Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: scientific 24. 05. 2021, 00:26:35

Název: Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: scientific 24. 05. 2021, 00:26:35
Ahoj, znáte prosím někdo nějaký způsob, jak si vytvořit přístup k mé NAS odkudkoliv, nejen z lokální sítě?

Napadá mě:


Děkuji všem za tipy.
Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: _Jenda 24. 05. 2021, 01:26:31
Statickou veřejnou IP nepotřebuješ - pokud máš dynamickou veřejnou tak to právě řeší to DDNS. Ale potřebuješ veřejnou. Jestli chápu dobře, tak nemáš ani dynamickou veřejnou. Napadají mě ještě tato řešení:
VPN - Koupit VPN a nakonfigurovat ho v linuxu té NASky.
Pozor že to co se dneska obchodně označuje „VPN“ (e.g. „NordVPN“) tohle není. Slyšel jsem, že následující služby to jsou, ale nezkoušel jsem je, neboť toto řeším vlastní VPS s OpenVPN. https://www.zerotier.com/, https://www.vpn.net/, https://ngrok.com/

Edit: nevšiml jsem si, že to psal scientific, ale už se mi to nechce mazat a třeba si z toho něco odnesou ostatní, nebo mi dají feedback, jestli by ocenili popisovanou službu
Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: Radek Zajíc 24. 05. 2021, 05:34:43
V puvodnim prispevku chybi informace, co je to za ISP a technologii pripojeni.
Podle toho VMGneco zyxelu to vypada na DSL.
Pokud je to DSL, nekteri ISP nabizeji verejnou IP adresu v cene sluzby.

Jste si jist, ze nemate verejnou IP adresu? Jak v routeru vypada stav a nastaveni WANu, tj. jaky protokol (DHCP nebo PPPoE), jaka IP adresa je prirazena, zmeni se adresa po restartu routeru?

Jakym protokolem chcete pristupovat k tomu NASu?
Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: Filip Jirsák 24. 05. 2021, 08:28:44
DDNS - můj levný router zyxel VMGneco umí dyndns, no-ip.org apod, ale asi to funguje jinak, než si myslím. To je možné nějaká správa DNS až když tu veřejnou IP adresu mám, nikoliv náhrada. Doufal jsem, že to funguje tak, že mi poskytnou "veřejné hostname" jako neco478451.no-ip.org, přes které se dostanu i zvenčí sítě. :-D
Tohle by fungovalo, kdybyste měl dynamickou veřejnou IP adresu.

VPN - Koupit VPN a nakonfigurovat ho v linuxu té NASky.
Ano, to je možnost, případně můžete nakonfigurovat VPN na routeru.

Platit si u ISP statickou veřejnou IP adresu.
Ano, další možnost. Případně je možnost zřídit si u ISP jenport forwarding. ISP s tím má menší náklady, třeba vám ho poskytne i zdarma.

Další možnost je ještě IPv6, pokud pro vás „přístup odkudkoli“ může znamenat „odkudkoli, kde už je IPv6“.

WD v sobě má něco jako službu wd2go.com, kdy se po spárování umím nějak přes jejich webovou službu ke svému úložišti připojit přes jejich stránky, ale nechce mi ta potvora fungovat. Chyba může být v konfiguraci WD nasky, v linuxu, v nastavené routeru, v nastavení té wd2go aplikace nebo co já vím kde, prostě to nejde mrcha. :-)
To je asi nejjednodušší možnost. Ale s informací „nejde to“ vám asi nikdo nepomůže. Kdybyste napsal, co jste udělal a jaký je výsledek, možná by někdo poradit uměl.
Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: scientific 24. 05. 2021, 09:05:38
@_Jenda

Já vlastně dynamickou veřejnou mám. Takže DDNS použít mohu. To je super, nejspíše zvolím tedy tuto cestu.

IPv6 tunel asi není dobrá cesta, stále ne všichni mají podoru ipv6. Já myslel, že VPN se dělá právě přes tunel.

Mám několik VPS, ale nechci se s tím srát, abych si dělal vlastní VPN. To už bych dal raději pár stovek ročně známému. Ještě raěji bych to ale konfiguroval sítově v DNS přímo v routeru. Vložit jeden DNS záznam mi přijde lepší, než instalovat openvpn klienta, nastavovat ho, ladit ho, kontrolovat logy a spoléhat na VPN server. VPN si nechám jako zálohu. Udělej si průzkum trhu, domluv si předběžné zájemce. Vytvořil bych tu topic a zeptal se, stylem: "Ahoj, mám v plánu tohle, předběžně zjisťuji, zda by o to byl vůbec zájem. Uvítal byste někdo tuto možnost?" Pokud se najde tolik lidí, aby ti to pokrylo náklady na správu, tak můžeš začít.

Hraje roli, že jsem to psal já? :-)

ISP je Vodafone.

Jak vypadá stav a nastavení WAN ti posílám jako screenshoty, je to přes PPPoE. Jestli se mění s restartem nevím, ale čas od času se mění, hádám tak jednou měsíčně, ale píšeš, že při použití DDNS nemusí být statická, když je veřejná, tak to nevadí ne? Chápu ale, že zvažuješ ještě jiné třeba lepší cesty.

Přistupuji lokálně přes FTP/CIFS(asi SMB v 1.0). V noci se mi ještě povedlo zprovoznit tu službu wd2go.com, ale je to k ničemu, je to jen takový něco jako lepší nebo spíše horší webFTP klient. Nejspíše funguje pře něco jako UPnP (nevím co to je, ale aby to fungovalo, musel jsem to aktivovat). :-D

Port forwarding od ISP asi nechápu jak nastaví, resp jak to já pak budu používat při měnící se adrese.

Nejde to = služba wd2go píše "nejde to" chyba může být v tomhle nebo v tomhle a nebo v tomhle a přitom ve finále nebyla a ni v jednom z toho. :-)

Děkuji ti, za takovou snahu a obsáhlou pomoc. Jdu zkusit založit, nastavit DDNS a přidat DNS záznam pro IP adresu NAS.


Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: vlado99 24. 05. 2021, 10:56:40
@_Jenda
...Mám několik VPS, ale nechci se s tím srát, abych si dělal vlastní VPN....

Keď máš VPS na verejných statických IP a ak Tvoj NAS má SSH klienta a CRON, môžeš skúsiť aj reverzný ssh tunel (https://www.abclinuxu.cz/blog/vlado99/2021/5/ssh-klient-v-prikladoch-2).
Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: scientific 24. 05. 2021, 11:12:12
No mě se víc pro svoji jednoduchost líbí nastavení routeru DDNS Říkal jsi že DDNS je pro mě vhodné pokud mám DYNAMICKOU ale veřejnou IP adresu. Jsi si tím jistý? Udělal jsem to během pár minut a asi to i funguje. ALE Došlo mi, že asi není tak úplně pravda, že mohu mít DYNAMICKOU veřejnou IP adresu. Protože tento způsob není vhodný pro DYNAMICKOU, jelikož je tam v noip.org fixně vepsaná, takže jakmile se veřejná IP změní, tak jsem zvenčí odříznutý. Takže jsi se spletl a musím použít sock/vpn/tunel nebo to dělám nějak špatně?

Dělám DNS záznam "moje.noip.org" typu A "10.0.0.21" (lokální IP adresa NAS) # toto mi funguje, ale podle mě po změně dynamické veřejné IP adresy fungovat přestane.
Resp lepší by bylo asi: "moje.noip.org" typu CNAME "mybookliveduo" (lokální hostname NAS) # toto jsem nezkoušel, ale určitě taky bude fungovat, ale podle mě po změně dynamické veřejné IP adresy též fungovat přestane.

Takže až budu mít nervy a čas pokusím se pochopit tvůj nový tip prostřednictvím SOCK. Zatím mi vůbec není jasný, jak mi SOCK udělá z dynamické veřejné/statické líkální IP adresy adresu statickou veřejnou.
Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: Radek Zajíc 24. 05. 2021, 11:29:11
Vodafone, PPPoE - takže to je nějaká forma DSL. Screenshoty bohužel nedorazily, ale Vodafone u VDSL služby uvádí neveřejnou adresu, takže ta pravděpodobně bude i na WAN portu (PPPoE).

Existuje nějaký důvod, proč zůstávat u Vodafonu? Například T-Mobile nebo Metronet umí na VDSL jak IPv6, tak veřejnou IPv4 adresu (statickou) v ceně služby.
Nativní IPv6 se nedělá tunelem, prostě se použije konektivita, která od ISP je (vedle IPv4 konektivity). :)

Triky s VPN na NASu asi budou fungovat, podobně se SSH forwardingem a pod., ale je to rovnák (workaround) na ohejbák (neveřejná adresa na WAN/PPPoE rozhraní). Navíc - kolik ta VPN resp. VPS bude stát? Veřejná IPv4 adresa u Vodafone stojí 175 Kč měsíčně.
Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: Filip Jirsák 24. 05. 2021, 11:30:44
Tyhle služby jsou určené právě pro ty případy, kdy máte dynamickou IP adresu. Je k nim skript, který jednou za čas provolá řídící server té DDNS služby a IP adresu nastaví. Typicky se to dělá přes HTTPS – dostanete unikátní kód, a když přijde požadavek na adresu s tímto unikátním kódem, zdrojová IP adresa se nastaví pro váš DNS záznam. Pak stačí pravidelně volat ten požadavek třeba každých 15 minut. Mikrotik má myslím pro známé DDNS služby podporu přímo v sobě, že to stačí nakonfigurovat a zapnout.
Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: tr1l1ner 24. 05. 2021, 11:48:41
DDNS funguje tak, ze nejaka sluzba (nejcasteji) na routeru kontroluje verejny DNS zaznam s IP adresou pridelenou na WAN. Pokud se shoduji, tak je vse v poradku. Paklize ne, tak dojde k nahrazeni IP adresy v zaznamu za novou a vse zase funguje.
Nejsem si jisty, jak je na tom Zyxel, ale tahle sluzba je k dispozici na Mikrotik, OpenWRT, Turris, pfSense, OPNSense a dalsich.
Asi nejjednodussi moznost, pokud mate dynamickou verejnou adresu.
Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: scientific 24. 05. 2021, 11:54:36
@Filip Jirsák, @tr1l1ner, @Radek Zajíc

EDIT: Ahá, tak ten router to asi přecejen dělá sám už jen tím, že jsem do něj zadal moje přístupové údaje do noip.org tak to v řípadě změny tu novou IP adresu zřejmě nastaví samo, tak to je super. Asi tedy vyřešeno, díky všem. Až budu mít možnost otestovat zvenčí a až se změní IP adresa, tak dám vědět, kdyby to nefungovalo, jinak super to je vymyšlený, díky moc vám všem


Můj router žádný http webhook asi neumí. Nevíš jak se to prosím jmenuje oficiálně? To by krásně můj problém vyřešilo. Nemám žádný super turbo vychytaný drahý mikrotik, mám nejlevnější modem za tisícovku Zyxel VMGneco, takže mám třeba smůlu. Ale můžu nsi pro NAS zapnout SSH, a v nejhorším případ, pokud to fakt jinak nepůjde, tak si ten skript udělat a spouštět ho cronem, vracet přes http aktuální veřejnou IP adresu, aby tedy ten noip.org byl v obraze.

@Radek Zajíc
Podle mě mám určitě dynamickou veřejnou IP adresu, a mezi teď a ránem už se stihla změnit, ale jinak se obvykle moc nemění.

Zůstat u Vodafonu existuje a je nepřekonatelný.

VPN pres openvpn mě bude stát pár až několik stovek ročně.


Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: Radek Zajíc 24. 05. 2021, 12:36:12
Tzn. v routeru v nejakem prehledu WAN (stavu pripojeni) je jaka IP adresa? (Staci prvni tri oktety.)

Je divne, ze by se adresa menila behem existujiciho PPPoE pripojeni. Zmenit se samozrejme muze pri odpojeni/znovupripojeni (treba pri restartu).
Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: scientific 24. 05. 2021, 12:45:38
Nezměnila se, použil jsem službu, která ukázala asi IP adresu gateway či co. Ip adresu mám pořád stejnou. V nastavení modemu není nikde ve stavu připojení ani v konfiguraci WAN nikde IP adresa zobrazena, ale mojeip.cz mi ukazuje 31.30.170.* Tentokrát už screenshoty přikládám.
Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: Radek Zajíc 24. 05. 2021, 15:32:49
Podle manuálu (strany 28, 66 a 67) by se po kliknutí na "šipku vpravo" (s podtextem "stav") na obrazovce se seznamem zařízení měl ukázat "connection status" a v něm by měla být i IP adresa.

https://prodotti.zyxel.it/USERSGUIDE/VMG3312-T20A.pdf
Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: scientific 24. 05. 2021, 18:38:05
Jo tak tady to je. Posledně, když jsem na to kliknul, tak mě to odhlásilo, tak už jsem na to raději neklikal, děkuji. :-)

WAN IP:  100.65.189.*



Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: Radek Zajíc 24. 05. 2021, 20:44:21
Tak to mám špatnou zprávu. 100.65.189.* patří podle RFC 6598 (https://datatracker.ietf.org/doc/html/rfc6598) do bloku 100.64.0.0/10 mezi vyhrazené IP bloky a zjednodušeně se používá na WAN straně tam, kde operátor nechce používat veřejné adresy. Do internetu přistupujete skrz NAT Vodafone, který IP 100.65.189.x přepisuje na 31.30.170.x.

Tenhle blok byl určen k tomu, aby operátoři nepoužívali pro adresování WAN rozhraní privátní IP adresy (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) a nevznikaly konflikty mezi sítí operátora a zákazníka.

Dynamické DNS tedy stačit nebude, protože Váš router není z Internetu přímo dostupný.

Zůstávají tedy varianty s VPN na VPS a přístupem skrze VPS, SSH tunelováním na VPS, zaplacením veřejné IP adresy Vodafonu, případně přechodu k jinému operátorovi.
Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: SB 25. 05. 2021, 12:09:26
Nemůže se jednat o pronatovanou veřejnou? Nebo to Vodafone takhle nedělá?
Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: PanVP 25. 05. 2021, 12:35:20
Lister: Jo...no...a nebo použijeme teleportér Synology NAS  ::)

Jak Synology postupuje:
SyNAS se pokusí ověřit, jestli je možné nastavit spojení přímo na modemu (UPNP, portRedirection)
Pokud se mu to povede, je lepší přejít z UPNP na přesměrování portů.
Pokud se mu to nepovede, pokusí se přejít na IPv6
Pokud se mu nepovede ani tohle, zpřístupní váš NAS přes vlastní síť (jejich GW).
A zároveň se stará o vlastní formu DynDNS: blablabla.synology???net???.com nebo něco takového...
Asi dokáže tunelovat IPv4 skrz IPv6 (myšleno tak, že NAS myslím nemusí mít IPv4 adresu a jeho IPv6 může být z venčí blokovaná firewallem a přesto se lze připojit na IPv4.)

Takže je to na jedno kliknutí  ::)
Šikovnější uživatelé s nějakou formou veřejné IP adresy se přenou z UPNP (podle logu v modemu) na přesměrování portů. SyNAS dokonce dokáže hodně modemů sám nakonfigurovat.
Název: Re:Vzdálený přístup bez statické veřejné IP adresy
Přispěvatel: Death Walker 25. 05. 2021, 21:43:32
Alebo si vyrob vpn sam ;) https://hackernoon.com/using-a-vpn-server-to-connect-to-your-aws-vpc-for-just-the-cost-of-an-ec2-nano-instance-3c81269c71c2