Dynamická IP a připojení zvenčí

[JurajP]

Mam verejnu dynamicku IP adresu, zriadeny DDNS a OpenVPN. Momentalne fungujem tak, ze sa pripojim cez OpenVPN a dokazem pristupit na zariadenia v domacej sieti. Skusal som aj priamo sa pripojit na tu IP od ISP, ale to nefunguje. Ak spravne uvazujem, bude to problem resp. nieco s NAT? Momentalne zvazujem, ci si nezaplatim staticku IP adresu, aby som nemusel riesit napr. pre manzelku nejaku vpn, aby si mohla pozriet, ked nam niekto zvoni, alebo pozriet kamery.

[Reklama]

[Filip Jirsák]

To VPN je navazované zevnitř ven, nebo z venku dovnitř (na tu vaši dynamickou IP adresu)? Kdybyste byl za NATem ISP, nemáte veřejnou IP adresu. Mohl by teoreticky být v cestě nějaký firewall ISP, který by tu komunikaci navazovanou z venku na dynamickou IP adresu blokoval.

Jak jste přišel na to, že „nefunguje připojení přímo na tu IP od ISP“? Co jste zkoušel? Jakou službu, jakým způsobem? Běželo na tom zařízení s veřejnou IP adresou něco, co by na tu komunikaci mohlo odpovědět?

[JurajP]

normalne som zadal IP adresu a cakal som, ze sa dostanem na default adresu 192.168.1.1., co je adresa routra. VPN sa pripajam z vonku dovnutra. pouzivam na to ten DDNS no-ip.

[JurajP]

skusal som sa aj pripojit na IP kameru, nastavil som port forwarding a neslo to

[Martin-2]

Určitě bude potřeba nejdříve povolit spojení na router management z venčí (ZTE - Remote management (via WAN), Zyxel - remote access, atd.) to bude důvod proč Vám nešlo při zadání IP dostat se na router (po nastavení sítě zase zakázat!).

Některé kamery/DVR vyžadují zapnuté UPnP (třeba hikvision), nehraje roli zda to máte nastaveno dobře, buď to nefunguje vůbec nebo to náhle přestane.

VPN pro manželku na vzdálený přístup je rozhodně rozumnější než přímý přístup do sítě. Dneska jsou asi nejlehčí routery které mají vlastní VPN (Tp-link, asus) což je více vhodné pro nenáročné uživatele (nastav a zapomeň).

Pokud si to chcete ulehčit, klidně si kupte veřejnou statickou IP a pak nasadit wireguard a můžete zachovat i OpenVPN (odpadne nutnost DDNS).
Wireguard v telefonu už bude jen appka kde kliknete zapnout a vypnout (po tom co ji správně nastavíte).

[Reklama]

[JurajP]

tiez premyslam, ze priamy pristup do siete nebude uplne secure riesenie. asi mate pravdu, ponecham openvpn, a mozno dam aj tu staticku ip

[LukePole2]

Pokud běží server OpenVPN přímo v routeru a je tam možnost i VPN od stejného výrobce, typicky TP-Link to tak má, pak je zbytečné si za statickou IPv4 doplácet, jelikož DDNS v těchto případech funguje jak má.

A pokud jde o přímý přístup na IP adresu (resp. na zařízení, která jsou přes veřejnou IPv4 dostupná zvenčí), tak to není moc šťastné řešení, protože je tady riziko, že stejným způsobem se o to pokusí i někdo nezvaný. VPN je mnohem lepší řešení.

[Filip Jirsák]

normalne som zadal IP adresu a cakal som, ze sa dostanem na default adresu 192.168.1.1., co je adresa routra.

To určitě ne. Veřejnou IP adresu má vnější rozhraní routeru (to připojené do sítě ISP), 192.168.1.1 má vnitřní rozhraní (to připojené do vaší sítě). Serverové programy mohou být nastavené tak, aby naslouchaly na obou (všech) rozhraních, ale zejména u routerů bývá výchozí konfigurace taková, že na vnějším rozhraní neposlouchá nic.

tiez premyslam, ze priamy pristup do siete nebude uplne secure riesenie. asi mate pravdu, ponecham openvpn, a mozno dam aj tu staticku ip

Bezpečnost se řeší především tak, abyste neměl ve vnitřní síti spuštěné žádné servery, které tam být nemají. Další vrstva může být blokace pomocí firewallu. S tím, že se „schováte“ za VPN bych moc nepočítal, protože pokud nemáte na routeru nastavený firewall, je možné, že se útočník dokáže dostat do vaší sítě, i když vy sám používáte VPN.

Veřejná statická IP adresa na tom pravděpodobně nic nezmění – pokud nemáte správně nakonfigurovaný váš router, nedostanete se z venku do sítě ani se statickou veřejnou IP adresou, když se tam nedostanete ani s dynamickou.

Jediné aspoň trochu pravděpodobné, v čem by mohl být rozdíl, je to, že ISP pravděpodobně nebude blokovat žádnou komunikaci na statickou veřejnou IP adresu, nebo bude blokovat pár notoricky známých problematických portů, jako třeba Samba nebo RDP. Zatímco u dynamické veřejné IP adresy si dovedu představit, že nějaký ISP může ve výchozím nastavení blokovat veškerý provoz zahájený z venku, kvůli tomu, že třeba mnoho jeho zákazníků nepočítá s tím, že mají veřejnou IP adresu. Ale to by bylo potřeba zjistit u toho ISP.