Какой порт нужно открыть для доступа к веб-интерфейсу TrueNAS?

Веб-интерфейс TrueNAS использует порт 80 (HTTP) и/или 443 (HTTPS). Однако не рекомендуется открывать их напрямую в интернет из соображений безопасности. Вместо этого используйте VPN (например, WireGuard) или обратный прокси (например, Nginx Proxy Manager) с обязательным SSL шифрованием и аутентификацией.

Почему SMB работает медленно через VPN и как это исправить?

Протокол SMB чувствителен к задержкам (latency) в сети. Для улучшения производительности: 1) Уменьшите MTU в настройках VPN (например, установите 1300), 2) Включите опцию SMB multichannel в настройках общей папки, если она поддерживается клиентами, 3) Используйте WireGuard вместо OpenVPN, так как он имеет меньшие накладные расходы, 4) В настройках SMB на TrueNAS увеличьте параметры deadtime и keepalive.

Можно ли использовать Cloudflare Tunnel для доступа к TrueNAS?

Да, Cloudflare Tunnel (через cloudflared) является отличным и безопасным решением для предоставления доступа к веб-интерфейсу TrueNAS. Он создает зашифрованный туннель без необходимости открывать входящие порты на вашем роутере. Важно отметить, что этот метод подходит только для веб-интерфейса. Доступ к файловым протоколам (SMB, NFS, AFP) через Cloudflare Tunnel невозможен, для них потребуется VPN.

Как настроить доступ для нескольких пользователей из удаленной сети?

Для предоставления доступа нескольким пользователям: 1) В решении VPN (WireGuard/Tailscale) добавьте каждого пользователя как отдельного peer с уникальным ключом и IP-адресом. 2) В TrueNAS создайте отдельные учетные записи пользователей (Accounts → Users). 3) Настройте dataset'ы (наборы данных) с соответствующими правами доступа (Permissions) для каждого пользователя или группы. 4) Для упрощения управления создавайте группы (например, 'remote_users') и назначайте права на уровне групп.

Как настроить TrueNAS доступ из другой сети | VPN, маршрутизация, безопасность

Представь, что твой TrueNAS сервер стоит дома, а тебе нужно получить к нему доступ из офиса или во время командировки. Или наоборот — сервер в офисе, а доступ нужен из дома. Давай разберем все рабочие способы организовать truenas доступ из другой сети безопасно и эффективно.

Почему нельзя просто открыть порты?

Перед тем как перейти к настройке, важно понять риски. Прямое открытие портов TrueNAS в интернет — плохая идея. Веб-интерфейс, SMB/CIFS, NFS — эти протоколы не предназначены для работы через публичную сеть без дополнительной защиты.

Внимание! Прямой проброс портов 80, 443, 445, 2049 в интернет может привести к взлому твоего сервера. Всегда используй VPN или обратный прокси с аутентификацией.

Метод 1: VPN — самый безопасный способ

VPN создает защищенный туннель между сетями. После подключения к VPN твой компьютер будет «видеть» TrueNAS так, как будто находится в той же локальной сети.

1.1. WireGuard на TrueNAS (рекомендуется)

WireGuard — современный, быстрый и простой в настройке VPN. В TrueNAS SCALE он доступен как приложение.

Шаги настройки:

В TrueNAS SCALE зайди в «Apps» → «Available Applications»
Найди и установи «WireGuard»
Настрой конфигурацию:

config

# Пример конфига WireGuard (wg0.conf)
[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = [ТВОЙ_ПРИВАТНЫЙ_КЛЮЧ]
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

# Клиент
[Peer]
PublicKey = [ПУБЛИЧНЫЙ_КЛЮЧ_КЛИЕНТА]
AllowedIPs = 10.8.0.2/32

1.2. OpenVPN через Docker

Если у тебя TrueNAS CORE или нужен OpenVPN:

docker-compose.yml

version: '3.8'
services:
  openvpn:
    image: kylemanna/openvpn
    container_name: openvpn
    cap_add:
      - NET_ADMIN
    ports:
      - "1194:1194/udp"
    restart: always
    volumes:
      - ./openvpn-data:/etc/openvpn

Метод 2: Проброс портов с обратным прокси

Если VPN не подходит, используй обратный прокси с аутентификацией. Мы будем использовать Nginx Proxy Manager.

2.1. Настройка Nginx Proxy Manager

Установи NPM как приложение в TrueNAS SCALE
Настрой домен или используй DDNS (duckdns.org, noip.com)
Добавь прокси-хост:

Параметр	Значение
Domain Names	truenas.yourdomain.com
Scheme	http
Forward Hostname/IP	192.168.1.100 (IP TrueNAS)
Forward Port	80

Важно: Обязательно включи SSL (Let's Encrypt) и HTTP Basic Auth в настройках прокси-хоста. Это защитит веб-интерфейс от несанкционированного доступа.

Метод 3: Маршрутизация между сетями

Если у тебя есть доступ к маршрутизаторам в обеих сетях, можно настроить маршрутизацию.

3.1. Настройка статических маршрутов

Предположим, у нас есть:

Сеть TrueNAS: 192.168.1.0/24
Удаленная сеть: 192.168.2.0/24
Шлюз между сетями: 10.0.0.1

На маршрутизаторе удаленной сети:

bash

# Добавляем маршрут к сети TrueNAS
ip route add 192.168.1.0/24 via 10.0.0.1

# На TrueNAS добавляем маршрут обратно
ip route add 192.168.2.0/24 via 192.168.1.1

Метод 4: Tailscale — Zero-config VPN

Tailscale — это WireGuard с автоматической настройкой. Идеально для быстрого доступа.

Установи Tailscale через командную строку TrueNAS:

bash

# На TrueNAS SCALE
curl -fsSL https://tailscale.com/install.sh | sh

# Аутентификация
sudo tailscale up --advertise-routes=192.168.1.0/24 --accept-routes

Преимущество: Не нужно настраивать брандмауэр или пробрасывать порты. Tailscale создает mesh-сеть между твоими устройствами.

Настройка сетевых служб TrueNAS

После настройки доступа между сетями, нужно правильно настроить службы TrueNAS.

SMB/CIFS для Windows

config

# В настройках SMB (Services → SMB)
[global]
# Разрешаем доступ из VPN подсети
hosts allow = 127.0.0.1 192.168.1.0/24 10.8.0.0/24
# Запрещаем все остальное
hosts deny = 0.0.0.0/0

# Оптимизация для высоких задержек
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_KEEPALIVE
# Увеличиваем таймауты для медленных сетей
deadtime = 30
keepalive = 300

NFS для Linux/Mac

В настройках NFS (Sharing → Unix Shares (NFS)):

bash

# Редактируем /etc/exports
/path/to/share 10.8.0.0/24(rw,no_root_squash,subtree_check)
/path/to/share 192.168.2.0/24(rw,no_root_squash,subtree_check)

Безопасность: обязательные меры

Обновляй TrueNAS регулярно
Используй сложные пароли для всех учетных записей
Включи 2FA для веб-интерфейса
Настрой fail2ban для защиты от bruteforce
Ограничь доступ по IP в настройках служб

bash

# Установка fail2ban на TrueNAS SCALE
sudo apt update
sudo apt install fail2ban -y

# Базовая конфигурация
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Диагностика проблем с доступом

Если доступ не работает, проверь цепочку:

Проблема	Решение
Нет ping до TrueNAS	Проверь маршруты и firewall
Доступен ping, но нет служб	Проверь настройки служб и брандмауэр TrueNAS
Медленная скорость	Оптимизируй MTU, проверь задержки
Обрывы соединения	Увеличь таймауты, проверь стабильность канала

Сравнение методов доступа

Метод	Безопасность	Сложность	Скорость	Использование
WireGuard VPN	★★★★★	★★★☆☆	★★★★★	Постоянный доступ
Tailscale	★★★★★	★☆☆☆☆	★★★★☆	Быстрый старт
Обратный прокси	★★★☆☆	★★★★☆	★★★☆☆	Только веб-интерфейс
Маршрутизация	★★☆☆☆	★★★★★	★★★★★	Корпоративные сети

Частые вопросы (FAQ)

Какой порт нужно открыть для доступа к веб-интерфейсу?

Веб-интерфейс TrueNAS использует порт 80 (HTTP) и/или 443 (HTTPS). Но не открывай их напрямую в интернет — используй VPN или обратный прокси с аутентификацией.

Почему SMB работает медленно через VPN?

SMB чувствителен к задержкам. Попробуй: 1) Уменьши MTU в VPN (например, до 1300), 2) Включи SMB multichannel если поддерживается, 3) Используй более быстрый VPN (WireGuard вместо OpenVPN).

Можно ли использовать Cloudflare Tunnel?

Да, Cloudflare Tunnel (cloudflared) — отличная альтернатива для доступа к веб-интерфейсу. Он создает защищенный туннель без открытия портов. Но для SMB/NFS он не подойдет.

Как настроить доступ для нескольких пользователей?

1) В WireGuard/Tailscale добавь каждого пользователя как отдельного peer. 2) В TrueNAS создай отдельные учетные записи и dataset'ы с соответствующими permissions. 3) Используй группы для упрощения управления.

Заключение

Организовать truenas доступ из другой сети — вполне решаемая задача. Выбор метода зависит от твоих потребностей:

Для максимальной безопасности и полного доступа — используй WireGuard VPN
Для быстрого старта без сложной настройки — Tailscale
Только для веб-интерфейса — обратный прокси с SSL и аутентификацией
Для соединения офисных филиалов — маршрутизация между сетями

Помни: безопасность всегда на первом месте. Не открывай порты TrueNAS напрямую в интернет, используй сложные пароли и двухфакторную аутентификацию. Регулярно обновляй систему и мониторь логи на предмет подозрительной активности.

Теперь у тебя есть полный набор инструментов для организации безопасного доступа к TrueNAS из любой сети. Выбирай подходящий метод и настраивай!