Как WEB-App получить доступ к NAS Synology через домен KeenDNS (серый IP) (для NAS получен сертификат Let's Encrypt)

[Algerd Litvin]

Здравствуйте, прошу помощи.

• Keenetic Giga (KN-1012) EAEU (Версия ОС 4.2.6.1)
• NAS под операционной системой от Synology (DSM 7.2.2-72806 Update 3)

Сначала поделюсь опытом:
- Как очень просто настроить обращение к NAS через субдомен 4 уровня, имея серый IP, получив сертификат Let's Encrypt

Видел ооочень много обсуждений на эту тему, но там всё слишком сложно (а значит не нужно) и ни в одном случае не доведено до конца. А ларчик открыть не сложно:

1). В настройках роутера Keenetic (меню "Мои сети и Wi-Fi"/"Список клиентов") регистрируем NAS, присваивая локальный статичный IP (Рис. 1)

2). В настройках роутера Keenetic ("Сетевые правила"/"Доменное имя"/"Имя интернет-центра") получаем регистрацию домена в сервисе KeenDNS для роутера (Рис. 2)

! ВАЖНО ! Нужно "Разрешить доступ из Интернета" (после окончания не забудьте отключить)

3). В настройках роутера Keenetic ("Сетевые правила"/"Доменное имя"/"Доступ к веб-приложениям домашней сети") получаем субдомен 4 уровня для NAS по HTTPS на порт 5001 = стандартный порт https в Synology DSM (Рис. 3)

4). В настройках роутера Keenetic ("Сетевые правила"/"Переадресация портов") создаём правило проброса TCP/80 на NAS (Рис. 4) (после окончания не забудьте отключить)

5). В панели управления NAS Synology ("Подключение"/"Безопасность"/"Сертификат"//Добавить) выбираем "Получить сертификат в Let's Encrypt" (Рис. 5)

6). Указываем имя субдомена 4 уровня (для NAS) (Рис. 6)

7). В результате получаем сертификат для NAS (Рис. 7)

Разумеется, таким образом легко получить сертификаты Let's Encrypt для любого устройства внутри LAN по субдомену 4 уровня KeenDNS.

Но, вот в чём проблема:
Для доступа к NAS из WEB Application используется домен 4 уровня.
Всё бы хорошо, но 2 функции требуют обращения к NAS по нестандартным портам.
Доменные имена у роутера Keenetic и NAS, естественно, разные - а значит, пробросом портов с роутера на NAS проблему не решить. Да и домен 4 уровня привязывается к одному порту NAS. KeenDNS в режиме "Через облако" работает только с ограниченным количеством портов.
Вот и возникает вопрос:

- Как попасть на порт NAS, используя домен 4 уровня от KeenDNS?

Рис. 1

Рис. 2

Рис. 3

Рис. 4

Рис. 5

Рис. 6

Рис. 7

Edited March 4 by Algerd Litvin
Корректировка внешнего вида (текст не менялся)

[Le ecureuil]

Через несколько портов - никак. Только по одному порту на ваш выбор.

[Algerd Litvin]

9 часов назад, Le ecureuil сказал:

Через несколько портов - никак. Только по одному порту на ваш выбор.

Большое спасибо за вашу реакцию, но позволю себе усомниться.
Я немалое количество Десятков раз (в обсуждениях данной темы в Сети) видел безапелляционные утверждения, что "стандартными средствами получить сертификат в Let's Encrypt на NAS, который за роутером, совершенно невозможно".

На данный момент, исходя из своего опыта, предполагаю, что в информационных технологиях слово "никак" относится только к вариантам бесконечной рекурсии. Во всех остальных ситуациях проблему решают костыль - 2 костыля - 3 костыля... Но решают.

P.S. В данный момент одно из направлений моих размышлений сводится к тому, что в прошивке Keenetic не запрещено, но НЕ РАБОТАЕТ :
На этапе 3 - в настройках роутера Keenetic ("Сетевые правила"/"Доменное имя"/"Доступ к веб-приложениям домашней сети") после получения субдомена 4 уровня для NAS (по HTTPS на порт 5001) - вида domain1.xxxx.keenetic.pro
если попытаться получить второй субдомен 4 уровня для того же NAS, но для другого порта - вида domain2.xxxx.keenetic.pro
то прошивка 4.2.6.1 судорожно дёргается но окно получения второго домена не закрывается
- оно некоторое время отображает выполнение какой-то функции, затем кнопка "Сохранить" снова становится кликабельной, -
после чего окно получения второго домена закрывается (т.е. реагирует) только через "Настройки не сохранены. Покинуть страницу без сохранения настроек?".

Раз никаких сообщений об ошибках в этот момент нет и нет указания на запреты и ограничения, то предполагаю, что это свидетельствует
об ОШИБКЕ В ПРОШИВКЕ KEENETIC.

[Le ecureuil]

Вы начинаете противоречить сами себе.

То, что не удается создать два разных домена 4 уровня - это баг, но про это в оригинальном посте ни слова. Покажите как минимум self-test, чтобы я оценил что там у вас идет не так.

А то, что в один домен 4 уровня нельзя добавить несколько портов - так устроено, менять пока не планируется. Именно про это и был мой пост.

[Algerd Litvin]

11 минут назад, Le ecureuil сказал:

Вы начинаете противоречить сами себе.

Возможно я написал слишком много слов и от этого стал не понятен их смысл. Сожалею.

Вопрос:
- Как попасть на порт NAS, используя домен 4 уровня от KeenDNS?

Я ни разу не писал, что хочу попадать на Разные порты NAS используя один и тот же домен 4 уровня! (Цитата: "Да и домен 4 уровня привязывается к одному порту NAS" + "2 функции требуют обращения к NAS по нестандартным портам" = т.е. а нужны два порта). Меня вполне устроит если разные порты ОДНОГО устройства в локальной сети будут соответствовать РАЗНЫМ доменам 4 уровня от KeenDNS, но прошивка Keenetic не работает и не даёт это сделать. Поэтому я и спросил - каким образом (вручную/костылём/танцем с бубнами) сделать то, что в прошивке Кнопками не выполняется.

P.S. Одной фразой - как сделать то, что в прошивке Keenetic не работает нажатием на кнопки (а должно работать)?

[Denis P]

1 час назад, Algerd Litvin сказал:

Возможно я написал слишком много слов и от этого стал не понятен их смысл. Сожалею.

Вопрос:
- Как попасть на порт NAS, используя домен 4 уровня от KeenDNS?

Я ни разу не писал, что хочу попадать на Разные порты NAS используя один и тот же домен 4 уровня! (Цитата: "Да и домен 4 уровня привязывается к одному порту NAS" + "2 функции требуют обращения к NAS по нестандартным портам" = т.е. а нужны два порта). Меня вполне устроит если разные порты ОДНОГО устройства в локальной сети будут соответствовать РАЗНЫМ доменам 4 уровня от KeenDNS, но прошивка Keenetic не работает и не даёт это сделать. Поэтому я и спросил - каким образом (вручную/костылём/танцем с бубнами) сделать то, что в прошивке Кнопками не выполняется.

P.S. Одной фразой - как сделать то, что в прошивке Keenetic не работает нажатием на кнопки (а должно работать)?

Если честно, вас очень сложно понять. По этому задам уточняющий вопрос: вы пытаетесь создать два доменных имени 4го уровня для одного устройства, указав при этом разные порты, но у вас это не получается?
Данный сценарий базовый и не требует каких-то дополнительных манипуляций
Если так, стоит обратить внимание на Системный журнал в разделе "диагностика" (возможно это поможет понять причину)

Edited March 4 by Denis P

[MDP]

У не проще ли у производителя этого NAS завести УЗ , этот сервис у них предусмотрен, а нужные порты служба UPNP роутера сама пробросит.

Ну будет у вас домен 4-го уровня от производителя данного NAS...это не подходит?

[Algerd Litvin]

1 час назад, Denis P сказал:

Если честно, вас очень сложно понять. По этому задам уточняющий вопрос: вы пытаетесь создать два доменных имени 4го уровня для одного устройства, указав при этом разные порты, но у вас это не получается?
Данный сценарий базовый и не требует каких-то дополнительных манипуляций
Если так, стоит обратить внимание на Системный журнал в разделе "диагностика" (возможно это поможет понять причину)

Печально, что меня тяжело понять. Не стреляйте в пианиста - он играет как умеет.

Попытаюсь ещё раз перефразирую проблему:
1). Есть функционал прошивки Keenetic (Вы правы, что он - базовый).
2). Этот функционал не функционирует в прошивке 4.2.6.1
Вопрос - как сделать тоже самое (что делает кнопка, которая не работает), например, в командной строке?

Данный сценарий не должен требовать манипуляций, но требует, т.к. в прошивке ошибка.

Прошу прощения, если и сейчас не понятно, что я пытаюсь узнать - как вручную обойти ошибку прошивки, то на этом мои полномочия всё...

[Le ecureuil]

6 минут назад, Algerd Litvin сказал:

Вопрос - как сделать тоже самое (что делает кнопка, которая не работает), например, в командной строке?

> ip http proxy <name>

>> upstream http <upstream> <port>

ну и остальные параметры в cli guide поищите, они подробно расписаны.

[Algerd Litvin]

1 час назад, MDP сказал:

У не проще ли у производителя этого NAS завести УЗ , этот сервис у них предусмотрен, а нужные порты служба UPNP роутера сама пробросит.

Ну будет у вас домен 4-го уровня от производителя данного NAS...это не подходит?

В том-то и дело, что конструкция от Keenetic меня полностью устраивает:

По доменному имени попадать на конкретный порт устройства в локальной сети.

Но мне нужно попадать на разные порты одного и того же устройства (учётная запись производителя NAS даёт только 1 домен, без субдоменов для всего устройства). Понятно, что можно воспользоваться внешними сервисами FreeDomain etc. Но хочется найти решение без промежуточных звеньев.

[MDP]

4 минуты назад, Algerd Litvin сказал:

В том-то и дело, что конструкция от Keenetic меня полностью устраивает:

По доменному имени попадать на конкретный порт устройства в локальной сети.

Но мне нужно попадать на разные порты одного и того же устройства (учётная запись производителя NAS даёт только 1 домен, без субдоменов для всего устройства). Понятно, что можно воспользоваться внешними сервисами FreeDomain etc. Но хочется найти решение без промежуточных звеньев.

Я так понял вы хотите по имени  xxx.name.keenetic.pro например попадать в веб-морду NAS. По имени xxx1.name.keenetic.pro попадать в webdav NAS. По имени xxx2.name.keenetic.pro ещё куда-то по http протоколу ? 

Edited March 4 by MDP

[FLK]

Слушайте у меня был NAS от Synology, но я ни черта не понимаю что хочет автор)))) Вот так что ль надо?

Ну вместо S24 будет допустим NAS 😃

 

Edited March 4 by FLK

[Algerd Litvin]

В 04.03.2025 в 15:21, MDP сказал:

Я так понял вы хотите по имени  xxx.name.keenetic.pro например попадать в веб-морду NAS. По имени xxx1.name.keenetic.pro попадать в webdav NAS. По имени xxx2.name.keenetic.pro ещё куда-то по http протоколу ? 

Да. Именно так.

В 04.03.2025 в 15:43, FLK сказал:

Слушайте у меня был NAS от Synology, но я ни черта не понимаю что хочет автор)))) Вот так что ль надо?

Ну вместо S24 будет допустим NAS 😃

 

Давайте вместе посмеёмся. Вот только объясните - в чём юмор. В прошивке 4.2.6.1 ОШИБКА !! Ха-Ха-Ха... Уже смеяться? Человек спросил - как руками сделать то, что прошивка не делает (хотя должна). Его в ответ заплевали кислотой (спасибо, что не набросали "ответов" на вентилятор). Степень токсичности и сомнительной полезности этого форума начинает удивлять.

В 04.03.2025 в 15:12, Le ecureuil сказал:

> ip http proxy <name>

>> upstream http <upstream> <port>

ну и остальные параметры в cli guide поищите, они подробно расписаны.

Большое спасибо! Ваш ответ - единственный, имеющий смысл.

ТОЧНЫЕ обстоятельства проблемы:
В прошивке 4.2.6.1  при создании второго доменного имени 4 уровня (в разделе "Доступ к веб-приложениям домашней сети"), указывающего на то же самое устройство в локальной сети, в режиме "Доступ из Интернета"/"Авторизованный доступ" - новое доменное имя не отображалось в списке (и не работало), НО существовало в stable_4.02.C.6.2-1_router_startup-config . При этом, повторное создание домена с теми же именем и портом назначения не отображало окна об ошибке (или о том, что данный домен уже занят). И выйти из окна повторного создания можно было только отменой.

РЕШЕНИЕ:
В прошивке 4.2.6.2  данной проблемы уже нет (домены 4 уровня создаются в режиме "Авторизованный доступ" для одного устройства в локальной сети).

Edited March 10 by Algerd Litvin
Уточнение.

[MDP]

Разработчики уверяют, что отличие 4.2.6.1 от 4.2.6.2  лишь ...

• MWS: исправлено повторное подключение к беспроводному каналу связи при включенном WPA3 [SYS-1281]

 

...лукавят да?

[Algerd Litvin]

Не в курсе. В моём случае проблема (возникающая, я думаю, при довольно редком стечении обстоятельств - не каждый создаёт множественные субдомены с авторизованным доступом на одно и тоже устройство по разным портам) была явной недоделкой = не учли один из результатов проверки условий и не вывели окно с сообщением об ошибке. Попадалась информация, что что-то похожее было с ошибкой [KNDNS-136] в прошивке 3.9. Но это не точно.

[Le ecureuil]

Между этими версиями нет никаких изменений в веб-интерфейсе. Скорее всего у вас обновился кэш в браузере или сам браузер, и все заработало нормально.

[Algerd Litvin]

В 10.03.2025 в 14:18, Le ecureuil сказал:

Между этими версиями нет никаких изменений в веб-интерфейсе. Скорее всего у вас обновился кэш в браузере или сам браузер, и все заработало нормально.

Факт, что проблема исчезла после обновления прошивки.

Браузеры совершенно точно не при чём. У меня на роутере 2 провайдера (так что каналы связи к данной проблеме отношения не имеют). Роутер я пытался настроить с ПК, ноутбука, NAS и телефона= браузеры FireFox (2 устройства) + Opera (3 устройства) + Chrome (4 устройства) + Edge (1 устройство). Если бы в приложении Netcraze был бы функционал субдоменов (например, в разделе - роутер / Сетевые правила / CrazeDNS), то я бы попробовал и приложение. Я не задаю вопросов другим людям если не попробовал все, известные мне варианты.

 

P.S. В приложении Netcraze субдомены не только не управляются, но и не отображаются вообще.