garmoniya duha

Да, но остается загрузка информации на Photos, а значит открытые порты все равно надо, но это не точно))). Все выше перечисленные проблемы, как бы намекают на один единственный вариант - VPN (IPsec/IKE v2) + RDP Windows 11 1. При RDP, тоже нужно часто менять пароли на учетке Microsoft, у меня пароли всегда из случайных символов и на 32 знака. 2. Как вы относитесь к RDP, это ведь тоже левый сервис, от которого зависимость и возможны наверно риски? 3. Вы не любите зависимости, используете что-то другое? Я погуглил, там такое количество аналогов TeamViewer и опенсорс и нет... Хотя RDP позволяет управлять полноценно стилус, что очень удобно... Может вы какой-то софт выделяете по безопасности и удобству. Если бы можно было тягать файлы из окна RDP в окна приложений iPad обратно, цены ему не было бы. Или так страдает безопасность?

Да как вариант такое... Но QuickConnect не пробовал и не попробую наверно, а вот на моем домене все работает хорошо. Тогда все же посмотрю в сторону фаервола... Связка VPN (IPsec/IKE v2) + RDP Windows 11 это не так плохо или можно лучше в плане защиты? Windows на виртуалке на хрени, а значит еще один файрвол получается если он включен. Или там все иначе работает на виртуалке synology?

Не учел этого))) Да еще ничего не работает. Я пока тестирую и пробую... Что за посредник. Владелец валидной пары или ...? А в чем есть разница в безопасности между своим доменом и QuickConnect. QC ножен если нет публичного адреса, а так это по безопасности ничего не дает? QuickConnect, это как вариант, хотя возможно я и это упрощу.

Но тут тогда вместо малины + нормальный обвес, можно заказать iKOOLCORE R2 за те же деньги, даже дешевле и все в одном... Надо попробовать виртуалуку... А если сменить тактику? Я тут пытаюсь все упростить и дошел до того, что почти отказался от большинства потребностей, а часть перенес на виртуальный Windows 11. Таким образом мне нужно всего 2 возможности... 1. Удаленный доступ к windows 11 через VPN (IPsec/IKE v2). Таким образом, можно полностью закрыть порты на роутере. Открываться они будут автоматически через VPN, только при запросе RDP к виртуальному Windows 11 и закрываться после выхода из RDP. У меня сейчас так настроено, правда пока не часто пользуюсь, но все работает исправно... 2. Из iPad грузить на хрень файлы размером в 2 ГБ (в день 1 -2 файла) и просматривать все загруженные. Из-за единственной потребности, возможно можно отказаться от белого ip и всяких доменов и т.д. А грузить файлы через QuickConnect. Пока тестирую Photos, но только на своем домене и доменах от keenetic и на белом ip. Все работает хорошо и грузит на Photos. Еще сильно не тестировал QuickConnect, но если его хватит, то я могу вообще отказаться от белого ip, что хорошо отобразится на безопасности + держать закрытыми все порты роутера. По VPN (IPsec/IKE v2), ходить на виртуальный Windows, который в любой момент могу переустановить да и Windows 11 теперь, больше для галочки и выполнения цикличных задач. Хотя надо всё равно иметь доступ к информации, а тут еще надо подумать как... Если поступить так, это ведь изменит баланс сил? И конечно я помню, что абсолютной безопасности нет...

1. Raspberry Pi как я понимаю для этого не использовать, 3 сетевухи не вставить, хотя какой мини ПК имеет 3 сетевых карты? Или нужно 3 сетевых порта RJ45? И зачем столько? 2. Как производится подключение? Перед роутером? Сколько сетевых портов задействуется? И какой тип роутер для этого нужен?

Я просто ответил иронично на ироничный комментарий. Без учета различных переменных. Больше так делать не буду. Посоветуйте какой можно выбрать. Я видел, что можно на микротиках настроить Layer7. Но это сложно как я понимаю и нужно ориентироваться на Layer3, так как это что-то вроде золотого стандарта. Или есть другие роутеры с Layer7 с автоматизированными настройками.

Я так понял вопросы безопасности, нужно решать молча и с перепугом от всего...))) Я давно воспринимаю любую информацию которая находится где-то как не свою... может сломаться, повредиться, утопиться, вирусы и т.д. Но несмотря на тип информации, даже 90 летним бабушкам, есть что хранить на компьютере. Взлом, для меня это переменная, точно такая как наводнение т .д. Сейчас я больше концентрируюсь на структурировании и удалении ненужной информации, уменьшая общий объем данных... - Все эти сервера, просто способ доставки контента в том виде в котором нам нужно и туда куда нужно. - Если нет копий за приделами серверов, то у вас нет информации... - Если вы не можете после утраты всех серверов получить доступ к своей актуальной информации и на большой скорости, то у вас нет информации... Большинству людей нужно просто иметь доступ к свой информации в любой период времени и не важно, что случится и тут решают выбранные методы. Вряд ли кто-то сможет нажиться на чей-то информации, если она не публичного человека или секрет фирмы. Потратят время на взлом, а там бабушка хранит рецепты своего яблочного пирога 900 вариантов))). Вы думаете бабушка расстроится если ее взломают?))) Она все дублирует в своей книге рецептов... Если, все будут делать как бабушка, то в мире, будет меньше стрессов )))

1. Одного VPN (Psec/IKEv2), для роутера как защиты хватит? Доступ в интернет Keenetic отключен (веб) и открыт 443 порт. Думаю выделить железку и организовать что-то вроде "командного пункта". Пока определился с NUT для ИБП + nginx. Может посоветуете сюда же кеширующий DSN Server, фаервол и т.д? Хочу полностью освободить хрени от лишних задач и свободно их выключать когда захочу. Например сейчас на одной хрени работает DSN Server. Железка 4 ядра 2.4 ГГц и 8 гб ОЗУ. 2. Фаерфол только на NAS пока. и отсекает всех, кроме одной страны. Может посоветуете, какой-то фаервол и т.д. с более обширной защитой... и с большими возможностями, чем фаервол на synology.

1. Одного VPN для роутера как защиты хватит? Доступ в интернет отключен (веб) и открыты только 80 и 443 порты, нужно для работы Psec/IKEv2 2. Фаерфол только на NAS пока. и отсекает всех, кроме одной страны. Может посоветуете, какой-то фаервол и т.д. с более обширной защитой... И с большими возможностями, чем фаервол на synology.

1. Глючные приложения Synology (HTTPS), тоже могут взломать, или там уже все иначе... Пароли тоже нужно часто менять? 2. VPN у меня есть на роутере Psec/IKEv2. Я пробовал, но Photos (HTTPS) не работает удаленно c VPN на телефоне. Что-то не так сделал или оно и не должно работать? Без VPN - Photos (HTTPS) работало... 3. Psec/IKEv2 достаточно или может есть смысл выбрать другой VPN.

Не дописал S - SFTP. Я уже давно наладил работу сторонних приложений на iPad и macOS. Сейчас пока в локалке использую SMB (временно). Но хотел дать доступ из вне, но тут сами программы диктуют условия. Я пытался подключиться по HTTPS на сторонних приложениях, но видимо что-то не учел, там разные типы подключений, может HTTPS вообще к ним не подходит? 1. HTTPS, это получается нужно использовать только глючные приложения от Synology или можно как-то подключится и на сторонних приложениях? 2. Можно получить высокую безопасность при таких типах подключений, используя сторонние приложения на iPad и macOS?

Я имел ввиду железку на которой Nginx Какие службы лучше иметь отдельно на устройстве от Synology по вашему мнению? Пока я думаю о таком списке... NUT, Nginx, DNS кеширующий сервер (сейчас на synology), может еще что-то. Например фаервол или VPN. Тогда можно полностью освободить от нагрузки и не быть в зависимости от роутеров, постоянно включенных хреней и т.д. Какие у вас службы отдельно от Synology, обеспечивающие практичность и безопасность?

Какую ОС используете из Linux? Или... Видимо вы говорите о роутерах, которые на OpenWrt у меня keenetic и я кажется понял, почему вы от него отказались, так и не сказав. Проблема в практичности, а не цене по моему скромному мнению))) Мои цели как заявлено в теме - механизм организации безопасность. Если отключить Synology на котором стоит, DNS кеширующий сервер, то это повлечет за собой проблемы. Тоже качается VPN т.д. Вот я и пытаюсь разделить задачи и добиться как безопасности так и практичности. Какие службы лучше иметь отдельно на устройстве по вашему мнению? Например мне нужно организовать автоматическое отключение всех устройств которые подключены к ИБП от APC, несколько хреней, ПК, роутеры и т.д. полно чего... и все это нужно правильно и с точностью до минуты или даже менее уложить спать, А потом разбудить, если подадут напряжение. Для этого наверно нужно иметь NUT на отдельном устройстве, хотя я видел что люди организовывают и через хрень вроде... Вот я и хочу понять какой список служб лучше иметь на отдельной железке, что бы добиться безопасности и практичности... Пока я думаю о таком списке... NUT, Nginx, DNS кеширующий сервер (сейчас на synology), может еще что-то. Например фаервол или VPN. Тогда можно полностью освободить от нагрузки и не быть в зависимости от роутеров, постоянно включенных хреней и т.д. Какие у вас службы отдельно от Synology?

Почему не контейнер на Synology? Из-за головной боли с MacVLAN на Docker? Как только люди не обходят эту проблему в интернетах... Я решил поступить радикально, только, нужно проверить на практичность свою идею... 1. Если я возьму отдельную железку как вы, то головняка будет меньше или и там будет MacVLAN? А может, что-то по страшнее? Вроде, там все проще, но я решил уточнить... Pi-hole и AdGuard Home, тоже вроде требует на Synology MacVLAN. 2. Я подумал об мини ПК (сначала об малинке потом об NUC), только из-за NUT и APC, вот заодно думаю и решить проблему с Nginx. Получиться настроить NUT + ИБП и Nginx на Ubuntu или другая OS? Может, есть какие-то проблемы? Да и зависимости от Xpenology не будет и NUT без поводка будет... А если будет малинка, то и потреблять будет мало, хотя NUC может дать больше мощностей, а не только NUT и Nginx. Осталось понять, насколько я правильно мыслю...

Я поэтому и открыл на DSM 2 порта 80 и 443, а не ограничился одним 443. 1. Какой у вас прокси - прозрачный, анонимный, искажающий или приватный? 2. На чем стоит, сильно требовательный к железу? 3. Можно на виртуалке или контейнере использовать? Как я понимаю, гибкости там побольше чем у DSM с сертификатами, а еще и приватность и .т.д.

Нет поменялось, из одного источника https://bafista.ru/synology-nas-nastrojka-sertifikatov-ssl/ Там сравнения ... и ответ Synology ... Но для купленных доменов, ничего не поменялось на 7-ке...

Тут вроде что-то поменялось с 6-й версии для получения сертификатов... Сейчас на 7-ке вроде все работает, только для платных доменов и тут проблема... Я буду делать субдомены и сколько у меня их будет я не знаю... В окне оформления сертификата, меня смущает... 1. Имя домена я так понимаю, это купленный домен без субдомена - domen.com, а не nas.domen.com? 2. Электронная почта, это любая почта или почта на которую оформлен платный домен - domen.com? 3. Альтернативное название темы. И тут больше всего не понятно... Нужно указать через точку с запятой все субдомены которые будут на платном домене - domen.com? Например - nas.domen.com; fas.domen.com; Получается сертификат выпускается только один на один домен и нужно сразу знать какие субдомены будут и потом уже не добавить субдоменов? Или тогда нужно будет перевыпуска сертификат?

По какому протоколу вы подключаетесь к удаленным папка на DSM, через сторонние клиенты? Какой вариант безопаснее я пока думал FTP настроить на DSM...

Знаю. У меня проброшены пока 443 и 80. Я еще не полностью понял как несколько устройств (хрени), настраивать через прокси... 1. SSL сертификаты, получаете через DSM на свои домены? 2. И можно организовать, автоматическое продление SSL сертификатов на DSM?

У меня давно настроен удаленный доступ к DSM, но я только тестировал и не оставлял открытыми порты - роутер keenetic + белый IP адрес - через keenDNS создан субдомен который ведет на DSM. - на keenetic поднят VPN (IKEv2) Все хорошо работает и скорость не режет вроде ( но надо еще тестировать), а скорость зависит от железа в роутере, так как именно на роутере поднят VPN (IKEv2). По заявлениям Kenetic, железо держит стабильно 30-50 Мбіт/с, проверял только на 4g, выдает 25-35Мбіт/с. И то телефон как точка доступа к котороый подключен через Wi-Fi дестктоп и на нем проводил замеры... Из выше пересиленного видно, что единственная защита, это пока VPN (IKEv2) и то на роутере. Я прекрасно помню о зависимостях (роутере, домены и т.д.), поэтому хочу попробовать альтернативный вариант, скажем более практичный без зависимостей... ------------ На данный момент уже есть платный домен, организованы субдомены, открыты порты и все ходит из вне на DSM. Но теперь становится вопрос организации безопасного удаленного соединения с Xpenology... так как даже VPN пока нет. IKEv2 на DSM нет... 1. Какой фаервол вы используете и где он установлен? 2. Как можно организовать направление внешнего обращения от DNS на адрес фаервола? 3. Каким образом можно организовать связь фаервола с VPN? Или VPN это просто прослойка между файрволом и DSM. И VPN, нужно просто настроить? 3. Какой VPN вы используете и где он установлен? VPN (IKEv2), использую давно для доступа по RDP. но там ситуация такая, что порты все врем закрыты и открываются только при запросе RDP и потом автоматически закрываются... А вот с Xpenology так не подучится и порты нужно держать открытыми... я пока только тестирую и сразу все выключаю... ГЛАВНАЯ ЦЕЛЬ - разобраться с механизмами организации безопасного удаленного соединения с Xpenology... и выбрать максимально безопасный основываясь на своих возможностях...

Я бы и порты не открывал, только вот без этого ничего работать не будет. Вот на сколько я готов рисковать))) 1. Какой бренмаувер вы используете и где он установлен? 2. Как у вас организовано направление внешнего обращения от DNS на адрес фаервола? 3. Какой VPN вы используете и где он установлен? Вроде на хрени OpenVPN, если правильно помню... 4. Как у вас организована связь фаервола с VPN?

Ну с этим все ясно, хотя и интернет-провайдер и белый IP адрес могут поменяться. И это можно быстро исправить, если есть свой домен, субдомены и алиасы (сменив только IP на нужном субдомене), а так же это удобно, если много устройств. Я привык использовать KeenDNS и там можно создав субдомен, сразу в настройках... - назначить его на любое устройство в домашней сети (например Хрень) - выбрать порт, что позволяет сразу из KeenDNS назначить субдомен на любой интересующий сервис в хрени - и напоследок, выбрать опцию для субдомена, предоставлять доступ из интернета или нет 1. Таким образом используя KeenDSN от Keenetic я легко могу получить доступ из домашней сети к DSM и сервисам Synology. 2. А вот если использовать платный домен, субдомен и алиасы, то я не могу попасть из домашней сети к DSM и сервисам Synology. Тут надо, что-то еще сделать в DSM или нужно пробрасывать порты на роутере? Иначе в домашней сети доступа не будет, хотя KeenDSN от Keenetic в домашней сети работает и без проброса портов. Конечно в домашней сети можно ходить через IP, но я привык, уже через субдомены на KeenDNS... А теперь думаю через красивые алиасы... Или тут есть свои особенности? Я пока думал разобрать с доступом из локалки, а потом уже заняться VPN, но что-то оно не хочет...

Да они похожи, только QC имеет ограничения и тормознутый соответственно. Правда у Keenetic (KeenDNS), есть два режима. И один из них, можно назвать тормознутым и ограниченным как QC, а другой быстрый и без ограничений как Synology DDNS. 1-й Режима облачного доступа - обеспечивает удаленное подключение к устройству только по протоколам на основе HTTP/HTTPS. Этот режим будет работать даже в том случае, если серый IP-адрес. 2-й Режим прямого доступа позволяет использовать доменное имя для подключения к устройству по любому протоколу. Скорость передачи данных ограничена только параметрами соединения с провайдером. Я давно использую KeenDNS но не в масштабных целях. И когда пришло время купил белый IP, для отсутствия ограничений через Keenetic (KeenDNS) - Режим прямого доступа. Мне попадает на глаза комментарий многоуважаемого @Olegin... 1. Как я понял можно обойтись без связки Белый IP + CNAME субдомены + Обратный прокси? И использовать домен или от Keenetic или от Synology DDNS. Главное, нужен белый IP, что бы не было ограничений. Но если только не хочется очень красивые домены для сервисов Synology... Какие преимущества покупать домен перед доменом от Keenetic или даже Synology DDNS я так и не понял... @Olegin не хочет открыть секрет... 2. Чем, замерить скорость удаленного доступа к NAS? Что бы понимать реальные цифры...

Вроде, "отзывчивый" человек, думал увижу что-то по делу, а тут снова... Видимо, нужно прямо сказать ... Ваш вариант решения радикально отличается от варианта @XPEH. Именно для этого и задают вопросы на форумах... А так как вы всегда внимательно читаете мои комментарии, то точно поняли, главный посыл моего комментария на который вы отреагировали... отзывчиво и по делу... В начале я взял за основу вашу тактику @Olegin, но она отличается, от тактики предложенной @XPEH.

Застрял конкретно с настройками DSM на хрени. Настроил у регистратора доменых имен запись A и прописал белый IP адрес - nas.платныйдомен.com. Потом создал CNAME субдомен drive.платныйдомен.com Оба адреса резолвятся, но из-за обилия настроек в DSM я потерялся.... - Можно добавить nas.платныйдомен.com в Панель управления → Внешний доступ → Дополнительно - Можно добавить nas.платныйдомен.com добавить в Панель управления → Портал для входа → DSM → Домен → Пользовательский домен (тогда порты 5000 и 5001 сменятся на 80 и 443 как я понял) - Можно добавить drive.платныйдомен.com в Панель управления → Портал для входа → Приложения → Synology Drive → Домен → Пользовательский домен. Можно еще добавить псевдонимы или указать порты. - Еще нужно настроить обратный прокси, для всего этого 1. Из-за кучи настроек я не понимаю какая тактика действий должна быть, что бы привязать созданные субдомены к сервисам? 2. И как я понял вместо QuickConnect можно использовать например nas.платныйдомен.com? 3. Еще обратный прокси, тоже ...