С помощью интернет-центра Keenetic можно организовать удаленный доступ по безопасному веб-протоколу HTTPS из Интернета к ресурсам домашней сети или к веб-интерфейсу интернет-центра. Сделать это можно через сервис KeenDNS с помощью доменных имен 4-го уровня, даже при отсутствии белого IP-адреса.
Сначала нужно в настройках интернет-центра выбрать свободное доменное имя KeenDNS и настроить работу сервиса. Подробная настройка представлена в статье "Сервис доменных имен KeenDNS"
Также данная возможность доступна в дополнительных режимах работы интернет-центра.
NOTE: Важно! Цифровой сертификат и закрытый ключ HTTPS хранятся непосредственно на конечном устройстве (интернет-центре). При доступе через облачный сервер, по протоколу HTTPS, защищенный туннель строится до интернет-центра, что обеспечивает безопасность и конфиденциальность передаваемых данных через Интернет. Сеанс устанавливается с использованием сквозного шифрования (end-to-end encryption). Это означает, помимо прочего, что информация, передаваемая между интернет-центром и браузером по HTTPS, недоступна облачным серверам KeenDNS, обеспечивающим передачу данных на транспортном уровне. При облачном доступе по HTTP защищенный канал устанавливается между интернет-центром и сервером KeenDNS с использованием цифрового сертификата KeenDNS, что также гарантирует безопасность и защиту данных от перехвата.
Далее рассмотрим пример удаленного доступа к веб-интерфейсу приложения торрент-клиента Transmission (запущено на интернет-центре и работает по порту 8090) и к веб-интерфейсу сетевого накопителя QNAP (работает на порту 8080), подключенного к домашней сети.
Подобным образом можно настроить удаленный доступ к любому устройству домашней сети с веб-интерфейсом (это может быть веб-камера, сетевой накопитель, роутер, сервер и др.).
1. Для начала в интернет-центре необходимо зарегистрировать устройства, на которые будет организован удаленный доступ. Дополнительную информацию вы найдете в статье "Регистрация устройств в домашней сети".
2. На странице "Доменное имя" на вкладке "KeenDNS" в разделе "Доступ к веб-приложениям домашней сети" нажмите "Добавить".
3. Появится страница "Настройки доступа".
В поле "Устройство" выберите зарегистрированное в домашней сети устройство, на котором работает веб-приложение. Можно выбрать интернет-центр, для доступа к встроенным сервисам (например, к торрент-клиенту Transmission) или любое другое устройство, зарегистрированное в домашней сети.
В поле "Имя" придумайте и укажите доменное имя для этого приложения. Имя должно быть на латинице.
В нашем примере используется доменное имя интернет-центра 3-го уровня myrouter01.keenetic.pro и доменное имя 4-го уровня torrent для приложения.
Таким образом, приложение Transmission будет доступно по доменному имени torrent.myrouter01.keenetic.pro
Для доступа к приложению нужно включить опцию "Разрешить доступ".
В поле "Порт TCP" укажите номер порта, на котором работает веб-приложение в домашней сети.
Для доступа к веб-интерфейсу встроенного торрент-клиента Transmission правило будет иметь вид:
Для доступа к сетевому хранилищу QNAP:
Общий вид правил:
4. После произведенных настроек, устройства домашней сети будут доступны по следующим доменным именам 4-го уровня из Интернета:
torrent.myrouter01.keenetic.pro
qnap.myrouter01.keenetic.pro
При этом, Keenetic имеет серый IP-адрес для подключения к Интернету.
NOTE: Важно! Если вы изменили предустановленный порт управления интернет-центра с 80-го на один из предлагаемых вариантов: 81, 280, 591, 777, 5080, 8080, 8090, 65080, доступ к ресурсам домашней сети через домен 4-го уровня также будет осуществляться по измененному порту. Например для порта 777:
torrent.myrouter01.keenetic.pro:777
qnap.myrouter01.keenetic.pro:777
Изменить номер порта управления веб-конфигуратором можно на странице "Пользователи и доступ" в разделе "Порты TCP для управления интернет-центром" в поле "Порт управления по HTTP".
TIP: Советы:
Информацию по настройке удаленного доступа к веб-интерфейсу 3G/4G USB-модема (CdcEthernet) или GPON-роутера вы найдете в инструкции "Доступ к веб-интерфейсу USB-модема через сервис KeenDNS"
Примеры организации доступа из Интернета к IP-камере представлены в статье "Доступ из Интернета к IP-камере, подключенной к интернет-центру"
"Доступ к устройству по протоколу HTTPS через службу KeenDNS и доменное имя 4-го уровня"
"Включение авторизации для устройства с открытым веб-интерфейсом, при использовании удаленного доступа через службу KeenDNS"
Комментарии
Здравствуйте!
Могу ли я с серым IP адресом через KeenDNS получить удаленный доступ к диску подключенному к USB? Пока я не приобрел интернет-центр с USB, и не могу ознакомится с веб-интерфейсом. Не понятно, сетевое хранилище QNAP, что это? Тот же диск на USB или другое?
Да, сможете получить доступ даже с "серым" IP. Посмотрите, пожалуйста, инструкцию "Удаленный доступ из Интернета к файлам USB-накопителя".
Что касается сетевого хранилища QNAP, то в нашем примере это отдельное устройство - медиасервер, подключенный к Кинетику по кабелю Ehernet и имеющий свой собственный интерфейс для управления (удаленный доступ к которому мы предоставляем по имени KeenDNS).
> Для доступа к приложению нужно включить опцию "Разрешить доступ".
Подскажите, пожалуйста, можно ли дать доступ к выбранным ресурсам домашней сети, но при этом не предоставлять доступ к веб-интерфейсу интернет-центра? При попытке выбрать в "Пользователи и доступ" вариант "Нет доступа" галочка "Разрешить доступ" на странице "доменное имя" тоже сбрасывается. (версия ОС 3.1.10)
Может быть это можно сделать с помощью "Межсетевого экрана"?
Вы можете не предоставлять доступ к веб-интерфейсу пользователям. Например, если у вас используется анонимный доступ к USB-накопителю, то не сообщайте пользователям пароль от учетной записи администратора (в этом случае никто кроме вас не подключится к веб-интерфейсу). Если вы в настройках роутера создали персональные пользовательские учетные записи, то в их настройках (меню "Пользователи и доступ") разрешите доступ только к сетевым ресурсам, а к веб-конфигуратору запретите.
> Вы можете не предоставлять доступ к веб-интерфейсу пользователям.
Это понятно, спасибо.
Но стоит задача:
- Предоставить неограниченный доступ к веб-приложению по HTTPS, которое работает на некотором узле по HTTP (например, 192.168.1.42:8087), из интернета. Keenetic, как я понимаю, выступает в роли reverse https proxy, я могу получить доступ по адресу https://xxx.yyy.keenetic.link. Тут все работает нормально "из коробки".
- При этом для дополнительной безопасности нежелательно предоставлять доступ к веб-интерфейсу Keenetic из интернета. А вот это сделать не удается. Веб интерфейс всегда доступен в этом случае по адресу https://yyy.keenetic.link.
Можно ли сохраняя доступ из публичного интернета к https://xxx.yyy.keenetic.link отключить доступ к https://yyy.keenetic.link?
> Можно ли сохраняя доступ из публичного интернета к https://xxx.yyy.keenetic.link отключить доступ к https://yyy.keenetic.link?
Нельзя.
Войдите в службу, чтобы оставить комментарий.