Удаленный доступ к NAS, через Белый IP + CNAME субдомены + Обратный прокси

[garmoniya duha]

Есть оплаченный домен и белый IP адрес. Настаиваю у регистратора доменых имен запись A и прописываю белый IP адрес

Теперь адрес nas.платныйдомен.com ведет меня на роутер... Далее можно создавать CNAME субдомены... и вроде все хорошо...

 

1. Но я не понимаю, что теперь админка роутера будет торчать все время в интернете? Если я сделаю CNAME субдомен drive.nas.платныйдомен.com, то убрав drive мы попадем на роутер как я понимаю...

 

2. Если делать субдомены через KeenDNS, то там есть возможность включить и выключить удалённый доступ к роутеру. И как теперь, этой функцией управлять (Белый IP + CNAME субдомены + Обратный прокси)?

 

Edited March 9 by garmoniya duha

[XPEH]

Похоже QC и Keenetic службы делают одно и тоже. Выберите что-то одно. Домен через роутер или через Synology DDNS службу.

Если можете найти ваш сервер через Интернет и пробросить порты на NAS, дальше можно например сделать так

 

Для каждой службы можно сконфигурировать порты и разрешения на доступ.

 

Обращения к службам по HTTP(S)://платныйдомен.com/service

У меня например https://mydomain.com/photo и https://mydomain.com/file

 

[XPEH]

3 hours ago, garmoniya duha said:

1. Но я не понимаю, что теперь админка роутера будет торчать все время в интернете? 

В настройке роутера по умолчанию админка с Интернета запрещена. Проверьте.

[garmoniya duha]

1 час назад, XPEH сказал:

В настройке роутера по умолчанию админка с Интернета запрещена. Проверьте.

Удаленный доступ все время отключен в KeenDNS, может еще где-то есть, хотя навряд ли...

 

Однако, если настроен домен от Keenetic , то купленный домен, благополучно кидает, через HTTPS на роутер.

Я отключил (удалил доменное имя) KeenDNS и он успокоился... 

Edited March 10 by garmoniya duha

[XPEH]

С Keenetic никогда не имел дело. Похоже на прокси, типа как у Synology через QuickConnect? Или скорее как Cisco Meraki Software Defined Network?

[garmoniya duha]

27 минут назад, XPEH сказал:

С Keenetic никогда не имел дело. Похоже на прокси, типа как у Synology через QuickConnect?

1. Регистрируется персональное доменное имя в сервисе KeenDNS (на роутере). Допустим nas.keenetic.pro и получаем автоматический SSL сертификат. Теперь по nas.keenetic.pro, можно ходить на админку Keenetic (HTTPS)

 

2. Далее, проксированый доступ к веб-приложениям через 4-й уровень доменной записи. Создаем субдомены, используя nas.keenetic.pro - plex.nas.keenetic.pro,  drive.nas.keenetic.pro и т.д.

Edited March 10 by garmoniya duha

[garmoniya duha]

1 час назад, XPEH сказал:

С Keenetic никогда не имел дело. Похоже на прокси, типа как у Synology через QuickConnect?

Застрял конкретно с настройками DSM на хрени. Настроил у регистратора доменых имен запись A и прописал белый IP адрес - nas.платныйдомен.com. Потом создал CNAME субдомен drive.платныйдомен.com 

Оба адреса резолвятся, но из-за обилия настроек в DSM я потерялся.... 

 

- Можно добавить nas.платныйдомен.com в Панель управления → Внешний доступ → Дополнительно

- Можно добавить nas.платныйдомен.com добавить в Панель управления → Портал для входа → DSM → Домен → Пользовательский домен (тогда порты 5000 и 5001 сменятся на 80 и 443 как я понял)

- Можно добавить drive.платныйдомен.com  в Панель управления → Портал для входа → Приложения → Synology Drive → Домен → Пользовательский домен. Можно еще добавить псевдонимы или указать порты. 

- Еще нужно настроить обратный прокси, для всего этого

 

1. Из-за кучи настроек я не понимаю какая тактика действий должна быть, что бы  привязать созданные субдомены к сервисам?

2. И как я понял вместо QuickConnect можно использовать например nas.платныйдомен.com?

3. Еще обратный прокси, тоже ...

Edited March 10 by garmoniya duha

[Olegin]

14 часов назад, garmoniya duha сказал:

Еще обратный прокси, тоже ...

Это ваше все... Хорошо, что люди тут отзывчивые, а не сразу бан и в гугл...

[garmoniya duha]

3 часа назад, Olegin сказал:

Это ваше все... Хорошо, что люди тут отзывчивые, а не сразу бан и в гугл...

 

Вроде, "отзывчивый" человек, думал увижу что-то по делу, а тут снова... 

 

Спойлер

Кстати я ждал от вас больше "отзывчивости", так как данный пост создавался на основе вашего комментария. 

В той ветке я хотел понять разницу между KeenDNS и предложенным вами вариантом и вы благополучно проявили "отзывчивость"... 

Скажите, что это было не по теме)))? Не по теме было обсуждать оверпрайс keenetic, а я обсуждал разницу между функцией KeenDNS и вашим вариантом... Но думаю, ладно создам отдельную тему ... и здесь "отзывчивость" от вас ... 

 

3 часа назад, Olegin сказал:

Это ваше все... Хорошо, что люди тут отзывчивые, а не сразу бан и в гугл...

 

Я так понял, что задавать вопросы я не могу пока не пройду у вас рецензию... и будь ваша воля... сразу бан и в гугл... 

Обратный прокси... Скорей, это ваша тема... И вы не знаете, что можно по разному, это организовать?))) Например, использовать nginx proxy manager. И забыть обратный прокси DSM (обратный прокси, это только часть пазла). Более того я не увидел в комментарии от @XPEH, обратного прокси вообще... может еще увижу?... И вроде CNAME субдомены тоже не требуются, кроме домена и даже без субдомена можно обойтись... 

 

 

Видимо, нужно прямо сказать ... Ваш вариант решения радикально отличается от варианта @XPEH. Именно для этого и задают вопросы на форумах... А так как вы всегда внимательно читаете мои комментарии, то точно поняли, главный посыл моего комментария на который вы отреагировали...  отзывчиво и по делу... 

 

18 часов назад, garmoniya duha сказал:

какая тактика действий должна быть

 

В начале я взял за основу вашу тактику @Olegin, но она отличается, от тактики предложенной @XPEH.

 

Edited March 10 by garmoniya duha

[garmoniya duha]

20 часов назад, XPEH сказал:

Похоже QC и Keenetic службы делают одно и тоже. 

Да они похожи, только QC имеет ограничения и тормознутый соответственно. Правда у Keenetic (KeenDNS), есть два режима.  И один из них, можно назвать тормознутым и ограниченным как QC, а другой быстрый и без ограничений как Synology DDNS.

 

1-й Режима облачного доступа - обеспечивает удаленное подключение к устройству только по протоколам на основе HTTP/HTTPS. Этот режим будет работать даже в том случае, если серый IP-адрес.

2-й Режим прямого доступа позволяет использовать доменное имя для подключения к устройству по любому протоколу. Скорость передачи данных ограничена только параметрами соединения с провайдером. 

 

Я давно использую KeenDNS но не в масштабных целях. И когда пришло время купил белый IP, для отсутствия ограничений через Keenetic (KeenDNS) - Режим прямого доступа. Мне попадает на глаза комментарий многоуважаемого @Olegin...

 

Спойлер

Цитата

Можно cname субдомены у регистратора насоздавать и прокинуть их в реверс прокси, будет вот так  https://jellyfin.мой_сайт/

 

Я заинтересовался, чем это отличается от Keenetic (KeenDNS) и не получил ответа, однако другому человеку @Olegin успел ответить
 

Цитата

Все они оверпрайс + зависеть от их облака... 

 

Я решил сам проверить этот вариант, так как у меня есть свободный домен, хотя можно просто создать субдомен... Но пока из связки Белый IP + CNAME субдомены + Обратный прокси ничего кроме головной боли не вижу. Все это можно сделать проще и быстрее в Keenetic (KeenDNS). Видимо единственная причина это оверпрайс и то что @Olegin его продал и купил 5  других роутеров за эту цену - соответственно у него нет Keenetic. И что такое зависимость от облака Keenetic я так и не понял. Может от DNS серверов, так они есть и у регистратора доменных имен... Если есть белый IP, то ведь нет ограничений... 

 

20 часов назад, XPEH сказал:

Выберите что-то одно. Домен через роутер или через Synology DDNS службу.

 

1. Как я понял можно обойтись без связки Белый IP + CNAME субдомены + Обратный прокси? И использовать домен или от Keenetic или от Synology DDNS. Главное, нужен белый IP, что бы не было ограничений. Но если только не хочется  очень красивые домены для сервисов Synology... Какие преимущества покупать домен перед доменом от Keenetic или даже Synology DDNS я так и не понял... @Olegin не хочет открыть секрет... 

 

2. Чем, замерить скорость удаленного доступа к NAS? Что бы понимать реальные цифры...

 

Edited March 11 by garmoniya duha

[XPEH]

1 hour ago, garmoniya duha said:

Какие преимущества покупать домен перед доменом от Keenetic или даже Synology DDNS я так и не понял...

 

Я предпочитаю не зависеть от Интернет-провайдера, модели (бренда) роутера или другого оборудования и поэтому давно пользуюсь собственными доменами, почтовым сервером и пр. В заклинания типа - этот бесплатный сервис навечно, он никуда не денется и зачем иметь свое, если можно бесплатно пользоваться чьим-то, просто пожимаю плечами. Я видел много раз когда компания уходила с рынка, была перекуплена или меняла условия пользования (становилась платной) и доверчивым пользователям приходилось менять адрес почты, ссылки на адреса их вебсайтов в интернете и т.п.

Это возможно при "белом" IP, собственным, купленным доменом, зарегистрированном на внешнем DNS, и проброшенных портах на собственном роутере/фаерволе любого производителя. Для меня это небольшая страховая плата за независимость от компаний, их услуг и других факторов, которые не могу контролировать. Я свободен выбрать сервис или оборудование без оглядки на дополнительные бесплатные услуги, которые привязывают клиента к конкретному производителю или провайдеру.

Для большинства клиентов, где мне необходимо удалённое подключение для администрирования, я их для себя регистрирую как поддомен на одном из моих доменов и/или использую CNAME переадресацию на их текущую регистрацию в частных сервисах (Synology или другого DNS, DNS от роутера или Интернет-провяйдера), если она есть. Мне так удобнее.

 

 

 

[garmoniya duha]

16 часов назад, XPEH сказал:

Для большинства клиентов, где мне необходимо удалённое подключение для администрирования, я их для себя регистрирую как поддомен на одном из моих доменов и/или использую CNAME переадресацию на их текущую регистрацию в частных сервисах (Synology или другого DNS, DNS от роутера или Интернет-провяйдера), если она есть. Мне так удобнее.

 

Ну с этим все ясно, хотя и интернет-провайдер и белый IP адрес могут поменяться. И это можно быстро исправить, если есть свой домен, субдомены и алиасы (сменив только IP на нужном субдомене), а так же это удобно, если много устройств. 

 

Я привык использовать KeenDNS и там можно создав субдомен, сразу в настройках...

 

- назначить его на любое устройство в домашней сети (например Хрень)

- выбрать порт, что позволяет сразу из KeenDNS назначить субдомен на любой интересующий сервис в хрени

- и напоследок, выбрать опцию для субдомена, предоставлять доступ из интернета или нет

 

1. Таким образом используя KeenDSN от Keenetic я легко могу получить доступ из домашней сети к DSM и сервисам Synology. 

 

2. А вот если использовать платный домен, субдомен и алиасы, то я не могу попасть из домашней сети к DSM и сервисам Synology. Тут надо, что-то еще сделать в DSM или нужно пробрасывать порты на роутере? Иначе в домашней сети доступа не будет, хотя KeenDSN от Keenetic в домашней сети работает и без проброса портов. Конечно в домашней сети можно ходить через IP, но я привык, уже через субдомены на KeenDNS... А теперь думаю через красивые алиасы... Или тут есть свои особенности? 

 

Я пока думал разобрать с доступом из локалки, а потом уже заняться VPN, но что-то оно не хочет... 

[XPEH]

8 hours ago, garmoniya duha said:

то я не могу попасть из домашней сети к DSM

Есть много вариантов если роутер не поддерживает NAT Reflections. Простейший, указать в файле hosts IP и имя хрени.

Я не доверяю сторонним сервисам обеспечивать доступ к внутренним, локальным сервисам. У меня DNS направляет внешние обращения на адрес фаервола, а дальше я предпочитаю сам контролировать что и кому я открываю. В большинстве случаев - VPN и дальше уже кому куда надо. Для посторонних клиентов проброс порта на DSM для обмена файлами с доступом только к папке для закачки или напрямую к файлу.

Ваш выбор, что вам удобнее и насколько вы готовы рисковать.

[garmoniya duha]

2 часа назад, XPEH сказал:

Ваш выбор, что вам удобнее и насколько вы готовы рисковать.

Я бы и порты не открывал, только вот без этого ничего работать не будет. Вот на сколько я готов рисковать)))

 

1. Какой бренмаувер вы используете и где он установлен?

2. Как у вас организовано направление внешнего обращения от DNS на адрес фаервола? 

3. Какой VPN вы используете и где он установлен? Вроде на хрени OpenVPN, если правильно помню...

4. Как у вас организована связь фаервола с VPN?

 

[garmoniya duha]

В 12.03.2024 в 08:49, XPEH сказал:

Для посторонних клиентов проброс порта на DSM для обмена файлами с доступом только к папке для закачки или напрямую к файлу.

По какому протоколу вы подключаетесь к удаленным папка на DSM, через сторонние клиенты?

Какой вариант безопаснее я пока думал FTP настроить на DSM...

Edited March 14 by garmoniya duha

[XPEH]

10 hours ago, garmoniya duha said:

По какому протоколу вы подключаетесь к удаленным папка на DSM, через сторонние клиенты?

Какой вариант безопаснее я пока думал FTP настроить на DSM...

HTTPS

FTP как раз один из небезопасных. Не успеешь моргнуть, как будет полный диск порнухи и пр.

[garmoniya duha]

В 14.03.2024 в 19:54, XPEH сказал:

HTTPS

FTP как раз один из небезопасных. Не успеешь моргнуть, как будет полный диск порнухи и пр.

Не дописал S - SFTP. Я уже давно наладил работу сторонних приложений на iPad и macOS. Сейчас пока в локалке использую SMB (временно). Но хотел дать доступ из вне, но тут сами программы диктуют условия. Я пытался подключиться по HTTPS на сторонних приложениях, но видимо что-то не учел, там разные типы подключений, может HTTPS вообще к ним не подходит? 

 

1. HTTPS, это получается нужно использовать только глючные приложения от Synology или можно как-то подключится и на сторонних приложениях?

2. Можно получить высокую безопасность при таких типах подключений, используя сторонние приложения на iPad и macOS?

 

Спойлер

 

 

 

Спойлер

 

 

 

 

 

Edited April 7 by garmoniya duha

[XPEH]

Посмотрите в сторону VPN. Абсолютной безопасности не бывает, а если использовать сторонние сервисы, которые вы не контролируете, то и подавно.

Минимальное кол-во открытых/проброшенных портов и хорошие, часто меняемые пароли помогут, но все равно есть риски.

[garmoniya duha]

В 08.04.2024 в 07:34, XPEH сказал:

Посмотрите в сторону VPN.

 

1. Глючные приложения Synology (HTTPS), тоже могут взломать, или там уже все иначе... Пароли тоже нужно часто менять?

 

2. VPN у меня есть на роутере Psec/IKEv2. Я пробовал, но Photos (HTTPS) не работает удаленно c VPN на телефоне. Что-то не так сделал или оно и не должно работать? Без VPN - Photos (HTTPS) работало... 

 

3. Psec/IKEv2 достаточно или может есть смысл выбрать другой VPN. 

Edited April 9 by garmoniya duha

[XPEH]

6 minutes ago, garmoniya duha said:

 

1. Глючные приложения Synology (HTTPS), тоже могут взломать, или там уже все иначе... Пароли тоже нужно часто менять?

 

2. VPN у меня есть на роутере Psec/IKEv2. Я пробовал, но Photos (HTTPS) не работает удаленно c VPN на телефоне. Что-то не так сделал или оно и не должно работать? Без VPN - Photos (HTTPS) работало... 

 

3. Psec/IKEv2 достаточно или может есть смысл выбрать другой VPN. 

1. Взломать можно все, что подключено к Интернету. Что не подключено тоже можно, но немного сложнее. Приложения Сино не более и не менее глючные, чем остальные. Пароли рекомендуется менять периодично. Административные чаще, каждые несколько месяцев. Пароли только для чтения, например гостевые, только для просмотра фоток, можно реже.

2. VPN сейчас выбор достаточный. PPTP устарел и пользоваться не стоит, а остальные, основанные на  SSL или IPsec/IKE выбирайте по удобству пользование. Предпочтения к VPN на самом роутере. В приложении Photos, нужно, наверное, указать внутренний адрес сервера, для работы через VPN.

[garmoniya duha]

32 минуты назад, XPEH сказал:

1. Взломать можно все, что подключено к Интернету. Что не подключено тоже можно, но немного сложнее. 

 

1. Одного VPN для роутера как защиты хватит? Доступ в интернет отключен (веб) и открыты только 80 и 443 порты, нужно для работы Psec/IKEv2

 

2. Фаерфол только на NAS пока. и отсекает всех, кроме одной страны. Может посоветуете, какой-то фаервол и т.д. с более обширной защитой... И с большими возможностями, чем фаервол на synology. 

Edited April 9 by garmoniya duha

[garmoniya duha]

2 часа назад, garmoniya duha сказал:

 

1. Одного VPN для роутера как защиты хватит? Доступ в интернет отключен (веб) и открыты только 80 и 443 порты, нужно для работы Psec/IKEv2

 

2. Фаерфол только на NAS пока. и отсекает всех, кроме одной страны. Может посоветуете, какой-то фаервол и т.д. с более обширной защитой... И с большими возможностями, чем фаервол на synology. 

 

1. Одного VPN (Psec/IKEv2), для роутера как защиты хватит? Доступ в интернет Keenetic отключен (веб) и открыт 443 порт.

Думаю выделить железку и организовать что-то вроде "командного пункта". Пока определился с NUT для ИБП + nginx. Может посоветуете сюда же кеширующий DSN Server, фаервол и т.д? Хочу полностью освободить хрени от лишних задач и свободно их выключать когда захочу. Например сейчас на одной хрени работает DSN Server. Железка 4 ядра 2.4 ГГц и 8 гб ОЗУ.

 

2. Фаерфол только на NAS пока. и отсекает всех, кроме одной страны. Может посоветуете, какой-то фаервол и т.д. с более обширной защитой... и с большими возможностями, чем фаервол на synology. 

Edited April 9 by garmoniya duha

[XPEH]

11 hours ago, garmoniya duha said:

2. Фаерфол только на NAS пока. и отсекает всех, кроме одной страны. Может посоветуете, какой-то фаервол и т.д. с более обширной защитой... и с большими возможностями, чем фаервол на synology. 

Это совершенно другая история 😄 Фаервол на NAS или любом сервере/рабочей станции это последняя линия защиты и мало эффективен. Если дошло до его срабатывания, значит перед ним уже все плохо.

Главная защита - фаервол на периметре, точке входа в локальную сеть и подключению в интернет.

Большинству, более чем достаточно обычного роутера/фаервола от провайдера, а в вашем случае Keenetic, который фильтрует потоки на уровне IP и портов (Layer3). Я не знаю возможностей вашего Keenetic, но если его не достаточно, можно заменить его на более совершенный. Если замена невозможна, можно также заморочиться и поставить дополнительный прозрачный (Transparent Bridge) фаервол между вашим Keenetic и локалкой на основе PFsense/OPNsense или бесплатной, домашней версией Sophos FW, который также будет фильтровать потоки на уровне приложений (Layer7), но для этого предполагаются довольно глубокие знания о работе сетей и протоколов. Надо серьезно учиться и не на основе пары ответов в этом форуме. В любом случае, безопасность это баланс между защитой и возможностью доступа от "все закрыто" до "все открыто". Он хорош настолько, насколько хорошо администратор понимает что он делает. Фаервол это всего лишь инструмент, который позволяет администратору добиться желаемого уровня управления потоками.

[i926]

11 часов назад, garmoniya duha сказал:

с более обширной защитой... и с большими возможностями, чем фаервол на synology

Ой чую там Золото Партии и клады Колчака......

Так и подмывает заняться взломом )))

[garmoniya duha]

8 часов назад, i926 сказал:

Ой чую там Золото Партии и клады Колчака......

Так и подмывает заняться взломом )))

Я так понял вопросы безопасности, нужно решать молча и с перепугом от всего...))) Я давно воспринимаю любую информацию которая находится где-то как не свою... может сломаться, повредиться, утопиться, вирусы и т.д. Но несмотря на тип информации, даже 90 летним бабушкам, есть что хранить на компьютере. Взлом, для меня это переменная, точно такая как наводнение т .д. Сейчас я больше концентрируюсь на структурировании и удалении ненужной информации, уменьшая общий объем данных...

 

- Все эти сервера, просто способ доставки контента в том виде в котором нам нужно и туда куда нужно.  

- Если нет копий за приделами серверов, то у вас нет информации... 

- Если вы не можете после утраты всех серверов получить доступ к своей актуальной информации и на большой скорости, то у вас нет информации...

 

Большинству людей нужно просто иметь доступ к свой информации в любой период времени и не важно, что случится и тут решают выбранные методы. Вряд ли кто-то сможет нажиться на чей-то информации, если она не публичного человека или секрет фирмы. Потратят время на взлом, а там бабушка хранит рецепты своего яблочного пирога 900 вариантов))). Вы думаете бабушка расстроится если ее взломают?))) Она все дублирует в своей книге рецептов... Если, все будут делать как бабушка, то в мире, будет меньше стрессов )))

[XPEH]

Для бабушкиных рецептов, фоток и документов большая угроза это уничтожение информации или ее порча вирусами, стихийными бедствиями и т.п.

На уровне использования Хрени, великих супер секретов наверное нет, но для пользователя, коллекция фоток и документов может быть безвозвратно потеряна. Бэкапы в нескольких копиях с сохранением в нескольких недоступных одновременно местах и на разных носителях обязательны. Книга рецептов это конечно бэкап и на другом носителе, но предположительно в том же доме/квартире, что и бабушкин комп. В случает пожара, могут потеряться все 900 вариантов одновременно и многих источников откуда они были взяты уже может и не быть. А если бабушка к тому же уже долго работает над кулинарной книгой для издательства, то и вовсе катастрофа.

Сетевая безопасность в виде фаервола и пр. может защитить от несанкционированного доступа и, в случае очень хорошего фаервола, от некоторых вирусов, но не защитит от физической кражи, пожара или других подобных случаев.

 

38 minutes ago, garmoniya duha said:

Если вы не можете после утраты всех серверов получить доступ к своей актуальной информации и на большой скорости, то у вас нет информации...

Возможность относительно быстро восстановить информацию из резервной копии должно быть частью запланированного процесса.

 

38 minutes ago, garmoniya duha said:

Большинству людей нужно просто иметь доступ к свой информации в любой период времени и не важно, что случится

Не обобщайте так безапелляционно. Те, кому действительно это нужно, пользуются системами другого уровня с многократным дублированием и распределением вычислительных мощностей и хранения территориально.

Большинству обычных людей достаточно относительно быстрого постановления. Оценка допустимого риска у каждого своя.