С помощью интернет-центра Keenetic можно организовать удаленный доступ по безопасному веб-протоколу HTTPS из Интернета к ресурсам домашней сети или к веб-интерфейсу интернет-центра. Сделать это можно через сервис KeenDNS с помощью доменных имен 4-го уровня, даже при отсутствии белого IP-адреса.
Сначала нужно в настройках интернет-центра выбрать свободное доменное имя KeenDNS и настроить работу сервиса. Подробная настройка представлена в статье "Сервис доменных имен KeenDNS"
Также данная возможность доступна в дополнительных режимах работы интернет-центра.
NOTE: Важно! Цифровой сертификат и закрытый ключ HTTPS хранятся непосредственно на конечном устройстве (интернет-центре). При доступе через облачный сервер, по протоколу HTTPS, защищенный туннель строится до интернет-центра, что обеспечивает безопасность и конфиденциальность передаваемых данных через Интернет. Сеанс устанавливается с использованием сквозного шифрования (end-to-end encryption). Это означает, помимо прочего, что информация, передаваемая между интернет-центром и браузером по HTTPS, недоступна облачным серверам KeenDNS, обеспечивающим передачу данных на транспортном уровне. При облачном доступе по HTTP защищенный канал устанавливается между интернет-центром и сервером KeenDNS с использованием цифрового сертификата KeenDNS, что также гарантирует безопасность и защиту данных от перехвата.
Далее рассмотрим пример удаленного доступа к веб-интерфейсу приложения торрент-клиента Transmission (запущено на интернет-центре и работает по порту 8090) и к веб-интерфейсу сетевого накопителя QNAP (работает на порту 8080), подключенного к домашней сети.
Подобным образом можно настроить удаленный доступ к любому устройству домашней сети с веб-интерфейсом (это может быть веб-камера, сетевой накопитель, роутер, сервер и др.).
1. Для начала в интернет-центре необходимо зарегистрировать устройства, на которые будет организован удаленный доступ. Дополнительную информацию вы найдете в статье "Регистрация устройств в домашней сети".
2. На странице "Доменное имя" на вкладке "KeenDNS" в разделе "Доступ к веб-приложениям домашней сети" нажмите "Добавить".
3. Появится страница "Настройки доступа".
В поле "Устройство" выберите зарегистрированное в домашней сети устройство, на котором работает веб-приложение. Можно выбрать интернет-центр, для доступа к встроенным сервисам (например, к торрент-клиенту Transmission) или любое другое устройство, зарегистрированное в домашней сети.
В поле "Имя" придумайте и укажите доменное имя для этого приложения. Имя должно быть на латинице.
В нашем примере используется доменное имя интернет-центра 3-го уровня myrouter01.keenetic.pro и доменное имя 4-го уровня torrent для приложения.
Таким образом, приложение Transmission будет доступно по доменному имени torrent.myrouter01.keenetic.pro
Для доступа к приложению нужно включить опцию "Разрешить доступ".
В поле "Порт TCP" укажите номер порта, на котором работает веб-приложение в домашней сети.
Для доступа к веб-интерфейсу встроенного торрент-клиента Transmission правило будет иметь вид:
Для доступа к сетевому хранилищу QNAP:
Общий вид правил:
4. После произведенных настроек, устройства домашней сети будут доступны по следующим доменным именам 4-го уровня из Интернета:
torrent.myrouter01.keenetic.pro
qnap.myrouter01.keenetic.pro
При этом, Keenetic имеет серый IP-адрес для подключения к Интернету.
NOTE: Важно! Если вы изменили предустановленный порт управления интернет-центра с 80-го на один из предлагаемых вариантов: 81, 280, 591, 777, 5080, 8080, 8090, 65080, доступ к ресурсам домашней сети через домен 4-го уровня также будет осуществляться по измененному порту. Например для порта 777:
torrent.myrouter01.keenetic.pro:777
qnap.myrouter01.keenetic.pro:777
Изменить номер порта управления веб-конфигуратором можно на странице "Пользователи и доступ" в разделе "Порты TCP для управления интернет-центром" в поле "Порт управления по HTTP".
TIP: Советы:
Информацию по настройке удаленного доступа к веб-интерфейсу 3G/4G USB-модема (CdcEthernet) или GPON-роутера вы найдете в инструкции "Доступ к веб-интерфейсу USB-модема через сервис KeenDNS"
Примеры организации доступа из Интернета к IP-камере представлены в статье "Доступ из Интернета к IP-камере, подключенной к интернет-центру"
"Доступ к устройству по протоколу HTTPS через службу KeenDNS и доменное имя 4-го уровня"
"Включение авторизации для устройства с открытым веб-интерфейсом, при использовании удаленного доступа через службу KeenDNS"
Комментарии
Здравствуйте!
Могу ли я с серым IP адресом через KeenDNS получить удаленный доступ к диску подключенному к USB? Пока я не приобрел интернет-центр с USB, и не могу ознакомится с веб-интерфейсом. Не понятно, сетевое хранилище QNAP, что это? Тот же диск на USB или другое?
Да, сможете получить доступ даже с "серым" IP. Посмотрите, пожалуйста, инструкцию "Удаленный доступ из Интернета к файлам USB-накопителя".
Что касается сетевого хранилища QNAP, то в нашем примере это отдельное устройство - медиасервер, подключенный к Кинетику по кабелю Ehernet и имеющий свой собственный интерфейс для управления (удаленный доступ к которому мы предоставляем по имени KeenDNS).
> Для доступа к приложению нужно включить опцию "Разрешить доступ".
Подскажите, пожалуйста, можно ли дать доступ к выбранным ресурсам домашней сети, но при этом не предоставлять доступ к веб-интерфейсу интернет-центра? При попытке выбрать в "Пользователи и доступ" вариант "Нет доступа" галочка "Разрешить доступ" на странице "доменное имя" тоже сбрасывается. (версия ОС 3.1.10)
Может быть это можно сделать с помощью "Межсетевого экрана"?
Вы можете не предоставлять доступ к веб-интерфейсу пользователям. Например, если у вас используется анонимный доступ к USB-накопителю, то не сообщайте пользователям пароль от учетной записи администратора (в этом случае никто кроме вас не подключится к веб-интерфейсу). Если вы в настройках роутера создали персональные пользовательские учетные записи, то в их настройках (меню "Пользователи и доступ") разрешите доступ только к сетевым ресурсам, а к веб-конфигуратору запретите.
> Вы можете не предоставлять доступ к веб-интерфейсу пользователям.
Это понятно, спасибо.
Но стоит задача:
- Предоставить неограниченный доступ к веб-приложению по HTTPS, которое работает на некотором узле по HTTP (например, 192.168.1.42:8087), из интернета. Keenetic, как я понимаю, выступает в роли reverse https proxy, я могу получить доступ по адресу https://xxx.yyy.keenetic.link. Тут все работает нормально "из коробки".
- При этом для дополнительной безопасности нежелательно предоставлять доступ к веб-интерфейсу Keenetic из интернета. А вот это сделать не удается. Веб интерфейс всегда доступен в этом случае по адресу https://yyy.keenetic.link.
Можно ли сохраняя доступ из публичного интернета к https://xxx.yyy.keenetic.link отключить доступ к https://yyy.keenetic.link?
> Можно ли сохраняя доступ из публичного интернета к https://xxx.yyy.keenetic.link отключить доступ к https://yyy.keenetic.link?
Нельзя.
@Denis Kurkov
а если я хочу подключаться к Keenetic Giga2 по SSTP то можно отключить доступ к https://yyy.keenetic.link? (не предоставлять доступ к веб-интерфейсу Keenetic из интернета или как-то максимально защитить веб-интерфейс от брута)
Нет, SSTP-подключение использует в своей работе keendns-сервис и должен быть разрешен удаленный доступ к роутеру по доменному имени.
Для дополнительной безопасности в меню "Пользователи и доступ" в поле "Доступ к веб-конфигуратору" установите значение "Только HTTPS".
> то можно отключить доступ к https://yyy.keenetic.link?
Если это разрешается правилами комментариев тут добавлю, что я создал тему для голосования по этой фиче на официальном форуме https://forum.keenetic.net/forum/9-keenetic-development/. "Возможность удаленного доступа к приложениям локальной сети без разрешения удаленного доступа к конфигуратору". Если вам тоже это полезно, то имеет смысл проголосовать. Все-таки возможность получать доступ ко внутренним ресурсам и приложениям без открывания "наружу" всего веб интерфейса очень логична и востребована. :)
спасибо за столь быстрые ответы, у Keenetic отличная обратная связь, это факт.
но как я писал выше у меня Giga2, а это значит что прошивки версии 3+ мне скорее всего не видать (актуальная последняя прошивка на момент написания комментария на Giga2 это 2.16.D.3.0-4)
в меню "Пользователи и доступ" в поле "Доступ к веб-конфигуратору" установите значение "Только HTTPS". эту функцию ввели на прошивках 3+
В идеале хотелось бы доступ к веб-конфигуратору только из Домашней сети (192.168.1.*), но раз такое невозможно, то вижу 2 пути для повышения безопасности:
https://help.keenetic.com/hc/ru/articles/115000400185 убавить кол-во попыток ввода неверного пароля и увеличение времени тайм аута с 15 мин до 60 мин, не получится, потому что: Функция защиты от перебора паролей не работает через службу KeenDNS в режиме "Через облако". Как правило, роботы сканируют только IP-адреса и поэтому такая защита не столь актуальна при работе через интернет-облако.
https://help.keenetic.com/hc/ru/articles/213965749 сделать маппинг порта 80 (при коннекте из интернета) на какой-то другой.
Ничто не мешает скомбинировать оба варианта, ну и само собой сложный пароль с спецсимволами. подскажите насколько каждое из этих мер будет эффективным?
Войдите в службу, чтобы оставить комментарий.