Перейти к содержанию
Форум русской поддержки продукции Synology

Рекомендованные сообщения

3 часа назад, Romakim сказал:

Домен я купил, т.к кинетик предлагал очень много букв. Белый iP на роутере. 

Уже попробовал, прописал доменное имя в нас, открывается станица входа, с портами.

В настройках внешнего доступа есть вкладка настройка маршрутизации.

Атаковать будут, даже если все порты поменять на свои и включить https? Даже брандмауэр не спасает?

Если купили домен - у держателя домена измените A-запись на значение внешнего статического IP Вашего NAS.

Вы правильно сделали, что поменяли порты. Очень многие этим даже не заморачиваются. Отключите пользователя guest. Если Вы не можете этого сделать, потому что нужен доступ для guest из локалки - запретите ему всё кроме неё. Создайте пользователя с правами админа и отключите учётку admin. Не используйте простые пароли.

Маршрутизацию пока трогать не надо.

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 143
  • Создано
  • Последний ответ

Лучшие авторы в этой теме

Лучшие авторы в этой теме

3 часа назад, Romakim сказал:

Уже попробовал, прописал доменное имя в нас, открывается станица входа, с портами.

Вы у хостера прописывали свой IP? Иначе не совсем понимаю что у вас и как открывается, а также что и где вы прописали. Даже DDNS (у того же кинетик например) прописывает динамический IP у хостера (кинетик) а не локально.

3 часа назад, Romakim сказал:

В настройках внешнего доступа есть вкладка настройка маршрутизации.

 Перед тем как данные настройки заработают, вы должны указать маршрутизатор. Прямой поддержки zyxel/keenetic там нет, только UPNP. В случае UPNP вы миожите на данной страничке выбирать что угодно, по факту ВСЕ существующие порты NAS будут проброшены во внешнюю сеть portforwarding keenetic про многие вы даже не будете знать, и переназначение не помогает.

4 часа назад, Romakim сказал:

Даже брандмауэр не спасает?

А от чего будет спасать вас "огнестен", если вы сами открыли порты на доступ извне? Причем все.

 

4 часа назад, Romakim сказал:

Атаковать будут, даже если все порты поменять на свои и включить https

Ходить только через https это минимум. Эта галка первое что ставиться когда только задумываешься, о том чтобы предоставлять доступ извне. все службы должны ходить только по 443 порту. (при этом порт 80 все равно должен быть открыт).

Ну и как дальше вам указали гостя и штатного админа быть не должно.

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, freewind сказал:

Вы у хостера прописывали свой IP? Иначе не совсем понимаю что у вас и как открывается, а также что и где вы прописали. Даже DDNS (у того же кинетик например) прописывает динамический IP у хостера (кинетик) а не локально.

 

Я купил на таймвеб. Прописал в dsm доменное имя на нас, прописал A запись, и MX, добавил ТХТ, получил сертификат, почта работает, даже зеленый замочек получил, захожу mydomen.ru, а он заходит mydomen.ru:port/

Ссылка на сообщение
Поделиться на другие сайты

Подавители гость и админ я отключил. Назначил строгую иерархию по папкам. (Каждому свое). Жена дала техзадание поднять для нее сайт для раскрутки. Она у меня фотограф. Вот,  в авральном режиме стал сисадмином, и еще до кучи пытаюсь стать веб разработчиком.уже разок систему сбрасывал. Вебстейшен прописал порты 80/443 и порт dsm. И словил вечную 403 страницу. А хочу, что бы по умолчанию , про домену заходили на сайт, а по порту или /mynas на вебморду наса. Такое реально сделать или еще до кучи нужно линукс с ssh изучать? Просто моё хобби постепенно перерастает в работу.

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, freewind сказал:

Перед тем как данные настройки заработают, вы должны указать маршрутизатор. Прямой поддержки zyxel/keenetic там нет, только UPNP. 

Я воспользовался утилитой что то ez. Она мне пробросила нужные порты. И еще какие то,я на них не стал галочки ставить. Поставил только на впн, ВТ, dsm, до кучи порты сервер виндоуз прокинул, что бы жена фотками в отпуске занималась. Может их тоже изменить по умолчанию?

Вопрос про брандмауэр, разве он не спасет от атак? У меня по видеоурокам все вроде настроено, кроме него.

Да, нашёл как в роутере изменить порт управления по http, к сожалению https не нашёл где поменять. Нужно чтобы на вебморду кинетика можно было бы заходить. 80 порт включаю все хорошо, а если 443 , то только через приложение могу попасть на роутер. 

Ссылка на сообщение
Поделиться на другие сайты

 

12 часов назад, Romakim сказал:

Я воспользовался утилитой что то ez. Она мне пробросила нужные порты. И еще какие то,я на них не стал галочки ставить. Поставил только на впн, ВТ, dsm, до кучи порты сервер виндоуз прокинул, что бы жена фотками в отпуске занималась. Может их тоже изменить по умолчанию?

Вопрос про брандмауэр, разве он не спасет от атак? У меня по видеоурокам все вроде настроено, кроме него.

1. эта утилита делает в точности тоже самое что вкладка панели управления внешний доступ.

2. Повторюсь, то что вы выбрали галочки ничего не значит и то что вам писалось выше о переназначении портов как раз с этим и связано. У вас все какие есть порты стали открытыми.

3. Если вы дали доступ, то вы его дали и защита на этом заканчивается, и начинаются атаки на начинку )) "Огнестен" частично защитит от подбора паролей или сканирования портов и то, от самого агрессивного и не более..

Ссылка на сообщение
Поделиться на другие сайты
  • 4 недели спустя...

Правильно я понимаю, что прямое подключение по IP надёжнее и быстрее, чем через домен (синолоджи или купленный где-то)?

Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, obscur1ty сказал:

Правильно я понимаю, что прямое подключение по IP надёжнее и быстрее, чем через домен (синолоджи или купленный где-то)?

 Если речь про DDNS, то без разницы, если про  QuickConnect, то напрямую явно лучше.

Ссылка на сообщение
Поделиться на другие сайты
6 часов назад, obscur1ty сказал:

Правильно я понимаю, что прямое подключение по IP надёжнее и быстрее, чем через домен (синолоджи или купленный где-то)?

Домен это, упрощённо говоря, "имя для ip-адреса" и его не обязательно исключать, особенно если будете использовать https. Да и смотрится ссылка симпатичнее с доменом.

Ссылка на сообщение
Поделиться на другие сайты
16 часов назад, kucher сказал:

Домен это, упрощённо говоря, "имя для ip-адреса" и его не обязательно исключать, особенно если будете использовать https. Да и смотрится ссылка симпатичнее с доменом.

Для https обязательно использование "имени", а не IP адреса. Вы ведь сертификат на "имя" получаете.

Можно, конечно, обращаться к хосту по IP - https:/123.123.123.0, но тогда все браузеры станут ругаться на несоответствие сертификата имени хоста.

Ссылка на сообщение
Поделиться на другие сайты
В 18.06.2021 в 17:06, ent сказал:

Для https обязательно использование "имени", а не IP адреса. Вы ведь сертификат на "имя" получаете.

Можно, конечно, обращаться к хосту по IP - https:/123.123.123.0, но тогда все браузеры станут ругаться на несоответствие сертификата имени хоста.

Я лично получал бесплатный сертификат https на IP-адрес. И всё работало, никаких коллизий не заметил. Использовал пару недель, а потом решил купить домен.

Ссылка на сообщение
Поделиться на другие сайты
В 20.06.2021 в 05:39, kucher сказал:

Я лично получал бесплатный сертификат https на IP-адрес.

Это невозможно, сертификаты выдаются только на доменное имя. Можно, конечно, и по IP зайти на страницу с https и любым, хоть даже самоподписанным сертификатом, но тогда браузеры будут ругаться.

 

Исключение - https://1.1.1.1/ но я не представляю сколько нужно было владельцам сайта заплатить чтобы получить подтверждённый сертификат, на который не ругаются браузеры.

Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, sanrega сказал:

Исключение - https://1.1.1.1/ но я не представляю сколько нужно было владельцам сайта заплатить чтобы получить подтверждённый сертификат, на который не ругаются браузеры.

Ну эти смогли договориться. Cloudflare богатенькая компания.

Ссылка на сообщение
Поделиться на другие сайты
  • 5 месяцев спустя...

Добрый день всем владельцам NAS Synology. Тоже приобрел его в компанию. В последствии стали появляться уйма вопросов по разным темам, в том числе и на счет сертификатов. Это касается и локального, удаленного доступа к различным службам, встроенным сервисам NAS и к протоколу WebDav чтобы на удаленных ПК можно было спокойно через проводник подключать настроенные для пользователей общие папки. Сколько времени убил, ужс просто, в инете информации мало, ТП Synology на вопросы пишет очень странно и не понятно, такое ощущение что отвечают на англйиском, а автоматческий перевод жестко хромает. Ну да ладно лирики.

Вот что у меня получилось, а где есть вопросы:

1. Настроен локальный доступ к NAS по имени,  но остался вопрос по поводу защищенного подключения.

2. Настроен удаленный доступ к NAS (DSM, File Station) через сервисы DDNS Synology и роутера Keenetic.

3. Настроен удаленный доступ к WebDAV через explorer с удаленных ПК Win10. (но почему-то не принимает аналогичную процедуру подключения с сервера Windows Server 2019). Здесь пришлось заморочиться, т.к. для осуществления текущий сертификат DDNS от Synology выгружался в формате pem, а нужны key и cert. Пришлось воспользоваться сторонним сервисом для простого выпуска сертификатов на 10 лет для домена любого уровня.

https://www.selfsignedcertificate.com/

Эти файлы импортирую в NAS и настраиваю их по умолчанию. Для проверки можно установить только для доступа сервиса WebDav. На клиентских ПК необходимо зайти во вкладку Сертификаты и в раздел доверенные установить cert файл. После чего можно проверить подключение сетевого диска по ссылке. У меня примерно так:

https://myname.synology.pro:5006/Обмен

После чего explorer запрашивает логин/пароль для пользователя.

Все бы хорошо. Но может кто поможет советом, как сделать п.п. 1 (защищенный локальный доступ по имени) и 3 (WebDav в Windows Server 2019)? 

Ссылка на сообщение
Поделиться на другие сайты
  • 2 месяца спустя...
В 27.06.2021 в 14:54, sanrega сказал:
В 20.06.2021 в 00:39, kucher сказал:

Я лично получал бесплатный сертификат https на IP-адрес.

Это невозможно, сертификаты выдаются только на доменное имя.

Еще как возможно

Ссылка на сообщение
Поделиться на другие сайты
В 06.12.2021 в 10:02, zhsv007 сказал:

Добрый день всем владельцам NAS Synology. Тоже приобрел его в компанию. В последствии стали появляться уйма вопросов по разным темам, в том числе и на счет сертификатов. Это касается и локального, удаленного доступа к различным службам, встроенным сервисам NAS и к протоколу WebDav чтобы на удаленных ПК можно было спокойно через проводник подключать настроенные для пользователей общие папки. Сколько времени убил, ужс просто, в инете информации мало, ТП Synology на вопросы пишет очень странно и не понятно, такое ощущение что отвечают на англйиском, а автоматческий перевод жестко хромает. Ну да ладно лирики.

Вот что у меня получилось, а где есть вопросы:

1. Настроен локальный доступ к NAS по имени,  но остался вопрос по поводу защищенного подключения.

2. Настроен удаленный доступ к NAS (DSM, File Station) через сервисы DDNS Synology и роутера Keenetic.

3. Настроен удаленный доступ к WebDAV через explorer с удаленных ПК Win10. (но почему-то не принимает аналогичную процедуру подключения с сервера Windows Server 2019). Здесь пришлось заморочиться, т.к. для осуществления текущий сертификат DDNS от Synology выгружался в формате pem, а нужны key и cert. Пришлось воспользоваться сторонним сервисом для простого выпуска сертификатов на 10 лет для домена любого уровня.

https://www.selfsignedcertificate.com/

Эти файлы импортирую в NAS и настраиваю их по умолчанию. Для проверки можно установить только для доступа сервиса WebDav. На клиентских ПК необходимо зайти во вкладку Сертификаты и в раздел доверенные установить cert файл. После чего можно проверить подключение сетевого диска по ссылке. У меня примерно так:

https://myname.synology.pro:5006/Обмен

После чего explorer запрашивает логин/пароль для пользователя.

Все бы хорошо. Но может кто поможет советом, как сделать п.п. 1 (защищенный локальный доступ по имени) и 3 (WebDav в Windows Server 2019)? 

 

Ссылка на сообщение
Поделиться на другие сайты
  • 5 месяцев спустя...
Коллеги, доброго времени суток.
NAS DS207+ исправно трудится вот уже много лет как сервер видеонаблюдения и сервер резервирования. Иногда нужно зайти на него через веб удаленно, но новые браузеры не хотят с ним работать, пишут "Неподдерживаемый протокол
Клиент и сервер поддерживают разные версии протокола SSL или набора шифров."
Эксплорер (IE) заходит, но с предупреждением "Этот веб-сайт не защищен
Это может означать, что кто-то пытается вас обмануть или перехватить информацию, которую вы отправляете на сервер. Вы должны закрыть этот сайт немедленно.
Для компьютера этот сертификат безопасности веб-сайта является ненадежным.
Имя узла в сертификате безопасности веб-сайта отличается от веб-сайта, на который вы пытаетесь перейти.
Код ошибки: DLG_FLAGS_INVALID_CA
DLG_FLAGS_SEC_CERT_CN_INVALID

Not recommended Перейти на веб-страницу (не рекомендуется)"
Но зайти все-таки можно.
Я так понимаю нужно обновить сертификат безопасности на хранилище? Поиском не нашел, возможно найду ответ здесь?
Возможно есть какие-то варианты с настройкой шлюза через роутер?
Прошу сильно не пинать - я не специалист от слова "совсем"
Ссылка на сообщение
Поделиться на другие сайты
18 часов назад, g.o.r. сказал:

Прошу сильно не пинать - я не специалист от слова "совсем"

Вам уже ответили на форуме iXBT. Какой смысл множить темы не дожидаясь ответов?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в этой теме...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Загрузка...

×
×
  • Создать...