Funkčnost myQNAPcloud(Link) jako plného tunelu na základě TLS

Využití vaši NAS v osobním Cloudu
Odpovědět
paternoster
Příspěvky: 70
Registrován: 05 led 2022, 16:38
Kontaktovat uživatele:

Funkčnost myQNAPcloud(Link) jako plného tunelu na základě TLS

Příspěvek od paternoster »

Dobrý den, mám poměrně odborný dotaz specifické využití funkce na myQNAPcloud / Link. Odpověď snad bude stručnější, ale dotaz budu muset celkem obšírně vysvětlit a je k němu nutná znalost HTTP, TLS, SNI . Klíčový fakt je, že nemám veřejnou IP adresu (jinak bych se na něj připojil přímo nebo Jistě by to šlo řešit nějakou VPS , na kterou by NAS za NATem udržoval spojení, VPS by forwardovala porty nebo forwardovala celý IP traffic NAS ). Taky jsem si myQNAPCloud (a tedy ani Link) neaktivoval (nikam jsem ještě neopisoval kód na stěně NASu Cloud Key a proto mi to na všech záložkách píše you need validad sign in using qnap id) a neznám na vlastní kůži co tyto funkce přesně nabízí, umí a dělají. (Mám takové zevrubné tušení z produktových článků nebo recenzí že Link právě pomůže lidem bez veřejné IP adresy, že dělá+udržuje tunel z NAS na veřejné servery a myQNAPcloud jako taková funkce asi jen dělá DDNS, taková je moje představa)

Pokud znáte službu ngrok.io, tak asi budete vědět na co se ptám. Jak jsem psal, celé to pramení z absence veřejné adresy. To na co se ptám, na jaké úrovni umí myqnapCloudLink tunelovat traffic k NASu. Klíčová funkcionalita (na straně serverů qnapCloud Link), aby toto mohlo fungovat, je SNI alias rozlišování více "virtuálních hostů"(domén) jak to známe z HTTP serveru Apache, kde jeden https server může obsluhovat více domén Na základě Hlavičky host, ale v šifrovaném spojení na základě SNI- jelikož HTTP je skryto a šifrováno.)

Obdobně, serverů myQNAPcloud Link je relativně pár a přesto mohou obsluhovat více NASů a to na základě Multiplexingu TLS přes SNI. Proto je klíčové, aby servery věděly, ke kterému NASu patří jaká doména (xxx.myqnapcloud.com)

takže ty otázky
(a opravdu jsem si je promýšlel abych se neptal na něco co zjevně je nesmyslné.)

1. Umožňuje myQNAP cloud Link jen k vybraným funkcím NAS (File station) a tedy i administračnímu rozhraní, nebo i k vybraným portům nebo dokonce přímo ke všem portům NAS? Logicky to může fungovat jen na těch protokolech, které používají TLS vrstvu - protože podle SNI domény v hlavičce TLS pozná, kam TLS odklonit-přesměrovat. Rozdíl v označení funkcním/portům je zásadní nepsal jsem to jen tak. Pokud mi poběží https server na portu 8999 tak jestli bude dostupný i přes Link)
2. Funguje to i na vlastní doméně ( nastavím DNS: janalfonsryba.cz -> CNAME nas7482ryba.myqnapcloud.com) ? Logicky by se v konfiguraci serverů/služby Link přidat aby akceptoval i doménu janalfonsryba.cz, jinak by nevěděl, komu doménu přiřadit. (Doména se tam vyskytne hned dvakrát, prvně v SNI, podruhé v HTTP Host: v případě provozu HTTP)
3. Jak je to s certifikáty? Funguje to end-to-end? Tím myslím, že TCP stream od někoho z internetu bez změny (nebo lépe řečeno bez dešifrování a opakovaného zašifrovanání) půjde přes servery Link na můj NAS. ož teoreticky je mozné, protože to pozná dle SNI. A ten člověk uvidí ten samý certifikát, který já sám jsem si na NASU vytvořil - klidně self-signed?
A nebo qnap Link servery stream dešifrují (tím pádem návštěvník uvidí nějaký jiný certifikát - něco jako QNAP Systems Inc, ) a zabezepčeným tunelem pošle na můj NAS( ten tunel iniciuje můj NAS,protože je za NATem) .

4. Bude fungovat například http a https server na nasu? Jaký certifikát se ukáže návštěvníkovi? Pozor, dokonce lze vystavit různé certifikáty na různých portech!
5. Bonusová otázka: může být myQNAPCloud (Link) registrováno na víc domén?

Teoreticky tomu nic nebrání :
https://janalfonsryba.cz:8980 půjde na servery myqnap cloud Link (díky cname a například DNS záznamu *.myqnapcloud.com nebo nas7842ryba.myqnapcloud.com A 1.2.3.4 A 1.3.3.8 .... )
TLS demultiplexer na serverech pozná že jde o TLS spojení pro klienta nas7842:ryba.myqnapcloud.com a podle odpovědi na otázku 3 přepošle stream bez úprav rovnou na můj NAS(což jde, jelikož NAS tam udržuje spojení, když je za NATem) a nebo stream dešifruje a znova jinak zašifrovaný pošle zase na muj NAS.



Otázky převedeny do praktické roviny:
1 .
Je možné https://nas7482ryba.myqnapcloud.com (bez uvedeného portu- implicitně 443) ... Otevře se administrační rozhraní nebo http(s) server nebo speciální obrazovka myQNAPcloud?
Nebo Server Link funguje "hloupě", že doménu nijak nezkoumá a nerozlišuje a ukazuje standardizovaný dialog jako pro přihlášení do NASu?
Co bude na https://nas7482ryba.myqnapcloud.com:8443 a https://nas7482ryba.myqnapcloud.com:67000, když v nasu budu mít nastaveno konfig.rozhraní na portu 8443 a http server na 67000?
2.
https://mojedomena123.cz --- je možné (v konfiguraci myqnapCloud/(Link)) říct serverům, že tato doména je spjata s mým NAS?
3. Při přístupu na https://mojedomena123.cz nebo https://nas7482ryba.myqnapcloud.com:8443 se ukáže ten certifikát Let's encrypt, který jsem si vygeneroval nebo nahrál vlastní a nebo se tam ukáže jiný certifikát?


rozhodně Nečekám, že rozhodně všechno půjde, je to ostatně i celkem riskantní pro servery qnapu, že budou dělat proxy pro všechno , ačkoliv pořád jen pro množinu klientů QNAP. Přesto bych rád věděl, co všechno ten myqnapcloud + Link umí z těchto požadovaných funkcí. Bod 3(certifikáty) je dokonce hodně odvážný.
QNAP bug hunter
paternoster
Příspěvky: 70
Registrován: 05 led 2022, 16:38
Kontaktovat uživatele:

Re: Funkčnost myQNAPcloud(Link) jako plného tunelu na základě TLS

Příspěvek od paternoster »

Věděli byste jestli by to takhle šlo?
QNAP bug hunter
LukasH
Příspěvky: 23
Registrován: 02 čer 2021, 10:57
Kontaktovat uživatele:

Re: Funkčnost myQNAPcloud(Link) jako plného tunelu na základě TLS

Příspěvek od LukasH »

Dobry den,
MyQnapcloud má dvě různé služby, jednou z nich je Myqnapcloud link, což je spojení z bodu do bodu mezi NAS a naším serverem, které vám umožňuje přístup k webovému rozhraní NAS pro nastavení a používání aplikací na NAS, také některé aplikace, jako je qsync, by mohly používat, ale je to omezené připojení.
Obrázek

A na druhé straně máme myqnapcloud DDNS server, který umožňuje přesměrovat provoz z vašeho routeru na NAS, když používáte dynamickou externí IP adresu.
Obrázek

Pomocí služby Network & Virtual Switch můžete také používat různé služby DDNS třetích stran.
Obrázek

1. umožňuje myQNAP cloud Link přístup pouze k vybraným funkcím NAS (File station) a tedy k administračnímu rozhraní, nebo také k vybraným portům nebo dokonce přímo ke všem portům NAS? Logicky to může fungovat jen na protokolech, které používají vrstvu TLS - protože podle doménového SNI v hlavičce TLS ví, kam má TLS přesměrovat-posunout. Rozdíl v označení funkcí/portů je zásadní, nenapsal jsem to jen já. Pokud můj https server běží na portu 8999, pak ať už bude přístupný přes Link)

Odpověď: Odkaz MyQNAPcloud umožňuje pouze přístup k vymazaným funkcím NAS a webovému rozhraní. Není možné pomocí něj přesměrovat žádný port.

2. Funguje to i na mé vlastní doméně ( nastavil jsem DNS: janalfonsryba.cz -> CNAME nas7482ryba.myqnapcloud.com) ? Logicky by v konfiguraci serverů/služeb měl být přidán Odkaz, aby akceptoval i doménu janalfonsryba.cz, jinak by nevěděl, komu má doménu přiřadit. (Doména se tam objevuje dvakrát, poprvé v SNI, podruhé v HTTP Host: v případě HTTP provozu).

Odpověď: není možné použít přímo vlastní doménu, pokud používáte dynamickou IP. Pokud uděláte CNAME z vaší domény například na nas7482ryba.myqnapcloud.com, mělo by to fungovat, ale doporučil bych pak použít přímo registr DDNS nas7482ryba.myqnapcloud.com nebo DDNS od některého z poskytovatelů třetích stran (někteří z nich umožňují použít přímo vlastní doménu).

3. Jak je to s certifikáty? Funguje to end-to-end? Myslím tím, že TCP stream od někoho z internetu bez úprav (nebo lépe řečeno bez dešifrování a opětovného šifrování) půjde přes Link servery do mého NASu. ož je to teoreticky možné, protože to pozná podle SNI. A dotyčný uvidí stejný certifikát, který jsem si sám vytvořil na NASu - klidně self-signed?
Nebo qnap Link servery dešifrují stream (takže návštěvník uvidí nějaký jiný certifikát - něco jako QNAP Systems Inc, ) a pošlou ho zabezpečeným tunelem na můj NAS( tunel iniciuje můj NAS,protože je za NATem) .

Odpověď: Pokud jde o certifikáty, myslím, že máte na mysli certifikát SSL. V NAS může být nainstalován jeden certifikát SSL. Takže musíte nainstalovat certifikát odkazující na doménu, kterou používáte. Pokud používáte NAS_Name. myqnapcloud.com, pak musí být certifikát SSL vystaven pro tuto doménu. Pokud používáte jinou doménu, měli byste použít certifikát pro ni.

4. Bude http a https server fungovat například na nasu? Jaký certifikát se bude zobrazovat návštěvníkovi? Pozor, i různé certifikáty mohou být vystaveny na různých portech!
Odpověď: SSL certifikát bude použit pouze pro https připojení a certifikát musí být vystaven pro název domény, kterou používáte.

5. Bonusová otázka: Může být myQNAPCloud (Odkaz) registrován na více doménách?
Odpověď: Nevím, co máte na mysli, ale můžete používat více DDNS serverů najednou, ale nezapomeňte, že v NAS může být použit pouze jeden SSL certifikát, Takže https připojení bude možné pouze s jedním z doménových jmen, další bude hlásit problémy s certifikáty.

6. Je možné https://nas7482ryba.myqnapcloud.com (bez uvedeného portu- implicitně 443) ... Otevře se administrační rozhraní nebo http(s) server nebo speciální obrazovka myQNAPcloud?
Nebo Server Link funguje "hloupě" v tom smyslu, že doménu nijak nezkoumá ani nerozlišuje a zobrazí standardizovaný dialog jako pro přihlášení do NAS?
Co bude na https://nas7482ryba.myqnapcloud.com:8443 a https://nas7482ryba.myqnapcloud.com:67000, když v nasu nastavím config.interface na port 8443 a http server na 67000?

Odpověď: pokud používáte https bez zadání čísla portu, pak bude používat port 443, a pokud jde o port, můžete jej nakonfigurovat pro to, co potřebujete, Takže mám na mysli, že můžete použít port 443 pro váš zabezpečený webový GUI přístup k NAS (výchozí nastavení), nebo jej můžete změnit například na váš webový server nebo cokoli potřebujete. ale nebudete přistupovat k NAS přímo NAS, řízení portu se bere z routeru ve vašem případě, a port bude předávat provoz na port NAS bez transparentní pro konečného uživatele. Takže pokud použijete https://nas7482ryba.myqnapcloud.com, pak váš router přijme požadavek na port 443, pak jej můžete přesměrovat na port 443 v NAS nebo na jakýkoli jiný port, který potřebujete, zcela transparentně pro koncového uživatele.

7. https://mojedomena123.cz --- je možné (v konfiguraci myqnapCloud/(Link)) sdělit serverům, že tato doména je spojena s mým NAS?

Odpověď: Z myqnapCloudu není možné přiřadit žádnou doménu, která není spojena s myqnapcloudem.

8. Při přístupu na stránky https://mojedomena123.cz nebo https://nas7482ryba.myqnapcloud.com:8443 se zobrazuje certifikát Let's encrypt, který jsem vygeneroval, nebo jsem nahrál svůj vlastní, nebo se zobrazuje jiný certifikát?

Odpověď: Můžete použít certifikát Let's encrypt vygenerovaný v NAS nebo importovat libovolný certifikát vygenerovaný mimo NAS. Ale nezapomeňte, že v NAS může být nainstalován pouze jeden SSL.


Pokud tedy chcete použít vlastní doménu do NAS, doporučuji použít některou ze služeb DDNS (síťový a virtuální přepínač), které umožňují použít vlastní doménu. Pak normálně přesměrujte port a mělo by to fungovat správně a nejjednodušším způsobem.
paternoster
Příspěvky: 70
Registrován: 05 led 2022, 16:38
Kontaktovat uživatele:

Re: Funkčnost myQNAPcloud(Link) jako plného tunelu na základě TLS

Příspěvek od paternoster »

Děkuju za odpověď, asi to to trvalo dlouho vyznat se v tom a rozluštit, co vlastně chci.
Dynamická adresa mě netrápí a s ním spojené DDNS, mám statickou, ale ne veřejnou, schovanou za NATem.

Takže Link mi zprovozní přístup odkudkoli jen na webové rozhraní . Trošku jsem ale počítal s tím, že to co chci, nebude možné.

No a mě zajímá, jestli ten certifikát (pro příslušnou doménu: vlastní nebo myqnapcloud) , který si (vlastní) vložím do NASu, projde přes Link až na samý konec = k návštěvníkovi

Čili jesti ty funkce chápu dobře tak:
...-Link je Pro lidi za NATem, aby se k jejich NASu bylo technicky možné připojit. S Veřejnou adresou žádný takový problém není, prostě stačí někam zaregistrovat IP adresu / nebo ji možná NAS nějak sám odešle .
...-Cloud . Přesně nevím, ale moje představa: v případě veřejné adresy je to jen jakási pomůcka nebo "subdoména zdarma" + provedení (auto)konfigurace což je zjištění IP a promítnutí do DNS zony myqnapcloud.com. V Případě neveřejné adresy to je vlastně zpřístupnění jedineho vstupního bodu do webového rozhraní.
QNAP bug hunter
LukasH
Příspěvky: 23
Registrován: 02 čer 2021, 10:57
Kontaktovat uživatele:

Re: Funkčnost myQNAPcloud(Link) jako plného tunelu na základě TLS

Příspěvek od LukasH »

Pomocí DDNS můžete přesměrovat porty na NAS a překonat tak NAT, pokud máte kontrolu nad NAT. Pokud je NAT řízen poskytovatelem internetových služeb, budete se na něj muset obrátit s žádostí o řešení.

Pro osoby za NAT můžete pracovat přímo s IP adresou NAS (pokud je směrovatelná) nebo pracovat se soubory hostitele. To by neměl být problém.

Pro přístup k internetu, Pokud potřebujete pouze přístup k webovému rozhraní NAS, pak můžete použít cloudové propojení (to umožňuje řízení přístupu, pokud je to potřeba). S přístupem přes cloud link byste měli být schopni přejít přes NAS bez přesměrování portu. a adresa by měla být taková: https://qlink.to/NAS_NAME.
paternoster
Příspěvky: 70
Registrován: 05 led 2022, 16:38
Kontaktovat uživatele:

Re: Funkčnost myQNAPcloud(Link) jako plného tunelu na základě TLS

Příspěvek od paternoster »

A je možné nějak nastavit přístup k NASu bez veřejné adresy(tedy se zapnutým Cloud Link), aby byl vidět na doméně jmenonasu.myqnapcloud.com ? Což by byla nějaká doména aXv4.myqnapcloud.com nejspíš, resp. její IP adresa.. Potažmo pak další krok by byl přes vlastní doménu, která by ukazovovala CNAME na toto jméno (za předpokladu, že se to "nestřídá" nebo že na volbě nezáleží mohu si vybrat i jiný a*v4.myqnapcloud.com ,který mě taktéž propojí se svým NAS )


DDNS se v tomto chová tak, jako kdyby nepočítala s myQNAPcloud Link a nastaví DNS záznam na tu IP adresu, kterou vidí , jenže ta není veřejná. Myslel jsem, že třeba aktivace DDNS budde rozlišovat stav zapnutí Cloud Link:
- když Cloud Link je vypnutý, bude se chovat jako běžná Dyn DNS a nastaví vnější IP adresu NAS(předpoklad že je veřejná)
- se zapnutým Cloud Link nastaví DNS záznam právě na nějakou IP(nebo CNAME), ze které se půjde dostat do NASu (předpoklad že nas nemá veřjnou IP)
QNAP bug hunter
Odpovědět

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host