synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяУстановка, Загрузка и Настройка › HTTPS и сертификация

HTTPS и сертификация

CnpuHTep · 14.01.2018

Здравствуйте! Пару дней назад приобрел устройство DS918+. В процессе настройки решил обезопасить передачу данных по безопасному web протоколу HTTPS, так как использовать НАС буду, в основном удаленно, через трансляцию аудио, видео и фото.

Для безопасного протокола, я так понял, нужно для начала получить сертификат. Нашел в DMS где это сделать. Далее непонятно, мне нужен домен для получения сертификата? Или Synology дает домен какого то уровня? Что делать дальше?

Siroc-co · 14.01.2018
Здравствуйте! Пару дней назад приобрел устройство DS918+. В процессе настройки решил обезопасить передачу данных по безопасному web протоколу HTTPS, так как использовать НАС буду, в основном удаленно, через трансляцию аудио, видео и фото.

Для безопасного протокола, я так понял, нужно для начала получить сертификат. Нашел в DMS где это сделать. Далее непонятно, мне нужен домен для получения сертификата? Или Synology дает домен какого то уровня? Что делать дальше?

Если хотите валидный сертификат, чтоб всё красиво было, чтоб браузеры его опознавали и зелёным отрисовывали, то Вам необходимо доменое имя и статик IP. Если просто для себя, чтоб трафик шифрованный был, то можно без доменов создать самоподписный.

Я для собственных нужд юзаю самоподписный, я его вообще сам смостырил, не силами синолоджи. Не доверяю я этим всем центрам сертификации, уже с десяток было случаев, когда все ключи были скомпроментированы. А для других посетителей, для красоты - сертификат от Let's Encrypt.

CnpuHTep · 14.01.2018
Если хотите валидный сертификат, чтоб всё красиво было, чтоб браузеры его опознавали и зелёным отрисовывали, то Вам необходимо доменое имя и статик IP. Если просто для себя, чтоб трафик шифрованный был, то можно без доменов создать самоподписный.

Я для собственных нужд юзаю самоподписный, я его вообще сам смостырил, не силами синолоджи. Не доверяю я этим всем центрам сертификации, уже с десяток было случаев, когда все ключи были скомпроментированы. А для других посетителей, для красоты - сертификат от Let's Encrypt.

А можно инструкцию, чтоб настроить корректно, надёжно и без гемора потом?

CnpuHTep · 14.01.2018
Если хотите валидный сертификат, чтоб всё красиво было, чтоб браузеры его опознавали и зелёным отрисовывали, то Вам необходимо доменое имя и статик IP. Если просто для себя, чтоб трафик шифрованный был, то можно без доменов создать самоподписный.

Я для собственных нужд юзаю самоподписный, я его вообще сам смостырил, не силами синолоджи. Не доверяю я этим всем центрам сертификации, уже с десяток было случаев, когда все ключи были скомпроментированы. А для других посетителей, для красоты - сертификат от Let's Encrypt.

Вообще мне помогла бы хоть какая то информация от вас

Siroc-co · 15.01.2018
А можно инструкцию, чтоб настроить корректно, надёжно и без гемора потом?

 

Вообще мне помогла бы хоть какая то информация от вас

Ну давайте, по мере появления времени у меня.

Доменное имя есть у Вас и статик IP? Они нужны. Покупайте имя, идите к провайдеру и покупайте статик IP. Дальше будет дальше.

CnpuHTep · 15.01.2018

Кажется, у меня получилось! Получил доменное имя 4го уровня, с помощью DDNS, вида https://****.de3.quickconnect.to! И бесплатный сертификат от Synology!Без белого ip и покупного домена. Уже опробовал работоспособность - программы подключаются по HTTPS, через интернет на NAS захожу)) Все очень просто оказалось:

Настраиваем через встроенную утилитку EZ-internet. Она прописала на моем роутере порты, которые я выбрал, помогла зарегистрировать домен. Потом я активировал службу DDNS и доменный адрес поменялся на указанный с HTTPS. Может я что-то ещё сделал и забыл, но не помню

shig · 17.01.2018

Мне помогите ;)

Аналогичная проблема - сертификат let's encrypt получить не удается.

Настроил проброс порта 80 снаружи на 5000 порт DSM - не помогает.

 

Вопрос - для регистрации сертификата, нужно ли устанавливать WebStation?

 

Шурави · 17.01.2018
Мне помогите ;)

Аналогичная проблема - сертификат let's encrypt получить не удается.

Настроил проброс порта 80 снаружи на 5000 порт DSM - не помогает.

 

Вопрос - для регистрации сертификата, нужно ли устанавливать WebStation?

Стесняюсь спросить, а зачем вам сертификат, если у вас сайта нет (он не хостится на Синолоджи)?

shig · 17.01.2018
Стесняюсь спросить, а зачем вам сертификат, если у вас сайта нет (он не хостится на Синолоджи)?

Да в общем то и не особо нужно, просто при доступе снаружи к DSM неохота каждый раз уламывать браузер на самоподписной сертификат

Andrei_IW · 31.01.2018

Хм... а мне домен второго уровня больше нравится. Выделенный ip адрес мне обходится в Дом.ру 20руб/мес, домен второго уровня к примеру Pupkin.ru стоит 150руб в год на 2domen.ru ну и SSL сертификат от Comodo мне обощёлся в 450руб в год. Итого:

 

240руб выделенный IP

150руб домен

450руб SSL

-------------------------------

840руб в год за домен к NAS серверу типа MyNAS.ru с SSL сертификатом, всё как по взрослому, с зелёненьким замочком.

Rorik · 07.02.2018
Ну давайте, по мере появления времени у меня.

Доменное имя есть у Вас и статик IP? Они нужны. Покупайте имя, идите к провайдеру и покупайте статик IP. Дальше будет дальше.

Приветствую...

 

есть статик ip и домен. Подскажите как сертификат сделать?

Шурави · 08.02.2018
Приветствую...

 

есть статик ip и домен. Подскажите как сертификат сделать?

Через панель управления в разделе безопасность, сертификат - добавить сертификат от let's encrypt

NikNikols · 08.02.2018
Через панель управления в разделе безопасность, сертификат - добавить сертификат от let's encrypt

 

А как на старых DSM получить сертификат от let's encrypt

 

Установлена DSM5.2 со всеми апдейтами. Переходить на DSM6 не планирую. Раньше у меня был сертификат от StartSSL, но недавно эти сертификаты протухли.

 

Может есть мануал для чайников как получить сертификат от let's encrypt в моём случае?

 

Rorik · 08.02.2018
Через панель управления в разделе безопасность, сертификат - добавить сертификат от let's encrypt

Спасибо. Получил.

xibyt · 05.03.2018
Через панель управления в разделе безопасность, сертификат - добавить сертификат от let's encrypt

 

Весь вечер убил, не удается получить сертификат. Обязательное ли условие что бы сайт какой то крутился на насе?

Пробрасывал порты 80,443,5000,5001, не выдается сертификат и все тут. То ошибку на 80 порт дает, то просит залогиниться повторно в dsm...

 

Доменное имя есть, постоянный внешний ip есть, адрес почты на доменное имя тоже есть. Что ему еще надо :unsure:

Шурави · 06.03.2018
Весь вечер убил, не удается получить сертификат. Обязательное ли условие что бы сайт какой то крутился на насе?

Пробрасывал порты 80,443,5000,5001, не выдается сертификат и все тут. То ошибку на 80 порт дает, то просит залогиниться повторно в dsm...

 

Доменное имя есть, постоянный внешний ip есть, адрес почты на доменное имя тоже есть. Что ему еще надо :unsure:

Да, нужно чтобы сайт был на НАСе.

Попробуйте писать в строке Имя домена и Альтернативное название темы - www.мой сайт

В противном случае идите на сайт let's encrypt и там в онлайне ручками заполняйте данные которые попросит.

xibyt · 06.03.2018
Да, нужно чтобы сайт был на НАСе.

Попробуйте писать в строке Имя домена и Альтернативное название темы - www.мой сайт

В противном случае идите на сайт let's encrypt и там в онлайне ручками заполняйте данные которые попросит.

 

с www пробовал, не прокатывает.. видимо нужен таки сайт..

проще онлайн на let's encrypt тогда получить, правда автоматически продляться не будет

sanrega · 06.03.2018
Да, нужно чтобы сайт был на НАСе.

Не обязательно. DSM сама по себе, по сути, сайт.

xibyt · 06.03.2018
Не обязательно. DSM сама по себе, по сути, сайт.

 

сайт не сайт, а проверка не проходит..

возможно из за того что когда к насу обращаешься по 80му порту, он автоматом перенаправляет на 5000

sanrega · 06.03.2018

Пробросьте на роутере 80, 443, 5000, 5001 порты на внутренний IP NASа и всё заработает.

 

PS Личный опыт, я именно так и делал.

 

После получения сертификата, можно 80 и 443 порты исключить из проброшенных, но тогда нужно будет явно указывать порт при переходе под домену. Если же оставить все 4 порта, то при переходе по адресу https://your.nas вы будете автоматически переадресованы на https://your.nas:5001, иначе нужно будет так и писать https://your.nas:5001

xibyt · 06.03.2018
Пробросьте на роутере 80, 443, 5000, 5001 порты на внутренний IP NASа и всё заработает.

PS Личный опыт, я именно так и делал.

 

странно, но вчера именно этот вариант тоже делал, тоже подумал что так должно заработать, ан нет.., не заработало

вечером конечно ещё раз попробую, скину скрин что говорит при таком варианте..

xibyt · 06.03.2018

нет.., не выходит аленький цветок.. :mellow:

 

скриншоты

sanrega · 06.03.2018

5000 и 5001 порты сделайте отдельными строками, по аналогии как у вас проброшены 80 и 443.

xibyt · 06.03.2018
5000 и 5001 порты сделайте отдельными строками, по аналогии как у вас проброшены 80 и 443.

тот же самый результат.

разницы нет как добавлять, диапазоном или по одному, он перенаправляет на тот же порт, по которому идёт обращение..

но и по одному не работает.

видно не судьба..

Шурави · 07.03.2018
нет.., не выходит аленький цветок.. :mellow:

 

скриншоты

почему в имя домена без www ?

Имя домена и Альтернативное название темы - www.мой сайт

CnpuHTep · 14.03.2018

Друзья, по прошествии времени немного лучше в голове все уложилось. Вообщем, на самом деле, я подключился тогда только через quickconnect, с регистрацией домена 3 уровня под него, который с перенаправлением через серверы synology трансформировался в домен 4 уровня. DDNS это другая служба для внешнего подключения, со своим доменным именем, которое привязывается к внешнему ip адресу

anton5000 · 26.12.2018

Друзья, помогите сообразить.

У меня есть оплаченный домен на хостинге JIno для личной почты (подключен к почте для домена на яндексе). Для примера SITE.RU, И есть белый IP от провайдера интернета, по которому я успешно соединяюсь со своим NAS из любой точки мира.

И каждый раз, когда я делюсь с кем-то ссылкой на свое видео через HTTPS, задолбался уже объяснять всем, как обходить предупреждение о самоподписанном сертификате. Хочу как написано выше, получить сертификат Let's Encrypt

 

внимание, вопрос - никак не пойму, как и где и во что соединить имеющийся домен и белый IP, чтобы получить сертификат для NAS... (и можно ли так вообще сделать) . То есть у меня сейчас домен отдельно сам по себе (b на нём нет никакого сайта, я просто использую имя для почты). Как его присовокупить к NAS

Заранее спасибо

N!kk · 08.02.2019
Друзья, помогите сообразить.

 

внимание, вопрос - никак не пойму, как и где и во что соединить имеющийся домен и белый IP, чтобы получить сертификат для NAS... (и можно ли так вообще сделать) . То есть у меня сейчас домен отдельно сам по себе (b на нём нет никакого сайта, я просто использую имя для почты). Как его присовокупить к NAS

Заранее спасибо

 

Переадресацию на ваш статический IP с доменного имени делается у регистратора домена. Таким образом, при переходе на SITE.RU вы будете попадать на ваш IP. Чтобы далее перекидовало на NAS - пробрасывайте порты в роутере. Сертификат SSL выпускается и подключается на доменное имя, а не IP,, поэтому ДО выпуска сертификата необходимо сделать первый шаг у регистратора доменного имени.

Power94 · 10.03.2019

А как на старых DSM получить сертификат от let's encrypt

 

Установлена DSM5.2 со всеми апдейтами. Переходить на DSM6 не планирую. Раньше у меня был сертификат от StartSSL, но недавно эти сертификаты протухли.

 

Может есть мануал для чайников как получить сертификат от let's encrypt в моём случае?

VsemPrivet · 06.11.2019
Кажется, у меня получилось! Получил доменное имя 4го уровня, с помощью DDNS, вида https://****.de3.quickconnect.to! И бесплатный сертификат от Synology!Без белого ip и покупного домена. Уже опробовал работоспособность - программы подключаются по HTTPS, через интернет на NAS захожу)) Все очень просто оказалось:

Настраиваем через встроенную утилитку EZ-internet. Она прописала на моем роутере порты, которые я выбрал, помогла зарегистрировать домен. Потом я активировал службу DDNS и доменный адрес поменялся на указанный с HTTPS. Может я что-то ещё сделал и забыл, но не помню

Брат, ну как, работает ещё такая схема? Я так же сделал, день поработало, потом выдает - недоверенный сертификат. Как это побороть, не знаю. И порты пробросил и маршрутизатор на dsm настроил, не пойму в чем дело. Пробовал перенастраивать по новой - заработало, через пол часа захожу с мобильного - недоверенный сертификат. Может это из-за динамического айпи?

Tirex · 15.11.2019
Я так же сделал, день поработало, потом выдает - недоверенный сертификат.

А можно по поподробнее, что именно делал?

Я себе сделал по имени домена DDNS, получилось так https://*****.synology.me:5001/ Если я захожу по локальному IP вида 192.168.1.2 то сертификат не действителен, если так https://*****.synology.me:5001/ то

сертификат действителен.

Вход по http://QuickConnect.to/QuickConnectID/ не пробовал.

 

 

 

 

 

CnpuHTep · 16.11.2019
А можно по поподробнее, что именно делал?

Я себе сделал по имени домена DDNS, получилось так https://*****.synology.me:5001/ Если я захожу по локальному IP вида 192.168.1.2 то сертификат не действителен, если так https://*****.synology.me:5001/ то

сертификат действителен.

Вход по http://QuickConnect.to/QuickConnectID/ не пробовал.

Насколько я помню, сертификат выдается на доменное имя, а не на ip адрес. Поэтому такая ситуация. У меня со времени моего сообщения все сильно изменилось - купленный домен, полноценный заверенный сертификат, статический ip. Но даже в таком случае, если зайти по ip, сертификат не будет заверенным. И эт норм, вроде. Соединение шифруется все равно.

enzain · 19.11.2019
Ну давайте, по мере появления времени у меня.

Доменное имя есть у Вас и статик IP? Они нужны. Покупайте имя, идите к провайдеру и покупайте статик IP. Дальше будет дальше.

В общем то динамического днс от синяков достаточно, и даже динамического IP при этом.

enzain · 19.11.2019
сайт не сайт, а проверка не проходит..

возможно из за того что когда к насу обращаешься по 80му порту, он автоматом перенаправляет на 5000

В настройках пропишите имя домена для DSM именно, и она начнет отвечать на 80ом порту. точнее перекидывать на 443ий

kucher · 20.11.2019

Тоже заморочился с сертификатом на поддомен.

Есть у нас домен, используется на нашем сайте у хостера. Я тут почитал и выяснил что на поддомен легко можно повесить наш NAS и OVPN сервер. Полез в NAS, "Панель управления - Безопасность - Сертификат", попытался получить там сертификат и тоже получил отлуп на попытку сделать его от "Let's encrypt".

Спасибо этому товарищу: https://www.synology.forum/index.php?s=&...ost&p=73563

После дополнительного проброса портов 443 и 80 - сертификат был получен. После на роутере удалил из проброса порты и вызвал перезапуск веб-сервера на Synology, для того чтоб изменения на NAS в силу вступили.

Так же в "Панель управления - Внешний доступ - Дополнительно" - там где "имя хоста" в первой строке вбил название поддомена, чтобы общие веб-ссылки формировались правильно, когда делюсь с кем-то доступом.

Так что работает эта штука. :)

ent · 20.11.2019

Использование Let's encrypt предполагает каждые три месяца перевыпускать сертификат. NAS это поддерживает автоматом, однако на этот момент надо снова открыть порты 80 и 443.

anton5000 · 20.11.2019
Использование Let's encrypt предполагает каждые три месяца перевыпускать сертификат. NAS это поддерживает автоматом, однако на этот момент надо снова открыть порты 80 и 443.

у меня всё автоматом совершается, ничего заново не открываю нигде, само как-то вертится

kucher · 20.11.2019
у меня всё автоматом совершается, ничего заново не открываю нигде, само как-то вертится

У Вас данные порты на роутере открыты или NAS смотрит прямиком в мир?

anton5000 · 20.11.2019
У Вас данные порты на роутере открыты или NAS смотрит прямиком в мир?

я не очень в этих терминах понимаю, давно уже настраивал. Если уточните, где и что посмотреть, тогда я скажу

Tirex · 20.11.2019
У Вас данные порты на роутере открыты или NAS смотрит прямиком в мир?

Не знаю как у anton5000, у меня в роутере настроена переадресация портов. Локальный 80, наружный 6289, тоже самое и с 443. Сертификат получил, обновил.

 

А что означает " NAS смотрит прямиком в мир"?

MaxoDroid · 20.11.2019
А что означает " NAS смотрит прямиком в мир"?

То есть без роутера и маскарадинга. Как правило, при этом NAS является еще и DNS сервером и DHCP сервером.

 

У меня вопрос.

Больше года подключаюсь с мобилок по http. Проблем пока не было.

Вот сейчас задумался и прошу наводки, где нужно поставить галочки <https> в NAS, что бы соединение происходило только по https? На экране мобилки при аутентификации -это ясно и понятно, а в Сино?

Tirex · 20.11.2019
где нужно поставить галочки <https> в NAS, что бы соединение происходило только по https?

В разделе Панель управления > Сеть > Настройки DSM

Выберите Автоматически перенаправлять подключения HTTP на HTTPS (кроме Web Station и Photo Station).

MaxoDroid · 21.11.2019

Спасибо за совет!

sinologika · 27.12.2019

Добрый день.

Прошу помощи в настройке.

 

Цель

настроить все через https://***synology.me с локальной сети, а именно приложения DS File, DS Video.

 

На данный момент:

- получилось настроить работу из вне, как и на web так и через приложения IOS Apple.

- с локальной сети, при работе с приложениями IOS Apple, по домену https://***synology.me работает только DS Photo и DS Finder.

- приложения DS File, DS Video не работают, выдают ошибку подключения через https://***synology.me. Работают только через подключения по локальному IP 192.168.1.45

 

Что сделано:

1. проброшен 443 порт на synolosy через роутер.

2. локальный порт 443 synology перенаправлен на 5001 на роутера

 

49358597ad76ac22b745415930a45b7f-full.jpg upload image

 

29d9272d3123b43e49858fee00f225f6-full.jpg upload image

 

Пробовал разные типы подключений\перенаправлений, ни в одном варианте не получилось настроить работу DS File, DS Video с локальной сети через https://***synology.me

Прошу помощи у знатаков, как правильно нужно настроить доступ.

 

Спасибо.

Tirex · 28.12.2019
Пробовал разные типы подключений\перенаправлений, ни в одном варианте не получилось настроить работу DS File, DS Video с локальной сети через https://***synology.me

Что то ты перемутил с портами. Вот смотри: Какие сетевые порты используются службами Synology?

DS Video использует локальный порт TCP 5001

Web Station, Photo Station, Web Mail локальный порт TCP 433

Панель управления > Внешний доступ > Конфигурация маршрутизатора > Создать > Встроенное приложение

выбираешь что тебе нужно, жмёшь "Применить", дальше в колонке "Порт маршрутизатора" меняешь порт 443 на любой другой (1234, 6743 или 7777 без разницы)

Дальше тебе нужно в роутере открыть порт 5001 (TCP/5001 - 5001) Открыть и перенаправить твой придуманный порт на 443 (например TCP/443 - 7777)

VsemPrivet · 28.12.2019
Что то ты перемутил с портами. Вот смотри: Какие сетевые порты используются службами Synology?

DS Video использует локальный порт TCP 5001

Web Station, Photo Station, Web Mail локальный порт TCP 433

Панель управления > Внешний доступ > Конфигурация маршрутизатора > Создать > Встроенное приложение

выбираешь что тебе нужно, жмёшь "Применить", дальше в колонке "Порт маршрутизатора" меняешь порт 443 на любой другой (1234, 6743 или 7777 без разницы)

Дальше тебе нужно в роутере открыть порт 5001 (TCP/5001 - 5001) Открыть и перенаправить твой придуманный порт на 443 (например TCP/443 - 7777)

А если так сделать, то доступ к сайту на dsm будет через порт?

Например, https://****. synology.me:7777

Или как? Просто я установил web station и пришлось открыть 443 порт. Хочу его скрыть.

sinologika · 28.12.2019
Что то ты перемутил с портами. Вот смотри: Какие сетевые порты используются службами Synology?

DS Video использует локальный порт TCP 5001

Web Station, Photo Station, Web Mail локальный порт TCP 433

Панель управления > Внешний доступ > Конфигурация маршрутизатора > Создать > Встроенное приложение

выбираешь что тебе нужно, жмёшь "Применить", дальше в колонке "Порт маршрутизатора" меняешь порт 443 на любой другой (1234, 6743 или 7777 без разницы)

Дальше тебе нужно в роутере открыть порт 5001 (TCP/5001 - 5001) Открыть и перенаправить твой придуманный порт на 443 (например TCP/443 - 7777)

 

Спасибо помог.

Теперь последний и самый главный вопрос, как спрятать порт: например 777?

Теперь как с локалки так из вне, везде к домену https://***synology.me нужно прописывать порт :(

В моей конфигурации этого не нужно было делать, из вне все работало без порта + часть приложений с локалки

VsemPrivet · 28.12.2019
Спасибо помог.

Теперь последний и самый главный вопрос, как спрятать порт: например 777?

Теперь как с локалки так из вне, везде к домену https://***synology.me нужно прописывать порт :(

В моей конфигурации этого не нужно было делать, из вне все работало без порта + часть приложений с локалки

Если решишь задачу как сделать без порта, не забудь отписаться, мне интересно имменно извне, я с локалки не захожу через мобилу. Но у меня извне вегда через порт было, без него не коннектится.

 

sinologika · 28.12.2019
Если решишь задачу как сделать без порта, не забудь отписаться, мне интересно имменно извне, я с локалки не захожу через мобилу. Но у меня извне вегда через порт было, без него не коннектится.

открывай 443-443 на роутере

на нас 443-5001, см. на скринах первго сообщения, из вне все работает без портов идеально

 

VsemPrivet · 28.12.2019
открывай 443-443 на роутере

на нас 443-5001, см. на скринах первго сообщения, из вне все работает без портов идеально

Да я наоборот хочу закрыть его, китайцы сканируют постоянно уязвимые порты. Но, без него webstation не пашет. А я не знаю как его там поменять. Подозреваю что никак, либо на сайт тогда доступ будет через порт, а это не вариант.

А на DSM я 5001 порт поменял на свой, где-то читал что его тоже сканировал какой-то троян.

Tirex · 28.12.2019
из вне все работает без портов идеально

А если с компа попробовать войти в по домену https://***synology.me в DSM ? Работать будет?

 

Tirex · 28.12.2019
Подозреваю что никак, либо на сайт тогда доступ будет через порт, а это не вариант.

Скриншот настроек Web Station можешь сделать?

 

китайцы сканируют постоянно уязвимые порты

 

Через брандмауэр можно заблокировать китайские iP

VsemPrivet · 28.12.2019
Скриншот настроек Web Station можешь сделать?
Да там нечего скринить, всё по умолчанию, только PHP накатил, даже апач не ставил на nginx работает.

Через брандмауэр можно заблокировать китайские iP
Да, я так и сделал))) А то ломились постоянно, заставляли нервничать. Даже с США пару раз кто-то рвался.

 

 

Tirex · 28.12.2019
Теперь последний и самый главный вопрос, как спрятать порт: например 777?

открывай 443-443 на роутере

Дальше Панель управления > Внешний доступ > Конфигурация маршрутизатора удали правило переадресации порта

VsemPrivet · 28.12.2019
открывай 443-443 на роутере

Дальше Панель управления > Внешний доступ > Конфигурация маршрутизатора удали правило переадресации порта

Я так понимаю, что это будет брешь в безопасности.

Если так сделать, то доступ извне будет просто по домену. Не зря ведь порты 5000 и 5001 там стоят. Наверное, чтобы никто не ломился в dsm.

Или я не прав?

Я думал что может сами мобильные приложения могут заходить без порта, но если открыть полный доступ, то как-то неспокойно. Мне, лично, не лень дописать порт.

Tirex · 28.12.2019
Если так сделать, то доступ извне будет просто по домену.

Смотря с чего заходить.

Если через браузер зайти https://***synology.me то автоматом попадаешь https://***synology.me:5001

Если через браузер зайти https://***synology.me:443 то снова попадаешь на https://***synology.me:5001

Если через браузер зайти http://***synology.me сайт недоступен

 

Я думал что может сами мобильные приложения могут заходить без порта

Могут, но только на те которые они знают.

freewind · 28.12.2019
Я так понимаю, что это будет брешь в безопасности.

Если так сделать, то доступ извне будет просто по домену. Не зря ведь порты 5000 и 5001 там стоят. Наверное, чтобы никто не ломился в dsm.

Или я не прав?

Я думал что может сами мобильные приложения могут заходить без порта, но если открыть полный доступ, то как-то неспокойно. Мне, лично, не лень дописать порт.

Они там стоят так как 80 и 443 зарезервированы под web station и именованный доступ к ds, fs, as, ps и moments.

sinologika · 28.12.2019
А если с компа попробовать войти в по домену https://***synology.me в DSM ? Работать будет?

да

sinologika · 29.12.2019
открывай 443-443 на роутере

Дальше Панель управления > Внешний доступ > Конфигурация маршрутизатора удали правило переадресации порта

 

не работает ds video :(

Открываю на роутере 443-443, работает только ds photo

Все правила удалены Панель управления > Внешний доступ > Конфигурация маршрутизатора удали правило переадресации порта

Tirex · 29.12.2019
не работает ds video :(

Открываю на роутере 443-443, работает только ds photo

Открой на роуторе 5001-5001

Какие сетевые порты используются службами Synology?

sinologika · 29.12.2019
Открой на роуторе 5001-5001

Какие сетевые порты используются службами Synology?

 

нет доступа как слокалки так из вне без указания порта.

в чем может быть сложность?

freewind · 29.12.2019
нет доступа как слокалки так из вне без указания порта.

в чем может быть сложность?

не совсем понял. Вы все службы с разных портов переадресовали на 1 порт?

Или у вас службы имели свои именованные страницы?

 

просто почитал что у вас написано и не совсем понял, что вы делаете и зачем...

sinologika · 29.12.2019
не совсем понял. Вы все службы с разных портов переадресовали на 1 порт?

Или у вас службы имели свои именованные страницы?

 

просто почитал что у вас написано и не совсем понял, что вы делаете и зачем...

 

Открыты порты на роутере:

443-443

5001-5001

 

В NAS открыл так же:

5001-5001

9025-9040 (Video Station)

 

Доступ из вне и локальной сети к https://***synology.me - есть

Но!, с мобильных приложений DS File, DS Video, DS Finder Apple IOS - зайти не могу :( https://***synology.me

 

Есть идеи почему?

Tirex · 29.12.2019

Что у тебя в NAS в конфигурации маршрутизатора выставлено?

В NAS открыл так же:

5001-5001

9025-9040 (Video Station)

Где именно в NAS ?

Брандмауэр в NAS включен?

Если можешь скриншоты настроек сделай.

sinologika · 29.12.2019
Что у тебя в NAS в конфигурации маршрутизатора выставлено?

 

Где именно в NAS ?

Брандмауэр в NAS включен?

Если можешь скриншоты настроек сделай.

 

Браундмауер выключен

 

Роутер

10ac20a3c317258b97da6ce1506c49df-full.jpg[/url] upload image

 

NAS

5c37d42903366fe4cfbb40506646d74f-full.jpg[/url] upload image

Tirex · 29.12.2019

А что за переадресация портов в роутере?

 

sinologika · 29.12.2019
А что за переадресация портов в роутере?

 

443-443

5001-5001

Tirex · 30.12.2019

А так можешь сделать?

3e03db4e88c772632696046b5890da29-full.jpg

sinologika · 30.12.2019
А так можешь сделать?

3e03db4e88c772632696046b5890da29-full.jpg

 

Могу, но описание это просто текст, наименование.

Например длля порта 5001 я поставил вообще название 2 :)

 

Так что не взависимости от названия, мобильные приложения не работают

Разве только прописать порт https://***synology.me:443

Но основная идея была в том, что бы уйти от прописания портов

VsemPrivet · 30.12.2019

Слушайте, а вот тут он зачем-то dns сервер у себя подымает. Может в этом дело?

kucher · 30.12.2019
Открыты порты на роутере:

443-443

5001-5001

 

В NAS открыл так же:

5001-5001

9025-9040 (Video Station)

 

Доступ из вне и локальной сети к https://***synology.me - есть

Но!, с мобильных приложений DS File, DS Video, DS Finder Apple IOS - зайти не могу :( https://***synology.me

 

Есть идеи почему?

 

http://statusspb.com/kakiye-setevyye-porty...zhbami-synology

 

Потому что Drive и CloudStation используют ещё порт 6690. Откройте и этот порт.

 

P.S. Очень рекомендую сменить порты по-умолчанию, выключить "Гостя" и "Админа" по-умолчанию, установить устойчивые пароли. Обсуждалось: по стандартным портам и логинам - очень много попыток взлома.

CnpuHTep · 30.12.2019

У вас не получится вообще без использования портов что либо настроить. Потому что, насколько я понимаю, для использования протокола http(который используется сервером и приложениями для подключения) в любом случае используются порты, даже если вы их не назначаете. В таком случае используется порты по умолчанию:

80 для незащищённого соединения.

443 для защищённого.

 

Вы можете подключиться к DS Photo без указания порта или с указанием 443, результат будет одинаковым.

Более того, если вы везде будете использовать стандартные порты(чтобы никаких портов не указывать), у вас будет использоваться везде порт 443(или 80, как настроете). А это плохо для безопасности.

CnpuHTep · 30.12.2019

При этом, насколько я помню, стандартные порты для DS WebServer и DS Photo каким то простым способом нельзя сменить с 443 на свой, но все остальные приложения можно. Если хотите без кастомных портов обойтись все таки, то лучше заморочиться безопасностью и помимо рекомендаций сверху перевести все на защищенный протокол https(443 стандартный порт), а от http уйти(80 порт). Если данные вашего админа перехватят, то получать доступ на всем сервере или там, где у админа есть доступ. А перехватить через 80 порт гораздо проще, потому что он не шифрует трафик сертификатом безопасности.

freewind · 30.12.2019

Откройте 80 порт и будет вам счастье....

sinologika · 30.12.2019
http://statusspb.com/kakiye-setevyye-porty...zhbami-synology

 

Потому что Drive и CloudStation используют ещё порт 6690. Откройте и этот порт.

 

P.S. Очень рекомендую сменить порты по-умолчанию, выключить "Гостя" и "Админа" по-умолчанию, установить устойчивые пароли. Обсуждалось: по стандартным портам и логинам - очень много попыток взлома.

 

Не помогло

sinologika · 30.12.2019
Откройте 80 порт и будет вам счастье....

 

не помогло

 

sinologika · 30.12.2019

Помогает только когда указывать порт 443 в каждом приложении моб. телефона

Но основная идея была уйти от указания портов

VsemPrivet · 30.12.2019
Помогает только когда указывать порт 443 в каждом приложении моб. телефона

Но основная идея была уйти от указания портов

Ну попробуй ещё зайти в Панель управления - Портал приложение - и там каждое приложение отредактируй на порт 443.

freewind · 30.12.2019

А Если так настроить?

e28859be9531.png

freewind · 30.12.2019
Ну попробуй ещё зайти в Панель управления - Портал приложение - и там каждое приложение отредактируй на порт 443.

Не хорошая идея. У каждого приложения своя страница, а вы их на один порт хотите одновременно повесить...

Tirex · 30.12.2019
Помогает только когда указывать порт 443 в каждом приложении моб.

Как в каждом? Порт 443 только для DS Photo нужен. Для DS cloud 6690. Для DS finder, DS video, Drive, DS file нужен 5001 порт.

 

 

Странно. У меня, что с самсунга, что с яфона набираешь ***.synology.me ставишь галочку HTTPS и всё работает.

 

Здесь можно проверить, правильно ли работают порты.

 

Вот ещё. Мобильные приложения. Изучай.

VsemPrivet · 30.12.2019
https://***synology.me ставишь галочку HTTPS и всё работает.

У меня так работает только DS Cloud. DS File, Drive и пр. только через порт 5001. Не пойму в чём дело.

Tirex · 30.12.2019
У меня так работает только DS Cloud. DS File, Drive и пр. только через порт 5001. Не пойму в чём дело.

Что значит "только через порт 5001" ?

***.synology.me:5001 Так что ли набирать нужно?

VsemPrivet · 30.12.2019
Что значит "только через порт 5001" ?

***.synology.me:5001 Так что ли набирать нужно?

Да, в DS Cloud я пишу ***.synology.me и всё работает, а в остальных приложениях только ***.synology.me:5001.

В принципе, как тут и писали, DS Cloud использует порт 6690, а все остальные - 5001. Но, и тот и тот порт открыты. В чём дело, не понятно.

Tirex · 30.12.2019
Но, и тот и тот порт открыты.

То что порт 5001 открыт, я уже понял. Иначе вообще нельзя было бы зайти. Но почему приходится дописывать порт? Действительно странно.

VsemPrivet · 30.12.2019
То что порт 5001 открыт, я уже понял. Иначе вообще нельзя было бы зайти. Но почему приходится дописывать порт? Действительно странно.

Охрана, отмена. Всё работает. Я лопух. У меня порт 5001 переназначен, это я здесь так пишу, чтобы яснее было. Думал, что разницы нет.

Но, вот до меня дошло, что если вдруг приложения ищут 5001 порт. Поставил его, открыл в роутере и вуаля.)))

Короче, вернул всё обратно, буду писать порт, так как не хочу стандартный юзать.

Правда через вайфай не пробовал, я им не пользуюсь, лень было включать, но думаю должно работать. Наверное товарищу выше не надо перенаправлять на 443, а юзать по дефолту.

Tirex · 30.12.2019
Думал, что разницы нет.

Ну, что я могу сказать....

 

Не надо обижаться.

Знать надо что нибудь, прежде чем думать.

 

Я зачем ссылки на Центр поддержки Synology даю?

Там же написано:

Если не удается выполнить вход, выполните следующие действия.

Убедитесь, что Video Station использует пользовательский порт. Например, если используется порт 9920, может потребоваться добавить этот порт в IP-адрес/имя хоста DDNS (пример: fun.syno.com:9920).

VsemPrivet · 30.12.2019

Да меня, как бы эта проблема не сильно мучила, я и без этого обходился. Просто раз он поднял такую тему, то захотелось разобраться. Я вот за вечер и разобрался у себя.

freewind · 01.01.2020
Да меня, как бы эта проблема не сильно мучила, я и без этого обходился. Просто раз он поднял такую тему, то захотелось разобраться. Я вот за вечер и разобрался у себя.

Не совсем понимаю в чём у вас проблема. У меня открыты переназначенные порты управления 5*** и 5**1 и открыты 443 и 80. Все станции работают. В браузере хожу без порта, через именованные ресурсы...

VsemPrivet · 01.01.2020
Не совсем понимаю в чём у вас проблема. У меня открыты переназначенные порты управления 5*** и 5**1 и открыты 443 и 80. Все станции работают. В браузере хожу без порта, через именованные ресурсы...

Да нет никакой проблемы, просто интересно было разобраться. Но, теперь стало ещё интересней))

То есть у Вас порты отличаются от 5000 и 5001 и всё равно заходит просто по *****.synology.me? Вообще-то мы речь ведём о мобильных приложениях, но если на то пошло, то у меня и в браузере без порта никуда не заходило, правда когда поставил webstation, то сейчас без порта заходит на сайт, который там висит.

Порты 5*** и 5**1 и 443 открыты, 80 мне не нужен.

sinologika · 01.01.2020
Как в каждом? Порт 443 только для DS Photo нужен. Для DS cloud 6690. Для DS finder, DS video, Drive, DS file нужен 5001 порт.

 

 

Странно. У меня, что с самсунга, что с яфона набираешь ***.synology.me ставишь галочку HTTPS и всё работает.

 

Здесь можно проверить, правильно ли работают порты.

 

Вот ещё. Мобильные приложения. Изучай.

 

У меня через веб все работает из вне, с локалки тоже.

Но мобильные приложения DS video, DS file,... нет, как из локалки так и из вне.

Открытие порта 5001 не помогает, нужно прописывать в приложениях порт 443

 

Есть идеи?

VsemPrivet · 01.01.2020
У меня через веб все работает из вне, с локалки тоже.

Но мобильные приложения DS video, DS file,... нет, как из локалки так и из вне.

Открытие порта 5001 не помогает, нужно прописывать в приложениях порт 443

 

Есть идеи?

Есть мысли что ты что-то намутил на маршрутизаторе с портами, так как изначально ты писал что не работает только с локалки, а теперь уже и извне не пашет.

Я бы сделал так:

Отключил на роутере upnp;

Почистил все правила и открыл бы порты заново без всяких переадресаций, а именно:

5001-5001

443-443

6690-6690

 

 

freewind · 01.01.2020
Да нет никакой проблемы, просто интересно было разобраться. Но, теперь стало ещё интересней))

То есть у Вас порты отличаются от 5000 и 5001 и всё равно заходит просто по *****.synology.me? Вообще-то мы речь ведём о мобильных приложениях, но если на то пошло, то у меня и в браузере без порта никуда не заходило, правда когда поставил webstation, то сейчас без порта заходит на сайт, который там висит.

Порты 5*** и 5**1 и 443 открыты, 80 мне не нужен.

Да. Отличаются и все заходит. Без 80 работать не будет...

sinologika · 01.01.2020
Есть мысли что ты что-то намутил на маршрутизаторе с портами, так как изначально ты писал что не работает только с локалки, а теперь уже и извне не пашет.

Я бы сделал так:

Отключил на роутере upnp;

Почистил все правила и открыл бы порты заново без всяких переадресаций, а именно:

5001-5001

443-443

6690-6690

 

Изначально было 443-5001, тогда все работало кроме локалки.

Знатоки сказали что это не правильно, нужно переделать.

 

Итого, удалил все правила на NAS, на роутере тоже, открыл порты

443-443

5001-5001

80-80

6690-6690

 

DS video не работает, ...только когда прописывать порт ***.synology.me:443

 

Есть еще идеи?

 

 

cce243fc7651257ec675a2885ec1b98f-full.jpg uploads

VsemPrivet · 01.01.2020
DS video не работает, ...только когда прописывать порт ***.synology.me:443
А все остальные приложения работают?

Есть еще идеи?
Если все остальные работают, то есть:

Какие сетевые порты используются службами Synology:

http://statusspb.com/kakiye-setevyye-porty...zhbami-synology

Video Station - 1900 (UDP), 5000 (HTTP), 5001 (HTTPS), 9025-9040,

5002, 5004, 65001 (для использования сетевого тюнера HDHomeRun)

Tirex · 02.01.2020
DS video не работает, ...только когда прописывать порт ***.synology.me:443

 

Есть еще идеи?

Есть. Ты что-то намутил с портами! DS video работает с 5001(HTTPS) портом!

cdec42432d5306a258ee69d6258c29ce-full.jpg

 

Что у тебя тут?

a303beec5a21a98a979b3e1e88feffa0-full.jpg

 

sinologika · 02.01.2020
Есть. Ты что-то намутил с портами! DS video работает с 5001(HTTPS) портом!

cdec42432d5306a258ee69d6258c29ce-full.jpg

 

Что у тебя тут?

a303beec5a21a98a979b3e1e88feffa0-full.jpg

 

Вот что у меня.

Все ок, но ряд приложений работает когда указывать в телефоне 443 портов :(

DS File, DS Video, ....

184264acc220ea980c4774758cd27f3e-full.jpg uploads

sinologika · 02.01.2020
А все остальные приложения работают?

Если все остальные работают, то есть:

Какие сетевые порты используются службами Synology:

http://statusspb.com/kakiye-setevyye-porty...zhbami-synology

Video Station - 1900 (UDP), 5000 (HTTP), 5001 (HTTPS), 9025-9040,

5002, 5004, 65001 (для использования сетевого тюнера HDHomeRun)

 

Часть да, часть нет.

Там где нет, нужно прописывать 443 порт.

 

Если для каждого приложения открывать целую кучу портов, безопасность падает :(

VsemPrivet · 02.01.2020
Вот что у меня.

uploads

Вырубай оту ****** под названием пользовательский домен)))

VsemPrivet · 02.01.2020
Если для каждого приложения открывать целую кучу портов, безопасность падает :(

Ну так, а если не открывать, то как работать будут?

Tirex · 02.01.2020

Зачем ты пользовательский домен включил? Выключи его и все заработает!

dcff5ce51161ca23dda7b3e2898aca22-full.jpg

9b7484f1300bb0cb8963cde3451305b4-full.jpg

 

sinologika · 03.01.2020
Зачем ты пользовательский домен включил? Выключи его и все заработает!

dcff5ce51161ca23dda7b3e2898aca22-full.jpg

9b7484f1300bb0cb8963cde3451305b4-full.jpg

 

Спасибо! разобралсь.

 

Но!

1. Без использования домена, нужно открывать каждый порт для каждого приложения, это не очень безопасно.

2. У меня роутер имеет свой домен https://***, по факту попасть на свой домен роутера не могу, так как 443 и 5001 заняты NAS, как итог, заходя на свой домен роутера, я попадаю в NAS :( В идеале, нужно назначать отдельный порт для домена роутера :( и опять понеслись прописываться порты, ... что бы попасть в свою сетку.

 

Итого, по вашему методу:

Плюсы:

1. Каждому приложению свой порт.

 

Минусы:

2. Каждому приложению нужно открывать отдельный порт, что не безопасно.

3. Мало того, роутеру в которого свой домен https://***так же нужно открывать свой порт.

4. Ходить https://***.synology.me не получится, всегда перебрасывает на порт приложения.

5. Шаринг файлов\фильмов для публичного доступа так же показывает НАРОДУ ваш открытый порт.

6. Если поставить много приложений, нужно МНОГО открывать портов, легко запутаться, ...

 

Как на меня, проще когда есть домен.

+ По итогу, открываешь только 1 порт 443 и все приложения работают через его.

+ Если какие-то приложения не работают в мобильном, прописываешь отдельно ***.synology.me:443, и все.

+ Все приложения работают из вне через https://***.synology.me без указания каких либо портов.

+ При шаринше не нужно светит порты, так как указывается только https://***.synology.me

+ Домену роутера присваивается по умолчанию свой 5001 порт для https://*** без доп. прописывания и назначения портов.

 

Ваше мнение господа?

Главный момент, влияет ли на скорость работы приложений если все заворачивать через один порт?

Если нет, более разумно использовать все через 1 порт, чем делать хаос с портами, светить все в инет при шарингах, терять домен роутера, и так далее.

freewind · 03.01.2020
Спасибо! разобралсь.

 

Но!

1. Без использования домена, нужно открывать каждый порт для каждого приложения, это не очень безопасно.

2. У меня роутер имеет свой домен https://***, по факту попасть на свой домен роутера не могу, так как 443 и 5001 заняты NAS, как итог, заходя на свой домен роутера, я попадаю в NAS :( В идеале, нужно назначать отдельный порт для домена роутера :( и опять понеслись прописываться порты, ... что бы попасть в свою сетку.

 

Итого, по вашему методу:

Плюсы:

1. Каждому приложению свой порт.

 

Минусы:

2. Каждому приложению нужно открывать отдельный порт, что не безопасно.

3. Мало того, роутеру в которого свой домен https://***так же нужно открывать свой порт.

4. Ходить https://***.synology.me не получится, всегда перебрасывает на порт приложения.

5. Шаринг файлов\фильмов для публичного доступа так же показывает НАРОДУ ваш открытый порт.

6. Если поставить много приложений, нужно МНОГО открывать портов, легко запутаться, ...

 

Как на меня, проще когда есть домен.

+ По итогу, открываешь только 1 порт 443 и все приложения работают через его.

+ Если какие-то приложения не работают в мобильном, прописываешь отдельно ***.synology.me:443, и все.

+ Все приложения работают из вне через https://***.synology.me без указания каких либо портов.

+ При шаринше не нужно светит порты, так как указывается только https://***.synology.me

+ Домену роутера присваивается по умолчанию свой 5001 порт для https://*** без доп. прописывания и назначения портов.

 

Ваше мнение господа?

Главный момент, влияет ли на скорость работы приложений если все заворачивать через один порт?

Если нет, более разумно использовать все через 1 порт, чем делать хаос с портами, светить все в инет при шарингах, терять домен роутера, и так далее.

1. Зачем прописывать порты???

Еще раз. проименуйте все сервисы и радуйтесь жизнью. Нужен будет только 80 и 443 порт. Если же вы стандартные web порты поменяете, то велком прописывать их ручками, иначе ни как. Браузер/приложения сами не отгадают куда вы http/https трафик перенаправили.

2. А вот про роутер, это от непонимания того, как все функционирует. У вас NAS за NAT и для сервисов регистрирующих его доменное имя он имеет IP идентичный IP роутера. Как вы себе представляете возможность определения доменного имени для идентичных ip:port?

Доменное имя не приписывается к порту! Оно приписывается к IP.

3. в теории. если вы хотите web и от роутера и от nas разруливайте через привезку имени NAS к ipv6 и только. Но тут будут проблемы с доступом, так как v6 есть далеко не везде.

VsemPrivet · 03.01.2020
1. Зачем прописывать порты???

Еще раз. проименуйте все сервисы и радуйтесь жизнью. Нужен будет только 80 и 443 порт. Если же вы стандартные web порты поменяете, то велком прописывать их ручками, иначе ни как. Браузер/приложения сами не отгадают куда вы http/https трафик перенаправили.

Если я правильно понял, то надо задать имя сервисам в Портале приложений, вроде "photo", "video", "file" и ходить по ссылке домен/file?

Если да, то почему только 80 и 443 порты? Не надо будет открывать 5001 порт и 6690 для работы drive? А если надо, например, webdav, carddav, ftp... Их тоже на 443 порт вешать?

 

 

sinologika · 03.01.2020
Если я правильно понял, то надо задать имя сервисам в Портале приложений, вроде "photo", "video", "file" и ходить по ссылке домен/file?

Если да, то почему только 80 и 443 порты? Не надо будет открывать 5001 порт и 6690 для работы drive? А если надо, например, webdav, carddav, ftp... Их тоже на 443 порт вешать?

 

проше указать пользовательский домен и открыть порт 443

Там где не ходит моб. приложение указываешь 443, и все.

Из вне, все работает по домену, все приложения.

Для роутера делаешь 4433-5001, и домен будет работать.

 

Закрывать пользовательский домент - не разумно

VsemPrivet · 03.01.2020
проше указать пользовательский домен и открыть порт 443

Там где не ходит моб. приложение указываешь 443, и все.

Из вне, все работает по домену, все приложения.

Для роутера делаешь 4433-5001, и домен будет работать.

То я так понял, тебя уже не беспокоит, что надо порт указывать? Будешь заходить через домен:443?

Закрывать пользовательский домент - не разумно
Так он вроде для локальной сети. Задай там, например, mydsm и он будет работать, а ты туда домен вписал.
sinologika · 03.01.2020
То я так понял, тебя уже не беспокоит, что надо порт указывать? Будешь заходить через домен:443?

Так он вроде для локальной сети. Задай там, например, mydsm и он будет работать, а ты туда домен вписал.

При указывании пользовательского домена, из вне, все работает по домену без прописывания портов.

Из локалки только неработает ряд приложений на мобильном телефоне, но если прописать открытый порт 443 для этих приложений, то все работает на утра.

При этом открыт только 1 порт.

VsemPrivet · 03.01.2020
При указывании пользовательского домена, из вне, все работает по домену без прописывания портов.

Из локалки только неработает ряд приложений на мобильном телефоне, но если прописать открытый порт 443 для этих приложений, то все работает на утра.

При этом открыт только 1 порт.

Ну так он открыт. Какая разница один или два. Зайди на 2ip.ru в раздел безопасность вашего компьютера и он начнет тебе орать: "Алярм, Ахтунг, порт 443 открыт. Срочно закрыть". А ты туда всё подряд навешал. Хз, может так и лучше, главное чтобы ты был доволен. Я вот сам не спец в безопасности и до конца не знаю как правильно.

freewind · 03.01.2020
Если я правильно понял, то надо задать имя сервисам в Портале приложений, вроде "photo", "video", "file" и ходить по ссылке домен/file?

Если да, то почему только 80 и 443 порты? Не надо будет открывать 5001 порт и 6690 для работы drive? А если надо, например, webdav, carddav, ftp... Их тоже на 443 порт вешать?

Не совсем вас понял. Сарказм или?

Ну если вы реализуете web ftp, то достаточно 80 и 443. Только ftp клиенты вряд-ли поймут.

Если вы открываете дополнительные службы у которых нет требования к порту, то и ходить на них будите по порту и пробрасывать его нужно через нат..

VsemPrivet · 03.01.2020
Не совсем вас понял. Сарказм или?

Да нет, я серьезно спрашиваю чтобы разобраться. Вдруг я чего не понимаю.

 

Ну если вы реализуете web ftp, то достаточно 80 и 443. Только ftp клиенты вряд-ли поймут.

Если вы открываете дополнительные службы у которых нет требования к порту, то и ходить на них будите по порту и пробрасывать его нужно через нат..

ну я так понимаю, что обойтись одним открытым портом все равно не получится, так почему не пробросить 5001 и ходить себе спокойно без порта, если он его менять не хочет.

Хотя, может ему этого и достаточно.

freewind · 03.01.2020
При указывании пользовательского домена, из вне, все работает по домену без прописывания портов.

Из локалки только неработает ряд приложений на мобильном телефоне, но если прописать открытый порт 443 для этих приложений, то все работает на утра.

При этом открыт только 1 порт.

Хм. Интересно это как? У вас каждое web приложение в Сино висит на своем порту по умолчанию. Не совсем понимаю как тогда из браузера зайти на filestation, photostation и т.д. если они все на 443 порту

Dsm же вообще висит по умолчанию на 5000/5001.

freewind · 03.01.2020
Да нет, я серьезно спрашиваю чтобы разобраться. Вдруг я чего не понимаю.

 

ну я так понимаю, что обойтись одним открытым портом все равно не получится, так почему не пробросить 5001 и ходить себе спокойно без порта, если он его менять не хочет.

Хотя, может ему этого и достаточно.

Не сможете вы ходить без порта в dsm. У вас https висит на 443 это порт по умолчанию для https, а вот про 5001 ваш браузер не в курсе.

И больше скажу. 5001 порт активно сканируют, поэтому во всех местах рекомендуют данный порт сразу сменить на другой например 5**1, особенно если вы собираетесь открыть доступ к dsm из вне. Если же необходимости в рабочем столе из вне нет, то оптимально данный порт вообще не открывать наружу на роутере в nat.

 

 

У меня во вне смотрит 5**1 порт dsm, 443 и 80 для web, photo, video station и т.д., 16881 и 6881 для torrent, 19998 и 554 для видео наблюдения, 9025-9040 для потоков видео от video station.

И все.

VsemPrivet · 03.01.2020
Хм. Интересно это как? У вас каждое web приложение в Сино висит на своем порту по умолчанию. Не совсем понимаю как тогда из браузера зайти на filestation, photostation и т.д. если они все на 443 порту

Dsm же вообще висит по умолчанию на 5000/5001.

Я так понимаю, что когда он дома, то по вай-фаю у него заходит по пользовательскому домену внутри сети, а извне он дописывает порт.

VsemPrivet · 03.01.2020
5001 порт активно сканируют

Так и 443 сканируют.

Если же необходимости в рабочем столе из вне нет, то оптимально данный порт вообще не открывать наружу на роутере в nat.
я в этом плохо соображаю, но мне всегда казалось, что если я 5001 перенаправлю на 443, то 5001 все равно вроде как открыт, просто будет направлен на 443. В чем смысл такого перенаправления?
freewind · 03.01.2020
Так и 443 сканируют.

я в этом плохо соображаю, но мне всегда казалось, что если я 5001 перенаправлю на 443, то 5001 все равно вроде как открыт, просто будет направлен на 443. В чем смысл такого перенаправления?

1. На 5001 висит страница входа в dsm с которой можно подбирать пароли.

2. На 443 висит сервер nginx с заглушкой по умолчанию, ссылающийся на пустую страницу. И только на именованных ресурсах есть куда то вход. Но имена снаружи не видно.

3. У вас на нас каждому ВЭБ приложению соответствует порт, если вы не задали имя.

Если вы на 1 порт во вне вешает 2 порта внутри, то как роутер определит по какому порту отправлять запрос?

Вы можете не переоюозначать 5001 порт в нас, а перенаправить 5555 на роутере в 5001.

4. Какая разница откуда вы заходите из внутренней сети или из внешней???

Порт это вход в одно из ВЭБ приложений, если ему не дана в Сино именованная страница.

Вафля это или провод вообще значения не имеет.

Когда вы идете из вне, то идете по связке ИП маршрутизатора внешний порт. И если у вас настроена связка с ip порт для устройства внутри, то зайдёте.

 

 

Tirex · 03.01.2020
Ну так он открыт. Какая разница один или два.

Совершенно верно!

 

Спасибо! разобралсь.

 

Но!

1. Без использования домена, нужно открывать каждый порт для каждого приложения, это не очень безопасно.

Почему? Какая разница через какой порт тебя взломают :D Через открытый порт 443 или через открытый порт 4736.

Можно конечно и один порт 443 оставить, но это равносильно тому, что у машины заварить все двери, а садиться через багажник.

1. Это будет неудобно.

2. А если несколько человек сразу полезут?

При указывании пользовательского домена, из вне, все работает по домену без прописывания портов.

Из локалки только неработает ряд приложений на мобильном телефоне, но если прописать открытый порт 443 для этих приложений, то все работает на утра.

При этом открыт только 1 порт.

Всё правильно, потому что:

Примечание.

Каждое имя домена может быть использовано только для одного отдельного приложения на Synology NAS. (Насколько я понял, вся эта фигня нужна только для локальной сети.)

У меня роутер имеет свой домен https://***, по факту попасть на свой домен роутера не могу, так как 443 и 5001 заняты NAS

Поменяй номер порта в настройках роутера.

 

 

 

 

 

 

VsemPrivet · 03.01.2020
16881 и 6881 для torrent

Кстати, у меня эти порты на маршрутизаторе не проброшены, но торрент на NAS всё равно работает. Как так?

Tirex · 05.01.2020
Кстати, у меня эти порты на маршрутизаторе не проброшены, но торрент на NAS всё равно работает. Как так?

Но порт 5000 у тебя открыт.

Какие сетевые порты используются службами Synology?

freewind · 05.01.2020
Кстати, у меня эти порты на маршрутизаторе не проброшены, но торрент на NAS всё равно работает. Как так?

Это порты входящего соединения. Исходящие соединения (обычно) на маршрутизаторах разрешены.

И.е. на текущий момент вы при раздаче можете отдавать только тем пользователям у которых открыты порты и белый ip. На ресурсах с жёсткими правилами рейтинга можете быстро уйти в минус.

VsemPrivet · 05.01.2020
Это порты входящего соединения. Исходящие соединения (обычно) на маршрутизаторах разрешены.

И.е. на текущий момент вы при раздаче можете отдавать только тем пользователям у которых открыты порты и белый ip. На ресурсах с жёсткими правилами рейтинга можете быстро уйти в минус.

Ясно, спасибо.

VsemPrivet · 05.01.2020
16881 и 6881 для torrent

Я так понял что надо открывать 16881 ТСР, а 6881 UDP?

Romakim · 22.05.2021

Привет народ!  Имею статический iP и домен (mydomen.ru к примеру) роутер кинетик гига.

1. Если я пропишу в насе имя хоста mydomen.ru, то буду напрямую пропадать на страницу dsm, а если указать mynas, то как будет выглядеть адрес к хранилищу? И не попаду ли я на вебморду своего роутера если введу просто mydomen.ru?

2. Из постов выше так и не понятно что лучше. Одни топят за подключение всего к 443 порту, другие за открытие нужных портов. Кстати, если я в роутере открывал 443 порт то уже не мог попасть на его вебморду. Пришлось уладить правило.

3. В настройках маршрутизатора наса я поменял 5000 и 5001 порты на свои, пробросил порты для впн и торрент,  80 и 443 напрямую мне не дают пробросить и меняют на 5**20 и 5**21. В браузере видны порты. После всех этих манипуляций с портами заметил, что скорость скачивания из вне с наса упала до 100кб/с, а скорость скачивания не изменилась. 

И если сказать что я запутался, то это вообще ни чего не сказать. 

Хотел бы попросить тех у кого все стабильно работает и не видно портов в браузере, поделиться своими настройками, думаю что это будет полезно и для других.

freewind · 23.05.2021
11 часов назад, Romakim сказал:

Привет народ!  Имею статический iP и домен (mydomen.ru к примеру) роутер кинетик гига.

1. Где у вас хостится ваш домен? Очень сильно сомневаюсь что у вас доменное имя именно указанного вида, а не polzovatel.keenetic.net

11 часов назад, Romakim сказал:

1. Если я пропишу в насе имя хоста mydomen.ru, то буду напрямую пропадать на страницу dsm, а если указать mynas, то как будет выглядеть адрес к хранилищу? И не попаду ли я на вебморду своего роутера если введу просто mydomen.ru?

2. Вы можете прописать на NAS все что угодно, но попадать вы никуда не будите. Возвращаемся к пункту 1. На ресурсе который выдал вам имя прописывается БЕЛЫЙ, СТАТИЧЕСКИЙ IP.

3. Исходя из 2. У вас где БЕЛЫЙ, СТАТИЧЕСКИЙ IP? на NAS или на роутере? На роутере у вас натирование? 

11 часов назад, Romakim сказал:

2. Из постов выше так и не понятно что лучше. Одни топят за подключение всего к 443 порту, другие за открытие нужных портов. Кстати, если я в роутере открывал 443 порт то уже не мог попасть на его вебморду. Пришлось уладить правило.

4. Вы хоть вычитывали в то, за что "топят"? Последовательно.

 4.1. DSM доступен только с порта DSM по умолчанию это 5000 для http и 5001 для https. 

 4.2. К различным сервисам synology можно получить доступ как по уникальному порту (задается) так и по задаваемому имени (доступ будет по потам по умолчанию 80 и 443 для http и https соответственно. 

4.3. все вышеуказанное будет доступно извне если у вас настроен мост на роутере и у хостера привязан БЕЛЫЙ СТАТИЧЕСКИЙ IP NAS или выполнен проброс портов на роутере...

11 часов назад, Romakim сказал:

В настройках маршрутизатора наса

5. Так в настройках маршрутизатора или NAS? Если же вы используете с keenetic UPNP (как и с любым другим роутером при такой "настройке") то заранее огорчу, абсолютно все порты из NAS начинают "светить" наружу.

p.s. проблемы у вас скорее всего с оскоростью, так как вас по этим 20+ портам уже атакуют...

Romakim · 23.05.2021

Домен я купил, т.к кинетик предлагал очень много букв. Белый iP на роутере. 

Уже попробовал, прописал доменное имя в нас, открывается станица входа, с портами.

В настройках внешнего доступа есть вкладка настройка маршрутизации.

Атаковать будут, даже если все порты поменять на свои и включить https? Даже брандмауэр не спасает?

kucher · 23.05.2021
В 31.12.2019 в 02:10, VsemPrivet сказал:

У меня так работает только DS Cloud. DS File, Drive и пр. только через порт 5001. Не пойму в чём дело.

Не хочу Вас бесить, но например Drive для работы тоже нужен порт 6690.

kucher · 23.05.2021
3 часа назад, Romakim сказал:

Домен я купил, т.к кинетик предлагал очень много букв. Белый iP на роутере. 

Уже попробовал, прописал доменное имя в нас, открывается станица входа, с портами.

В настройках внешнего доступа есть вкладка настройка маршрутизации.

Атаковать будут, даже если все порты поменять на свои и включить https? Даже брандмауэр не спасает?

Если купили домен - у держателя домена измените A-запись на значение внешнего статического IP Вашего NAS.

Вы правильно сделали, что поменяли порты. Очень многие этим даже не заморачиваются. Отключите пользователя guest. Если Вы не можете этого сделать, потому что нужен доступ для guest из локалки - запретите ему всё кроме неё. Создайте пользователя с правами админа и отключите учётку admin. Не используйте простые пароли.

Маршрутизацию пока трогать не надо.

freewind · 23.05.2021
3 часа назад, Romakim сказал:

Уже попробовал, прописал доменное имя в нас, открывается станица входа, с портами.

Вы у хостера прописывали свой IP? Иначе не совсем понимаю что у вас и как открывается, а также что и где вы прописали. Даже DDNS (у того же кинетик например) прописывает динамический IP у хостера (кинетик) а не локально.

3 часа назад, Romakim сказал:

В настройках внешнего доступа есть вкладка настройка маршрутизации.

 Перед тем как данные настройки заработают, вы должны указать маршрутизатор. Прямой поддержки zyxel/keenetic там нет, только UPNP. В случае UPNP вы миожите на данной страничке выбирать что угодно, по факту ВСЕ существующие порты NAS будут проброшены во внешнюю сеть portforwarding keenetic про многие вы даже не будете знать, и переназначение не помогает.

4 часа назад, Romakim сказал:

Даже брандмауэр не спасает?

А от чего будет спасать вас "огнестен", если вы сами открыли порты на доступ извне? Причем все.

 

4 часа назад, Romakim сказал:

Атаковать будут, даже если все порты поменять на свои и включить https

Ходить только через https это минимум. Эта галка первое что ставиться когда только задумываешься, о том чтобы предоставлять доступ извне. все службы должны ходить только по 443 порту. (при этом порт 80 все равно должен быть открыт).

Ну и как дальше вам указали гостя и штатного админа быть не должно.

Romakim · 23.05.2021
2 часа назад, freewind сказал:

Вы у хостера прописывали свой IP? Иначе не совсем понимаю что у вас и как открывается, а также что и где вы прописали. Даже DDNS (у того же кинетик например) прописывает динамический IP у хостера (кинетик) а не локально.

 

Я купил на таймвеб. Прописал в dsm доменное имя на нас, прописал A запись, и MX, добавил ТХТ, получил сертификат, почта работает, даже зеленый замочек получил, захожу mydomen.ru, а он заходит mydomen.ru:port/

Romakim · 23.05.2021

Подавители гость и админ я отключил. Назначил строгую иерархию по папкам. (Каждому свое). Жена дала техзадание поднять для нее сайт для раскрутки. Она у меня фотограф. Вот,  в авральном режиме стал сисадмином, и еще до кучи пытаюсь стать веб разработчиком.уже разок систему сбрасывал. Вебстейшен прописал порты 80/443 и порт dsm. И словил вечную 403 страницу. А хочу, что бы по умолчанию , про домену заходили на сайт, а по порту или /mynas на вебморду наса. Такое реально сделать или еще до кучи нужно линукс с ssh изучать? Просто моё хобби постепенно перерастает в работу.

Romakim · 23.05.2021
2 часа назад, freewind сказал:

Перед тем как данные настройки заработают, вы должны указать маршрутизатор. Прямой поддержки zyxel/keenetic там нет, только UPNP. 

Я воспользовался утилитой что то ez. Она мне пробросила нужные порты. И еще какие то,я на них не стал галочки ставить. Поставил только на впн, ВТ, dsm, до кучи порты сервер виндоуз прокинул, что бы жена фотками в отпуске занималась. Может их тоже изменить по умолчанию?

Вопрос про брандмауэр, разве он не спасет от атак? У меня по видеоурокам все вроде настроено, кроме него.

Да, нашёл как в роутере изменить порт управления по http, к сожалению https не нашёл где поменять. Нужно чтобы на вебморду кинетика можно было бы заходить. 80 порт включаю все хорошо, а если 443 , то только через приложение могу попасть на роутер. 

freewind · 24.05.2021

 

12 часов назад, Romakim сказал:

Я воспользовался утилитой что то ez. Она мне пробросила нужные порты. И еще какие то,я на них не стал галочки ставить. Поставил только на впн, ВТ, dsm, до кучи порты сервер виндоуз прокинул, что бы жена фотками в отпуске занималась. Может их тоже изменить по умолчанию?

Вопрос про брандмауэр, разве он не спасет от атак? У меня по видеоурокам все вроде настроено, кроме него.

1. эта утилита делает в точности тоже самое что вкладка панели управления внешний доступ.

2. Повторюсь, то что вы выбрали галочки ничего не значит и то что вам писалось выше о переназначении портов как раз с этим и связано. У вас все какие есть порты стали открытыми.

3. Если вы дали доступ, то вы его дали и защита на этом заканчивается, и начинаются атаки на начинку )) "Огнестен" частично защитит от подбора паролей или сканирования портов и то, от самого агрессивного и не более..

obscur1ty · 17.06.2021

Правильно я понимаю, что прямое подключение по IP надёжнее и быстрее, чем через домен (синолоджи или купленный где-то)?

Tirex · 17.06.2021
5 часов назад, obscur1ty сказал:

Правильно я понимаю, что прямое подключение по IP надёжнее и быстрее, чем через домен (синолоджи или купленный где-то)?

 Если речь про DDNS, то без разницы, если про  QuickConnect, то напрямую явно лучше.

kucher · 17.06.2021
6 часов назад, obscur1ty сказал:

Правильно я понимаю, что прямое подключение по IP надёжнее и быстрее, чем через домен (синолоджи или купленный где-то)?

Домен это, упрощённо говоря, "имя для ip-адреса" и его не обязательно исключать, особенно если будете использовать https. Да и смотрится ссылка симпатичнее с доменом.

ent · 18.06.2021
16 часов назад, kucher сказал:

Домен это, упрощённо говоря, "имя для ip-адреса" и его не обязательно исключать, особенно если будете использовать https. Да и смотрится ссылка симпатичнее с доменом.

Для https обязательно использование "имени", а не IP адреса. Вы ведь сертификат на "имя" получаете.

Можно, конечно, обращаться к хосту по IP - https:/123.123.123.0, но тогда все браузеры станут ругаться на несоответствие сертификата имени хоста.

kucher · 19.06.2021
В 18.06.2021 в 17:06, ent сказал:

Для https обязательно использование "имени", а не IP адреса. Вы ведь сертификат на "имя" получаете.

Можно, конечно, обращаться к хосту по IP - https:/123.123.123.0, но тогда все браузеры станут ругаться на несоответствие сертификата имени хоста.

Я лично получал бесплатный сертификат https на IP-адрес. И всё работало, никаких коллизий не заметил. Использовал пару недель, а потом решил купить домен.

sanrega · 27.06.2021
В 20.06.2021 в 05:39, kucher сказал:

Я лично получал бесплатный сертификат https на IP-адрес.

Это невозможно, сертификаты выдаются только на доменное имя. Можно, конечно, и по IP зайти на страницу с https и любым, хоть даже самоподписанным сертификатом, но тогда браузеры будут ругаться.

 

Исключение - https://1.1.1.1/ но я не представляю сколько нужно было владельцам сайта заплатить чтобы получить подтверждённый сертификат, на который не ругаются браузеры.

ent · 27.06.2021
7 часов назад, sanrega сказал:

Исключение - https://1.1.1.1/ но я не представляю сколько нужно было владельцам сайта заплатить чтобы получить подтверждённый сертификат, на который не ругаются браузеры.

Ну эти смогли договориться. Cloudflare богатенькая компания.

Иван Петров · 05.12.2021

Разобрался

zhsv007 · 06.12.2021

Добрый день всем владельцам NAS Synology. Тоже приобрел его в компанию. В последствии стали появляться уйма вопросов по разным темам, в том числе и на счет сертификатов. Это касается и локального, удаленного доступа к различным службам, встроенным сервисам NAS и к протоколу WebDav чтобы на удаленных ПК можно было спокойно через проводник подключать настроенные для пользователей общие папки. Сколько времени убил, ужс просто, в инете информации мало, ТП Synology на вопросы пишет очень странно и не понятно, такое ощущение что отвечают на англйиском, а автоматческий перевод жестко хромает. Ну да ладно лирики.

Вот что у меня получилось, а где есть вопросы:

1. Настроен локальный доступ к NAS по имени,  но остался вопрос по поводу защищенного подключения.

2. Настроен удаленный доступ к NAS (DSM, File Station) через сервисы DDNS Synology и роутера Keenetic.

3. Настроен удаленный доступ к WebDAV через explorer с удаленных ПК Win10. (но почему-то не принимает аналогичную процедуру подключения с сервера Windows Server 2019). Здесь пришлось заморочиться, т.к. для осуществления текущий сертификат DDNS от Synology выгружался в формате pem, а нужны key и cert. Пришлось воспользоваться сторонним сервисом для простого выпуска сертификатов на 10 лет для домена любого уровня.

https://www.selfsignedcertificate.com/

Эти файлы импортирую в NAS и настраиваю их по умолчанию. Для проверки можно установить только для доступа сервиса WebDav. На клиентских ПК необходимо зайти во вкладку Сертификаты и в раздел доверенные установить cert файл. После чего можно проверить подключение сетевого диска по ссылке. У меня примерно так:

https://myname.synology.pro:5006/Обмен

После чего explorer запрашивает логин/пароль для пользователя.

Все бы хорошо. Но может кто поможет советом, как сделать п.п. 1 (защищенный локальный доступ по имени) и 3 (WebDav в Windows Server 2019)? 

Alexxxander · 11.02.2022
В 27.06.2021 в 14:54, sanrega сказал:
В 20.06.2021 в 00:39, kucher сказал:

Я лично получал бесплатный сертификат https на IP-адрес.

Это невозможно, сертификаты выдаются только на доменное имя.

Еще как возможно

sinologika · 11.02.2022
В 06.12.2021 в 10:02, zhsv007 сказал:

Добрый день всем владельцам NAS Synology. Тоже приобрел его в компанию. В последствии стали появляться уйма вопросов по разным темам, в том числе и на счет сертификатов. Это касается и локального, удаленного доступа к различным службам, встроенным сервисам NAS и к протоколу WebDav чтобы на удаленных ПК можно было спокойно через проводник подключать настроенные для пользователей общие папки. Сколько времени убил, ужс просто, в инете информации мало, ТП Synology на вопросы пишет очень странно и не понятно, такое ощущение что отвечают на англйиском, а автоматческий перевод жестко хромает. Ну да ладно лирики.

Вот что у меня получилось, а где есть вопросы:

1. Настроен локальный доступ к NAS по имени,  но остался вопрос по поводу защищенного подключения.

2. Настроен удаленный доступ к NAS (DSM, File Station) через сервисы DDNS Synology и роутера Keenetic.

3. Настроен удаленный доступ к WebDAV через explorer с удаленных ПК Win10. (но почему-то не принимает аналогичную процедуру подключения с сервера Windows Server 2019). Здесь пришлось заморочиться, т.к. для осуществления текущий сертификат DDNS от Synology выгружался в формате pem, а нужны key и cert. Пришлось воспользоваться сторонним сервисом для простого выпуска сертификатов на 10 лет для домена любого уровня.

https://www.selfsignedcertificate.com/

Эти файлы импортирую в NAS и настраиваю их по умолчанию. Для проверки можно установить только для доступа сервиса WebDav. На клиентских ПК необходимо зайти во вкладку Сертификаты и в раздел доверенные установить cert файл. После чего можно проверить подключение сетевого диска по ссылке. У меня примерно так:

https://myname.synology.pro:5006/Обмен

После чего explorer запрашивает логин/пароль для пользователя.

Все бы хорошо. Но может кто поможет советом, как сделать п.п. 1 (защищенный локальный доступ по имени) и 3 (WebDav в Windows Server 2019)? 

 

g.o.r. · 01.08.2022
Коллеги, доброго времени суток.
NAS DS207+ исправно трудится вот уже много лет как сервер видеонаблюдения и сервер резервирования. Иногда нужно зайти на него через веб удаленно, но новые браузеры не хотят с ним работать, пишут "Неподдерживаемый протокол
Клиент и сервер поддерживают разные версии протокола SSL или набора шифров."
Эксплорер (IE) заходит, но с предупреждением "Этот веб-сайт не защищен
Это может означать, что кто-то пытается вас обмануть или перехватить информацию, которую вы отправляете на сервер. Вы должны закрыть этот сайт немедленно.
Для компьютера этот сертификат безопасности веб-сайта является ненадежным.
Имя узла в сертификате безопасности веб-сайта отличается от веб-сайта, на который вы пытаетесь перейти.
Код ошибки: DLG_FLAGS_INVALID_CA
DLG_FLAGS_SEC_CERT_CN_INVALID

Not recommended Перейти на веб-страницу (не рекомендуется)"
Но зайти все-таки можно.
Я так понимаю нужно обновить сертификат безопасности на хранилище? Поиском не нашел, возможно найду ответ здесь?
Возможно есть какие-то варианты с настройкой шлюза через роутер?
Прошу сильно не пинать - я не специалист от слова "совсем"
QwertRob · 02.08.2022
18 часов назад, g.o.r. сказал:

Прошу сильно не пинать - я не специалист от слова "совсем"

Вам уже ответили на форуме iXBT. Какой смысл множить темы не дожидаясь ответов?