VPN of Shared Drive? Advies gevraagd. (Synology)

Mijn voorkeur:

Blijf in de Cloud en zorg dat je daar je rechtenstructuur goed instelt. Dan heb je geen probleem meer en ook geen reden om met de Synology aan de gang te gaan.

Gebruik VPN en niets anders om diensten op je interne netwerk beschikbaar te stellen. Als je het goed instelt kan je exact aangeven welk verkeer via de VPN moet lopen. Zorg voor een nette VPN server!

Gebruik Synology Drive (superleuk, maar niet om professioneel te gebruiken).

Gevoelsmatig ben je op zoek naar een excuus om de Synology in te zetten...

waarom moet je in de cloud blijven?

Je kan je eigen netwerk net zo goed secure maken.
er is een mooi uitgeschreven stuk van Synology wat je kan instellen voor security.
https://www.synology.com/...rity_to_your_Synology_NAS

ook voor VPN is alles uitgeschreven.
https://www.synology.com/.../help/VPNCenter/vpn_setup

Als je er geen vertrouwen in hebt om het goed in te regelen huur iemand in.
Laatste wat je wilt is je bestanden op straat lijkt mij.

De Synology VPN server package is voldoende hiervoor. Omdat je ook Mac/iPhone moet ondersteunen is de enige bruikbare optie L2TP met IPSec. Poortjes in je roetert opengooien en dan kan je met je user accounts van de NAS verbinden. Dan kan je vervolgend direct de bestanden op de NAS manipuleren conform de rechten van de gebruikers.

Let wel dat het niet geschikt is voor grote bestanden, want:

A ) de doorvoer van de meeste NAS apparatuur is niet geweldig over VPN --> wel met pittige firewall appliance
B ) je bent afhankelijk van de snelheid van de WAN zijde server en WAN zijde client. De langzaamste is de "winnaar".

[ Voor 3% gewijzigd door nelizmastr op 11-12-2019 14:38 ]

Verwijderd schreef op woensdag 11 december 2019 @ 12:31:
[...]

Welke cloud oplossing heeft dan wel een goed rechten beheer (en explorer integratie)? Ik heb gebruikersrechten op sub-folders nodig. Derhalve gaan we weg bij Google Drive. Het rechtenbeheer op de NAS is wel goed geregeld, vandaar 'het excuse' om de Synology te gebruiken. Dat lijkt mij dan een goede basis.

Waarom kan je geen rechten op subfolders instellen? Wij gebruiken Drive al jaren zo. Blijf weg bij team-/shared drives. Maak één 'Root' folder aan in één van je accounts en deel deze met de rest van je team/collegas.

Dan kan je vervolgens per map of per bestand de rechten instellen.

Voor explorer integratie installeer je 'Drive File Stream' op je lokale machine, dan heb je prachtige explorer integratie met color coded mappen en je kan met een dubbel klik op een doc bestand in je explorer direct het document openen in een browser tab.

Volgens mij is het handig als je je iets meer verdiept in de mogelijkheden voordat je drastische stappen gaat zetten die denk ik helemaal niet nodig zijn.

Verwijderd schreef op woensdag 11 december 2019 @ 15:31:
[...]

Boeiend. Op diverse fora regent het klachten dat Google Drive geen rechten systeem heeft. Ik heb me suf gezocht en geen oplossing kunnen vinden. Ook jouw oplossing lijkt niet te werken, ik krijg in Drive File Stream geen 'gedeeld met mij' map, of iets dat er op lijkt. (heb op mijn privé drive een map in de root gedeeld met mijn zakelijke account die al in drive file stream zit en op de link geklikt in de email. Wel zichtbaar in drive.google.com maar niet in drive file stream (explorer)). Maar al zou het werken, dan nog is backup wat omslachtiger en heb ik geen time backup per file (versie) dat ook wel handig kan zijn. Ik zie het met Google niet goed komen....

Klopt, die eerste keer 'Add to my drive' moet je vanaf de web-interface van drive doen, dat kan (nog) niet direct vanuit DFS. Zodra je dat éénmaal hebt gedaan dan komt die folder(s) ook tevoorschijn in DFS (kan een minuutje duren voordat deze gesynced is, ligt een beetje je internetsnelheid).

Rechten doen wij met Google Groups via de admin-interface. Wij hebben een groep 'iedereen' waar alle collegas inzitten. Op 'openbare' mappen heeft die iedereen-groep lees en/of schrijfrechten. Daarnaast hebben wij per project een group en eentje voor office-manager, directie, etc.

Onze root folder heeft de groep 'iedereen' view-only rechten. op submappen van de root folder heeft de groep iedereen wel schrijfrechten. Zo kan iedereen de mappen van de rootfolder zien, maar op root niveau niet zomaar nieuwe mappen aanmaken. Sommige submappen zoals directie heeft alleen de directiegroep toegang. Je kan op die submap dan de 'overerfde' 'iedereen' groep verwijderen, waardoor die hele subfolder niet meer zichtbaar is voor mensen die niet in de directie groep zitten.

EDIT: je geeft trouwens aan dat je dan geen 'versies' hebt, voor google docs, sheets e.d. heb je dit zeker wel! dit gaat op het document, als je een document opent klik dan op File -> Versions. Elke edit in documenten word getracked. Je kan een versie ook een naam geven ('named version') bijvoorbeeld als een document V1 heeft bereikreikt. Als wij een bestand delen met een externe maken wij altijd een named versie aan 'Verstuurd naar X'. Zo kan je altijd terugzien welke versie was gedeeld met een persoon, je kan ook specifiek een named version van een bestand delen, zodat ze alleen deze kunnen zien, maar niet de voorgaande of nakomende edits.

[ Voor 14% gewijzigd door !GN!T!ON op 11-12-2019 15:48 ]

Verwijderd schreef op donderdag 12 december 2019 @ 16:04:
[...]

Erg boeiend! Ik ben er een stuk verder mee nu. Ik begrijp alleen dat google groups niet zo, dat lijkt gemaakt voor discussie groepen. Ik heb een groep aangemaakt maar zie nergens een link om daarmee in Drive iets met rechten te kunnen doen.

Die Google Groups zijn inderdaad een beetje verwarrend aangezien ze een meervoudige functie hebben. Ze kunnen inderdaad als discussiegroep of mailinglist gebruikt worden, of als forum, Q&A website via groups.google.com, en daarnaast als administratiegroepen in admin.google.com.

Elke groep heeft een e-mailadres en een aantal leden, deze kan je aanmaken via groups.google.com, of via admin.google.com -> Groups. De interface van admin.google.com is minder uitgebreid een meer bedoelt voor het aanmaken van 'security' groepen.

Zodra je een groep hebt aangemaakt kan je in drive zelf onder 'share' de groep toevoegen net zoals je echte personen uitnodigt, via de naam van de groep, of het groepemailadres (vul deze dus in hetzelfde veld in alsof je een bestand of map wilt delen met bijvoorbeeld iggnition@gmail.com). Als het goed is verschijnt er een autocomplete veld met de groep erin, soms gebeurd dit niet (Weet niet waarom), maar als je het emailadres van de groep goed hebt getypt kan je gewoon op OK klikken. Daarna kan je de groep rechten geven op de folder of bestand (alleen lezen, commenten, lezen en aanpassen, of ook verwijderen), net zoals je dat kan doen met een echt account. Alle leden van die groep krijgen dan die rechten op het object.

Wij gebruiken groepen als project#-projectnaam-R, project#-projectnaam-RW. voorlezen en schrijven respectievelijk. Leuke is dat die groepen ook mailinglists zijn, alle emails die naar bijvoorbeeld project#-projectnaam-R@iggnition.com worden verstuurd krijgen alle groepleden dat mailtje ook. Voor project emails mailen we altijd met dat emailadres in de BCC zodat iedereen op de hoogte blijft van de voortgang, we hebben in onze projectomgeving ook een emailadres waar je naartoe kan mailen zodat mails direct daar beschikbaar zijn, deze is toegevoegd als 'lid' aan de Google Group waardoor je alleen het google adres hoeft te mailen en de mail word naar alle projectleden verstuurd en naar de projectpagina in de projectomgeving.

Verwijderd schreef op woensdag 11 december 2019 @ 11:46:
Als alternatief denk ik aan een VPN naar de NAS. [...] Het belangrijkste probleem lijkt me echter dat AL het internet verkeer van iedereen dan via onze NAS (of router) loopt. Dus als iemand thuis wat gaat downloaden, dan loopt dat via de Internet aansluiting op de zaak. Gebruikers moeten dan zelf hun VPN aan/uit zetten

VPN met Split Tunneling gebruiken. Alleen het verkeer voor de NAS gaat naar de zaak, al het andere verkeer gaat rechtstreeks via de internetverbinding van de betreffende gebruiker.

Als 3e optie kan je ook iets als GitHub overwegen. Hosted; of on-premise i.c.m. een vpn.

Verwijderd schreef op dinsdag 17 december 2019 @ 16:05:
[...]

Super!!!

@!GN!T!ON Heb je toevallig ook ervaring met het toegang geven van een externe medewerker (dus buiten je eigen domein)? Ik kan die niet toevoegen aan google groups namelijk..... "Sommige gebruikers behoren niet tot de organisatie of hebben geen geldig account. De configuratie van je organisatie of groep staat alleen organisatieleden toe deel te nemen. Neem voor assistentie contact op met je groepseigenaar of domeinbeheerder."

Twee dingen om op te letten;

1) Externe medewerker heeft een Google account nodig op zijn emailadres. Dit kan een gmail adres zijn, maar hij of zij kan ook een google account koppelen aan een zakelijk adres op eigen domein (uitleg).

2) Standaard staat voor groepen het uitnodigen van personen die niet in je eigen (google) domein zitten uit. Security dingetje. Dit kan je per groep aanpassen of dit wel of niet mag, of de default op allowed zetten.



Uitleg

Hopelijk lukt het zo