvwou123 • 6 juli 2021 08:47

Debian op een NAS installeren heeft inderdaad de voorkeur, omdat een NAS in de regel zuinig en stil is.
Enige wat ik op een NAS gebruik is samba en een camera-server. Dat heeft geen power nodig.

Ik zie dat dat kan op een oude Terramaster NAS, en ook op Odroid spul.
Ik ga dan toch voor een Rpi 4, waarvan ik weet dat Raspbian lang wordt onderhouden.

NukemRules @bas-r • 5 juli 2021 12:46

Een NAS waar je zelf Debian/Arch op kan installeren? Volgens mij noemen ze dat gewoon een PC.

Maar zonder gekheid, dat bestaat wel degelijk. Een hele bekende is de HP Proliant Microserver.

Xyrillion @bas-r • 5 juli 2021 12:54

FreeNAS (of trueNAS) is ook altijd nog een optie om te overwegen mocht je NAS geen QTS5 krijgen

YaPP @bas-r • 5 juli 2021 16:49

Je kan nog OpenMediaVault op de NAS installeren.

En als je een nieuwe NAS wilt kopen waarop je toch al een eigen OS gaat installeren.. de HP Proliant Microserver gen10+ is echt een super alternatief!

[Reactie gewijzigd door YaPP op 23 juli 2024 08:34]

feico.de.boer 5 juli 2021 13:38

Het zal wel ouderwets denken zijn, maar waarom wil je een VPN verbinding laten eindigen op je NAS? Van mij hoeft die functionaliteit allemaal niet zo, dat stop ik liever in een router of aparte VPN appliance.
Ergo, mijn VPN draait dan ook op een aparte Raspberry Pi en niet op mijn QNAP.

glatuin @feico.de.boer • 5 juli 2021 16:43

Ik vind de performance van VPN op een RPI niet goed genoeg. Ik wil soms weleens flinke bestanden downloaden en via vpn op rpi ging mij dat te traag.

feico.de.boer @glatuin • 5 juli 2021 21:03

Met een Pi4 zou je nog wel een redelijke performance moeten krijgen. Met een oude rp1 rev 2 haal ik inderdaad niet dan ongeveer 5 Mbps maar dat is voormij (vooralsnog) voldoende.

!GN!T!ON @feico.de.boer • 5 juli 2021 15:24

Gemak denk ik, plus dat voor thuis die NASen al snel manusje van alles zijn, file-server, media-server, VPN-server, LDAP enzovoorts. Ansich zie ik er niet echt problemen mee. Al helemaal als je bedenkt dat de meeste mensen een simpel dichtgetimmerde router van de provider hebben en ik denk dat het gross van de mensen geen zin en kennis hebben om zelf met pi's en docker enzovoorts aan de slag te gaan.

glatuin 5 juli 2021 11:35

Destijds een i3 in de QNAP gekozen zodat deze extra lang meegaat en lekkere performance biedt. Deze is eind dit jaar 6 jaar oud. Geen spijt van gehad dat ik een vrij dure nas had gekozen. Jammer QTS 5 gaat hier niet meer op passen. Echter de 5.5 jaar oude NAS doet het nog prima. Ga denk ik nog even aanhouden. maar 7 jaar is denk ik wel het max, op bepaald moment zal ik geen patches meer ontvangen lijkt me.
Wireguard ondersteuning is wel fijn, heb ik nu draaien in een docker container.

rhk22463 @glatuin • 5 juli 2021 15:52

De update/patches bij Qnap blijven gewoon komen op basis van QTS (niet HW maar FW bepaalt doorlooptijd volgens mij).
Mijn bijna 11 jaar oude QNAP TS-859 Pro+ draait nog perfect en kreeg vorige week nog netjes een update.
Het is dan weliswaar geen QTS5.x maar dit betekent dus niet dat de andere versies QTS dood zijn en je NAS dus niet meer supported is.

Ik zou dus niet zo bang zijn dat je de NAS over een jaar moet wegdoen... kwestie van de schijven in goede conditie houden en op zijn tijd vervangen door grotere/nieuwere HDD's.

J_van_Ekris @rhk22463 • 5 juli 2021 19:52

Thanks, daar zat ik ook even mee: wat doen ze met de oude QTS-versies. Ik moet zeggen dat zolang de patches blijven komen en containerstation blijft draaien ik ook weinig nodig heb. En van NAS naar NAS migreren is toch wel een kostbare zaak: meestal kom je met de verplaatsing van de data in de knoei (tenzij je een dubbele set schijven accepteert).

BartOtten 5 juli 2021 16:04

Ik ben benieuwd of ze het aandurven om de update naar de final versie betaald te maken.

Afgelopen jaar heeft Qnap steeds meer meegeleverde software 'updates' gegeven waardoor je opeens voor dezelfde functionaliteit moet betalen. En sinds kort kunnen ze updaten van je oude applicaties verplichten (om tegen te gaan dat mensen die gratis editie blijven gebruiken).

Het begon met het verwijderen van DTS uit de CodexPack. Ze hadden geen licentie meer (lees: wilden niet meer betalen) dus waren de klanten (die er wel voor hadden betaald) de pineut. Toen bleef het even rustig om vervolgens voor van alles en nog wat 'abonnementen' te introduceren.

De afgelopen 2 a 3 jaar ben ik 'verloren':
Video Transcoding: nu allen nog via betaalde cayin-mediasign-player
Qsirch: file indexing
Surveillance-Station: video bewaking (ooit was het tot 4(?) camera's gratis)
Qfiling: automatisch sorteren van bestanden
QmailAgent: one mailbox to rule them all

Mijn advies: Koop geen QNAP. Na 2 jaar heb je minder dan toen je het kocht.

[Reactie gewijzigd door BartOtten op 23 juli 2024 08:34]

niekw @BartOtten • 5 juli 2021 17:37

Surveillance Station heb ik nog gewoon? Bij mijn QNAP met 2 gratis camerastreams.

Diverse andere zaken zijn inderdaad in de loop der tijd verdwenen. Maar hoewel je daarmee functionaliteit kwijtraakt, kan ik het me in sommige gevallen voorstellen dat QNAP verouderde software om veiligheidsredenen, (software)policies van derden of wellicht gebruiksissues weghaalt. Als ze zaken vanwege de licentiekosten verwijderen ben ik ook niet gelukkig.
Maar af en toe voegen ze ook verbeteringen door en mede dankzij Container Station heb ik ook (Docker)functionaliteiten toe kunnen voegen. Daarbij heb ik niet de illusie dat andere NAS bouwers bij iedere update alles hetzelfde laten...

BartOtten @niekw • 5 juli 2021 18:59

Het gaat me vooral om de software (door QNAP ontwikkeld) die voorheen gratis was en waar je nu opeens maandelijks voor moet betalen. En de oude (gratis) versie blijven gebruiken is er dus niet bij.

Leuk dat we Qmagie hebben gekregen (als voorbeeld) maar erop vertrouwen is onhandig want over een jaar kan het je 9 euro per maand kosten om je albums te kunnen gebruiken.

Deem 5 juli 2021 11:29

Ik zie dat de TS-431+ ondersteunt word, maar de TS-431X ontbreekt. Dat is eigenlijk de zakelijke variant van de +. Ik hoop dat die ook gewoon straks QTS 5.0 gaat krijgen?

duckieTM 9 juli 2021 10:12

Voor mensen die toch liever OpenVPN willen gebruiken, en b.v. ook hun thuis netwerk willen benaderen.
Ga dan als volgt te werk:

Stap 1:
SSH naar je NAS

Stap 2:
cd /share/CACHEDEV1_DATA/.qpkg/QVPN/etc/init.d

Stap 3:
vi vpn_openvpn.sh

Stap 4:

Zoek naar :
status /var/log/openvpn-status.log
writepid /var/run/openvpn.server.pid

port ${VPN_PORT}

En pas deze als volgt aan:

status /var/log/openvpn-status.log
writepid /var/run/openvpn.server.pid

port ${VPN_PORT}
proto ${VPN_PROTO}
max-clients ${VPN_MAXIMUM}
server ${VPN_IP_POOL} 255.255.255.0
push "route 192.168.0.0 255.255.255.0" # Hier het subnet waarna je toe wilt gaan

#${ip_dns_to_client} ---> Deze uitzetten
${VPN_PUSH_GATEWAY}
${VPN_COMPRESS}
${VPN_CIPHER}
${VPN_TLS_CIPHER}

Sla deze op en herstart openvpn : ./vpn_openvpn.sh restart

Op deze manier pushed hij dus de routering van je lokaale netwerk naar je client en NAT hij dat over je QNAP device.
Uiteraard kun je daar zoveel subnets kwijt als je wilt

Pas op als QNAP de QVPN Service 2 update moet je deze stappen weer opnieuw uitvoeren.

[Reactie gewijzigd door duckieTM op 23 juli 2024 08:34]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (41)

Sorteer op:

Weergave: