Nie mogę wbić do sieci lokalnej w Netii z zewnątrz

[mordor_warior 0]

Szanowni, teoretycznie to powinno być proste, chcę się wbić przez przeglądarkę do mojego dysku NAS spoza domu. Urządzenie jest widoczne w LAN pod adresem 168.192.x.x W routerze Technicolor TC7200 konfiguruję forwardowanie portu, na ten właśnie IP, w konfiguracjach routera podaję też mój zewnętrzny IP taki, jak znalazłem na różnych serwisach typu "whatsmyip" (to jest chyba IPv6). Wbijam na IP:nrportu i nic, dostępu do NAS nie ma, dostaję timeout. Ktoś pomoże albo zna jakiś tutorial? Długotrwałe guglanie nic nie dało...

[narmiak 388]

Do jakich konkretnie usług chcesz się dostać, jakie porty otworzyłeś i dlaczego korzystasz z IPv6?

[mordor_warior 0]

Hejka, dzięki, że pytasz.

 

1. Http. Chcę się wbić do panelu webowego NAS.

2. Otworzyłem porty 50500-50599. Dlaczego - bo tak każą w instrukcji obsługi NAS. Urządzenie Lenovo kiedyś działało przez taką usługę, która zapewniała statyczny IP, ale usługa wygasła, więc dlatego teraz próbuję się wbić bezpośrednio.

3. IPv4 daje identyczny efekt. Spróbowałem z obydwoma.

 

Używam dostarczanego przez Netię Routera-Modemu Technicolor TC7200, to wymusza provider.

Edytowane 24 Maja 2020 przez mordor_warior

[narmiak 388]

http działa na porcie 80 zazwyczaj, a https na porcie 443. Jeżeli przy połączeniu nie podajesz konkretnego portu, to domyślnie właśnie na 80 będzie próbowała przeglądarka się dobić. Z tego samego portu korzysta też pewnie interfejs routera, ale może być domyślnie zablokowany dostęp z zewnątrz. Spróbuj przekierować na NAS dodatkowo porty 80 i 443.

[SeN81 34]

Po pierwsze to podaj dokładny model NASa.

 

Po drugie otwieranie portu na routerze to bardzo mizerny pomysł. NASy często mają możliwość dostępu do panelu administracyjnego przez chmurę producenta. W takim wypadku nie trzeba na routerze otwierać żądny portów. Poza tym często NASy ,i nie tylko bo routery również, blokują dostęp do panelu administracyjnego z adresów innych niż adresy prywatne sieci wewnętrznej, czyli jak wykrywają połączenie z adresu publicznego to takie połączenie z automatu blokują, nie w niektórych urządzeniach da się to wyłączyć.

[mordor_warior 0]

Hej, dzięki za wszystkie odpowiedzi . Po kolei odpowiadając:

- Niestety otwarcie portu 80 i 443 nie pomogło.

- Mam Iomega/Lenovo ix2. Używałem przez parę lat usługi producenta która dawała permanentny url do NASa, ale patrząc po tym, co piszą na forach, to ją zabili. Poza tym usługa Lenovo też wymagała forwardowania portów, dokładnie od 50500 do 50599. Teraz nie działa, domena jest martwa.

- w ustawieniach NAS nie ma nic o dopuszczaniu lub niedopuszczaniu ruchu z zewnątrz. Strzelam, że pewnie nie ma takich obostrzeń, to dość stara konstrukcja.

- zaobserwowałem, że udostępnienie portu chyba działa, bo jeśli będąc w sieci lokalnej wbijam na adres IPv4 podany w routerze (100.104 itd), to nawet bez podawania numeru portu przekierowuje mnie na NAS. Oczywiście działa też na adresie lokalnym 192.168 itd.

- ale jak próbuję wbijać na adres IPv4, który widać w różnych stronach typu "Jaki jest mój ip" (78.10 itd.) to nic z tego. Nie mam pojęcia nawet, czy to wynika z tego, że coś u mnie jest nie tak, czy provider (netia) nie przepuszcza ruchu z zewnątrz.

 

 

Niestety niewiele o tym wiem i nie mam pojęcia czemu mam jeden adres IPv4 (External IP) w routerze (100.104...) i ten, który naprawdę widać na zewnątrz.

 

Jak wygląda u mnie konfiguracja forwardów pokazuję na screenie.

[narmiak 388]

External IP musisz zostawić puste.

[SeN81 34]

Dzwoń do operatora i pytaj się czy posiadasz publiczny adres IP. Jeśli na routerze masz inny adres niż na stronach typu whatismyip to wskazywało by że takowego nie masz tylko zostałeś wrzucony do jakiejś podsieci operatora, i przekierowanie portu na twoim routerze nic ci nie da bo dalej jesteś za NATem operatora.

[Hexg 47]

Dzwoń do operatora i pytaj się czy posiadasz publiczny adres IP. Jeśli na routerze masz inny adres niż na stronach typu whatismyip to wskazywało by że takowego nie masz tylko zostałeś wrzucony do jakiejś podsieci operatora, i przekierowanie portu na twoim routerze nic ci nie da bo dalej jesteś za NATem operatora.

z ciekawości popytam, podwójny NAT i nierutowalny adres zewnętrzny, da się obejść per DDNS lub inną metodą? Jeśli tak, to jaką?

 

 

 

[Bono[UG] 1625]

VPN?

[narmiak 388]

z ciekawości popytam, podwójny NAT i nierutowalny adres zewnętrzny, da się obejść per DDNS lub inną metodą? Jeśli tak, to jaką?

DDNS jedyne co robi to ustawia pod domenę zewnętrzny adres IP żebyś nie musiał ciągle go zapamiętywać lub zgadywać (co by było niewykonalne), jeżeli się zmieni.

Jeżeli połączenie nie działa, kiedy znasz adres IP, to nie zadziała też przy użyciu DDNS.

Podwójny NAT można ominąć na 2 sposoby. Jak wspomniał wyżej Bono[uG] przez łączenie się z zewnętrznym serwerem VPN, albo przez przekierowanie odpowiednich portów z routera brzegowego (tego z prawdziwym zewnętrznym IP), na router wewnętrzny, a potem na routerze wewnętrznym znowu przekierowując te porty na komputer/serwer wewnątrz sieci. Ewentualnie można wrzucić router wewnętrzny w DMZ na routerze brzegowym. To jednak wymaga dostępu do takiego routera a nie zawsze to jest możliwe.

[Hexg 47]

Dzieki Panowie .

W praktyce, kilka tygodni temu ktoś tam mnie prosił o info, nt udostępnienie usługi przez podwójny NAT, z tym że kojarzę że tam nie można było w ogóle udostępniać portów. Dostęp do routera brzegowego rozumialengo był dostęp (od strony usera) ale od strony ISP już niestety nie. VPN o ile kojarzę nie był testowany, w sensie rozumiem jako site2site.

Ale pytanie w takiem razie, jak mamy ten podwójny NAT i nieroutowalny ip publiczne (dynamiczne - mam nadzieję, że tu nie popełniam błędu) to czy VPN zadziała napewno (w sensie komunikacyjnym, jesli nie mamy dostępnego / włączonego VPN passthrue)?

 

PS. mam nadzieję, że nie uraziłem Was lamerskim pytaniem, ale zaciekawił mnie temat. THX.

Edytowane 26 Maja 2020 przez Bulsky

[Bono[UG] 1625]

Ja niestety nie podpowiem, bo wiem tyle, że technologia istnieje i z niej kilka razy korzystałem jako użytkownik, a nie administrator/stawiacz połączenia.

 

Robiłem inną rzecz, czyli tunel ssh przez zewnętrzny serwer. Działało to tak, że na tym serwerze było ustawione odpowiednie przekierowanie, potem z dwóch stron się łączyło przez ssh z opcją tunelowania.

Tutaj trzeba by mieć zrobione podobnie, czyli zewnętrzny serwer ogarniający VPN, NAS i użytkownicy się podłączają do tego serwera i widzą się jak w sieci lokalnej.

Żadne NATy, czy routery nie powinny tego zablokować, chyba że są jakieś specyficzne filtry na serwery lub protokoły.

[Hexg 47]

Poszukam coś na ten temat na necie, dodatkowo odgrzeję temat podwójnego NAT (tej konsultacji, o której pisałem). Próbuję sobie wirtualne takie środowisko ustawić dla testów.

Dzięki @Bono.

[narmiak 388]

Jeżeli VPN nie jest całkowicie zablokowany i lokacja z podwójnym NATem łączy się z lokacją, która nie ma takiego problemu (jeden router, możliwość postawienia serwera VPN), to powinno działać. Jak masz bardziej zaawansowany router/firewall to da się nawet to skonfigurować tak, że tylko wybrane adresy/aplikacje łączą się przez VPN z drugim sitem, a reszta korzysta z normalnego łącza internetowego.

[Hexg 47]

ja mam zwykly router synology, ale myślę że dałbym radę to "tu" ustawić , tylko do testów potrzebuję podwójny nat  Dzięki za helpa

Edytowane 27 Maja 2020 przez Bulsky