Пример удаленного доступа к веб-приложениям домашней сети через KeenDNS

С помощью интернет-центра Keenetic можно организовать удаленный доступ по безопасному веб-протоколу HTTPS из Интернета к веб-приложениям домашней сети, в том числе и к веб-конфигуратору интернет-центра и к интерфейсу встроенного торрент-клиента Transmission. Сделать это можно через сервис KeenDNS с помощью доменных имен 4-го уровня, даже при отсутствии публичного "белого" IP-адреса.

Сначала нужно в настройках интернет-центра выбрать свободное доменное имя KeenDNS и настроить работу сервиса. Подробная настройка представлена в статье "Сервис доменных имен KeenDNS".

NOTE: Важно! Цифровой сертификат и закрытый ключ HTTPS хранятся непосредственно на конечном устройстве (интернет-центре). При доступе через облачный сервер, по протоколу HTTPS, защищенный туннель строится до интернет-центра, что обеспечивает безопасность и конфиденциальность передаваемых данных через Интернет. Сеанс устанавливается с использованием сквозного шифрования (end-to-end encryption). Это означает, помимо прочего, что информация, передаваемая между интернет-центром и браузером по HTTPS, недоступна облачным серверам KeenDNS, обеспечивающим передачу данных на транспортном уровне. При облачном доступе по HTTP защищенный канал устанавливается между интернет-центром и сервером KeenDNS с использованием цифрового сертификата KeenDNS, что также гарантирует безопасность и защиту данных от перехвата.

Далее рассмотрим пример удаленного доступа к веб-интерфейсу сетевого накопителя QNAP (работает на порту 80), подключенного к домашней сети. Подобным образом можно настроить удаленный доступ к любому устройству домашней сети с веб-интерфейсом (это может быть веб-камера, сетевой накопитель, другой роутер, ретранслятор, веб-сервер и др.).

1. Для начала в интернет-центре необходимо зарегистрировать устройства, на которые будет организован удаленный доступ. Дополнительную информацию вы найдете в статье "Регистрация устройств в домашней сети".

2. На странице "Доменное имя" на вкладке "KeenDNS" в разделе "Доступ к веб-приложениям домашней сети" нажмите "Добавить".

kdns-01.png

3. Появится страница "Настройки доступа".

kdns-04.png

В поле "Устройство" выберите зарегистрированное в домашней сети устройство, на котором работает веб-приложение.

В поле "Имя" придумайте и укажите доменное имя для этого приложения. Имя должно быть на латинице.
В нашем примере используется доменное имя интернет-центра 3-го уровня myrouter01.keenetic.pro и доменное имя 4-го уровня qnap для доступа к веб-интерфейсу сетевого накопителя.
Таким образом, интерфейс QNAP будет доступен по доменному имени qnap.myrouter01.keenetic.pro

Для доступа к приложению нужно включить опцию "Разрешить доступ".

В поле "Порт TCP" укажите номер порта, на котором работает веб-приложение в домашней сети.

Правило для доступа к сетевому хранилищу QNAP будет выглядеть следующим образом:

kdns-02.png

kdns-05.png

4. Теперь устройство домашней сети будет доступно по доменному имени KeenDNS 4-го уровня qnap.myrouter01.keenetic.pro из Интернета:

access02.png

При этом Keenetic имеет частный "серый" IP-адрес для подключения к Интернету.

kdns-06.png

NOTE: Важно! Облачная служба (режим работы "Через облако") поддерживает работу только по протоколам:
HTTP по портам: 80, 81, 280, 591, 777, 5080, 8080, 8090 и 65080
HTTPS по портам: 443, 5083, 5443, 8083, 8443 и 65083

Если вы изменили предустановленный стандартный 80-й порт управления веб-интерфейса роутера, доступ к ресурсам домашней сети через домен 4-го уровня будет осуществляться по измененному порту. Например для номера порта веб-интерфейса 777 адрес будет qnap.myrouter01.keenetic.pro:777
Изменить номер порта управления веб-конфигуратором можно на странице "Пользователи и доступ" в разделе "Службы управления" в поле "Порт управления по HTTP".

Если у вас используется номер порта для веб-ресурса не из списка поддерживаемых портов облачного сервера, можно использовать для удаленного доступа также доменное имя 4-го уровня.

Рассмотрим пример настройки удаленного доступа к интерфейсу популярного приложения с открытым исходным кодом для организации умного дома Home Assistant (работает на порту 8123)  в домашней сети.

pf-ha-04.png

pf-ha-05.png

Веб-приложение домашней сети Home Assistant будет доступно по доменному имени ha.myrouter01.keenetic.pro из Интернета:

pf-ha-03.png

TIP: Советы:

Информацию по настройке удаленного доступа к веб-интерфейсу 3G/4G USB-модема или GPON-роутера вы найдете в инструкции "Доступ к веб-интерфейсу USB-модема через сервис KeenDNS"

Примеры организации доступа из Интернета к IP-камере представлены в статье "Доступ из Интернета к IP-камере, подключенной к интернет-центру"

"Включение авторизации для устройства с открытым веб-интерфейсом, при использовании удаленного доступа через службу KeenDNS"

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 51 из 56

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 14
  • Здравствуйте!
    Могу ли я с серым IP адресом через KeenDNS получить удаленный доступ к диску подключенному к USB? Пока я не приобрел интернет-центр с USB, и не могу ознакомится с веб-интерфейсом. Не понятно, сетевое хранилище QNAP, что это? Тот же диск на USB или другое?

    0
    Действия с комментариями Постоянная ссылка
  • Да, сможете получить доступ даже с "серым" IP. Посмотрите, пожалуйста, инструкцию "Удаленный доступ из Интернета к файлам USB-накопителя".  
    Что касается сетевого хранилища QNAP, то в нашем примере это отдельное устройство - медиасервер, подключенный к Кинетику по кабелю Ehernet и имеющий свой собственный интерфейс для управления (удаленный доступ к которому мы предоставляем по имени KeenDNS).

    0
    Действия с комментариями Постоянная ссылка
  • > Для доступа к приложению нужно включить опцию "Разрешить доступ".

    Подскажите, пожалуйста, можно ли дать доступ к выбранным ресурсам домашней сети, но при этом не предоставлять доступ к веб-интерфейсу интернет-центра? При попытке выбрать в "Пользователи и доступ" вариант "Нет доступа" галочка "Разрешить доступ" на странице "доменное имя" тоже сбрасывается. (версия ОС 3.1.10)

    Может быть это можно сделать с помощью "Межсетевого экрана"?

    0
    Действия с комментариями Постоянная ссылка
  • Вы можете не предоставлять доступ к веб-интерфейсу пользователям. Например, если у вас используется анонимный доступ к USB-накопителю, то не сообщайте пользователям пароль от учетной записи администратора (в этом случае никто кроме вас не подключится к веб-интерфейсу). Если вы в настройках роутера создали персональные пользовательские учетные записи, то в их настройках (меню "Пользователи и доступ") разрешите доступ только к сетевым ресурсам, а к веб-конфигуратору запретите.

    0
    Действия с комментариями Постоянная ссылка
  • > Вы можете не предоставлять доступ к веб-интерфейсу пользователям.

    Это понятно, спасибо.

    Но стоит задача:
    - Предоставить неограниченный доступ к веб-приложению по HTTPS, которое работает на некотором узле по HTTP (например, 192.168.1.42:8087), из интернета. Keenetic, как я понимаю, выступает в роли reverse https proxy, я могу получить доступ по адресу https://xxx.yyy.keenetic.link. Тут все работает нормально "из коробки".
    - При этом для дополнительной безопасности нежелательно предоставлять доступ к веб-интерфейсу Keenetic из интернета. А вот это сделать не удается. Веб интерфейс всегда доступен в этом случае по адресу https://yyy.keenetic.link.

    Можно ли сохраняя доступ из публичного интернета к https://xxx.yyy.keenetic.link отключить доступ к https://yyy.keenetic.link?

    0
    Действия с комментариями Постоянная ссылка
  • > Можно ли сохраняя доступ из публичного интернета к https://xxx.yyy.keenetic.link отключить доступ к https://yyy.keenetic.link?

    Нельзя.

    0
    Действия с комментариями Постоянная ссылка
  • @Denis Kurkov
    а если я хочу подключаться к Keenetic Giga2 по SSTP то можно отключить доступ к https://yyy.keenetic.link? (не предоставлять доступ к веб-интерфейсу Keenetic из интернета или как-то максимально защитить веб-интерфейс от брута)

    0
    Действия с комментариями Постоянная ссылка
  • Нет, SSTP-подключение использует в своей работе keendns-сервис и должен быть разрешен удаленный доступ к роутеру по доменному имени.
    Для дополнительной безопасности в меню "Пользователи и доступ" в поле "Доступ к веб-конфигуратору" установите значение "Только HTTPS".

    0
    Действия с комментариями Постоянная ссылка
  • > то можно отключить доступ к https://yyy.keenetic.link?

    Если это разрешается правилами комментариев тут добавлю, что я создал тему для голосования по этой фиче на официальном форуме https://forum.keenetic.net/forum/9-keenetic-development/. "Возможность удаленного доступа к приложениям локальной сети без разрешения удаленного доступа к конфигуратору". Если вам тоже это полезно, то имеет смысл проголосовать. Все-таки возможность получать доступ ко внутренним ресурсам и приложениям без открывания "наружу" всего веб интерфейса очень логична и востребована. :)

    1
    Действия с комментариями Постоянная ссылка
  • спасибо за столь быстрые ответы, у Keenetic отличная обратная связь, это факт.
    но как я писал выше у меня Giga2, а это значит что прошивки версии 3+ мне скорее всего не видать (актуальная последняя прошивка на момент написания комментария на Giga2 это 2.16.D.3.0-4)

    в меню "Пользователи и доступ" в поле "Доступ к веб-конфигуратору" установите значение "Только HTTPS". эту функцию ввели на прошивках 3+

    В идеале хотелось бы доступ к веб-конфигуратору только из Домашней сети (192.168.1.*), но раз такое невозможно, то вижу 2 пути для повышения безопасности:

    https://help.keenetic.com/hc/ru/articles/115000400185 убавить кол-во попыток ввода неверного пароля и увеличение времени тайм аута с 15 мин до 60 мин, не получится, потому что: Функция защиты от перебора паролей не работает через службу KeenDNS в режиме "Через облако". Как правило, роботы сканируют только IP-адреса и поэтому такая защита не столь актуальна при работе через интернет-облако.

    https://help.keenetic.com/hc/ru/articles/213965749 сделать маппинг порта 80 (при коннекте из интернета) на какой-то другой.
    Ничто не мешает скомбинировать оба варианта, ну и само собой сложный пароль с спецсимволами. подскажите насколько каждое из этих мер будет эффективным?

    1
    Действия с комментариями Постоянная ссылка
  • Здравствуйте. Есть WiFi система из Keenetic Ultra KN-1810 и Start KN-1110.
    Start работает в режиме ретранслятора. К нему проводом подключен домашний NAS.
    На Start'e создано доменное имя 3-го уровня типа XXX.keenetic.link.
    Как мне создать на Start'e доменное имя 4-го уровня для доступа к NAS? В режиме ретранслятора такой возможности нет?

    0
    Действия с комментариями Постоянная ссылка
  • Алексей, данную настройку нужно выполнять на контроллере (главном роутере).

    1
    Действия с комментариями Постоянная ссылка
  • RDP так же относится к ресурсам домашней сети. Как сейчас можно настроить KeenDNS для других протоколов кроме HTTP и HTPS как было раньше, до того как ввели эти ограничения только на вэб ресурсы?

    0
    Действия с комментариями Постоянная ссылка
  • При работе KeenDNS в режиме "Через облако" (когда роутер с частным 'серым' IP-адресом находится за NAT) облачная служба поддерживает работу только по протоколам HTTP/HTTPS по следующим портам:
    HTTP: 80, 81, 280, 591, 777, 5080, 8080, 8090 и 65080
    HTTPS: 443, 5083, 5443, 8083, 8443 и 65083
    Для открытия других портов и протоколов используйте публичный внешний IP-адрес на роутере и режим "Прямой доступ". Этот режим позволяет использовать любой протокол для доступа в домашнюю сеть, если такой доступ не ограничен вашим провайдером.
    Что касается протокола RDP, то посмотрите нашу инструкцию "Пример настройки подключения к домашнему компьютеру по RDP"

    0
    Действия с комментариями Постоянная ссылка

Войдите в службу, чтобы оставить комментарий.