Механизм организации БЕЗОПАСНОГО УДАЛЕННОГО соединения с Xpenology...

[garmoniya duha]

У меня давно настроен удаленный доступ к DSM, но я только тестировал и не оставлял открытыми порты

 

- роутер keenetic + белый IP адрес

- через keenDNS создан субдомен который ведет на DSM.

- на keenetic поднят VPN (IKEv2)

 

Все хорошо работает и скорость не режет вроде ( но надо еще тестировать), а скорость зависит от железа в роутере, так как именно на роутере поднят VPN (IKEv2). По заявлениям Kenetic, железо держит стабильно 30-50 Мбіт/с, проверял только на 4g, выдает 25-35Мбіт/с. И то телефон как точка доступа к котороый подключен через Wi-Fi дестктоп и на нем проводил замеры... Из выше пересиленного видно, что единственная защита, это пока VPN (IKEv2) и то на роутере. Я прекрасно помню о зависимостях (роутере, домены и т.д.), поэтому хочу попробовать альтернативный вариант, скажем более практичный без зависимостей...  

 

------------

На данный момент уже есть платный домен, организованы субдомены, открыты порты и все ходит из вне на DSM.

Но теперь становится вопрос организации безопасного удаленного соединения с Xpenology... так как даже VPN пока нет. IKEv2 на DSM нет...

 

1. Какой фаервол вы используете и где он установлен?

2. Как можно организовать направление внешнего обращения от DNS на адрес фаервола? 

3. Каким образом можно организовать связь фаервола с VPN? Или VPN это просто прослойка между файрволом и DSM. И VPN, нужно просто настроить?

3. Какой VPN вы используете и где он установлен?

 

VPN (IKEv2), использую давно для доступа по RDP. но там ситуация такая, что порты все врем закрыты и открываются только при запросе RDP и потом автоматически закрываются... А вот с Xpenology так не подучится и порты нужно держать открытыми...  я пока только тестирую и сразу все выключаю...

 

ГЛАВНАЯ ЦЕЛЬ - разобраться с механизмами организации безопасного удаленного соединения с Xpenology... и выбрать максимально безопасный основываясь на своих возможностях... 

Edited March 12, 2024 by garmoniya duha

[Olegin]

6 часов назад, garmoniya duha сказал:

открыты порты и все ходит из вне на DSM

По пацански - достаточно 443 до реверс-прокси.

6 часов назад, garmoniya duha сказал:

3. Какой VPN вы используете и где он установлен?

WG на роутерах, но только ради того, чтобы иметь доступ ко всем локациям и отправлять ipv6, через тот, где он есть

[garmoniya duha]

В 13.03.2024 в 06:48, Olegin сказал:

По пацански - достаточно 443 до реверс-прокси.

Знаю. У меня проброшены пока 443 и 80. Я еще не полностью понял как несколько устройств (хрени), настраивать через прокси... 

 

1. SSL сертификаты, получаете через DSM на свои домены?

2. И можно организовать, автоматическое продление SSL сертификатов на DSM?

Edited March 14, 2024 by garmoniya duha

[XPEH]

10 hours ago, garmoniya duha said:

1. SSL сертификаты, получаете через DSM на свои домены?

2. И можно организовать, автоматическое продление SSL сертификатов на DSM?

Да, бесплатные через Let's Encrypt. Продлевается автоматически.

 

[Olegin]

21 час назад, garmoniya duha сказал:

SSL сертификаты, получаете через DSM на свои домены?

Нет, прокси у меня на другой железке, хотя когда-то и на хрень стояло.

21 час назад, garmoniya duha сказал:

И можно организовать, автоматическое продление SSL сертификатов на DSM?

Они вроде сами автоматом продляются, если 80 и 443 открыты.

[garmoniya duha]

В 14.03.2024 в 20:00, XPEH сказал:

Да, бесплатные через Let's Encrypt. Продлевается автоматически.

 

Тут вроде что-то поменялось с 6-й версии для получения сертификатов...

Сейчас на 7-ке вроде все работает, только для платных доменов и тут проблема...

Я буду делать субдомены и сколько у меня их будет я не знаю... В окне оформления сертификата, меня смущает...

 

1. Имя домена я так понимаю, это купленный домен без субдомена - domen.com, а не nas.domen.com?

2. Электронная почта, это любая почта или почта на которую оформлен платный домен - domen.com?

3. Альтернативное название темы. И тут больше всего не понятно... Нужно указать через точку с запятой все субдомены которые будут на платном домене  - domen.com? Например - nas.domen.com; fas.domen.com;

 

Получается сертификат выпускается только один на один домен и нужно сразу знать какие субдомены будут и потом уже не добавить субдоменов? Или тогда нужно будет перевыпуска сертификат?

 

Edited March 17, 2024 by garmoniya duha

[i926]

32 минуты назад, garmoniya duha сказал:

Тут вроде что-то поменялось с 6-й версии для получения сертификатов...

Да вроде всё в норме

https://bafista.ru/synology-web-station-v-dsm-7-2-ili-kak-sozdat-svoj-sajt/#Получение_бесплатного_сертификата_для_сайта

[garmoniya duha]

30 минут назад, i926 сказал:

Да вроде всё в норме

https://bafista.ru/synology-web-station-v-dsm-7-2-ili-kak-sozdat-svoj-sajt/#Получение_бесплатного_сертификата_для_сайта

Нет поменялось, из одного источника https://bafista.ru/synology-nas-nastrojka-sertifikatov-ssl/

Там сравнения ... и ответ Synology ... Но для купленных доменов, ничего не поменялось на 7-ке...

Edited March 17, 2024 by garmoniya duha

[garmoniya duha]

В 15.03.2024 в 06:48, Olegin сказал:

Нет, прокси у меня на другой железке, хотя когда-то и на хрень стояло.

Они вроде сами автоматом продляются, если 80 и 443 открыты.

Я поэтому и открыл на DSM 2 порта 80 и 443, а не ограничился одним 443.

 

1. Какой у вас прокси - прозрачный, анонимный, искажающий или приватный? 

2. На чем стоит, сильно требовательный к железу?

3. Можно на виртуалке или контейнере использовать?

 

Как я понимаю, гибкости там побольше чем у DSM с сертификатами, а еще и приватность и .т.д.

[Olegin]

1 час назад, garmoniya duha сказал:

Какой у вас прокси

Nginx к контейнере на сервере УД, древнючем как бивень мамонта.

[garmoniya duha]

В 17.03.2024 в 16:04, Olegin сказал:

Nginx к контейнере на сервере УД, древнючем как бивень мамонта.

Почему не контейнер на Synology? Из-за головной боли с MacVLAN на Docker? Как только люди не обходят эту проблему в интернетах...

Я решил поступить радикально, только, нужно проверить на практичность свою идею...

 

1. Если я возьму отдельную железку как вы, то головняка будет меньше или и там будет MacVLAN? А может, что-то по страшнее? Вроде, там все проще, но я решил уточнить...  Pi-hole и AdGuard Home, тоже вроде требует на Synology MacVLAN.

 

2. Я подумал об мини ПК (сначала об малинке потом об NUC), только из-за NUT и APC, вот заодно думаю и решить проблему с Nginx. Получиться настроить NUT + ИБП и Nginx на Ubuntu или другая OS? Может, есть какие-то проблемы? Да и зависимости от Xpenology не будет и NUT без поводка будет... А если будет малинка, то и потреблять будет мало, хотя NUC может дать больше мощностей, а не только NUT и Nginx.

 

Осталось понять, насколько я правильно мыслю...

[Olegin]

8 часов назад, garmoniya duha сказал:

Почему не контейнер на Synology?

Патамуша она жрет много и не работает у меня 24*7

Мне не известны ваши цели, все можно и на роутере развернуть.

[garmoniya duha]

6 часов назад, Olegin сказал:

Патамуша она жрет много и не работает у меня 24*7

 

Какую ОС используете из Linux? Или...

 

6 часов назад, Olegin сказал:

все можно и на роутере развернуть.

 

Видимо вы говорите о роутерах, которые на OpenWrt у меня keenetic и я кажется понял, почему вы от него отказались, так и не сказав. Проблема в практичности, а не цене по моему скромному мнению)))

 

6 часов назад, Olegin сказал:

Мне не известны ваши цели

 

Мои цели как заявлено в теме - механизм организации безопасность. Если отключить Synology на котором стоит, DNS кеширующий сервер, то это повлечет за собой проблемы. Тоже качается VPN т.д. Вот я и пытаюсь разделить задачи и добиться как безопасности так и практичности.

 

Какие службы лучше иметь отдельно на устройстве по вашему мнению?

Например мне нужно организовать автоматическое отключение всех устройств которые подключены к ИБП от APC, несколько хреней, ПК, роутеры и т.д. полно чего... и все это нужно правильно и с точностью до минуты или даже менее уложить спать, А потом разбудить, если подадут напряжение. Для этого наверно нужно иметь NUT  на отдельном устройстве, хотя я видел что люди организовывают и через хрень вроде... 

 

Вот я и хочу понять какой список служб лучше иметь на отдельной железке, что бы добиться безопасности и практичности... Пока я думаю о таком списке... NUT, Nginx, DNS кеширующий сервер (сейчас на synology), может еще что-то. Например фаервол или VPN. Тогда можно полностью освободить от нагрузки и не быть в зависимости от роутеров, постоянно включенных хреней и т.д.

 

Какие у вас службы отдельно от Synology?

Edited March 19, 2024 by garmoniya duha

[Olegin]

9 минут назад, garmoniya duha сказал:

Какую ОС используете из Linux

DSM 7 на голом железе

 

12 минут назад, garmoniya duha сказал:

почему вы от него отказались, так и не сказав

Потому что теперь OWRT... 4 локации объединены в общую сеть по wireguard, на все 1 белый ip, ну теперь еще ipv6 появился, но до него пока руки не дошли.

[garmoniya duha]

9 минут назад, Olegin сказал:

DSM 7 на голом железе

Я имел ввиду железку на которой Nginx

 

Какие службы лучше иметь отдельно на устройстве от Synology по вашему мнению? Пока я думаю о таком списке... NUT, Nginx, DNS кеширующий сервер (сейчас на synology), может еще что-то. Например фаервол или VPN. Тогда можно полностью освободить от нагрузки и не быть в зависимости от роутеров, постоянно включенных хреней и т.д. Какие у вас службы отдельно от Synology, обеспечивающие практичность и безопасность?

 

Edited March 19, 2024 by garmoniya duha

[Olegin]

53 минуты назад, garmoniya duha сказал:

Я имел ввиду железку на которой Nginx

Пока крутится на HAOS, все руки не доходят ни роутере настроить. Ему (nginx) без разницы где жить.

 

56 минут назад, garmoniya duha сказал:

Какие службы лучше иметь отдельно на устройстве от Synology по вашему мнению? 

Я не отвечаю на общие вопросы, ибо факторов для принятия решения тысячи, начиная с толщины кошелька.