Buba

Порты DSM (5001/5000) не открыты. Открыты только 80 и 443, а это не DSM. В разделе "Портал для входа" на вкладке DSM убран домен, в разделе "внешний доступ" на вкладке "дополнительно" аналогично. Поведение странное, как костыль можно перенаправить основной домен через тот же обратный прокси на что-то другое, чтобы не ломать голову уже.

Кстати, после проделанных выше манипуляций, приложение DS Finder работает, но если нажать на DSM Mobile, то уже DSM не откроется. Вообще идеально было бы закрыть доступ к DS Finder насовсем тоже, но тут DSM не дает так тонко настраивать под себя, а уходить в свободный полет и самосбора не хочется.

Да, это сработало, страничку DSM больше не отдает, правда все равно зачем-то отдает порт по основному домену (name.synology.me:5001). Если вдруг кто будет искать тоже, делать нужно в разделе "Портал для входа". На вкладке DSM убираем домен, на вкладке Приложения устанавливаем только порт скажем для Drive вида 20300, затем на вкладке дополнительно нужно добавить поддомен для Drive, будет вида drive.name.synology.me. В приложении нужно будет выйти и зайти именно по такому адресу, по основному теперь работать не будет, хотя хотелось бы, чтобы красивенько только по одному домену заходить в любом приложении. И так надо сделать будет для каждого нужного сервиса: audio.name.synology.me photo.name.synology.me video.name.synology.me И в каждом приложении заходить под своим поддоменом, увы. Чтобы в Drive когда делишься ссылкой на файл не было видно порта после домена вида name.synology.me:20300 нужно зайти в админку Drive и в настройках просто вбить пользовательский домен drive.name.synology.me и будет ухоженно. Считаю, что именно так сразу должно было быть, чтобы приложения под капотом просто сами подставляли свой зафиксированный поддомен, чтобы не вводить пользователям разные адреса в приложениях, а под одним доменом жить и в итоге DSM в интернете не торчит (надеюсь, теперь вся надежда на прокси-сервере). Еще думаю можно в firewall оставить доступ к 5001 только внутри локальной сети можно, чтобы уже точно прикрыться (теперь вся надежда на firewall). Спасибо за подсказку, я думал над прокси, но не думал, что надо каждому поддомен выделить еще, но методом проб. Могу придраться, что на самом деле теперь будет открываться по drive.name.synology.me сервис drive в вебе, а не только в мобильном приложении, как понимаю через Quickconnect бы работало все чисто в мобильных приложениях, а снаружи ниакакая веб-морда ни в каком виде бы не торчала, но не проверял. Главное прикрыл DSM, но конечно хотелось бы иметь более тонкие и гибкие настройки, но это уже я многого хочу

1. Смена портов не играет роли, чтобы работали мобильные приложения нужно выставить главную панель DSM в интернет 2. Если я отберу права у пользователей на DSM (а он им и не нужен), то права на DSM остаются у админа (т.е. меня) 3. Так в Quickconnect именно так, в приложения пускаем, а DSM в интернете не светим 4. DS Finder это еще терпимо, он там крайне скудноват, чтобы иметь больше возможностей что-то сделать нужно открывать через него сайт DSM Mobile, который минует веб-морду DSM и опять же крайне скудноват. Я понимаю, что риск взлома маловероятен (c атаками 0-day повышается), но я не понимаю зачем мне торчать полноценной админской панелью в интернете просто так, когда мне нужны только мобильные приложения. Тем более видно, что Synology DSM это умеет, но не понятно как настроить это под DDNS.

Это не решает того, что DSM остается открыт из интернета. Вот нашел, что через службу Quickconnect можно оставить работать из интернета только мобильным приложениям, а доступ к DSM выключить. Выходит такой сценарий возможен, но почему-то только для их службы, а мне бы так же, но со своим доменом напрямую работать.

Здравствуйте, подскажите как можно организовать такой сценарий: Доступ к веб-морде DSM возможен только из LAN (внутренняя сеть), но при этом, чтобы из интернета можно было пользоваться через мобильные приложения Drive/Photos. Сейчас работает так: Имеется домен name.synology.me, белый IP, открыт порт 443 на маршрутизаторе для доступа из WAN (внешняя сеть) для NAS. В итоге через интернет работают мобильные приложения Drive/Photos, но если набрать в браузере из интернета name.synology.me, то откроется главная веб-морда DSM. Доступ к главному порталу для управления из интернета не требуется никогда, а если вдруг нужен будет, то лучше через (три буквы) подключусь к своей локальной сети. Хотелось бы, чтобы мобильные приложения могли получать доступ к моему NAS по домену name.synology.me, но если кто-то лезет через браузер name.synology.me или через IP напрямую, то ничего не получит в ответ. Не понимаю как работают под капотом мобильные приложения, им требуется для доступа 5001 порт (HTTPS), но веб-морда DSM тоже на 5001 порту сидит, если убираю доступ к DSM, то теряю доступ из интернета через мобильные приложения. Куда копать, что именно надо подкрутить в firewall или reverse proxy, чтобы заработало по нужному сценарию?

А вот теперь возникает другая проблема, все коннекты в журнале отображаются из 192.168.1.1 (это роутер), будь это вход из внешки или из локалки, а это проблема, нужно отключать автоматический блокировщик в NAS, ибо просто никто не зайдет, если ботоводы нападут или один юзер много раз ошибется с паролем, да и вообще не удобно администрировать такое. Как-то боком выходит подружиться с DS Audio, наверное, лучше отказаться от него вообще, а то знаний как правильно настроить не хватает. 😢

Выручили, заработало с добавлением 433 в конец адреса для приложения DS Audio (HTTPS тумблер включен), теперь заходит во внутренней сети и во внешней сети. Для остальных приложений можно указывать 433, а можно не указывать, работают оба варианта (HTTPS тумблер включен). В KeenDNS поменял у домена на порт 5001 и включил HTTPS. Все остальное как в инструкции от DVDVD. Для тех у кого белый IP и Keenetic: offtop: как-то странно, вроде именитая корпорация, а приложения не привели в порядок(

Сделал по инструкции от DVDVD доступ с мобильного приложения DS Audio к NAS-у, но так как белый IP, то KeenDNS настроен на работу "напрямую" и достаточно одного домена с портом 5000 (5001 тоже работает). Домен такого вида выходит "nas.anyname.keenetic.pro", прекрасно работает из интернета с приложения на iOS, но стоит мне прийти домой и подключиться к Wi-Fi как приложение перестает видеть NAS вообще, нужно вместо домена писать внутренний адрес NAS-а, тогда снова работает, но уйдешь из дома — менять на домен. Куда копать, почему по Wi-FI в домашней сети не пускает по домену? Веб-морду DS Audio по Wi-Fi в браузере прекрасно открывает (такого вида "nas.anyname.keenetic.pro/audio"). Если открыть мобильные приложения вроде Synology Photos, то по домену заходит как с wifi, так и по мобильному интернета, мистика какая-то.