การคอนฟิกเราท์เตอร์ Synology ให้เป็น HTTPS และการใช้ Mesh Router

by lew
1 November 2021 - 18:09

ฟีเจอร์หนึ่งที่เราท์เตอร์ระดับจริงจังไม่ว่าจะเป็นระดับองค์กรหรือสำหรับธุรกิจขนาดเล็กเริ่มรองรับกันมากขึ้นคือการเชื่อมต่อเว็บคอนโซลแบบเข้ารหัส แม้ว่าอุปกรณ์เน็ตเวิร์คเหล่านี้มักรองรับการเข้ารหัสในตัวอยู่แล้ว แต่ก็มักอาศัยใบรับรองแบบ self-signed ที่เบราว์เซอร์ไม่เชื่อถือ

ก่อนหน้านี้ผมเคยเขียนถึงเราท์เตอร์ MikroTik ที่รองรับการใส่ใบรับรองจากภายนอกเพื่อให้เชื่อมต่อเข้าไปคอนฟิกได้โดยใช้ URL แบบ HTTPS โดยใช้รับรองจริงจาก HTTPS แต่ในระบบปฎิบัติการ Synology Router Manager (SRM) ที่ Synology ติดตั้งมากับเราท์เตอร์ของบริษัทนั้นรองรับ Let’s Encrypt ในตัวมาตั้งแต่เวอร์ชั่น 1.2.3 ที่ออกตั้งแต่ปี 2019 ทำให้การเซ็ตอัพโดยรวมง่ายกว่ามาก

Dynamic DNS ผ่านบริการ Synology Account

ตัว SRM รองรับการบริการ dynamic DNS จำนวนมาก แต่ผมพบว่าตัวที่สะดวกที่สุดคือบริการ Synology DDNS เอง เพราะนอกจากสามารถใช้บริการได้ฟรีแล้ว ยังมีโดเมนให้เลือกจำนวนมาก ที่สำคัญคือรองรับการแก้ไขโดเมนแบบ TXT record ซึ่งจำเป็นสำหรับการสร้างใบรับรองเพื่อใช้งานเป็นการภายใน

ผู้ใช้ที่ต้องการใช้บริการ Synology DDNS ต้องสมัครบริการ Synology Account เสียก่อน และลงทะเบียนอุปกรณ์ที่ต้องการใช้งานด้วยหมายเลข serial ประจำตัวเครื่อง ที่เมนู Control Panel > Device > หน้าจอ System Information

การตั้ง Dynamic DNS อยู่ใน Network Center > Internet, Quick Connect & DDNS ส่วนของ DDNS นั้นอยู่ครึ่งล่าง กด Add เพื่อเพิ่มชื่อโดเมน ในกล่องเลือก เราท์เตอร์จะถามรหัสผ่านของบัญชี Synology จุดนี้ผมไม่ชอบสักหน่อย ถ้าเป็น device key น่าจะปลอดภัยกว่าในกรณีที่เราท์เตอร์ถูกแฮก แต่บัญชี Synology ก็ไม่ได้เข้ามาควบคุมเราท์เตอร์ตัวอื่นๆ ในบัญชี ทำให้ความเสี่ยงไม่มากนัก

หลังใส่รหัสผ่านแล้วเราสามารถตั้งชื่อโดเมนที่ต้องการได้จากในหน้า Add DDNS ได้โดยตรง และกำหนดไอพีภายในเพื่อใช้งาน ในกรณีของผมกำหนดเป็น 192.168.1.1 เอาไว้ตามปกติ (ผมทดสอบพบว่า SRM บังคับใส่ IPv6 จึงใส่ ::1 ไป) จากนั้นเลือกขอใบรับรองจาก Let’s Encrypt และยอมรับข้อตกลงใช้งาน ตัว SRM นั้นรองรับการขอใบรับรองจาก Let’s Encrypt ทั้งแบบ HTTP-01 และ DNS-01 โดยเราต้องเลือกผู้ให้บริการ DDNS ที่รองรับ TXT record ด้วยตัวเอง ในกรณีนี้ Synology DDNS รองรับอยู่แล้ว เราจึงไม่ต้องเปิดให้เราท์เตอร์ Synology เข้าถึงได้จากอินเทอร์เน็ตแต่อย่างใด

หลังจาก SRM ขอใบรับรองสำเร็จ จะได้ใบรับรองใน Control Panel > Services > Certificates กดเซฟออกไปใช้งานที่อื่นก็ได้เช่นกัน

ตัว SRM นั้นเปิดการเชื่อมต่อแบบ HTTPS อยู่แล้ว เราอาจจะเลือกให้ redirect ไปยัง HTTPS เสมอรวมถึงเปิด HSTS เพื่อป้องกันการถูกดักฟังในอนาคตก็ได้ น่าเสียดายที่ SRM ไม่รองรับการคอนโซลบนพอร์ต 443 ทำให้ต้องใช้พอร์ตไม่มาตรฐานเท่านั้น

หลังเซ็ตอัพ HTTPS เรียบร้อยแล้วเราก็สามารถเข้าเว็บคอนโซลแบบ HTTPS โดยไม่ต้องกดยกเลิกแจ้งเตือนจากเบราว์เซอร์อีกต่อไป และแม้แต่ตัวแอป DS Router ของ Synology เองก็มีฟีเจอร์ตรวจสอบใบรับรองการเข้ารหัส ทำให้เรารู้ตัวได้เสมอหากมีความสามารถคั่นกลางการเชื่อมต่อ

การเซ็ตอัพ Mesh Router ใน Synology Router

อีกฟีเจอร์ที่ผมลองเล่น Synology RT2600ac คือการใช้งาน Mesh Router รุ่น MR2200ac โดยตัว MR2200ac รันซอฟต์แวร์ SRM เช่นกันทำให้สามารถใช้งานเป็นเราท์เตอร์ในตัวเองได้ แม้จะจำกัดกว่า RT2600ac มากโดยเฉพาะพอร์ตแลนที่มีเพียงพอร์ตเดียว

กระบวนการเซ็ตอัพ MR2200ac นั้นมีสองแบบ คือ เมื่อเปิดเครื่องครั้งแรก หรือ factory reset แล้ว เราท์เตอร์จะปล่อยสัญญาณ Wi-Fi ใน SSID: Synology_[เลข Serial เครื่อง] ออกมา และให้เราล็อกอินเข้าไปเซ็ตอัพแบบเราท์เตอร์ได้

อีกแบบหนึ่งคือการเซ็ตอัพเพื่อใช้เป็น mesh router นั้นต้องล็อกอินจากเราท์เตอร์หลัก แล้วเข้าเมนู Wi-Fi Connect > Wi-Fi Point > จากนั้นกด Add เพื่อให้เราท์เตอร์หลักค้นหาเราท์เตอร์ mesh จุดที่ต้องระวังคือระบบปฎิบัติการ SRM นั้นไม่รองรับการเพิ่มเราท์เตอร์ mesh ที่เซ็ตอัพไปไปก่อนแล้ว หากเผลอล็อกอินเข้าไปแก้ไขค่าในเราท์เตอร์แล้วต้อง factory reset ใหม่เท่านั้น

กระบวนการทั้งหมดนับว่าค่อนข้างง่าย เมื่อเราท์เตอร์หลักเชื่อมต่อเรียบร้อยแล้วก็จะรายงานสถานะ, ระดับสัญญาณพร้อมช่องสัญญาณที่ใช้เชื่อมต่อกับเราท์เตอร์ mesh, จำนวนอุปกรณ์ที่เชื่อมต่ออยู่รวมถึงสามารถทดสอบความแรงสัญญาณจากเราท์เตอร์หลักไปยังเราท์เตอร์ mesh เพื่อดูว่าติดตั้งไกลเกินไปหรือไม่

ส่งท้าย

บทความนี้เป็นบทความที่สองต่อจากฟีเจอร์ Safe Access และ Threat Prevention ของระบบปฎิบัติการ SRM ในเราท์เตอร์ของ Synology แต่ในบทความนี้ฟีเจอร์ Let’s Encrypt และการสร้างเน็ตเวิร์คแบบ mesh นั้นนับว่าค่อนข้างน่าประทับใจ กระบวนการเซ็ตอัพเว็บแบบ HTTPS นั้นเมนูกระจายเกินไปสักหน่อยแต่โดยรวมใช้งานได้ดี นับเป็นความหวังต่อไปว่าอุปกรณ์เครือข่ายในบ้านก็น่าจะรองรับการเชื่อมต่อแบบ HTTPS กันเป็นมาตรฐานในอนาคต

Blognone Jobs Premium