Удаленный доступ к NAS, через Белый IP + CNAME субдомены + Обратный прокси

[garmoniya duha]

Есть оплаченный домен и белый IP адрес. Настаиваю у регистратора доменых имен запись A и прописываю белый IP адрес

Теперь адрес nas.платныйдомен.com ведет меня на роутер... Далее можно создавать CNAME субдомены... и вроде все хорошо...

 

1. Но я не понимаю, что теперь админка роутера будет торчать все время в интернете? Если я сделаю CNAME субдомен drive.nas.платныйдомен.com, то убрав drive мы попадем на роутер как я понимаю...

 

2. Если делать субдомены через KeenDNS, то там есть возможность включить и выключить удалённый доступ к роутеру. И как теперь, этой функцией управлять (Белый IP + CNAME субдомены + Обратный прокси)?

 

Edited March 9 by garmoniya duha

[garmoniya duha]

19 минут назад, XPEH сказал:

Для бабушкиных рецептов, фоток и документов большая угроза это уничтожение информации или ее порча вирусами, стихийными бедствиями и т.п.

Я просто ответил иронично на ироничный комментарий. Без учета различных переменных. Больше так делать не буду. 
 

11 часов назад, XPEH сказал:

Главная защита - фаервол на периметре, точке входа в локальную сеть и подключению в интернет.

Большинству, более чем достаточно обычного роутера/фаервола от провайдера, а в вашем случае Keenetic, который фильтрует потоки на уровне IP и портов (Layer3). Я не знаю возможностей вашего Keenetic, но если его не достаточно, можно заменить его на более совершенный.

 Посоветуйте какой можно выбрать. Я видел, что можно на микротиках настроить Layer7. Но это сложно как я понимаю и нужно ориентироваться на Layer3, так как это что-то вроде золотого стандарта. Или есть другие роутеры с  Layer7 с автоматизированными настройками. 

[Olegin]

12 минут назад, garmoniya duha сказал:

Посоветуйте какой можно выбрать.

Выбирайте на вкус, цвет и толщину кошелька...

[XPEH]

34 minutes ago, garmoniya duha said:

Или есть другие роутеры с  Layer7 с автоматизированными настройками. 

Из бесплатных, с хорошей поддержкой, фаерволов нового поколения обратите внимание на Sophos FW home. Потребуется мини ПК (или старый ПК) с двумя, лучше тремя сетевыми картами, 2-4 ядра проц, до 6ГБ памяти и небольшой диск (лучше SSD). Настройки Level7 фильтрации просто выбираются из меню и можно создавать свои. Есть много информации по настройкам, но в основном на англ. PFSense/OPNSense с добавочными модулями тоже неплохо, но требуют намного больше знаний и усилий.

 

35 minutes ago, garmoniya duha said:

Я просто ответил иронично на ироничный комментарий.

А я использовал ваш ответ как пример важности бэкапа. В каждой шутке есть доля .... шутки!

[garmoniya duha]

В 10.04.2024 в 09:57, XPEH сказал:

Из бесплатных, с хорошей поддержкой, фаерволов нового поколения обратите внимание на Sophos FW home. Потребуется мини ПК (или старый ПК) с двумя, лучше тремя сетевыми картами, 2-4 ядра проц, до 6ГБ памяти и небольшой диск (лучше SSD).

 

1. Raspberry Pi как я понимаю для этого не использовать, 3 сетевухи не вставить, хотя какой мини ПК имеет 3 сетевых карты? Или нужно 3 сетевых порта RJ45? И зачем столько?

 

2. Как производится подключение? Перед роутером? Сколько сетевых портов задействуется?  И какой тип роутер для этого нужен?

Edited April 11 by garmoniya duha

[XPEH]

Нужны 2 или 3 порта. Есть выбор мини ПК для роутеров с несколькими сетевыми портами. Что-то вроде бесшумных Topton N100 должно подойти.

Можно включить вместо роутера (предпочтительно) или как прозрачный мост после роутера если модем/роутер от провайдера обязателен. Поскольку вы упоминали Keenetic, наверное в вашем случае замена возможна. Третий порт только если хотите организовать DMZ и, хотя желательно, можно и без него. Для полноценной проверки потоков на нормальной скорости нужен проц. помощнее чем Rasbery Pi. Хотя бы из Celeron или i3, i5 класса. Бесплатная лицензия Sophos FW Home разрешает до 4 ядер и до 6ГБ памяти. Если есть больше, то просто не будет использовать. Прежде чем заморачиваться, попробуйте поставить в виртуалку и поиграйтесь, посмотрите что это такое.

[garmoniya duha]

Но тут тогда вместо малины + нормальный обвес, можно заказать iKOOLCORE R2 за те же деньги, даже дешевле и все в одном... Надо попробовать виртуалуку... 

 

А если сменить тактику? Я тут пытаюсь все упростить и дошел до того, что почти отказался от большинства потребностей,  а часть перенес на виртуальный Windows 11. Таким образом мне нужно всего 2 возможности...

1. Удаленный доступ к windows 11 через VPN (IPsec/IKE v2). Таким образом, можно полностью закрыть порты на роутере. Открываться они будут автоматически через VPN, только при запросе RDP к виртуальному Windows 11 и закрываться после выхода из  RDP. У меня сейчас так настроено, правда пока не часто пользуюсь, но все работает исправно... 

 

2. Из iPad грузить на хрень файлы размером в 2 ГБ (в день 1 -2 файла) и просматривать все загруженные. Из-за единственной потребности, возможно можно отказаться от белого ip и всяких доменов и т.д. А грузить файлы через QuickConnect. Пока тестирую Photos, но только на своем домене и доменах от keenetic и на белом ip. Все работает хорошо и грузит на Photos.

 

Еще сильно не тестировал  QuickConnect, но если его хватит, то я могу вообще отказаться от белого ip, что хорошо отобразится на безопасности + держать закрытыми все порты роутера. По VPN (IPsec/IKE v2), ходить на виртуальный Windows, который в любой момент могу переустановить да и Windows 11 теперь, больше для галочки и выполнения цикличных задач. Хотя надо всё равно иметь доступ к информации,  а тут еще надо подумать как...

 

Если поступить так, это ведь изменит баланс сил? И конечно я помню, что абсолютной безопасности нет... 

 

Edited April 11 by garmoniya duha

[XPEH]

В моем понимании Белый IP это публичный, открытый на Интернет статичный или динамичный адрес, а Серый  IP это приватный адрес после трансляции NAT провайдером.

Если отказаться от публичного Белого IP, то ваш VPN на роутере работать перестанет.

QuickConnect это удобный сервис от Сино, но он завязан на посредника, который может в любой момент отключить все левые устройства и будет в своем праве. Для настоящиков это может быть не так рискованно, но для Хрени я бы сильно на этот сервис не надеялся.

Если сейчас все работает и вас устраивает после пересмотра хотелок, то и оставьте как есть.

[garmoniya duha]

7 минут назад, XPEH сказал:

Если отказаться от публичного Белого IP, то ваш VPN на роутере работать перестанет.

Не учел этого))) 

 

11 минут назад, XPEH сказал:

Если сейчас все работает и вас устраивает после пересмотра хотелок, то и оставьте как есть.

Да еще ничего не работает. Я пока тестирую и пробую... 

 

12 минут назад, XPEH сказал:

QuickConnect это удобный сервис от Сино, но он завязан на посредника, который может в любой момент отключить все левые устройства и будет в своем праве. Для настоящиков это может быть не так рискованно, но для Хрени я бы сильно на этот сервис не надеялся.

Что за посредник. Владелец валидной пары или ...? А в чем есть разница в безопасности между своим доменом и QuickConnect. QC ножен если нет публичного адреса, а так это по безопасности ничего не дает? QuickConnect, это как вариант, хотя возможно я и это упрощу. 

[XPEH]

1 minute ago, garmoniya duha said:

Что за посредник

Посредник это Synology. Между вашим домашним сервером и вашим носимым устройством вне дома. Своим доменом вы управляете сами и Synology вам не указ. Соединение напрямую будет быстрее, чем через прокси QuickConnect. За безопасность сервера вы отвечаете тоже сами, а что там делает Syno вы не знаете до тех пор, пока они не опубликуют официальное извинение за взлом, как многие другие облачные сервисы.

Оптимист это просто плохо информированный пессимист.

[garmoniya duha]

1 час назад, XPEH сказал:

Посредник это Synology. Между вашим домашним сервером и вашим носимым устройством вне дома. Своим доменом вы управляете сами и Synology вам не указ. Соединение напрямую будет быстрее, чем через прокси QuickConnect. За безопасность сервера вы отвечаете тоже сами, а что там делает Syno вы не знаете до тех пор, пока они не опубликуют официальное извинение за взлом, как многие другие облачные сервисы.

Оптимист это просто плохо информированный пессимист.

Да как вариант такое... Но QuickConnect не пробовал и не попробую наверно, а вот на моем домене все работает хорошо. Тогда все же посмотрю в сторону фаервола...

 

Связка VPN (IPsec/IKE v2) + RDP Windows 11 это не так плохо или можно лучше в плане защиты? Windows на виртуалке на хрени, а значит еще один файрвол получается если он включен. Или там все иначе работает на виртуалке synology?

Edited April 11 by garmoniya duha

[XPEH]

6 hours ago, garmoniya duha said:

Связка VPN (IPsec/IKE v2) + RDP Windows 11 это не так плохо или можно лучше в плане защиты?

VPN (на роутере) + все остальное на локалке это вполне нормально. От прямого внешнего воздействия поможет. От скачивания вирусов и пр. может частично защитить система защиты на Windows и просто соблюдение правил сетевой санитарии.

[garmoniya duha]

В 11.04.2024 в 20:25, XPEH сказал:

VPN (на роутере) + все остальное на локалке это вполне нормально. От прямого внешнего воздействия поможет. От скачивания вирусов и пр. может частично защитить система защиты на Windows и просто соблюдение правил сетевой санитарии.

Да, но остается загрузка информации на Photos, а значит открытые порты все равно надо, но это не точно))).

 

Спойлер

 

Правда погонял я этот Photos на iPad, оно дико забивает кеш, притом в настройках Photos можно очистить кеш, но там жалкие мегабайты,  а основной объем в 12 Гб не очистить. Пока Photos не переустановить, вожделенные 12 Гб не вернутся. Такая проблема была и на One Drive и думаю на всех облаках, а значит главная функция теряется. Я что должен неистово следить за кешем, точнее переустанавливать облако, для освобождения места)))... Не хочу... 12 Гб вернул и хорошо... 

 

Таким образом лично для меня весь софт от хренолоджи ерунда. Да оно выполняет свою функцию и прекрасно грузит информацию с мобильных устройств на NAS, но какой ценой... Пытался в веб на iPad, тоже боль еще та... Один раз нажимаешь на открытия файла, не срабатывает, нажимаешь два раза оно открывает две копии одного файла. Вы совсем там синолоджи?)))... Конечно может проблема в мобильной платформой и кучей всего... 

 

ВЫВОД. Открыты порты будут зря для Photos + бонусом мучения при использовании Photos удаленно. 

 

 

Все выше перечисленные проблемы, как бы намекают на один единственный вариант - VPN (IPsec/IKE v2) + RDP Windows 11

 

1. При RDP, тоже нужно часто менять пароли на учетке Microsoft, у меня пароли всегда из случайных символов и на 32 знака. 

2. Как вы относитесь к RDP, это ведь тоже левый сервис, от которого зависимость и возможны наверно риски?

3. Вы не любите зависимости, используете что-то другое? Я погуглил, там такое количество аналогов TeamViewer и опенсорс и нет... Хотя RDP позволяет управлять полноценно стилус, что очень удобно... Может вы какой-то софт выделяете по безопасности и удобству. 

 

Если бы можно было тягать файлы из окна RDP в окна приложений iPad обратно, цены ему не было бы. Или так страдает безопасность? 

Edited April 13 by garmoniya duha

[XPEH]

52 minutes ago, garmoniya duha said:

RDP, это ведь тоже левый сервис, от которого зависимость и возможны наверно риски?

С чего это? RDP работает напрямую между клиентом и windows машиной. Пароль на Windows локальный. Вы же, надеюсь, не пользуетесь всем этим через MS аккаунт логин? TeamViewer, Аnydesk, GoToMyPC и прочие производные от Citrix,  все работают через сторонний сервис, как и QuickConnect. В крайнем случае для совместимости можно поставить TightVNC сервер и клиент. Тоже прямое соединение, без посредников. Для поддержки клиентов, я предпочитаю VPN + DameWare. Позволяет видеть экран клиента, копировать файлы и многое другое. У вас другие задачи.

Photos после подсоеденения к VPN должны работать при подключении к локальному IP сервера.

56 minutes ago, garmoniya duha said:

Если бы можно было тягать файлы из окна RDP в окна приложений iPad обратно

На Windows можно пользоваться shared clipboard и даже принтерами. Между MS и Apple нет.