Jump to content
XPEnology Community
  • 0

Доступ к DSM из LAN + Drive из WAN

Buba

Asked by Buba,

 Share

Question

Buba Newbie

Buba

Posted
Posted (edited)

Здравствуйте, подскажите как можно организовать такой сценарий:

Доступ к веб-морде DSM возможен только из LAN (внутренняя сеть), но при этом, чтобы из интернета можно было пользоваться через мобильные приложения Drive/Photos.

 

Сейчас работает так:

Имеется домен name.synology.me, белый IP, открыт порт 443 на маршрутизаторе для доступа из WAN (внешняя сеть) для NAS. В итоге через интернет работают мобильные приложения Drive/Photos, но если набрать в браузере из интернета name.synology.me, то откроется главная веб-морда DSM. Доступ к главному порталу для управления из интернета не требуется никогда, а если вдруг нужен будет, то лучше через (три буквы) подключусь к своей локальной сети. Хотелось бы, чтобы мобильные приложения могли получать доступ к моему NAS по домену name.synology.me, но если кто-то лезет через браузер name.synology.me или через IP напрямую, то ничего не получит в ответ.

 

Не понимаю как работают под капотом мобильные приложения, им требуется для доступа 5001 порт (HTTPS), но веб-морда DSM тоже на 5001 порту сидит, если убираю доступ к DSM, то теряю доступ из интернета через мобильные приложения. Куда копать, что именно надо подкрутить в firewall или reverse proxy, чтобы заработало по нужному сценарию?

Edited by Buba
Link to comment
Share on other sites

9 answers to this question

Recommended Posts

  • 0
Olegin Guru Master

Olegin

Posted
Posted
4 часа назад, Buba сказал:

Доступ к веб-морде DSM возможен только из LAN (внутренняя сеть), но при этом, чтобы из интернета можно было пользоваться через мобильные приложения Drive/Photos.

Настроить реверс-прокси только для Drive/Photos. DSM наружу не выводить...

Link to comment
Share on other sites
  • 0
dj_nsk Guru Master

dj_nsk

Posted
Posted (edited)
1 час назад, Buba сказал:

Имеется домен name.synology.me, белый IP, открыт порт 443 на маршрутизаторе для доступа из WAN (внешняя сеть) для NAS. В итоге через интернет работают мобильные приложения Drive/Photos, но если набрать в браузере из интернета name.synology.me, то откроется главная веб-морда DSM. Доступ к главному порталу для управления из интернета не требуется никогда, а если вдруг нужен будет, то лучше через (три буквы) подключусь к своей локальной сети. Хотелось бы, чтобы мобильные приложения могли получать доступ к моему NAS по домену name.synology.me, но если кто-то лезет через браузер name.synology.me или через IP напрямую, то ничего не получит в ответ.

 

Не понимаю как работают под капотом мобильные приложения, им требуется для доступа HTTPS (443 порт), но веб-морда DSM тоже на 443 порту сидит, если убираю доступ к DSM, то теряю доступ из интернета через мобильные приложения. Куда копать, что именно надо подкрутить в firewall или reverse proxy, чтобы заработало по нужному сценарию?

[upd: - внимательней прочитал исходный текст, исправил ответ :) ]

Как вариант: установите пакет Web Station, и тогда по портам 80 и 443 будете попадать на сайт (по умолчанию - пустая страничка "Your website is not set up yet", но можете и свою собственную сделать, типа - "Не ходите сюда больше, нечего вам здесь делать...")

А если захотите всё же извне в интерфейс DSM попасть, то укажете name.synology.me:5000 (или 5001)

Вроде так :)

Edited by dj_nsk
Link to comment
Share on other sites
  • 0
Buba Newbie

Buba

Posted
  • Author
Posted
39 минут назад, dj_nsk сказал:

[upd: - внимательней прочитал исходный текст, исправил ответ :) ]

Как вариант: установите пакет Web Station, и тогда по портам 80 и 443 будете попадать на сайт (по умолчанию - пустая страничка "Your website is not set up yet", но можете и свою собственную сделать, типа - "Не ходите сюда больше, нечего вам здесь делать...")

А если захотите всё же извне в интерфейс DSM попасть, то укажете name.synology.me:5000 (или 5001)

Вроде так :)

Это не решает того, что DSM остается открыт из интернета.

Вот нашел, что через службу Quickconnect можно оставить работать из интернета только мобильным приложениям, а доступ к DSM выключить.

 

2024-02-1513_26_51.thumb.png.9dbcae7edd9da3b8fc52eddcba7ef65d.png

 

Выходит такой сценарий возможен, но почему-то только для их службы, а мне бы так же, но со своим доменом напрямую работать.

 

Link to comment
Share on other sites
  • 0
dj_nsk Guru Master

dj_nsk

Posted
Posted
1 час назад, Buba сказал:

Это не решает того, что DSM остается открыт из интернета.

Вот нашел, что через службу Quickconnect можно оставить работать из интернета только мобильным приложениям, а доступ к DSM выключить.

...

Выходит такой сценарий возможен, но почему-то только для их службы, а мне бы так же, но со своим доменом напрямую работать.

Ну да... Можно ещё поменять 5001 на какой-то нестандартный. Или права у пользователя/группы на приложение DSM отобрать, но тогда он и внутри сети не увидит. А чтобы в приложения все пускал, а подключение к рабочему столу даже не показывал - такого, вроде, не встречал...

(одно же из мобильных приложений - DS Finder, а там уже всё есть, какой тогда смысл закрывать именно веб? :))

 

Link to comment
Share on other sites
  • 0
Buba Newbie

Buba

Posted
  • Author
Posted
47 минут назад, dj_nsk сказал:

1. Можно ещё поменять 5001 на какой-то нестандартный.

2. Или права у пользователя/группы на приложение DSM отобрать, но тогда он и внутри сети не увидит.

3. А чтобы в приложения все пускал, а подключение к рабочему столу даже не показывал - такого, вроде, не встречал...

4. (одно же из мобильных приложений - DS Finder, а там уже всё есть, какой тогда смысл закрывать именно веб? :))

 

1. Смена портов не играет роли, чтобы работали мобильные приложения нужно выставить главную панель DSM в интернет

2. Если я отберу права у пользователей на DSM (а он им и не нужен), то права на DSM остаются у админа (т.е. меня)

3. Так в Quickconnect именно так, в приложения пускаем, а DSM в интернете не светим

4. DS Finder это еще терпимо, он там крайне скудноват, чтобы иметь больше возможностей что-то сделать нужно открывать через него сайт DSM Mobile, который минует веб-морду DSM и опять же крайне скудноват.

 

Я понимаю, что риск взлома маловероятен (c атаками 0-day повышается), но я не понимаю зачем мне торчать полноценной админской панелью в интернете просто так, когда мне нужны только мобильные приложения. Тем более видно, что Synology DSM это умеет, но не понятно как настроить это под DDNS. 

Link to comment
Share on other sites
  • 0
Buba Newbie

Buba

Posted
  • Author
Posted
1 час назад, Olegin сказал:

Настроить реверс-прокси только для Drive/Photos. DSM наружу не выводить...

Да, это сработало, страничку DSM больше не отдает, правда все равно зачем-то отдает порт по основному домену (name.synology.me:5001).

 

Если вдруг кто будет искать тоже, делать нужно в разделе "Портал для входа".

На вкладке DSM убираем домен, на вкладке Приложения устанавливаем только порт скажем для Drive вида 20300, затем на вкладке дополнительно нужно добавить поддомен для Drive, будет вида drive.name.synology.me.

В приложении нужно будет выйти и зайти именно по такому адресу, по основному теперь работать не будет, хотя хотелось бы, чтобы красивенько только по одному домену заходить в любом приложении. И так надо сделать будет для каждого нужного сервиса:

audio.name.synology.me

photo.name.synology.me

video.name.synology.me

И в каждом приложении заходить под своим поддоменом, увы.

 

Чтобы в Drive когда делишься ссылкой на файл не было видно порта после домена вида name.synology.me:20300 нужно зайти в админку Drive и в настройках просто вбить пользовательский домен drive.name.synology.me и будет ухоженно.

 

Считаю, что именно так сразу должно было быть, чтобы приложения под капотом просто сами подставляли свой зафиксированный поддомен, чтобы не вводить пользователям разные адреса в приложениях, а под одним доменом жить и в итоге DSM в интернете не торчит (надеюсь, теперь вся надежда на прокси-сервере). Еще думаю можно в firewall оставить доступ к 5001 только внутри локальной сети можно, чтобы уже точно прикрыться (теперь вся надежда на firewall).

 

Спасибо за подсказку, я думал над прокси, но не думал, что надо каждому поддомен выделить еще, но методом проб.

Могу придраться, что на самом деле теперь будет открываться по drive.name.synology.me сервис drive в вебе, а не только в мобильном приложении, как понимаю через Quickconnect бы работало все чисто в мобильных приложениях, а снаружи ниакакая веб-морда ни в каком виде бы не торчала, но не проверял. Главное прикрыл DSM, но конечно хотелось бы иметь более тонкие и гибкие настройки, но это уже я многого хочу :D

 

Link to comment
Share on other sites
  • 0
Buba Newbie

Buba

Posted
  • Author
Posted
6 часов назад, dj_nsk сказал:

(одно же из мобильных приложений - DS Finder, а там уже всё есть, какой тогда смысл закрывать именно веб? :))

Кстати, после проделанных выше манипуляций, приложение DS Finder работает, но если нажать на DSM Mobile, то уже DSM не откроется.
Вообще идеально было бы закрыть доступ к DS Finder насовсем тоже, но тут DSM не дает так тонко настраивать под себя, а уходить в свободный полет и самосбора не хочется.

Link to comment
Share on other sites
  • 0
Olegin Guru Master

Olegin

Posted
Posted
16 часов назад, Buba сказал:

все равно зачем-то отдает порт по основному домену (name.synology.me:5001)

Уберите проброс порта(ов) DSM в настройках роутера

Link to comment
Share on other sites
  • 0
Buba Newbie

Buba

Posted
  • Author
Posted
В 16.02.2024 в 10:13, Olegin сказал:

Уберите проброс порта(ов) DSM в настройках роутера

Порты DSM (5001/5000) не открыты. Открыты только 80 и 443, а это не DSM. 

В разделе "Портал для входа" на вкладке DSM убран домен, в разделе "внешний доступ" на вкладке "дополнительно" аналогично.

Поведение странное, как костыль можно перенаправить основной домен через тот же обратный прокси на что-то другое, чтобы не ломать голову уже.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing
×
×
  • Create New...