QNAP NASにオレオレ認証書をインポートする

QNAP NASの管理画面へのアクセスはHTTPS通信となる。初期設定においては、NAS自体が作成したSSLサーバ証明書が導入されている。

外部公開する際は、myQNAPcloudにてLet’s EncryptなどのSSLサーバ証明書の設定を行うことができるが、内部ネットワークで使う場合は、オレオレ認証局が発行したSSLサーバ証明書(オレオレ証明書)を使いたい場合がある。

本記事では、QNAP NASにオレオレ認証局にて作成した証明書をインポートする手順を記載する。

環境

今回作業を実施した環境は以下の通り

• QNAP NAS
  • 型番 : TS-231P
  • QTS : 5.1.0
• オレオレ認証局用Linuxサーバ
  • OS : CentOS Stream release 8

オレオレ認証局の構築

Linux環境にて秘密鍵とCSR (証明書署名要求)を作成し、CSRをもとにオレオレ認証局にて署名を行い、SSLサーバ証明書を作成する。このあたりの流れは、以下記事に詳しく記載したので参照いただきたい。

• Linuxでオレオレ認証局を構築する ＆ ESXiのSSLサーバ証明書入れ替え手順

オレオレ認証書を作成

オレオレ認証局が構築されている前提にてSSLサーバ証明書の作成を行う。

今回作成する証明書関連のファイルを以下に記載する。

ファイル名	種別
t1013qnap.key	秘密鍵
t1013qnap.csr	CSR (証明書署名要求)
san.txt	SAN (サブジェクト代替名)
t1013qnap.crt	SSLサーバ証明書

1. サーバの秘密鍵及びCSR作成

QNAP NASでは秘密鍵やCSR作成をすることができないようなので、Linux上で秘密鍵とCSRを作成する。

まずは秘密鍵を作成する。

# cd ~
# openssl genrsa 2048 > t1013qnap.key

～(中略)～

Country Name (2 letter code) [JP]:　★そのままEnter
State or Province Name (full name) [Tokyo]:　★そのままEnter
Locality Name (eg, city) [Default City]:　★そのままEnter
Organization Name (eg, company) [Default Company Ltd]:　★そのままEnter
Organizational Unit Name (eg, section) []:　★そのままEnter
Common Name (eg, your name or your server's hostname) []:t1013qnap　★ホスト名などを入力
Email Address []:　★そのままEnter

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:　★そのままEnter
An optional company name []:　★そのままEnter

次にCSRを作成する。

# openssl req -new -key t1013qnap.key > t1013qnap.csr

2. SAN(サブジェクト代替名)の設定ファイル作成

SSLサーバ証明書に付与するサブジェクト代替名の情報をsan.txtに記載する。今回はDNS名1つとIPアドレスを1つ記載した。

# cat << EOF > san.txt
subjectAltName = DNS:*.example.com, IP:192.168.11.13
EOF

3. SSL証明書を作成

CAスクリプトを使用しCSRに対して署名を行うことで、SSLサーバ証明書を作成できる。

先ほど作成したCSRとsan.txtを以下の通り/etc/pki/tls/misc/ディレクトリ(CAスクリプトを配置するディレクトリ)にコピーする。CAスクリプトを使う場合、CSRのファイル名はnewreq.pemにする必要があるので注意すること。

# cd ~
# cp qnap.csr /etc/pki/tls/misc/newreq.pem
# cp san.txt /etc/pki/tls/misc/

CAスクリプトにて署名すると、newcert.pemというファイル名でSSLサーバ証明書が作成される。

# cd /etc/pki/tls/misc/
# ./CA -sign
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/cakey.pem:

～(中略)～

        Subject:
            countryName               = JP
            stateOrProvinceName       = Tokyo
            localityName              = Default City
            organizationName          = Default Company Ltd
            commonName                = t1013qnap
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:*.example.com, IP Address:192.168.11.13
Certificate is to be certified until Jul 19 05:53:58 2033 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            0b:41:b7:3e:ac:a2:ca:1c:2b:ec:1b:39:b2:31:8b:4a:e3:35:25:15
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=JP, ST=Tokyo, O=Default Company Ltd, CN=My Private CA

～(中略)～

eQnnVBcS0wDHX0ATguHY7krprVFGHfQVDht0ZhRgmYESXgBNP9KoudbF6hOaTrnw
2B76Kr1Sv5hS/jjFZQFutis/jI0=
-----END CERTIFICATE-----

# ls -l newcert.pem
-rw-r--r-- 1 root root 4186  7月 22 14:54 newcert.pem

CAスクリプトで作成した証明書をコピーして保存する。

# cp newcert.pem ~/qnap.csr

【参考】CAスクリプトを使わない場合のSSLサーバ証明書の作り方

CAスクリプトを使わない場合のSSLサーバ証明書作成コマンドは以下となる。

# openssl x509 -days 3650 -req -signkey t1013qnap.key -in t1013qnap.csr -out t1013qnap.crt -extfile san.txt

QNAP NASにインポート

1. QNAP NASの管理画面にログイン

QNAP NASの管理画面にログインし、[コントロールパネル] > [セキュリティ] > [SSLサーバ証明書とプライベートキー]を開き、[証明書の交換]ボタンを選択する。

2. SSLサーバ証明書をインポート

[証明書の交換]ダイアログボックスが開くので、[証明書のインポート]を選択し、[次へ]を選択する。

証明書のインポート画面にて以下を選択し、[適用]ボタンを選択する。

項目	設定値
証明書	SSLサーバ証明書 (t1013qnap.crt)
プライベートキー	秘密鍵 (t1013qnap.key)
中間証明書(任意)	設定不要

3. インポート後に再度QNAP NASにアクセス

証明書インポート後の管理画面の表示は自動更新されないため、一度別の画面に遷移してから[SSLサーバ証明書とプライベートキー]の画面を再表示しよう。

発行者、代替名、有効期限が更新されていれば、正常に証明書のインポートが完了となる。

一度ブラウザを落とし、再度QNAP NASにアクセスすると、以下の通りブラウザの証明書エラーが消えることが確認できた。

以上で、QNAP NASにオレオレ認証局にて作成した証明書をインポートする手順は完了となる。

QNAP QuCPE-3032レビュー② (仮想マシンと仮想ネットワークの作成編)

前回、QNAP JAPAN様よりお貸しいただいたQuCPE-3032の初期セットアップを行う手順を記載した。

今回は、QuCPE-3032にて仮想マシンと仮想ネットワークの作成を行い、操作内容とその際に気づいた点などを記載する。

前回の記事はこちら↓。

• QNAP QuCPE-3032レビュー① (初期セットアップ編)
• QNAP QuCPE-3032レビュー② (仮想マシンと仮想ネットワークの作成編)　←★本記事

環境

ネットワーク構成

QuCPE-3032は、以下の通り物理インターフェースを持つ。

• 10GbE x 2ポート (SFP+が別途必要)
• 2.5GbE-T x 8ポート

本当は10GbEや2.5GbEの接続を試せるとよいのだが、残念ながら私の検証環境には1GbEのポートしかないので、1Gbpsで接続する。以下に簡単なネットワーク構成図を記載する。

QuCPE内部の仮想ネットワーク構成は、以下の通り構成する。検証環境のネットワークを「Test Network」とし、そこからpfSense(仮想ファイアウォール)にてQuCPE内の内部ネットワークである「Internal Network」を作成した。

さらにInternal Networkからは内部ネットワークへ接続することで、QuCPEを外部ネットワークと内部ネットワークのゲートウェイとして動作させるよう構成した。

仮想マシン＆仮想アプライアンス構成手順

1. 作成する仮想マシンと仮想アプライアンス

仮想マシン及び仮想アプライアンスの説明を以下に記載する。

仮想マシン	種別	説明
pfSense	仮想アプライアンス	QNAPのVMマーケットプレイスよりインポート可能な仮想ファイアウォールアプライアンス。
Zabbix	仮想アプライアンス	QNAPのVMマーケットプレイスよりインポート可能なシステム監視ソフトウェアの仮想アプライアンス。
AlmaLinux9	仮想マシン	Linuxインストール＆動作確認用。

それでは、仮想アプライアンスと仮想マシンを順番に作成していこう。

2. 仮想アプライアンス構成手順

「VirtualizationStation」を開き、「VMマーケットプレイス」を開くと、いくつかインポート可能な仮想アプライアンスが表示される。残念ながらそこまで多種多様な仮想アプライアンスは用意されていない。

仮想アプライアンス	説明
QuTScloud	QNAP NASに搭載されているQTSの仮想アプライアンス版。
AWS File Gateway	SMBやNFSを使ってAWS S3と連携するためのゲートウェイ。
AWS Volume Gateway (cached volumes)	iSCSIを使ってAWSと連携するためのゲートウェイ。AWSのボリュームをプライマリとし、アクセスした情報をQuCPEにキャッシュしながらアクセスするイメージ。
AWS Volume Gateway (stored volumes)	iSCSIを使ってAWSと連携するためのゲートウェイ。QuCPEに存在するボリュームをプライマリとして、非同期にAWS側にも同期するイメージ。
pfSense	仮想ファイアウォールアプライアンス。ファイアウォール機能だけでなく、DHCPサーバ、DNSサーバ、NTPサーバ、簡易ロードバランサ、VPNサーバなど多数の機能を持っている。
Zabbix	システム監視ソフトウェアの仮想アプライアンス。

インポートしたい仮想アプライアンスの「展開」ボタンを押し、必要なCPUやメモリを設定するだけで展開できる。

pfSenseやZabbixなどは、初期設定方法をQNAP自体がマニュアルを用意しているので、そちらを参考にしつつ設定すれば使えるようになる。

• pfSense : QNAP NAS 上での pfSense のインストール | QNAP
• Zabbix : A tutorial for SMB users:How to monitor network devices via Zabbix on a QNAP NAS - YouTube

pfSenseやZabbixの具体的な設定手順は、Web上で公開されている情報や公式のマニュアル等を確認しながら理解する必要があるが、会社などでネットワークやサーバーの管理をしている人であれば、調べながら設定することができるだろう。

3. 仮想マシン作成手順

仮想マシン作成は、ESXiなどと同様にCPUやメモリのリソース設定をしたうえで、ISOイメージからインストールすることになる。

OSの種類を選ぶ個所があるが、CentOS 7.4以降が選べないなど、情報が古いと感じる個所があるものの、実際は最新のAlmaLinux 9.0であっても動作することを確認している。

仮想ネットワーク構成手順

1. VNFポートの設定

QuCPEでは、物理ポートの設定を「Network Manager」から設定できる。

物理ポートの種類として、以下3つから選択することができる。

物理ポート種別	用途
WAN	インターネット接続用途。
LAN	内部ネットワーク用途。各ポート単位でネットワークを個別に設定が可能であり、DHCPサーバの設定も可能。
VNF	仮想マシンや仮想アプライアンス接続用途。VNF自体は特にIPアドレスを持たず、その配下の仮想マシンや仮想アプライアンス自体がIPアドレスを持って通信する。

今回は仮想マシンと仮想アプライアンスが通信できるよう、Port 7とPort 8をVNFポートに設定した。

2. 「Service Composer」で仮想ネットワークと仮想マシンを紐づける

QNEに搭載されている「Service Composer」を使うことで、GUIを使いながら仮想ネットワークと仮想マシンを直感的に紐づけることができる。

左に配置されている仮想マシン(VM)や仮想スイッチ(Virtual Switch)をドラッグ＆ドロップで配置しコネクタで接続するだけで、仮想マシンに必要なNICが追加され仮想ネットワークが完成する。

3. 動作確認

実際にQuCPE上に構築した仮想マシンに接続してみよう。

詳細な手順は割愛するが、以下の通り設定する。

1. AlmaLinux 9に対してApacheをインストールする
2. pfSenseにて外部からのアクセス用のVirtual IPを作成する
3. 作成したVirtual IPに対してNAT Ruleを作成し、Virtul IP宛てのHTTPの通信を仮想マシンのApacheに転送する設定を行う

以上を実施することで、外部からQuCPEにアクセスした際に、AlmaLinuxのApacheのテストページを表示させることができた。

以上で、QuCPEで仮想マシンと仮想ネットワークの作成を行う手順は完了となる。

まとめ

今回QuCPEを使用して初期セットアップをしてから仮想マシンと仮想ネットワークの構成までを実施した。

QuCPEを使いこなすためにはある程度のサーバとネットワークの知識は必要と感じたものの、個別に物理スイッチや物理サーバを用意することに比べれば、省スペースかつ少ない費用で導入が可能となると感じた。

QNAP QuCPE-3032レビュー① (初期セットアップ編)

QNAPというとNASのイメージが強いが、単純なNASの機能以外にも、NASが持つCPU、メモリ、ディスクリソースを利用して仮想マシンやコンテナを稼働させる機能を持っている。例えば、私が自宅で稼働させているQNAP NAS TS-231Pにおいては、「Container Station」というアプリを使うことでDockerコンテナなどが利用できる。

このようにQNAP NASで持っていた「NAS上で仮想マシンやコンテナを動かす」という機能をさらに強化し、仮想マシンだけでなく仮想ネットワークも構成できる製品として、「QNAP QuCPEシリーズ」がリリースされた。

今回、QNAP JAPAN様よりQuCPE-3032をお貸しいただいたので、実際にQuCPE-3032の初期セットアップを行い、仮想マシンと仮想ネットワークの作成をしてみた。

実際の作業内容とその際に気づいた点などを2回にわけて記載していく。

• QNAP QuCPE-3032レビュー① (初期セットアップ編)　←★本記事
• QNAP QuCPE-3032レビュー② (仮想マシンと仮想ネットワークの作成編)

QuCPE-3032ハードウェア構成

ハードウェア構成

QuCPE-3032は以下の通りとなる。NASと同様、データディスクは別途準備が必要となり、QuCPEの場合はM.2 SSD (NVMe)専用となる。

• CPU : Intel® Atom® C3558R 4コア 2.4 GHz プロセッサ
• メモリ : 8GB (拡張可能)
• ディスク :
  • システムディスク : 約60GB
  • データディスク : 別売 (M.2 SSD (NVMe)スロット x 2に追加)

ネットワーク構成

QuCPE-3032は多数のネットワークインターフェースを持っている。

• 10GbE x 2ポート (SFP+が別途必要)
• 2.5GbE-T x 8ポート

本当は10GbEや2.5GbEの接続を試せるとよいのだが、残念ながら私の検証環境には1GbEのポートしかないので、1Gbpsで接続する。以下に簡単なネットワーク構成図を記載する。

初期セットアップ (M2.SSDの取り付けと初期設定)

QuCPEを使用できるようにするために、M.2 SSDの取り付けと初期セットアップを行う。初期セットアップは、公式のユーザーガイドがあるため、そちらも参考に実施しよう。

• QuCPE-303x ユーザーガイド

1. 開封

外観はよくある小さめの小規模オフィス向けのルーター程度の大きさとなっており、場所を取らずに設置が可能となっている。
※ただし、後述するが時折ファンの回転数が高くなる際に音が大きくなることがあるので、あまり人が密集する場所に配置は避けた方がよいだろう。

なお、19インチラックに取り付け可能なラックマウントキットもオプション製品となるが販売されており、ラックマウントすることも可能となる。

2. M2.SSDの取り付け

M2.SSDを取り付けるため、2か所のネジを外し、蓋をスライドさせると内部にアクセスすることができる。

写真の①②と記載がある個所がM2.SSDスロットなので、後部にあるツメを起こしてからM2.SSDを差し込むだけで取付することができる。

なお、今回は2つのスロットに同一製品のM2.SSDを取り付けを行っている。これらのM2.SSDは、初期設定時にRAID1で構成される。

3. 起動

電源ボタンを押して起動すると、いつものQNAP NASと同じビープ音が数回鳴って5分程度で起動する。

起動後の静穏性については、基本的にファンの回転数は低く回転していれば特に気にならない音量となる。ただし、内部の温度がある一定温度を超えるとファンが強く回転することがある。この場合は、結構な音量を発することから、機器を設置する際は、暖房から離れたところや人から離れたところに設置した方がよいだろう。
※ファンの回転数はコントロールパネルからも設定でき、回転数を制御することは可能。

QuCPEが初期設定の状態においては、すべてのポートでDHCPクライアントが動作しているので、接続したネットワークにDHCPサーバがあれば、IPアドレスが自動で取得される。

ただし、起動時点では本体からはIPアドレス等は確認できないので、Qfinderを使ってQuCPEを発見しよう。なお、QNAP NASのOSがQTSに対し、QuCPEはQNEというOS名称になっている。

4. 初期設定

Qfinderで見つけたQuCPEをダブルクリックすれば、ブラウザで管理画面に接続することができる。初期化された状態の場合は「スマートインストレーション」の画面となり、各種初期設定をすることができる。

初期設定では以下の項目を設定する。

設定項目	説明
ファームウェアバージョン指定	新しいファームウェアがある場合はここでバージョンアップをすることができる。
動作モード	スタンドアロンモードとクラウドマネジメントモードを設定できる。今回はスタンドアロンモードとする。
アプリケーションディスク	M2.SSDのディスクのRAIDモードを指定するが、RAID1のみ選択可能だった。
ユーザー名とパスワード	ホスト名、ユーザー名、パスワードを設定する。
日付と時刻の設定	タイムゾーンとNTPサーバを設定する。

設定後、初期設定反映の処理が開始される。この処理は5分ほどで完了する。

5. 管理画面にログイン

初期設定が完了すると、ログイン画面に遷移する。先ほど作成したユーザでログインすると、QNAP NASでおなじみのQTSと似たようなQNEの管理画面が表示される。

管理画面はQNAP NASと比較すると、軽快に画面遷移をして操作できると感じる。これはCPUやメモリの性能によるものと思われる。

また、QNAP NASとの大きな違いは、以下アプリケーションが存在することだろう。

アプリケーション	説明
Network Manager	物理ポートの役割設定(WAN、LAN、VNF(仮想ネットワーク用))などの構成・管理を行う。
Service Composer	仮想マシンと仮想ネットワークの構成・管理を行う。
Virtualization Station	仮想マシンの構成・管理を行う。

以上で、QuCPE-3032の初期セットアップは完了となる。

AMIZ Cloudとの連携

AMIZ Cloudと呼ばれるQNAPが提供するクラウドサービスを利用することで、複数台のQuCPEと、QuCPE上で稼働している仮想マシンやコンテナをリモートから管理することができる。

QuCPEにて「myQNAPcloud」アプリを開き「クラウド管理モード」を選択するとウィザードが表示されるので、指示に従いながら設定するだけで、AMIZ Cloudとの連携が完了する。

動作はかなり遅いが、リモートから仮想マシンのコンソールも開くことができるため、簡単な操作ならリモートからもすることができそうだ。

AMIZ Cloudとの連携機能を用いれば、QuCPEを複数の拠点に配置するような構成においては、保守面で大きなメリットが出るだろう。

次回

次回はQuCPEに仮想マシンと仮想ネットワークの設定を行い、QuCPE上の仮想マシンに実際にアクセスできるよう構成してみたいと思う。

UPS「CyberPower CP750SWLT JP」を導入してQNAP NASで管理してみた

自宅では冬になると、エアコンやヒーターなどを使うことによって予期しないタイミングでブレーカーが落ちることが年数回発生しており、自宅サーバや自宅NASも全停止してしまっていた。これが本番環境なら大障害である。

そのたびに復旧作業として、サーバの起動を一から実施しなおして稼働確認を行い、NASに対してはファイルシステムチェックを実施するなど、非常に手間がかかっていた。また、サーバやNASが突然停止することで、データ破損の懸念もある。このような経緯から、停電対策としてUPS「CyberPower CP750SWLT JP」を導入することにした。

本記事では、UPS「CyberPower CP750SWLT JP」の簡単な説明と、QNAP NASへ接続して管理する方法について記載する。

導入したUPS

今回導入したUPSは、「CyberPower CP750SWLT JP」。出力電力は525Wとなる。UPSとして停電時も電源共有可能なコンセントが5つと、停電時は電源は共有されないが雷サージが可能なコンセントが5つついている。

なお、2018年に「CyberPower CPJ500」を購入していた(導入時の記事はこちら)。このUPSは出力電力が300Wしかないため、停電時の電源として動作しない状況となっていた。UPSは出力電力に余裕のある機器を選ぶように注意しよう。

QNAP NASに接続して管理

QNAP NASは、CyberPowerのUPSとUSBで接続することで、UPSの充電状況の確認や、電源断が発生した際に自動的にNASの停止を行うといった連動が可能となる。

実際の電源断発生時の動作確認

実際に入力電源を抜いて電源断を発生させた際のQNAP NASの状態を参考情報として記載する。

1. 通常状態

通常状態では、ステータスが「正常」となっている。

2. 電源断の状態

電源断の状態では、ステータスが「異常」となっている。

また、QNAP NAS自体もエラーとしてログに出力するため、メールやSNMP Trap通知の設定をしておけば異常検知することができる。
※もっとも、停電時はインターネット回線が使えなくなる可能性もあるので、メールでの通知を受け取ることは実際は難しいかもしれない。

以上。

QNAP NASをZabbixを使ってSNMPポーリング監視する

QNAPのNASは、ストレージOSとしてQTSという独自OSが動作している。このOSにはZabbix Agentが提供されていないが、SNMPポーリング及びSNMP Trapによる監視を実装することができる。

今回、QNAP NASをZabbixを使ってSNMPポーリング監視するための設定手順を記載する。

環境

• QNAP : TS-231P
• QTS : 4.5.1.1540
• Zabbix : 5.0.10

監視設定手順

1. QNAP NASにてSNMPを有効化

QNAP NASの設定は非常に簡単であり、「コントロールパネル」→「ネットワークとファイルサービス」→「SNMP」を選択し、以下を設定するだけでよい。

設定項目	設定値
SNMPサービスを有効にする	チェック
トラップアドレス1	ZabbixのIPアドレスを設定
SNMPバージョン	SNMP V1/V2
コミュニティ	public (または任意で設定。Zabbix側の設定も合わせること)

2. ZabbixにてQNAP NASをホスト登録

ZabbixにQNAP NASをホスト登録する。SNMPによる監視を行うため、インタフェースにSNMPを追加する。

「SNMPコミュニティ」は、QNAP NASのコミュニティがpublicの場合は、特に設定変更は不要であり、{$SNMP_COMMUNITY}のままとすればよい。{$SNMP_COMMUNITY}はマクロであり、Zabbixの「管理」→「一般設定」→「マクロ」にてpublicにて設定されている。もし変更する場合は、ホストの設定で直接修正するか、マクロの設定を修正する。

3. Zabbixにてテンプレートをリンク

QNAP NASはSNMPによる監視を行う。Zabbix 5.0の場合は、以下のテンプレートを使うことで、CPU、メモリ、ディスク、ネットワークの必要なリソース情報の監視を実装できる。

監視項目	テンプレート
CPU	Template Module HOST-RESOURCES-MIB SNMPv2
メモリ	同上
ディスク	同上
ネットワーク	Template Module Interfaces SNMPv2

QNAP NASのホスト設定の「テンプレートをリンク」にて、上記2つのテンプレートをリンクする。

ディスカバリによって自動的に必要なアイテム、トリガーの作成が行われるが、手動でディスカバリをしたい場合は、「ディスカバリルール」タブで対象のディスカバリルールを選択し、「監視データ取得」を選択する。

4. SNMP Trap監視を有効化

SNMP Trap監視は、Zabbixに対して各種設定が必要となるため、以下別記事を参照すること。

• CentOS 8 + Zabbix 5.0の環境にSNMPTTを導入してSNMP Trap監視をできるようにする

5. 動作確認

ディスカバリがされると、以下の通り、CPU、メモリ、ディスクの各情報がグラフとして表示できるようになる。

QNAP NASで定期的なスナップショット取得を設定する

自宅では2017年に購入したQNAP TS-231PをCIFSのファイルサーバとして現役で利用している。QNAP NASのOSはQTSと呼ばれるが、QTSはバージョンアップを重ねるごとに機能強化がされており、現在のバージョンではボリュームに対してスナップショットの取得ができるようになっている。

今までは、スナップショット機能が実装前にボリュームを作成したことにより取得することができなかったが、先日物理ディスクの交換時にボリュームの再作成を行った。これにより、ボリュームに対してスナップショットを取得できるようになったので、定期的なスナップショット取得をするよう設定してみた。

本記事ではQNAP NASのボリュームに対して、定期的なスナップショットを取得する手順を記載する。

環境

• QNAP NAS : TS-231P
• QTS : 4.5.1.1540

手順

1. スナップショットマネージャーを開く

QNAPのWeb管理画面にログインし、「ストレージ＆スナップショット」を開く。

左メニューから、「ストレージ」→「ストレージ/スナップショット」を選択してボリューム一覧を表示させたのち、スナップショット取得対象のボリュームを選択する。

ボリューム選択後、左上にある「スナップショット」→「スナップショットマネージャー」を選択し、スナップショットマネージャーを開く。

2. スナップショットのスケジュールを設定

「スナップショットのスケジュールを設定する」のボタンを選択すると、「スナップショット設定」のポップアップが表示される。ここでは、スナップショットの実行タイミングや保存期間を設定することができる。

3. スナップショットの実行タイミングを設定

「スナップショットのスケジュールを設定する」タブでは以下の通り設定する。

設定項目	設定例	説明
スケジュールを有効にする	有効	スナップショットの自動取得を実施する場合は有効にする。
繰り返し	毎日 01:00	取得タイミングを設定する。毎時間、毎日、毎週、毎月だけでなく、一定間隔で繰り返し実行といった設定が可能。
スマートスナップショットを有効にする	チェック	対象のボリュームのデータに変更があった場合のみスナップショットを取得する設定。

4. スナップショットの保存期間を設定

「スナップショット保存」タブでは以下の通り設定する。

スナップショット取得数には上限がある。上限数は「スナップショットは最大いくつとれますか？」をクリックして確認することができる。

設定項目	設定例	説明
保存期間	3日	保存期間を超過したスナップショットは削除するよう設定する。
指定した件数のスナップショットを保存する	3スナップショット	保存するスナップショットを件数で管理する場合は、こちらで設定を行う。
スマートバージョニング	毎日1、毎月3	異なる期間でスナップショットを保持させたい場合に使用。例えば、毎日1件のスナップショットを残すだけでなく、1件でよいので3か月分のスナップショットを残したい場合などに使用する。

上記設定完了後、「OK」を選択し、設定を保存する。

5. スナップショット取得結果確認

実際に、スナップショットが取得された結果はスナップショットマネージャーから確認できる。

また、CIFSによるファイル共有をしている場合は、@Recently-Snapshotというフォルダから直接スナップショット取得時のデータを確認することができるため、すぐにスナップショット時点のファイルにアクセスすることができる。これが非常に便利だ。

以上で、QNAP NASで定期的なスナップショット取得する設定は完了となる。

QNAPとOpenVPNを使って自宅にVPN接続する方法

インターネット経由で自宅のネットワークにアクセスできると何かと便利ではあるが、外からRDPやSSHで接続できるようポートを開けてしまうと、外部からの攻撃や乗っ取りのリスクが高まるため望ましくない。実際に身近でも、外からRDPで接続できるようポートを開けていたら、PCが乗っ取られてしまったというケースを聞いたことがある。

というわけで外部から自宅内ネットワークに安全にアクセスするために、VPNによるアクセスを実施することにした。具体的には、QNAPのNASをVPNサーバーとして設定し、WindowsやAndroidからVPNでリモート接続できるようにしてみた。

QNAPのOpenVPNサーバの設定

本記事で掲載する画面キャプチャは、QTSバージョン：4.5.1のものとなるが、他バージョンでも、ほぼ同様の画面となっているはずだ。

1. QVPN Serviceのインストール

まず、QNAPのWeb管理画面にログインしたのちApp Centerを開き、「QVPN Service」をインストールする。

2. OpenVPNの設定

インストール後、QVPN Serviceを開く。VPNの方式として、「QBelt」、「PPTP」、「L2TP/IPsec (PSK)」、「OpenVPN」の4種類が選択可能だが、今回は「OpenVPN」を有効化するため、左メニューより「OpenVPN」を選択し、「OpenVPNサーバーを有効にする」にチェックを入れる。

その他の設定はデフォルトのままで問題ないため、「適用」ボタンを押して設定反映を行う。

3. OpenVPNのプロファイルファイルをダウンロード

次に、「設定ファイルのダウンロード (for QVPN v1.1 or newer)」ボタンをクリックし、<QNAPのホスト名>.ovpnというファイル名のファイルをダウンロードする。このファイルはOpenVPNの接続情報が記載されたテキストファイル (プロファイルファイル) となっており、接続に必要な証明書情報も含まれている。

ダウンロードしたプロファイルファイルをテキストエディタで開くと接続先情報がIPアドレス表記になっているので、DDNSなどで自宅のグローバルIPアドレスを名前解決できる場合は、FQDNの表記に修正しておく。これによって、プロバイダから割り当てられるIPアドレスが変更となった場合にも接続することができる。

remote 100.10.20.30 1194
　　　↓
remote example.myqnapcloud.com 1194

4. OpenVPN接続ユーザの設定

左メニュー→「権限設定」にて、接続可能とするVPN接続ユーザを追加し、OpenVPNの項目にチェックを付ける。

ブロードバンドルータの設定

OpenVPNはUDPの1194ポートを使うため、ブロードバンドルータでポート開放を行う必要がある。設定方法は各社のルーターのマニュアルを確認すること。通常は「ポートマッピング」といった呼ばれ方の設定項目があるはずで、外部からの特定ポートのアクセスをLAN側の特定のサーバに転送する設定を行えばよい。

OpenVPNは1194/UDPで接続を行うため、以下のようなマッピング設定を行う。

• LAN側ホスト：QNAPのIPアドレスを設定
• LAN側ポート番号：1194/UDP
• WAN側ポート番号：1194/UDP

Windows OSからの接続

1. OpenVPNクライアントをダウンロード

Windows OSの場合、まずは以下URLからOpenVPNクライアントをダウンロードする。自身の使っているWindows OSに合わせて、「Windowsインストーラ」の64bitまたは32bitのどちらかをダウンロードすればよい。

• OpenVPN.JP - ダウンロード

※なお、ダウンロードURLの注意書きに「vpnux Clientがお勧めです」との記載もあるので、そちらを利用してもよい。私はvpnux Clientは使ったことがないので、今回はOpenVPNを使って接続する。

2. OpenVPNクライアントをインストール

インストーラーを実行して、「Install Now」を押すだけでインストールは完了する。なお、途中でデバイスのインストールの警告が表示される場合は、「OK」を押してインストールを継続すればよい。

インストール後、「No readable connection profiles (config files) found.」という内容のポップアップが表示されるが、プロファイルファイルを配置していないことによるものであり、ファイル配置前となることから問題がないメッセージとなるため、「OK」を選択しておく。

3. プロファイルファイルの配置

インストール後、先ほどQNAPからダウロードした<QNAPのホスト名>.ovpnを以下パスに配置する。

C:\Program Files\OpenVPN\config

4. OpenVPNで接続

タスクトレイの「OpenVPN GUI」のアイコンを右クリック→「接続」を選択する。
※タスクトレイに表示されていない場合は、デスクトップの「OpenVPN GUI」のショートカットをダブルクリックし起動すること。

リモート接続を許可しているユーザとパスワードを入力することでOpenVPNによるVPN接続ができる。

なお、接続時に赤字で以下のような警告メッセージが表示されるが、これはAES-128-CBCが非推奨 (DEPRECATED) である旨のメッセージとなる。現時点のQNAPは残念ながら、AES-128-CBCまたはAES-256-CBCの2種類しか設定できないため、この警告は無視して接続するしか対処方法はない状況となる。

Thu Dec 31 08:04:10 2020 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
Thu Dec 31 08:04:10 2020 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence this warning.
Thu Dec 31 08:04:10 2020 OpenVPN 2.5.0 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Oct 28 2020
Thu Dec 31 08:04:10 2020 Windows version 10.0 (Windows 10 or greater) 64bit
Thu Dec 31 08:04:10 2020 library versions: OpenSSL 1.1.1h  22 Sep 2020, LZO 2.10

Androidからの接続

1. OpenVPNクライアントをインストール

Androidの場合は、Google Play Storeから「OpenVPN Connect」を検索して、インストールをする。

2. プロファイルファイルのインポート

OpenVPN Connectを起動すると「Import Profile」画面が表示されるので、「File」タブ→QNAPからダウロードした<QNAPのホスト名>.ovpnを指定→「Import」ボタンを選択する。

リモート接続を許可しているユーザとパスワードを入力し、右上の「ADD」を選択する。

3. OpenVPNで接続

作成したプロファイルの選択し有効化することで接続が開始される。

「Connection request」のポップアップが表示された場合は「OK」を選択する。

「Select Certificate」が表示される場合は、「CONTINUE」と「SELECT CERTIFICATE」どちらを選択しても接続は成功するが、毎回接続時に確認されるのが面倒な場合は、「SELECT CERTIFICATE」を選択してデフォルトの証明書を選択しておけばよい。

正常に接続されれば、以下の通り「CONNECTED」と表示される。

まとめ

以上で、QNAPをVPNサーバーとして、外部からVPNすることに成功した。外出先から自宅環境のファイルを見たり、検証サーバーにアクセスしたり、非常に便利になった。

更新履歴

• 2017/08/01 新規作成
• 2020/12/31 最新の情報に合わせて、全体的に内容を更新