Synology DS-216JのPhotoStationでデジカメデータの配布

友人との旅行で撮影したデジタルカメラの撮影データは、フジフィルムの「Fotonoma」を使って配布してきた。
８月に導入したNAS（DS-216J）は、「PhotoStation」と言うアプリケーションを使ってデジタル写真の参照、アップロード、ダウンロード可能なようだ。
DS-216J上で稼働するPhotoStation（httpベース）を下記の構成で使ってみることにした
DS-216JのQuickConnetを使った運用例が多く紹介されているが、「使わない」運用とした。

インターネットからのhttpアクセスは、DDNS@netvolante.jpで名前解決させ、ポート3080で受ける。受けたhttpアクセスは、ヤマハ NVR-500の静的NATでイントラネット内のDS-216J httpポート80で接続させる。

（１）PhotoStationの導入
DS-216JのDSMで「パッケージセンタ」を開き、「PhotoStation」をインストールする。
PhotoStationは、「PHP7.0」が必要となるため同時にインストールされる。


インストール後、「PhotoStation」を起動するとDSM（Disk Station Manager）とは別に、PhotoStationが新規Webページとして表示される。DSMは、httpポート5000、httpsポート5001を使用し、PhotoStationは、httpポート80、（多分、httpsポート443）が使用される。
また、DS-216Jのトップページをhttpでアクセスする（ http://ds216j.hostname.somedomain/ ）とDSMへリダイレクト（ httpポート5000へ）される。PhotoStationへ接続するには、トップページではなく、「Photo」のページを指定（ http://ds216j.hostname.somedomain/photo/ ）する必要がある。

・リンクを正しく提示させるための設定
イントラネット外（インターネット）からPhotoStationをアクセスする場合、インターネット上のFQDN及びポート番号とイントラネット内のFQDN及びポート番号が異なるため、PhotoStationの「共有リンク」を正しく表示させるため、PhotoStaion「設定」「全般」「ルータポート」の「ホスト名または静的IP」にインターネット上のFQDNを設定、「HTTP」にポート番号3080を指定する。サーバ証明書の準備が必要であるが、SSLを使用する場合は、「HTTPS」にポート番号3443や3081などを設定する。
設定画面のガイドだけでは、どのような値を設定して良いのか不明。試行錯誤の結果設定した。


PhotoStation「アルバム」で「共有」「リンクの共有」を実行することでインターネット上からこのアルバムにアクセスするURLが正しく表示させる。



・ダウンロード出来るようにする設定
PhotoStaion「設定」「Photos」「管理」で「ユーザに写真と動画をダウンロードさせます」を有効にする。



（２）ヤマハ NVR-500のNAT設定
DDNS@netvolante.jpでインターネット上のFQDNアドレスが解決されNVR-500のポート3080にhttp接続される。この接続をイントラネット内のDS-216Jポート80へ転送されるよう静的NATを設定する。同時にFirewallブロックされているフィルタに通過許可設定を行う。
NVR-500の「詳細設定と情報」「基本接続の詳細な設定」「設定されているプロバイダの一覧」でインターネット接続ISPを選択し、「静的IPマスカレード関連」で追加設定する。ヤマハルータでポート番号3080から接続先アドレスのポート番号80へ接続させる設定は、ポート入力で「3080=80」と指定する。


接続先アドレスのポート番号80へのパケット接続を許可させるための設定は、簡単設定で行うと自動で設定してくれる。便利。
「詳細設定と情報」「ファイアウォールの設定インターフェース」「IPv4静的IPフィルタの一覧」で確認する。



（３）友人がアクセスするアカウントを追加設定する
DS-216JのDSMで「コントロールパネル」「ユーザー」でアカウントを追加する。PhotoStationがインストールされると自動的に「Photo」共有フォルダが作成され、「権限」欄で「Photo」共有フォルダが表示される。アクセス権限設定は、「PhotoStation」の「設定」「ユーザアカウント」で行う。写真データの配布が目的であるため、複数の友人に対し「共通のアカウント」とした。一定期間経過後（ダウンロード完了後）、「共通アカウントの停止」設定で無効にする。

（４）撮影データのアルバム設定
配布目的の撮影データをまとめるアルバムを作成する。


作成されたアルバムへのアクセス権限を設定する


（５）配布用写真の設定
アルバムが作成されると「Photo」共有フォルダに「アルバム名」フォルダが作成される。
配布写真データをこのフォルダーにコピーする。
コピーが行われると「サムネール」が作成される。
サムネールは、同一フォルダ内に「@eaDir」が作成され、配下に「画像ファイル名」ディレクトリが作成される。この処理にDS-216JのCPUパワーが消費されるため、「Photo Station Uploader」などを使い配布用フォルダに設置するのが良い。

DS-216Jの導入で、写真保管の共有フォルダを「Pictures」として保管している。撮影した写真データは、このフォルダに保管しているが、PhotoStationの共有フォルダ「Photo」にシンボリックリンクで設定できないか、試行してみた。
・DS-216JのDSMで「端末とSNMP」「ターミナル」「SSHサービスを有効化する」を指定
・DS-216JのDSMで「ファイルサービス」「SMB」「詳細設定」「共有フォルダ内のシンボルリンクを有効にする」を指定
・SSHでDS-216Jに接続し、管理者権限を得る「su -s」
・「Pictures」共有フォルダ内の特定フォルダを「Photo」共有フォルダにシンボリックリンクを作る。「ln -s /volume1/Pictures/someFolder /volume1/photo/albumName」

PhotoStationから「albumName」が表示されない。WindowsのExplorerやMacのFinderからは、アクセス権が無い表示がされる。
PhotoStationで作られた配布用フォルダを確認すると「PhotoStation」のユーザ及びグループが使用されている。グループを「PhotoStation」に指定すれば、アクセス権が得られそうなので、設定してみた。結果、玉砕。詳細については、ゆっくりと確認することとした。


（６）iPhone SafariでPhotoStationに接続
「 http://somehost.netvolante.jp:3080/photo/ 」で接続すると非ログインユーザ（一般ユーザー）で閲覧できるアルバムが無いのでアルバム表示されない。
タイトル「Photo Station 6」の左側にあるマークをタップし、「サインイン」を選択する

ログイン画面が表示されるのでユーザIDとパスワードでログインする


アルバムが表示され、アルバムをタップするとアルバム内の写真データが一覧表示される

一覧から一つ画像を選択し、右上の「ダウンロード・アイコン」をタップするとダウンロード画像が表示される。この状態から「画像を保存」が可能である。

WindowsのInternetExplorerやMACのSafariからアクセスするとアルバム選択で「ダウンロード」が可能となる。ダウンロードが指定されると、アルバム内のデータがZIPでまとめられダウンロードされる。


（７）iPhone用Synologyアプリ「DS Photo」でPhotoStationに接続
SynologyからiPhone用とAndroid用「DS Photo」アプリが提供されている。このアプリを使いPhotoStationにアクセスしてみた
インストール後、起動し、接続先とアカウントを設定する。
「ログイン画面」に「somehost.netvolante.jp:3080」「ユーザー名」「パスワード」を指定する。


ログイン後、設定画面でアカウント情報を確認し、「アップロードの設定」の「元のファイル名を維持」を「ON」しておく。


アルバムを選択し、アルバムをタップするとアルバム内の画像一覧が表示される。


アルバム一覧で右上の「・・・」をタップすると「アルバムのダウンロード」が選択できる。


パスワードをhttpで入力させるのが気になる。
Freeサーバ証明書の導入の検討とphoto共有フォルダ内のフォルダから他の共有ポイントへのシンボリックリンクによる設定方法を模索する予定。

iPhone用「ぷらら」メール構成ファイル

「iPhone構成ユーティリティ」のシミュレートでTemplateを提示している。基本部とmailペイロード部の「REPLACE」を含むコメントを設定値で置き換え、メール設定用構成ファイルを完成させる。

「ぷらら」メール用の構成ファイルにしてみた。


「someone@server.plala.or.jp」を発行されたメールアドレスに変更する
「7609.............BFE1B」のUUID部を新しいUUIDに変更する
「ipcu.sim.mail.plala」部を必要があれば、変更する。UUIDを付加しているので変更しなくても良い
「AF855...........53C2」のUUID部を新しいUUIDに変更する
「account_id」を基本メールや追加メールに従い、設定する
「@server.plala.or.jp」をメールボックス名として設定（変更可）
「passwd」を基本メールや追加メールアカウントに従い、設定する

生パスワードが書かれたファイルになるので特定のiPhone用に暗号化するのがベスト。

iPhoneで「ぷらら」メール・アクセス・トラブル解消か

iPhoneで「ぷらら」のメールソフト設定（iPod touch/iPhone)でアクセスすることが出来る。テキストメールの送信では、問題無く送信できていた。
ある時、添付ファイルメールを送信すると何度も失敗して送信できなかった（たまに送信できる時がある）。多くの場合、比較的大きめのサイズの写真（jpg）やpdfで送信できない事が多かった。

Submissionポート587でSSLオフにすると何の問題も無く送信ができていた。
Submissionポートでメール送信を行う時は、認証が必要になる。認証データは、plain text指定なので、通信路のTLS化は必要と思う。ただ、SSLをオンにすると送信できたり、送信できなかったりで「ぷらら」に問い合わせるにも発生条件を特定する必要があった。
opensslのクライアント機能を使い、SSL接続でsmtp送信してみた。結果、data送信中に応答が無くなる事まで解った。発生したり、発生しなかったりするのは、サーバのSSL機能が間に合わないかロードバランサー背後のサーバに悪さをするサーバが居るかだろう。どちらの可能性があるか探るために、data早出速度を制御した送信プログラムを作りテストしたところ、javaの送信速度が遅いのか、現象が発生しなくなってしまった。去年の3月（2016年3月）頃だった。

つい最近ぷららから１通のメールが届いた。1日前の通知とはどうかと思うが。

停止する事なく、応答だけがかなり遅い状態だった。それでも最低１週間前には通知するのが一般的では無いか？

設備交換のようなので、送信サーバ「secure.plala.or.jp」をテストしてみた。
（１）ポート25

（２）ポート25のstartTLS

（３）サブミッションポート587

（４）サブミッションポート587のstartTLS

（５）サブミッションポート465のTLS


「ehlo」で「size=20,971,520」なので、送信ファイルサイズに制限があるようだ。概ねバイナリファイル10Mbytesまで。

早速、サブミッションポート587でSSLオフにしてあったiPhoneの設定をサブミッションポート587のSSLオンにして大きなサイズのファイルを添付して送信してみた。
今の所、送信失敗は無い。
Mac/MacbookのApple mailでもサブミッションポート587のstartTLSでアクセスが可能だった（2017年11月18日時点）。受信側もPOP3でなくIMAPのSSL設定が可能でぷららガイド（2017年11月18日時点）に従わないのが正解であろう。
MacbookのApple Mail設定を送受信共にTLS設定にした

特に問題なくアクセス出来ている。

早速、全てのツールの送信設定をポート587のstartTLS設定に戻そう。

（６）imapsであるポート993 のSSLも確認してみる

iPhone VPN(L2TP/IPSec)用の構成ファイルと表示 -PayloadOrganization-

iPhone VPN（L2TP/IPSec）構成ファイルをインストール後、VPN接続一覧を観ていて気がついた事がひとつ。接続名の下に「不明」の文字。iPhone上で設定した接続名の下にも「不明」。

通常この位置に表示されるのは、「PayloadOrganization」の内容である。
「iPhone構成ユーティリティ」のシミュレーションに記載したが、「PayloadOrganization」は、基本部と設定用ペイロード部（例えばVPNペイロード、WiFiペイロード、等）に定義場所がある。
基本部の「PayloadOrganization」は、「設定」「一般」「プロファイル」一覧で構成プロファイル名の下部に表示される。

「A」がプロファイル名（PayloadDisplayName）、「B」が「PayloadOrganization」である。さらにプロファイルの詳細を表示させるとVPNペイロード部の「PayloadDisplayName」や「UserDefinedName」が表示される。

「iPhone構成ユーティリティ」のシミュレーションに記載した基本部TemplateとVPNペイロードTemplateを組込「REPLACE-*」部を設定した「L2TP-VPN-TO-HOME-1.mobileconfig」とiPhone上の各画面での位置を対比できるよう「A」〜「G」のマークを記載した。

VPNペイロード部の「PayloadOrganization」に「ホームネットワーク」を追記してインストールしてみると　VPN接続先一覧で「不明」表示部に「ホームネットワーク」が表示された。

VPNペイロードでは、「PayloadOrganization」を定義記載すると分かりやすくなる。「不明」より良い。この部分は、構成ファイルでしか定義できない。iPhone構成ユーティリティやConfigurator2のGUIでは、設定できない。Configurator2に構成ファイルを読み込み、GUI上で修正を行い、書き込みしてもVPNペイロード部の「PayloadOrganization」は保持されていた。
基本部の「PayloadOrganization」が定義されていないとブランクになる。

iPhone VPN(L2TP/IPSec)用の構成ファイル -OverridePrimary-

iPhone構成ユーティリティで作成されるVPN設定用構成ファイルを作成してみると構成プロファイルリファレンスに記載されていない「KEY」が設定されていた。
VPNペイロード部辞書で下記のように書き出された

リファレンスに従えば下記の記述となる

最新の構成プロファイル出力はどうなのか「Apple Configurator2」で確認してみることにした。
Appストアでダウンロードしようとすると「OSX Sierra」以上が必要とアラートが出て「OSX El Capitan」では利用できない。
OSX Sierraに１周遅れでバージョンアップした


Configurator2をインストール


Configurator2でVPN構成ファイルを作成する
一般ペイロード部

VPNペイロード部


構成ファイルを書き出してみると

構成ファイルリファレンス記載と異なり、Windows版iPhone構成ユーティリティと同じ内容だった。

①Configurator2で書かれたVPN構成ファイル「L2TP/IPSec@RT-500」
②リファレンス通りに記載したVPN構成ファイル「主L2TP/IPSec@NVR-500」
③手作業で設定した「手 l2tp/ipsec@nvr-500」
をiPhone6SにインストールしてVPN接続で評価してみた。


①Configurator2で書かれたVPN構成ファイル「L2TP/IPSec@RT-500」

「すべての信号を送信（OverridePrimary）」の設定状態、共有鍵なのかRSA SecureIDなのか、Proxy設定状態がどのような設定が確認できない。

②リファレンス通りに記載したVPN構成ファイル「主L2TP/IPSec@NVR-500」

「すべての信号を送信（OverridePrimary）」の設定状態、共有鍵なのかRSA SecureIDなのか、Proxy設定状態がどのような設定が確認できない。

③手作業で設定した「手 l2tp/ipsec@nvr-500」

「すべての信号を送信（OverridePrimary）」の設定状態、共有鍵なのかRSA SecureIDなのか、Proxy設定状態が確認できる。

何も、VPN接続（インターネットもVPN内の機器へも接続）できる。
それぞれの設定編集で表示される項目と表示されない項目が存在する。
構成ファイル設定では、「RSA SecureID」の設定状況が表示されないが、VPNサーバへ「アカウント」「パスワード」で接続できているので、「RSA SecureID」がFalseであることが判る。構成ファイル・プリファレンスでも「PPP辞書キー」で「TokenCard」がfalseの時「AuthPassword」が可視になりますとある。
Proxy設定も表示されないが、VPN接続先にProxyサーバが無く、Proxyなし設定（デフォルト）でインターネットアクセスができるので、Proxy設定も問題ないと思う。

「すべての信号を送信」設定だけ、確認できていない。
NVR-500のVPNでは、L2TPクライアントに割り付けられる端末 IPがNVR-500と同じネットワーク内のアドレス（同一ネットワーク内のアドレスをNVR−500のDHCPで割当）で、NVR-500の「Proxy ARP」機能で認識される。iPhone6SのVPN設定で「すべての信号を送信」がtrueでもfalseでもVPN接続先ネットワークやインターネットに接続できる。trueの時は、インターネット向けは、一度VPN接続先に送られ、VPN接続先のインターネット接続先経由でアクセスされる。falseの場合は、端末IPと同一ネットワーク内のアドレスへは、VPNで接続、その他のアドレスへは、iPhone6Sのキャリアネットワーク内からの接続となる。なので、構成プリファレンスの「OverridePrimary」が設定できていてもいなくても、判別が難しい。「OverridePrimary」は、デフォルトで「false」である。
DS-216JのVPN（L2TP/IPSec）では、接続端末に割り付けられるIPが、DS-216Jの接続されたネットワークと異なる（端末:10.2.0.0/24, サーバ:192.168.11.0/24）。NVR-500のように同一ネットワークのIPを設定できない。VPN接続された端末IPは、DS-216J内でルーティングされ接続先ネットワークにアクセスすることになる。このため、iPhone６SのVPN設定で「すべての信号を送信」がfalseだとVPN接続先ネットワーク機器へ接続できない（VPN接続先ネットワークが対象にならず、インターネット側に送信される）。trueであれば、VPN接続先経由でのアクセスになるので、インターネットを含めてVPN接続先機器への接続が可能となる。手作業で設定した「すべての信号を送信」のOn/Offで確認できる。

構成ファイル・プリファレンスでの「OverridePrimary」が正しく設定できているか否かは、「？」である。

「iOS11.0」では、VPN接続直後にアクセスできていた接続先機器（多分キャッシュ表示）に、リロードすると接続できなくなる。手動設定のVPN接続では、「すべての信号を送信」がON状態で問題なかった。このことから、「IPv4辞書キー」での「OverridePrimary」設定（iPhone構成ユーティリティやConfigurator2で作成された構成プロファイル）でも構成ファイル・プリファレンスに従った「OverridePrimary」設定でも、設定が効いていない状態が推定された。

「iOS11.1.1」でVPN関連の直しがされていたのか不明である。
DS-216JのVPN設定で確認してみた（2017年11月15日時点）。

手作業「すべての信号を送信」設定：○ インターネット/○ VPN接続先
構成ファイル「OverridePrimary」設定：○ インターネット/X VPN接続先
構成ファイル「IPv4辞書OverridePrimary」設定：○ インターネット/○ VPN接続先

構成ファイルプリファレンスに記載された方法で「OverridePrimary」を設定すると正しく動作しない。プリファレンスに記載されていないが「iPhone構成ユーティリティ」や「Configurator2」と同様に「IPv4辞書キーとしてOverridePrimary」を設定すると正しく動作する。

「iPhone構成ユーティリティ」のシミュレーションに記載した「Template」に追加
VPN(L2TP/IPSec)ペイロード

「REPLACE-DISPLAY NAME」： このペイロードを識別する名称（無くても良い）
「REPLACE-UUID」： 特異な値
「REPLACE-ipcu.ca.profile.vpn1」： 接続毎に特異な値。この値によって置換や新規登録となる
「REPLACE-VPN接続名」： 「設定」「VPN」に表示される接続名
「REPLACE-user account」： ユーザアカウントID
「REPLACE-user password」： ユーザアカウントIDのパスワード
「REPLACE-vpn server name」： サーバのFQDN
「REPLACE-BASE64 encoded shared secret」：IPSec共有鍵をbase64エンコードした値
「OverridePrimary」： 0=「すべての信号を送信」をオフ（デフォルト）、1=オン。NVR-500では、「0」が良いかも。

--- 2019/04/14 追記
iPhone VPN（L2TP/IPSec）用の構成ファイル -OverridePrimary- リファレンス