1 Востаннє редагувалося cheappi386 (07.12.2021 16:25:42)

Тема: Як прокинути порт на зовні ?

У роутері. Тобто щоб встановлювалося ТСР з'єднання на адресу за WAN інтерфейсом, по схемі - IPшлюзу(роутера):port=>remoteIP:port Роутер робустел - R3000-L3H Також в ньому є можливість додавати правила для iptables (мабуть таке правило це найкращий варіант)

2

Re: Як прокинути порт на зовні ?

А може з початку почнете? Для чого вам треба прокидати порт, що є крім роутера? Зовнішній IP на роутері білий чи сірий?

3 Востаннє редагувалося cheappi386 (07.12.2021 16:37:47)

Re: Як прокинути порт на зовні ?

koala написав:

А може з початку почнете? Для чого вам треба прокидати порт, що є крім роутера? Зовнішній IP на роутері білий чи сірий?

Є 2 роутера в одній підмережі але ця підмережа зі сторони інтерфейсу WAN(у обох роутерів), IP білий , це взагалі не інтернет, а корпоративна мережа. На 1-му роутері відкрит порт, до якого треба під єднатися через певний софт. Другий роутер під'єднан до ПК з цим софтом.

4

Re: Як прокинути порт на зовні ?

https://serverfault.com/questions/14062 … h-iptables

5

Re: Як прокинути порт на зовні ?

не схоже на мій випадок, у мене простенький роутер а не повноцінна ОС

6 Востаннє редагувалося HetmanNet (08.12.2021 09:35:13)

Re: Як прокинути порт на зовні ?

cheappi386 написав:

У роутері. Тобто щоб встановлювалося ТСР з'єднання на адресу за WAN інтерфейсом, по схемі - IPшлюзу(роутера):port=>remoteIP:port Роутер робустел - R3000-L3H Також в ньому є можливість додавати правила для iptables (мабуть таке правило це найкращий варіант)

Стривайте, хіба R3000-L3H то не 4g + vpn шлюз? Бо якщо так, то вам треба статичний IP замовляти у оператора для початку. То мінімум.

Потім вже спираючись на мережу у нього на lan якимось з vpn (ipsec/openvpn/l2tp) та режимів (gateway to gateway, client to server) з'єднувати мережі та не парити мізки прокиданням портів, бо щось підказує про безпеку даного рішення як виставити порт в Інтернет ви ще не задумувалися.

7 Востаннє редагувалося HetmanNet (08.12.2021 09:37:26)

Re: Як прокинути порт на зовні ?

cheappi386 написав:

це взагалі не інтернет, а корпоративна мережа.

Зважаючи, що R3000-L3H то здається 4G шлюз, то сумніваюся що його WAN дивиться в корпоративну мережу.

8

Re: Як прокинути порт на зовні ?

HetmanNet написав:
cheappi386 написав:

це взагалі не інтернет, а корпоративна мережа.

Зважаючи, що R3000-L3H то здається 4G шлюз, то сумніваюся що його WAN дивиться в корпоративну мережу.

Ви помиляєтеся все залежить від sim-ки

9

Re: Як прокинути порт на зовні ?

намагаюся через ovpn зробити
але ця паскуда незрозуміло чого з'єднання закриває

644    41.355134    10.27.200.64    10.27.200.56    TCP    76    [TCP Retransmission] 54270 → 114 [SYN] Seq=0 Win=29200 Len=0 MSS=1360 SACK_PERM=1 TSval=2831639736 TSecr=0 WS=16
642    41.354464    10.27.200.64    10.27.200.56    TCP    76    54270 → 114 [SYN] Seq=0 Win=29200 Len=0 MSS=1360 SACK_PERM=1 TSval=2831638658 TSecr=0 WS=16
645    41.355596    10.27.200.56    10.27.200.64    TCP    56    114 → 54270 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
643    41.354870    10.27.200.56    10.27.200.64    TCP    56    114 → 54270 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

10

Re: Як прокинути порт на зовні ?

cheappi386 написав:
HetmanNet написав:
cheappi386 написав:

це взагалі не інтернет, а корпоративна мережа.

Зважаючи, що R3000-L3H то здається 4G шлюз, то сумніваюся що його WAN дивиться в корпоративну мережу.

Ви помиляєтеся все залежить від sim-ки

При чому sim-ка, якщо вам треба базова станція через яку вони будуть з'єднуватися? Розгортання власної мережі вимагає ліцензії як у оператора, тож максимум що можна це фемсоту яка стане частиною якогось оператора або базову станцію якогось оператора, але в обох випадках це буде з'єднання через оператора.
Оператори ніби пропонують приватні мережі на базі VPN для побудови мереж для IoT, але є нюанс з їх поганою захищеністю (від вас до базової станції), тому якщо не був впевненим в захищеності софту то все одно з'єднував свої мережі через свій vpn.

11

Re: Як прокинути порт на зовні ?

cheappi386 написав:

намагаюся через ovpn зробити
але ця паскуда незрозуміло чого з'єднання закриває

644    41.355134    10.27.200.64    10.27.200.56    TCP    76    [TCP Retransmission] 54270 → 114 [SYN] Seq=0 Win=29200 Len=0 MSS=1360 SACK_PERM=1 TSval=2831639736 TSecr=0 WS=16
642    41.354464    10.27.200.64    10.27.200.56    TCP    76    54270 → 114 [SYN] Seq=0 Win=29200 Len=0 MSS=1360 SACK_PERM=1 TSval=2831638658 TSecr=0 WS=16
645    41.355596    10.27.200.56    10.27.200.64    TCP    56    114 → 54270 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
643    41.354870    10.27.200.56    10.27.200.64    TCP    56    114 → 54270 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

Давайте почнемо з конфігурації openvpn та опису мережі: щоб розуміти які ІР та маска в LAN1, LAN2, WAN

12

Re: Як прокинути порт на зовні ?

HetmanNet написав:

Оператори ніби пропонують приватні мережі на базі VPN для побудови мереж для IoT, але є нюанс з їх поганою захищеністю (від вас до базової станції), тому якщо не був впевненим в захищеності софту то все одно з'єднував свої мережі через свій vpn.

це вона і є

13

Re: Як прокинути порт на зовні ?

Тобто на обох роутерах піднято VPN оператора, і прокинути порт треба всередині цього VPN?

14 Востаннє редагувалося HetmanNet (08.12.2021 22:26:50)

Re: Як прокинути порт на зовні ?

cheappi386 написав:
HetmanNet написав:

Оператори ніби пропонують приватні мережі на базі VPN для побудови мереж для IoT, але є нюанс з їх поганою захищеністю (від вас до базової станції), тому якщо не був впевненим в захищеності софту то все одно з'єднував свої мережі через свій vpn.

це вона і є

Якщо у тебе на обох кінцях 4g/vpn шлюз то забий на неї, та підніми свій vpn, навіщо зрозумієш як треба буде змінити оператора чи взагалі перейти на оптику.

Коротко. Якщо у тебе є дві мережі LAN1 та LAN2, в кожній у обох 4G шлюзи GW1 та GW2 мають статичний зовнішній IP, назвемо WAN1 з адресою 1.2.3.4, WAN2 з адресою 4.3.2.1. LAN1 уявімо належить мережі 10.0.1.0/24, а LAN2 мережі 10.0.2.0/24 то піднімай в IPSec тунель gateway to gateway (+Aggressive Mode, +Keep-Alive, і можна ще NetBIOS Broadcast) між ними.

Якщо уявімо у мережі LAN1 наш GW1 не є основним роутером і має адресу 10.0.1.20, тобто в інтернет з LAN1 через GW0, то на GW0 в routing треба прописати маршрут що до мережі 10.0.2.0/24 через шлюз з адресою 10.0.1.20.

Сподіваюся зрозуміло. Якщо ні, то малюй коротко схему локалок і будемо всі разом розбиратися.

15 Востаннє редагувалося cheappi386 (09.12.2021 08:57:37)

Re: Як прокинути порт на зовні ?

OVPN
клієнт https://imgur.com/Yopi6o5
сервер

mode server
tls-server
ncp-disable
proto tcp4-server
cert "C:\\Program Files\\OpenVPN\\ssl\\server\\server.crt"
ca "C:\\Program Files\\OpenVPN\\ssl\\server\\ca.crt"
dh "C:\\Program Files\\OpenVPN\\ssl\\server\\dh2048.pem"
key "C:\\Program Files\\OpenVPN\\ssl\\server\\server.key"
port 1114
keepalive 10 180
dev tap0
dev-node "Подключение по локальной сети 2"
cipher none
auth none

але нічого не працює

Thu Dec 09 08:41:39 2021 open_tun
Thu Dec 09 08:41:39 2021 tap-windows6 device [Подключение по локальной сети 2] opened
Thu Dec 09 08:41:39 2021 Sleeping for 10 seconds...
Thu Dec 09 08:41:49 2021 Successful ARP Flush on interface [76] {BAA6D4F8-14E0-41A8-BB17-6CD09E1F0024}
Thu Dec 09 08:41:49 2021 Listening for incoming TCP connection on [AF_INET][undef]:1114
Thu Dec 09 08:41:49 2021 TCPv4_SERVER link local (bound): [AF_INET][undef]:1114
Thu Dec 09 08:41:49 2021 TCPv4_SERVER link remote: [AF_UNSPEC]
Thu Dec 09 08:41:49 2021 Initialization Sequence Completed
Thu Dec 09 08:47:19 2021 TCP connection established with [AF_INET]10.27.200.64:55390
Thu Dec 09 08:47:31 2021 10.27.200.64:55390 TLS Error: Unroutable control packet received from [AF_INET]10.27.200.64:55390 (si=3 op=P_ACK_V1)
Thu Dec 09 08:47:31 2021 10.27.200.64:55390 Fatal TLS error (check_tls_errors_co), restarting
Thu Dec 09 08:50:13 2021 TCP connection established with [AF_INET]10.27.200.64:55392
Thu Dec 09 08:50:24 2021 10.27.200.64:55392 TLS Error: Unroutable control packet received from [AF_INET]10.27.200.64:55392 (si=3 op=P_ACK_V1)
Thu Dec 09 08:50:24 2021 10.27.200.64:55392 Fatal TLS error (check_tls_errors_co), restarting
Thu Dec 09 08:55:26 2021 TCP connection established with [AF_INET]10.27.200.64:55394
Thu Dec 09 08:55:37 2021 10.27.200.64:55394 TLS Error: Unroutable control packet received from [AF_INET]10.27.200.64:55394 (si=3 op=P_ACK_V1)
Thu Dec 09 08:55:37 2021 10.27.200.64:55394 Fatal TLS error (check_tls_errors_co), restarting

час на клієнті і сервері актуальний

16

Re: Як прокинути порт на зовні ?

таки вдалось зєднатися завдяки "shaared secret" аутентефікації, + VPN що завдяки TAP потрапляю відразу до потрібного лану без танців шманців з форвардингом