Недавно позвонил мне знакомый — у них в организации возникла потребность в файловом сервере. Первым делом я, конечно, предложил что-то проверенное, вроде готового решения от Synology. У меня уже был опыт настройки таких NAS — всё понятно, удобно и стабильно работает.
Правда, был ещё опыт с файловыми помойками на Windows Server — и, честно говоря, удовольствия от них немного. Всё как-то через одно место, да и смысла в этом особо не вижу, особенно для небольших задач.
Но тут всплыла старая добрая классика — «а можно подешевле?». Бюджет у организации ограничен, поэтому от идеи покупки NAS пришлось отказаться. Вместо этого предложил использовать уже имеющийся в офисе компьютер и собрать на нём свой файловый сервер.
Начал искать self-hosted решения. Наткнулся на TrueNAS — слышал о нём раньше, но не пробовал вживую. Решил развернуть тестовый вариант у себя в Proxmox: один виртуальный диск для системы, два других — под зеркалирование (RAID1). Немного покопался — и понял: вот оно.
Для себя я определил три обязательных условия:
Простота управления — чтобы потом можно было легко передать поддержку их системному администратору или самому всё контролировать без лишнего головняка.
Корзина — возможность восстанавливать удалённые файлы. На удивление, не везде это есть.
Репликация / зеркалирование — чтобы в случае сбоя один диск подхватывал работу второго.
Была мысль использовать XPEnology, но доверия к нему у меня нет. А мне важно, чтобы решение было надёжным — всё-таки отвечаю за это, а спать хочется спокойно.
Одним из главных плюсов TrueNAS является то, что он работает на файловой системе ZFS. Это, без преувеличения, одна из самых надёжных и мощных ФС на сегодня.
ZFS даёт кучу бонусов из коробки:
Самоисправление данных (если данные повреждены — система это заметит и попытается восстановить с дублирующей копии),
Снапшоты и удобное резервное копирование,
Масштабируемость без танцев с бубном,
А главное — лёгкость обслуживания и спокойствие за сохранность информации.
Для админа, который хочет всё настроить один раз и не лезть туда каждый день — просто находка.
С точки зрения управления доступом — всё работает, но не идеально удобно. Можно настроить права на каждую отдельную папку, назначить пользователей, группы и ограничить доступ — всё это через веб-интерфейс.
Но настройка может показаться немного запутанной, особенно если раньше работал с тем же Synology или Windows Server, где всё это чуть интуитивнее. Тем не менее, всё нужное есть — просто нужно немного привыкнуть к логике TrueNAS.
Отдельно хочется отметить встроенные графики мониторинга системы — выглядят приятно и информативно.
На одном экране можно увидеть загрузку CPU, использование памяти, активность дисков, сетевой трафик и многое другое.
Для администратора это прям подарок — не нужно ставить сторонние решения или лазить в консоль. Всё наглядно, красиво и доступно из веб-интерфейса.
Ещё одна сильная сторона TrueNAS — создание снимков (snapshots) и репликация данных.
Можно настраивать снимки не только на уровне всей системы, но и для отдельных папок, что оказалось приятным сюрпризом.
Причём настройка гибкая: можно задать расписание, автоматическую очистку старых снимков, настроить репликацию на другой сервер или пул. Всё это — прямо через веб-интерфейс, без лишних танцев с CLI.
Для резервного копирования это просто находка. Один раз настроил — и можно не беспокоиться: данные будут сохраняться регулярно, и в случае чего всегда можно откатиться.
Ещё один плюс TrueNAS — уведомления о состоянии системы и приложений.
В настройках можно выбрать, как именно получать уведомления: по email, через Slack, Telegram, Webhook и другие способы. Это позволяет сразу узнавать о важных событиях — например, если диск вышел из строя, заканчивается место или произошёл сбой.
Такие мелочи сильно упрощают жизнь: не нужно каждый день заходить на сервер, чтобы проверить, всё ли в порядке — система сама сообщит, если что-то случится.
В целом, TrueNAS оставил очень положительное впечатление. Всё настроилось довольно быстро, на нескольких тестовых компьютерах — работает стабильно и без сюрпризов. Простой доступ по сети, корзина, репликация — всё на месте. Можно спокойно отдавать в продакшн.
Но спустя некоторое время появился новый запрос: в организации есть сотрудник, который работает удалённо и тоже должен иметь доступ к файлам. И тут начались интересности.
Открывать SMB в интернет — сразу мимо. Во-первых, это просто небезопасно, а во-вторых, у организации нет маршрутизируемого (белого) IP-адреса. Нужно было решать через VPN — и желательно внешний, чтобы не зависеть от провайдера.
К моему удивлению, в TrueNAS оказалась целая библиотека приложений, и среди них — сразу несколько решений для организации VPN-доступа. Я выбрал два варианта и начал тестировать.
ZeroTier: «виртуальный коммутатор» через интернет
С ZeroTier ты уже работал на MikroTik, и это неудивительно — он действительно очень прост в настройке. По сути, это как создать виртуальную локальную сеть поверх интернета. Все устройства, подключённые к одной сети в ZeroTier, видят друг друга как будто они в одной LAN — и неважно, где физически находятся.
Плюсы ZeroTier:
Работает без проброса портов и без внешнего IP.
Очень лёгкая установка: достаточно установить клиент и ввести ID своей сети.
Позволяет гибко настраивать доступ между участниками (через веб-интерфейс ZeroTier Central).
TrueNAS позволяет установить ZeroTier как приложение — и всё настраивается в пару кликов.
Для удалённого доступа к NAS это решение оказалось очень удобным: просто добавляешь пользователя в свою виртуальную сеть, и он может подключаться к SMB, как будто находится в офисе.
Tailscale: VPN нового поколения на базе WireGuard
С Tailscale я столкнулся впервые в рамках этого проекта, и честно — понравилось. Он работает поверх WireGuard, но убирает всю сложность настройки ключей, туннелей и конфигураций.
Как это работает:
Устанавливаешь приложение Tailscale на сервер и на клиент (ПК, смартфон и т.д.).
Авторизуешься через Google/Microsoft аккаунт.
Все устройства автоматически находят друг друга и устанавливают туннель peer-to-peer, если это возможно, или через реле, если P2P недоступен.
В TrueNAS Tailscale также ставится как приложение, а дальше всё управляется через личный кабинет на сайте.
Преимущества Tailscale:
Не нужен белый IP.
Работает даже за NAT’ами.
Шифрование и безопасность по умолчанию.
Очень удобный интерфейс и мобильное приложение.
Особенно понравилась возможность ограничивать доступ по тегам, ACL и группам, если нужна сегментация доступа.
В итоге именно с помощью Tailscale и ZeroTier я и организовал удалённый доступ к новому файловому серверу на TrueNAS.
Решение получилось:
надёжное — всё шифруется, работает стабильно,
безопасное — никаких открытых портов наружу,
удобное — сотрудник подключается к серверу буквально в два клика, без танцев с бубном.
Для организации с ограниченным бюджетом, без белого IP и с реальными задачами — TrueNAS оказался очень достойным выбором, а VPN-решения сделали его ещё гибче и доступнее.
Ещё один плюс TrueNAS, который я не затронул — это поддержка виртуальных машин. В системе есть встроенная возможность создавать и управлять виртуальными машинами, что открывает ещё больше вариантов для расширения функционала.
Хотя до этого пока не дошли руки, такая возможность на будущее, безусловно, полезна. Можно запускать различные приложения, сервисы или даже целые серверы прямо на NAS, что позволяет экономить место и ресурсы.
Это моя первая статья на этом ресурсе.
Прошу поддержать подпиской мой Telegram канал: Админ Орлов
Комментарии (30)
aik
03.04.2026 19:43с помощью Tailscale и ZeroTier я и организовал удалённый доступ к новому файловому серверу на TrueNAS
Так при помощи Tailscale или ZeroTier огранизовали? Или одно поверх другого запустили? Какие скорости получаются? Как обходите то, что Tailscale заблокирован? Не страшно доверять чужому дяде свой трафик, может лучше было headscale взять?
Ну или кинетиковский впн как самое простое решение. Ну, в российских условиях это netcraze
3epo Автор
03.04.2026 19:43Я проверил и оставил оба варианта. Tailscale не работает вообще на старых операционных системах, а zerotier только на до определенной версии умеет Windows 7. Поэтому оставил оба варианта, но независимых друг от друга.
Скорость и доверие трафика это уже другой вопрос. Я организовал доступ и закрыл хотелку клиента. На этом я закончил иследование.
serafims
03.04.2026 19:43А вы делали тестовое отключение ("потерю") дисков, чтобы удостовериться, что все работает, как ожидалось? А то галочка в интерфейсе есть, а вдруг оно не работает, или потом восстановление занимает очень долго времени, как данных, так и настроек шар.
Lev3250
03.04.2026 19:43Вот тут я пару лет назад писал и про трунас и про отключение дисков.
Всё работает. Плюс ещё и этот же пул дисков из статьи уже переехал на scale debian версию. Плюс с 24й версии можно расширять пулы добавлением дисков. Но автор не учёл, что куча красивого мониторинга была вырезана в 25й версии, надо ставить плагин отдельно. Да даже smart запускается теперь только из командной строки! Хз, почему...
werter_l
03.04.2026 19:43Все работает - и выход из строя 1-го диска из 2-х (raid1) для самой ОС и выпадение 1-го диска из 3-х (raid-z1). Проверено лично.
Смело ставьте и пользуйте - прекрасный продукт. Лучший из имеющегося даром.
dimsoft
03.04.2026 19:43Если железка стаоая, то почему монстра TrueNas, а не его легкого предка xigmanas ?
Как в одном предложении собрались хула windows server, восхваление synology и профессия стстемный администратор ? Сино или truenas научились нормально в сеть микрософт ? Smb 3.x , мультиченел ?
M_AJ
03.04.2026 19:43мультиченел
В 26 версии TrueNAS (пререлиз) есть. Как всегда с нюансами конечно.
endoftime
03.04.2026 19:43За truenas не скажу. Я вообще в бесплатный сыр в продакшн не верю. А вот на сино с 7 версии (года 3+ уже) 3 мамба с мультиченелом есть. На самых простых пользы от нее никакой, а на + линейке хорошо работает.
aik
03.04.2026 19:43Трунас сам по себе не монстр, это zfs монстр. Так что нет разницы, на базе какого дистрибутива вы её запускаете.
А так, в качестве чистой файлопомойки с бэкапами трунас у меня пристойно жил на microserver gen7
aborouhin
03.04.2026 19:43ZFS не такой уж монстр, просто у неё плохая репутация. Во-первых, из-за того, что под кэш она отъедает вообще всю доступную RAM и кажется, что это у неё такие зверские аппетиты (хотя если на эту RAM претендует кто-то другой - она её освободит). Во-вторых, из-за поразительно тормозного и жрущего память механизма дедупликации, который зачем-то часто включают, хотя он крайне редко так уж нужен.
aborouhin
03.04.2026 19:43Про шифрование дисков забыли. Благо, оно в ZFS тоже встроенное. Надеюсь, что забыли написать, а не настроить. Иначе товарищ майор, заглянувший "в гости" к Вашему знакомому, будет Вам очень благодарен, а вот сам знакомый - вряд ли...
endoftime
03.04.2026 19:43Когда приходят с обыском, это уже постановление. А если пришли, значит уже есть подтвержденная информация и шифрование может послужить не добрую службу. Если уж есть необходимость незаконную деятельность скрыть, vps в стране, где не будет вопросов.
aborouhin
03.04.2026 19:43Чтобы пришли - не надо заниматься незаконной деятельностью. Достаточно заниматься деятельностью, которая кому-то может мешать (конкурентам, оппонентам в судебном споре, желающим прибрать к себе что-то Ваше, желающим разузнать что-то, что знаете только Вы, и т.п.)
Шифрование помогает в 95% случаев, пришедшие тупо, не включая, отбирают всё, что похоже на цифровую технику (у меня как-то док-станцию к ноуту без самого ноута пытались изъять, пока сотрудник помоложе, который хоть что-то понимает, не подошёл и не объяснил :) Потом оно отправляется в ЭКЦ на осмотр, те, увидев шифрование и не увидев ключа, пишут бумажку "не шмогла" и железо с так и не расшифрованными данными остаётся лежать в вещдоках мёртвым грузом.
В тех 5% случаев, когда у следствия есть реальный стимул добиться получения данных неправовыми средствами, те, для кого такой риск актуален, обычно прекрасно про это знают и предпринимают более серьёзные меры (нет, конечно, в любой сфере есть уникумы...)
Но в базе, для обычных бизнесов, не попадающих в категорию особого риска, любое локальное устройство от смартфона до сервера должно иметь полнодисковое шифрование и отсутствие очевидных способов расшифровки (биометрия, пароль на листочке, ключ на лежащей в том же офисе флэшке и т.п.) Сисадмин, не обеспечивший это, достоин всяческих проклятий и кар.
Ну и про данные на VPS в другой стране - безусловно, они должны быть и там тоже. Минимум в текущих реалиях - три копии: локальный сервер/NAS, облако/сервер в РФ, облако/сервер не в РФ. Каждая копия со своими рисками, вероятность наступления всех рисков одновременно минимизирована. Но соглашусь, пожалуй, что локальный сервер/NAS по возможности стóит размещать не в том офисе, где сидят сотрудники и куда могут прийти, а, скажем, дома у двоюродной тёти бухгалтера. Что не отменяет шифрования и там тоже.
M_AJ
03.04.2026 19:43любое локальное устройство от смартфона до сервера должно иметь полнодисковое шифрование и отсутствие очевидных способов расшифровки (биометрия, пароль на листочке, ключ на лежащей в том же офисе флэшке и т.п.) Сисадмин, не обеспечивший это, достоин всяческих проклятий и кар.
Мне кажется это не забота сисадмина, это забота юридического отдела и собственника. Шифрование повышает безопасность данных, но в то же самое время повышает вероятность их потери (при потере по какой-то причине ключей) и решение нести ли этот риск, а так же у кого и как должны храниться ключи, должен принимать собственник бизнеса посоветовавшись с юристами, а не сисадмин.
aborouhin
03.04.2026 19:43Безусловно, но задача сисадмина (предположим, что бизнес у нас малый и он в одном лице), - как минимум описать все возможные варианты и риски, чтобы собственник мог сделать обоснованный выбор. А то ведь многие в принципе не понимают, какие средства защиты информации существуют.
aik
03.04.2026 19:43Надо оценивать риски, что более вероятно - товарищ майор или вылет дисков. Для основной массы всё же второе.
aborouhin
03.04.2026 19:43А какое отношение шифрование имеет к вылету дисков? Вылет диска в RAID - замена диска и продолжаем работать. Вылет диска без RAID или вылет бóльшего количества дисков одновременно, чем позволяет выбранный уровень RAID, - восстановление из бекапа. Что шифруй, что не шифруй, - сценарии одинаковые.
aik
03.04.2026 19:43С нешифрованного диска инфу восстанавливать легче, если вдруг чего.
А если контора жмоты, то бэкапов сервера у них с большой вероятностью не будет.
aborouhin
03.04.2026 19:43Ну это несерьёзно. Копий данных должно быть минимум три, желательно синхронизируемых онлайн (если с толщиной каналов связи между местами нахождения этих трёх копий проблемы, можно идти на компромиссы, но в любом случае так, чтобы отставание бекапа от актуальной копии не создавало критических проблем). И это не только для "конторы", а даже для фоточек любимого кота. Для конторы есть смысл озадачиться ещё и бекапом на ленты в качестве четвёртой копии.
3epo Автор
03.04.2026 19:43Нет, не настраивал. Не настраивал по причине того, что я просто побоялся за данные клиента если вдруг что-то посыпится. Доверие к TrueNas не было на практике в долгом использовании. Я искал аналог synology который оказался не по карману им. Зашифровав данные и после какого-либо сбоя системы навряд-ли я бы смог их быстро восстановить.
p.s. место действия не РФ - тут практики с т. майором нет :)
aborouhin
03.04.2026 19:43P.S. многое объясняет, хотя товарищ майор - явление интернациональное :), но степень риска везде разная.
А с т.зр. "вдруг что-то посыплется" - не понимаю. Чем восстановление из бекапа незашифрованных данных (если посыпалось так, что RAID не спас) отличается от восстановления из бекапа зашифрованных данных? Если мы про бекап самих ключей шифрования / кодов восстановления - то тут уж можно перестараться, хоть на бумажку их распечатать и в сейфе хранить...
3epo Автор
03.04.2026 19:43Этого конечно делать никто не будет. Вроде бы зашифровал и всё ок, но этот код забывается сразу же.
Это не интерпрайз и отношение к файлам соответствующее. Если так заморачиваться, то и ленточное хранение можно прибавить, и репликации на несколько серверов, и 2fa на админку и много еще , что можно придумать, но это не тот случай
aborouhin
03.04.2026 19:43Это не интерпрайз и отношение к файлам соответствующее
У меня личный архив и микробизнес, суммарно ~10 пользователей. Три копии данных, неограниченная история версий и удалений, шифрование всего и везде, 2FA, SSO и т.п. Про ленточную библиотеку тоже думаю, как будут свободные финансы. В энтерпрайзе-то проще - занимаются всем наёмные люди, которые рискуют максимум увольнением. А когда всё своё - представишь последствия и ещё и не так заморочишься.
SkifDS
03.04.2026 19:43А как обстоят дела с траверсом папок? Ну, то есть, когда определенному сотруднику, скажем с производства, требуется доступ в конкретную папку в глубинах бухгалтерии, при этом доступ к остальным папкам предоставлять нельзя. А если таких сотрудников с десяток? И папок под полсотни штук?
Lordzero
03.04.2026 19:43Удобных инструментов для управления такими фишками в бесплатных решениях для Nas нет, в том числе в TrueNAS даже в самой последней версии нет ничего похожего на FileSystion из Synology. Из консоли понятно что это можно сделать, да.
aik
03.04.2026 19:43Трунас нормально поддерживает права NTFS, если его в домен пустить. Там даже проще всего они у меня настраивались, заметно лучше, чем на других линуксах.
M_AJ
Не совсем про TrueNAS, потому как как минимум один раз был случай, что люди которые не обновились до определенной даты теряли возможность обновляться дальше. Да и вообще, это классный продукт, но с тем самым неповторимым вайбом бесплатного опенсорса имеющего платную поддержку, который на первый взгляд выглядит как что-то очень простое и доступное даже домохозяйке, но попользовавшись им подольше понимаешь, что не все так просто. Кто пользовался, например, NextCloud тот поймет, что я имею в виду.
При сегодняшних ценах на диски, цена самой железки уже слабо заметна, и попытка на ней экономить это нехороший симптом. Надежное хранение данных в любом случае стоит денег, и если компания жмет их на NAS, это плохой знак. Практика показывает, что такие будут и на деградировавшем рейде сидеть (работает же!) и спохватятся только когда он развалится. ИМХО, связываться с такими клиентами под свою ответственность – себе дороже. Если и работать с такими, то только оговаривая, что эксплуатация и дальнейшая работоспособность после настройки это полностью их зона ответственности.
3epo Автор
NextCloud мне показалась достаточно захламленной т.к. навязывает постоянно доп. функционал работы с файлами из коробки. Я говорю, про всякие редакторы документов.
Сколько времени уже прошло, проблем с TrueNas не возникало. Да и я туда не лез :)
Я полностью согласен про «дешево - плохо». Но задачу на один раз это решило. Win - Win.
Конечно же, если это сломается сейчас, то я тут не причем. Я не работаю в той организации, чтобы это было моей зоной ответственности.