Zelfs als je een NAS alleen binnen je thuisnetwerk gebruikt, is het verstandig om daarmee met https te verbinden. Dat kan via een zogenoemd zelf-ondertekend certificaat, maar die geven wel (steeds meer) beperkingen. In dit artikel laten we zien hoe je een echt Let’s Encrypt-certificaat voor de encryptie gebruikt. We zetten volgens twee methodes een reverse proxy op als veilige tussenschakel, die je uiteraard ook voor andere webdiensten in kunt zetten.

Het is aan te raden om bij het benaderen van je NAS het https-adres te gebruiken. En in apps zet je een vinkje bij https. Dit beschermt je ook beter tegen cryptoware. Wel geeft je browser helaas vaak een niet zo subtiele waarschuwing dat de verbinding onveilig is en plaatst een rood uitroepteken in de adresbalk als je die negeert. In deze masterclass gaan we dat oplossen door de NAS een certificaat te geven dat door je browser en elk ander apparaat wordt geaccepteerd. Misschien heb je al eens met een zelf-ondertekend certificaat (in het Engels self signed certificate genoemd) geëxperimenteerd, waar de Chrome-browser met wat handmatige aanpassingen wel akkoord mee gaat. Maar zo’n zelf-ondertekend certificaat is een stuk lastiger of zelfs onmogelijk om ook goed op je smartphone of tablet te laten werken. Een oplossing voor dergelijke problemen is het gebruik van een echt certificaat, van bijvoorbeeld Let’s Encrypt, dat door vrijwel alle apparaten wordt geaccepteerd zonder aanpassingen. We gaan in deze masterclass een reverse proxy gebruiken als tussenschakel voor je NAS en andere webdiensten. We behandelen twee methodes. Bij de eerste gebruiken we alleen een Synology-NAS, bij de tweede methode een aparte server. Het is heel praktisch als je over een domeinnaam beschikt, zodat je voor de NAS en elke webdienst die je wilt benaderen een apart subdomein kunt gebruiken (zie het kader ‘Reverse proxy met subdomeinen’).

Reverse proxy met subdomeinen

01 Domein instellen

Wij gebruiken een domeinnaam bij domeinnaamregistratie- en webhostingbedrijf TransIP en gaan de DNS-instellingen aanpassen bij de hostingprovider via het controlepaneel. Voor het domein, in dit voorbeeld xda.nl, vullen we als naam de subdomeinnaam ds in, zodat de NAS via ds.xda.nl bereikbaar wordt. Het gaat om een A-record, waarbij we als waarde het ip-adres van de internetverbinding thuis invullen. Bewaar de aanpassingen. Het kan na een DNS-wijziging tot 24 uur duren voordat de wijzigingen merkbaar zijn, door caches van onder andere je internetprovider. Heb je geen vast ip-adres? Dan kun je dit bij veel providers op aanvraag regelen. Als alternatief kun je ook dynamisch DNS gebruiken, wat in veel routers en ook de Synology-NAS is ingebouwd. Het werkt zonder domeinnaam en kan ook met een dynamisch ip-adres overweg. Bij de NAS open je daarvoor Configuratiescherm. Ga naar Externe toegang / DDNS en klik op Toevoegen. Bij Serviceprovider kies je Synology. Voer een naam in bij Hostnaam. Hiermee zal steeds je ip-adres worden gekoppeld aan de bewuste naam (zoals naam.synology.me).

©PXimport

02 Poorten doorsturen

Voor het maken van certificaten en bereiken van je NAS via internet moet je enkele poorten doorsturen vanaf je router. Onderstaande instructies zijn voor een AVM Fritz!Box, bij andere routers werkt het net wat anders. Open de gebruikersinterface en ga naar Internet / Toegang verlenen. Op het tabblad Poortvrijgaven kies je Apparaat voor vrijgaven toevoegen. Kies als apparaat de reverse proxy (je NAS of een aparte server) of voer handmatig het ip-adres in. Kies dan Nieuwe vrijgave. Nu kun je bij Toepassing direct de gewenste optie kiezen, zoals HTTP-server of HTTPS-server. Kies eerst HTTP-server. Je ziet dat zowel bij Poort op apparaat als Poort extern gewenst de waarde 80 wordt ingevuld (dat is de standaardpoort voor http-verkeer). Bij de optie HTTP-server is dat poort 443. Voeg ze beide toe zodat respectievelijk poort 80 en 443 worden doorgestuurd. Gebruik je een NAS, dan kun je met de optie Andere toepassing ook poort 5001 doorsturen voor de gebruikersinterface.

©PXimport

03 Externe server of NAS

Je kunt een reverse proxy op je NAS instellen, wat we als eerste methode bespreken, maar ook op een externe server. Het verschil is niet heel groot. Op de Synology-NAS draait namelijk standaard Nginx en de gebruikersinterface van DiskStation Manager (DSM) geeft je mogelijkheden om dit alles te configureren. Je kunt de NAS en diensten die daarop draaien met een certificaat beveiligen. Daarnaast kan de NAS als reverse proxy voor andere diensten in je netwerk fungeren. Hiervoor ga je in Configuratiescherm naar Toepassingsportaal / Reverse Proxy (bij DSM 7.0 Aanmeldingsportaal / Geavanceerd).

Het gebruik van een externe server geeft dezelfde mogelijkheden én extra voordelen. Zo is het veiliger, omdat bij kwetsbaarheden in de reverse proxy de achterliggende NAS buiten spel blijft. Ook is het minder belastend voor de NAS. En op het niveau van de reverse proxy kun je gemakkelijker beperkingen opleggen, zoals het blokkeren van extern verkeer.

©PXimport

Gebruik van Synology-NAS

04 Certificaat maken

Bij deze eerste methode gebruiken we zoals gezegd alleen een Synology-NAS waar je poorten 80, 443 en 5001 naar doorstuurt. We gaan eerst het certificaat voor de NAS maken. Open daarvoor de webinterface van DiskStation Manger en ga naar Configuratiescherm. Zorg dat je in de Geavanceerde modus zit, indien nodig verander je dit rechtsboven. Ga vervolgens naar Beveiliging / Certificaat en kies Toevoegen. Selecteer de optie Een nieuw certificaat toevoegen en klik op Volgende. Voer een beschrijving in, bijvoorbeeld Let’s Encrypt, en selecteer daaronder Krijg een certificaat van Let’s Encrypt. Klik weer op Volgende. Bij Domeinnaam voer je vervolgens de domeinnaam in waarvoor het certificaat moet gaan gelden. In ons voorbeeld is dat ds.xda.nl. Voer ook een e-mailadres in, Let’s Encrypt bewaart dat als onderdeel van je domein. Bij Onderwerp alternatieve naam kun je meer domeinen opgeven waar het bewuste certificaat voor moet gelden, vaak ook Subject Alternative Name genoemd. Je kunt zulke subdomeinen ook altijd later (apart) toevoegen. Klik ten slotte op Toepassen. Hierna wordt het Let’s Encrypt-certificaat aangemaakt en gecertificeerd. Zorg dat poort 80 correct is doorgestuurd, anders krijg je een foutmelding.

©PXimport

05 Certificaat configureren

Je kunt het nieuwe certificaat nu configureren. Klik erop en kies Configureren (bij DSM 7.0Instellingen). Geef aan voor welke doeleinden de NAS dit certificaat moet gebruiken. Achter Systeemstandaard kies je het Let’s Encrypt-certificaat, zodat het voor de gebruikersinterface van DiskStation Manager wordt gebruikt.

Het is verstandig om het nieuwe Let’s Encrypt-certificaat hierna nog als standaardcertificaat in te stellen. Op die manier zetten we het Synology-com-certificaat buitenspel, dat (door de browser) als onveilig wordt beschouwd. Klik daarvoor weer op het Let’s Encrypt-certificaat en klik op het pijltje bij Toevoegen / Bewerken (bij DSM 7.0 Actie / Bewerken). Zet een vinkje bij Instellen als standaardcertificaat en klik op OK.

Verder raden we je aan om http-verkeer om te leiden naar https. Hiervoor ga je in DSM 6.2 in Configuratiescherm naar Netwerk / DSM-instellingen. Zet een vinkje bij Automatisch de http-verbinding omleiden naar https. Bij DSM 7.0 kies je in Configuratiescherm de opties Aanmeldingsportaal / DSM en selecteer je Automatisch de http-verbinding omleiden naar https. Klik dan op Toepassen.

©PXimport

06 Toegang tot de NAS

Standaard wacht de NAS op poort 5001 op versleutelde verbindingen via https://diskstation:5001 of een andere naam afhankelijk van wat je hebt ingesteld. Omdat het certificaat is gemaakt voor ds.xda.nl zul je echter dat adres moeten gebruiken, dus https://ds.xda.nl:5001, anders krijg je alsnog een certificaatfout. Hierbij is toegang op afstand ook mogelijk, buiten je lokale netwerk. We gaan ervan uit dat je dat ook wilt. Maar wil je dat liever niet, dan zou je dat met een eigen DNS-server kunnen oplossen. Je moet er dan voor zorgen dat de domeinnaam (in ons voorbeeld ds.xda.nl) via je eigen DNS-server direct naar het ip-adres van de NAS verwijst (in ons voorbeeld 10.0.10.202). Je kunt er vervolgens, via de instellingen van je router, voor zorgen dat alle clients in het netwerk (via DHCP) die DNS-server gebruiken. Dit valt buiten het bestek van deze masterclass. Gaat het bijvoorbeeld alleen om een pc, dan kun je het eventueel zonder DNS-server regelen via het hosts-bestand (zie het kader ‘Directe toegang tot NAS via hosts-bestand’). Bij de tweede methode die we hierna bespreken kun je eventueel wél, op de reverse-proxy-server zelf, verkeer buiten je lokale netwerk tegenhouden.

©PXimport

Directe toegang tot NAS via hosts-bestand

©PXimport

Handmatige methode

07 Server-installatie

Bij de handmatige methode ga je Nginx als reverse proxy installeren, waarna je de certificaten op deze server regelt. Zorg er voor dat poorten 80 en 443 naar deze server worden doorgestuurd. Voor de NAS en elke webdienst die je via de reverse proxy wilt benaderen, kun je vervolgens een configuratiebestand met alle vereiste details maken. Eventueel kun je alles in één configuratiebestand zetten, maar aparte bestanden zijn overzichtelijker, zeker bij veel extra opties. Op basis van de hostnaam kun je diensten van elkaar onderscheiden. En als je dat prettig vindt, kun je de toegang op allerlei manieren beperken en bijvoorbeeld gebruikers buiten je lokale netwerk uitsluiten. Dit alles maakt de methode veiliger dan de voorgaande. Nginx is voor veel platforms beschikbaar. Hier gaan we uit van een server met Ubuntu 20.04, maar een Raspberry Pi met het besturingssysteem Raspberry Pi OS is bijvoorbeeld ook een prima optie. Het kan geen kwaad als er al andere toepassingen op draaien, zolang die niet de http-poort (80) en https-poort (443) claimen.

©PXimport

08 Installatie Nginx

Zorg na de installatie van het besturingssysteem dat je bent ingelogd middels ssh. Vervolgens installeer je Nginx met het commando:

sudo apt-get install nginx

Start de webserver met:

sudo service nginx start

Bezoek het ip-adres van de server en controleer of de welkomstpagina van Nginx verschijnt. Voor het maken van Let’s Encrypt-certificaten gaan we Certbot gebruiken. De instructies voor de installatie voor jouw webserver en besturingssysteem vind je hier. Die instructies gaan bij Ubuntu uit van een installatie via Snap. Hier kiezen we voor de mogelijk iets oudere versie van Certbot uit de repository’s van Ubuntu. Je installeert Certbot met het commando:

sudo apt-get install certbot python3-certbot-nginx

Als eerste maken we een configuratiebestand voor de NAS. De standaardmap waarin je deze maakt is /etc/nginx/conf.d. Blader naar de map met de opdracht:

cd /etc/nginx/conf.d

En maak het configuratiebestand met:

nano ds.conf

In eerste instantie hoef je hier alleen onderstaande regels in te zetten:

server {

listen 80;

server_name ds.xda.nl;

}

Controleer de configuratie met:

nginx -t

©PXimport

09 Certificaat maken

We kunnen nu het certificaat maken. Start daarvoor Certbot met certbot. Hierna wordt je e-mailadres gevraagd en moet je akkoord gaan met de gebruiksvoorwaarden. Vervolgens kun je kiezen voor welke servernaam je het certificaat wil maken. Voer het getal in bij het domein, in dit voorbeeld kiezen we 1 voor ds.xda.nl. Als laatste kun je kiezen of http-verkeer moet worden doorgestuurd naar https. Als je daarvoor kiest, en dat raden we aan, zal Certbot de configuratie daarop aanpassen.

Open daarna het configuratiebestand met nano en bekijk wat is toegevoegd:

nano ds.conf

Als laatste stap moeten we alleen nog de regels voor de reverse proxy hieraan toevoegen. Er zijn twee blokken omsloten door server {}. Het onderste blok bevat de doorverwijzing van http naar https. In het bovenste blok voegen we aan de onderkant de volgende regels toe. Achter proxy_pass zet je uiteraard het adres van je NAS.

location / {

proxy_pass https://10.0.10.202:5001;

proxy_redirect http:// https://;

}

Na het maken van deze aanpassing moet je Nginx even herstarten met:

service nginx reload

©PXimport

10 Controleer de configuratie

In afbeelding 10 zie je hoe de complete configuratie er uit ziet. Om je NAS te bezoeken, kun je rechtstreeks https://ds.xda.nl gebruiken. Intern zal de reverse proxy met poort 5001 verbinden. Wil je de toegang om veiligheidsredenen beperken tot gebruikers op het lokale netwerk? Dan kun je in het configuratiebestand binnen het blok van de reverse proxy het volgende toevoegen:

allow 10.0.0.0/24;

deny all;

Hier geven we eerst aan vanaf welke netwerken verkeer wordt geaccepteerd. In dit voorbeeld is dat 10.0.0.0/24 (in CIDR-notatie) maar in jouw situaties kan het bijvoorbeeld ook 192.168.1.0/24 zijn. We blokkeren daarna al het andere verkeer.

Een laatste stap is het automatisch vernieuwen van de certificaten. Voor daarvoor dit commando uit:

crontab -e

En voeg deze regel toe:

0 12 * * * /usr/bin/certbot renew --quiet

©PXimport

Liveservicegames en hero shooters waren in 2016 niet per se nieuw. Destiny ging al twee jaar hard, en hoewel nieuwkomer Overwatch erg goed ontvangen werd, trokken sommigen al snel vergelijkingen met Valve’s inmiddels oude Team Fortress 2. Toch wist de hero shooter van Blizzard een Game of the Year Award voor de neus van onder andere Uncharted 4: A Thief’s End weg te grissen. Het was een glorieus begin van een moeizaam traject.

In de afgelopen tien jaar onderging Overwatch grote veranderingen. Na een groot succes met ruim 50 miljoen totale spelers in de eerste drie jaar kondigde Blizzard in 2019 aan dat er een vervolg zou komen, dat ‘naast het originele Overwatch’ moest bestaan en uitgebreid werd met Player-versus-Environment-content. De 6-tegen-6 Player-versus-Player-gameplay waar Overwatch om bekendstaat, zou blijven bestaan en voorzien worden van dezelfde content in de twee games. Ook zou Overwatch 2 een exclusieve PvE-modus met een verhaallijn en skill-trees krijgen, waarmee ieder personage op zowel grote als subtiele wijze aangepast kon worden.

©Blizzard

Nee, toch niet

Wie Overwatch 2 sinds de early access-verschijning eind 2022 heeft gespeeld, weet dat daar maar bar weinig van is waargemaakt. Overwatch en Overwatch 2 werden ten eerste geen aparte titels: laatstgenoemde heeft de plaats van het origineel simpelweg ingenomen. Die verhaalmodus? Voor 15 euro kreeg je met de 1.0-release van Overwatch 2 in augustus 2023 toegang tot drie missies. Die verkochten niet goed genoeg voor Blizzard – volgens bronnen Bloomberg - waarmee de mogelijkheid van meer PvE-content direct werd begraven.

Het was toen zelfs al bekend dat de PvE-modus grotendeels geschrapt was, gezien de modus volgens regisseur Aaron Keller ‘de focus tijdens het ontwikkelproces van de game belemmerde’. Dat is geen vreemde redenering, maar PvE was wel juist datgene dat Overwatch 2… nou ja, Overwatch 2 maakte. Uiteindelijk was de lancering van de ‘nieuwe’ game vooral een grote update, met drie nieuwe personages, wat extra arena’s en een nieuwe 5v5-opzet in plaats van 6v6. Er stond nu slechts een ‘2’ achter.

©Blizzard

Een alternatieve toekomst

Recent werd aangekondigd dat Overwatch 2 het cijfer van de naam afknipt met het twintigste seizoen en dus weer gewoon Overwatch heet – we zijn dus weer terug bij af. Ik stapte zelf destijds op de Overwatch-trein door juist de belofte van PvE in het vervolg, en heb uiteindelijk pakweg 300 uren tussen beide games verdeeld. Hoewel ik naarmate de tijd vorderde wat uren in de competitieve modus stak, maakte het spelen met vrienden de ervaring écht vermakelijk.

Gezellig kletsen, schreeuwen tegen willekeurige teamgenoten en de mix van tactiek en variatie die de vele personages in Overwatch bieden: dat staat mij bij. Een PvE-modus waarin juist dat samenspel en de speelwijze van de verschillende heroes aan te passen zijn naar jouw speelstijl was een soort heilige graal, die uiteindelijk dus nooit verscheen. Dat is eeuwig zonde. De competitieve e-sportscene van Overwatch is al sinds het begin een belangrijk aspect van de game, dus ergens is het begrijpelijk dat het team dit niet uit het oog wilde verliezen.

©Blizzard

Maar juist in de laatste jaren zien we een interessante verschuiving naar PvE, of in ieder geval multiplayer-ervaringen die niet geheel om competitie draaien. Denk aan Helldivers 2 van een paar jaar terug, waarin vrienden en willekeurige spelers het opnemen tegen legioenen aan vijanden – en zelfs wereldwijd samen naar een doel werken. Of de explosie aan zogenaamde ‘friendslop’ games als Peak en Lethal Company, die geheel draaien om het samen uitvoeren van taken als een berg beklimmen of het verzamelen van schroot. Een game als Arc Raiders bevat daarbij ook PvP-elementen, maar staat ook bij omdat meerdere spelers samen kunnen komen om een gigantische robot te verslaan. Video’s waarbij spelers plots oude vrienden tegenkomen in de game tonen aan waarom PvE momenteel zó ontzettend leuk kan zijn.

De realiteit

Het is achteraf makkelijk te zeggen, maar de originele visie voor Overwatch 2 had best een prominente rol in het huidige gamelandschap kunnen bekleden. Met de aankondiging werden uitgebreide skilltrees getoond voor de verschillende personages waar Overwatch om bekendstaat.

©Blizzard

Een van Mei’s speciale vaardigheden is bijvoorbeeld het veranderen in een ijspegel, om zo health terug te verdienen en een paar seconden onverwoestbaar te zijn. Met een van de skills die getoond werd veranderde deze ijspegel in een ijsbal, waarmee ze op spectaculaire wijze door groepen vijanden kan kegelen. De PvE-modus had de potentie om een soort zandbak voor dergelijke ideeën en ingrijpende veranderingen voor het klassieke Overwatch te worden. Een speelsere mix van skills en samenwerking om juist die avonturen uit bijvoorbeeld een Helldivers 2 te nabootsen. De tactische teamgameplay had dan ook niet hoeven verdwijnen, het zou juist vet geweest zijn om met vrienden verschillende skills af te stemmen en los te laten op de robots van Null Sector.

Dat is nog zoiets: de lore en verhaallijn van Overwatch zijn ontzettend interessant, en had meer in de schijnwerpers kunnen staan met de PvE-insteek. Nog voordat ik de games überhaupt had aangeraakt, verslond ik de prachtig geanimeerde filmpjes van Blizzard en verhalen die ze voor de personages uitbrachten.

Wat ik dan ook zie van de nieuwe update wringt met mijn gevoel. Ja, het lijkt erop dat Blizzard een inhaalslag maakt en sneller met nieuwe personages komt om de game fris te houden. Het wekt de indruk dat we weer terug zijn bij het ‘oude’ Overwatch, en dat de ontwikkelaar nog altijd een sterke hero shooter wil behouden nu concurrenten als Marvel Rivals het speelveld hebben betreden. Toch kan ik het niet laten om te fantaseren over hoe Overwatch meer had kunnen zijn dan een hero shooter.

De realiteit is dat het Overwatch-team geen goede balans wist te vinden tussen het bijhouden van de PvP- en competitieve scene van Overwatch en de ontwikkeling van de PvE. Zonde, want zeker in het huidige multiplayerklimaat, waar mensen steeds meer achterover lijken te hangen om met elkaar te spelen in plaats van tegen elkaar, had het originele Overwatch 2 perfect gepast.

Samen met onze vrienden van bol geven we wekelijks een nieuwe game weg, en deze week is dat natuurlijk Mario Tennis Fever.

Fever verscheen namelijk deze week voor de Nintendo Switch 2 en is volgens onze Simon een uitstekende Mario-sportgame. Met z'n Fever Rackets - die speciale slagen vol onvoorspelbare effecten mogelijk maken - goede basisgameplay en flink wat content weet Fever boven de afgelopen delen uit te stijgen:

Mario Tennis Fever barst van de content. De vele personages, banen en rackets geven unieke, diepere lagen aan de gameplay en multiplayerpotjes gaan met grote glimlach en een berg vertier gespeeld worden. Jammer voor de wat volwassenere spelers dat die volgende laag diepgang nét niet geraakt wordt. Daarvoor is het singleplayeraanbod niet genoeg, de tegenstanders niet uitdagend genoeg en ontbreekt er hier en daar net wat finesse. Maar ga zo door, Nintendo. Mario Tennis Fever zit namelijk wél in de richting van die tijdloze Camelot-klassiekers waar we zo naar hunkeren.

Winnen

Wat moet je doen om te winnen? Ga naar de website van bol, vind de productcode in de url (bestaande uit zestien cijfers) en vul die hieronder in het invulformulier in! Vergeet ook niet je naam en emailadres in te vullen, dan sturen we je zo snel mogelijk een code om de game fysiek op bol.com te bestellen!

Werkt het formulier niet? Klik dan hier.