Vzdálený přístup k Synology NAS bez veřejné IP

Od: matt® 04.11.25 16:25 odpovědí: 4 změna: 05.11.25 10:05

Dobrý den / Ahoj,rád bych požádal o radu ohledně nejlepšího způsobu vzdáleného přístupu k mému Synology NAS DS224+.Cílem je spolehlivý a rychlý vzdálený přístup k souborům (primárně přes Synology Photos a Synology Drive) mimo domácí sít (1Gbit). Aktuálně jsem nechal vypnout u svého ISP veřejnou IP adresu (kterou má zpoplatněnou), takže standardní cesta přes DDNS a port forwarding je teď vypnutý.Dosavadní zkoušené metody a jejich omezení:Cloudflare Tunnel (Free verze)Zprovoznil jsem přístup přes vlastní doménu (např. cld.mujnas.cz) pomocí Cloudflare Tunnel v Dockeru.Problém: Narazil jsem na tvrdý limit 100 MB na velikost souboru u Free tarifu. To v praxi znemožňuje nahrávání nebo stahování videí a větších souborů přes mobilní aplikace (Android), které jsou k této doméně přihlášeny. Bezpečnostní funkce (jako GEO-blocking) jsou sice skvělé, ale tento limit je pro mě zásadní překážkou.Synology QuickConnectToto je oficiální řešení od Synology pro přístup bez veřejné IP.Problém: Rychlost. Při práci s velkými soubory (jako jsou videa v Photos) je připojení často směrováno přes "relé" servery Synology, což výrazně "brzdí" rychlost a práce je velmi pomalá.Tailscale (VPN Mesh)Funkčně je to perfektní řešení. Je rychlé (přímé spojení), bezpečné a nemá žádné limity na velikost souborů. Můj NAS (DS224+) zvládá bez problémů i role Exit Node a Subnet router.Problém: Uživatelský komfort. Není žádoucí, aby na mobilních telefonech (zejména u netechnických uživatelů v rodině) musela běžet 24/7 VPN, aby aplikace Synology fungovaly.DDNS přes synology. Aktuálně vypnuto, jinak před tím s veřejnou IP funkční - jen zkouším hledat alternativy.Můj dotaz:Obracím se primárně na uživatele, kteří také řešili přístup bez veřejné IP adresy a nevyhovuje jim QuickConnect.Napadá vás ještě jiná spolehlivá varianta, kterou jsem přehlédl? Hledám něco, co by nemělo 100MB limit Cloudflare a zároveň nevyžadovalo neustále aktivní VPN klienta v telefonu jako např Tailscale.Děkuji předem za vaše zkušenosti a nápady.

Odpovědět na otázku

4 odpovědi na otázku

Řazeno dle hodnocení

riva

04.11.25 16:45

VPN Taiscale si zapnu/vypnu když potřebuji. Snad to není tak obtěžující.

herd®

04.11.25 23:47

to sice jo, ale pokud se to používá ke spolupráci s jinými lidmi, tak to musí být jednoduché jako přestoupit z Fiatu do Seatu a ne do kosmické lodi a hledat v manuálu jak zapnout něco

Mám to ověřené na sobě a skupině lidí, že když se používá pro spolupráci, tak nepřipadá v úvahu sebemenší nestandard/atypický způsob přístupu. Bohužel

[přidat komentář]

herd®

04.11.25 23:44

Jakou máš představu o rychlosti a nároky na ni?

Díky za to shrnutí, budu o nějaké praktická data z provozu chytřejší, o CF třeba nevím nic a ten 100MB mě rozčaroval . Překvapuje mě, že uvádíš že tailscale je rychlé (přímé)? Jak může být přímé když nemáš veř. IP? To funguje nějak na principu STUN serveru, který nějak "propálí NATy"?

Když to čtu, připadá mi to, jako kdybys cíleně vymazal druhé řešení které se nabízí VPS. rozjet tam VPN domu není nic těžkého, nevýhoda je cena a potažmo možné snížení rychlosti, které se odvíjí od ceny VPS : 30-300 Kč /měsíčně. U té spodní hranice i semtam výpadky a záseky.

U qnap to je podobné, relay servery jsem asi týden vyzkoušel jenže funguje to (přirozeně) jen na omezenou podmnožinu funkcí NASu - to znamená že to není plnohodnotné VPN, ale musíš se tam buď přihlašovat nebo snad možná jde i nějaký anonymní přístup k něčemu vyčleněnému - výhodou je , že oni se starají o bezpečnost. A bude ti připadat ,že to je kničemu.
(Asi to budeš nerat slyšet, ale ta veřejná IP byla téměř to nejlepší - maximální dosažitelná rychlosti=přímé spojení, holt se za to platí cenou.)

matt®

05.11.25 10:05

Díky za dotaz, je to dobrý postřeh. Máte pravdu – Tailscale skutečně funguje na principech, které popisujete, a proto může být "přímé" spojení i bez veřejné IP adresy.

Zjednodušeně to funguje takto:

1. Problém: Všichni jsou "schovaní"

Můj NAS je schovaný doma za routerem mého ISP (tzv. CGNAT). Nemá veřejnou IP.

Můj mobil je schovaný za NATem mobilního operátora. Také nemá veřejnou IP.

Ani jeden nemůže přijmout příchozí spojení.

2. Řešení: "Sejdeme se uprostřed" (Koordinační server)

Obě zařízení (NAS i mobil) ale mohou navázat odchozí spojení.

Obě zařízení proto "zavolají ven" na centrální koordinační server Tailscale (Tailscale coordination server).

Tento server slouží jako seznamka.

3. "Propálení NATu" (STUN / NAT Hole Punching)

Ten koordinační server (který funguje jako STUN server, jak správně píšete) se podívá, odkud mu kdo volá.

Vidí, že můj NAS volá z veřejné IP ISP (např. 80.50.60.70 na náhodném portu 12345).

Vidí, že můj mobil volá z veřejné IP operátora (např. 89.24.10.11 na portu 54321).

Server pak oběma zařízením řekne: "Ty (NASi) pošli data na 89.24.10.11:54321 a ty (mobile) pošli data na 80.50.60.70:12345."

4. Vytvoření přímého spojení

Obě zařízení teď začnou "bušit" na bránu toho druhého.

Router mého ISP vidí, že NAS posílá data ven na 89.24.10.11. Když mu v tom samém okamžiku přijdou data dovnitř ze stejné adresy, router si myslí, že je to odpověď, a pustí je dovnitř.

Tím se ta "díra" prorazí (tzv. "hole punching") a naváže se přímý, šifrovaný (WireGuard) tunel mezi mým mobilem a mým NASem.

Závěr:
I když nemám veřejnou IP, Tailscale díky STUN/ICE technikám většinou dokáže "propálit NAT" a vytvořit přímé šifrované spojení (WireGuard tunel).

Jen když jsou NATy příliš přísné (např. symetrické), data jdou přes DERP servery Tailscale – podobně jako QuickConnect u Synology, ale pomaleji.

[přidat komentář]

Přidat svou odpověď

Přihlásit se k odběru odpovědí z této otázky:

Neneseme odpovědnost za správnost informací a za škodu vzniklou jejich využitím. Jednotlivé odpovědi vyjadřují názory jejich autorů a nemusí se shodovat s názorem provozovatele poradny Poradte.cz.

Používáním poradny vyjadřujete souhlas s personifikovanou reklamou, která pomáhá financovat tento server, děkujeme.