Přístup do vlastní sítě skrze VPN

Poskytovatelé a technologie, dial-up, ADSL, kabel, optika, bezdrátové připojení

Moderátor: Moderátoři Živě.cz

Odeslat odpověď

Odeslat příspěvekod shaman171 10. 2. 2021 09:14

Ahoj všem,

skončil mi závazek u O2 a dostal jsem od nich "neodolatelnou nabídku", že za obdobnou cenu mi zvýší rychlost ze 100 Mbit na 250 Mbit.
Nicméně součástí tohoto bylo, že svůj starý modem co od nich mám musím vyměnit za O2 SmartBox.

No učinil jsem tak, ale potřeboval bych pomoci s nastavením VPN přístupu do sítě z "venku".

Moje vnitřní síť vypadá takto:
Modem O2 SmartBox
- venkovní IP: 19.81.XXX.XX - předpokládám, že veřejná? :?:
- vnitřní IP 10.0.1.138
- WiFi jsem na modemu vypnul - v podstatě ten modem využívat jen jako "most" mezi telefonní zásuvkou a LAN
-> do LAN 1 portu připojený Google Wifi point
Google WiFi point má přidělenou IP adresu od SmartBoxu 10.0.1.14 a je nastavený na Mesh (dohromady mám tři Google Wifi pointy). DHCP běží na Google WiFi a přiděluje IP adresy zařízením v síti ve formátu 10.0.0.X

Veškerá zařízení (včetně O2 TV set top boxu) jsou tedy připojená na Google WiFi tedy pokud se nepletu jsou v subnetu?

Rád bych si nastavil VPN přístup do sítě odkudkoliv. Nicméně problém tkví v tom, že si nejsem jistý jak to udělat? SmartBox mi nevidí zařízení připojená pod Google WiFi, vidí jen jedno připojené Google Wifi a dal nikoliv.
V síti mám i NAS, kde dokážu VPN server nastavit a spustit. Je mi jasné, že musím nějak otevřít porty, abych se dostal od "modemu" k NAS, ale jak?
Umím samozřejmě mapovat porty v Google WiFi a pravděpodobně i ve SmartBoxu, ale nevím jak to přesně nastavit, jelikož můžu pouze otevírat porty, ale nemůžu nastavovat IP adresy.
Respektive:
U Google Wifi se port otvírá přímo pro MAC adresu a IP adresu, ale u SmartBoxu se otevírá pouze port bez navázání na IP.

Dokážete mi nějak poradit?

Předem moc děkuji za každou radu
shaman171
Junior

Odeslat příspěvekod vladimir 10. 2. 2021 10:52

Nespletl sis menu Firewall s menu NAT/PAT?
U Smartboxu se forwarduje (menu NAT/PAT) ne přímo na IP-adresu, ale na konkrétní připojené zařízení, které se ti objeví v rozbalovacím menu "Device". Daný port si musíš kromě toho ještě povolit ve firewallu - tam už zadáváš pouze port.

Další možnost je dát IP-adresu toho Goole routeru na Smartboxu do DMZ - tam se nastavuje přímo IP-adresa.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod shaman171 10. 2. 2021 12:11

Mockrát děkuji za odpověď.

Máte pravdu, už to vidím. Předpokládám tedy, že by to mělo jít pomocí těchto dvou scénářů?

Dejme tomu, že chci z "venku" přistupovat na VPN, která běží na Synology NASu třeba na portu 1723.

1) Přes otevřené porty v NAT/PAT
- Ve SmartBoxu v menu NAT/PAT otevřu port 1723 z "venku" na připojený Google WiFi point
- Ve Firewallu budu muset kliknout na "customize" a povolit daný port 1723
- Následně na Google WiFi pointu otevřu port 1723 z venku a nasměřuju ho na vnitřní NAS
- Poté by to teoreticky mělo fungovat a mělo by být reálné se připojit z venku?

2) Přes DMZ
- Ve SmartBoxu nastavím v DHCP statickou IP adresu pro Google WiFi a v menu DMZ ho uložím jako DMZ
- V tu chvíli, ale nevím co dál? Díky tomu, že bude Google WiFi point v DMZ se stane co?
- Předpokládám, že tak jako v předchozím případě na Google WiFi pointu otevřu port 1723 z venku a nasměřuju ho na vnitřní NAS

Je to tak?
Který z těchto scénářů je bezpečnější?
Osobně předpokládám, že scénář č.1 ? Kdy si otevřu pouze jeden port směrem k NASu a poté se budu muset pomocí uživatelského jména a hesla přihlásit na VPN a až poté získávám přístup do celé sítě či?

Děkuju moc
shaman171
Junior

Odeslat příspěvekod vladimir 10. 2. 2021 13:01

Ad 1: ano, mělo by to fungovat. Ale netuším, jestli Google wifi router nemá taky firewall.
Ad 2: pokračovat budeš úplně stejně jako v bodě 1. Opět povolíš port 1723 ve Smartboxu ve firewallu a v Google budeš 1723 forwardovat. (DMZ je jenom jiný druh forwardování portů, v DMZ se forwardují všechny porty jedním příkazem.)

Bezpečnost: čistě teoreticky 1, ale řekněme o setiny nebo tisíciny procenta. Když nepovolíš porty porty ve firewallu Smartboxu, v obou případech provoz zahazuje.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod shaman171 10. 2. 2021 17:09

Děkuju moc.

Všecko jsem zkoušel, ale nějak se mi nepovedlo se dobrat správného výsledku.

Pro jednoduchost jsem Google WiFi point dal na SmartBoxu do DMZ.
Dále jsem dal nastavení firewallu na low - neboli ho vypnul, jelikož jsem nedokázal nastavit vyjímku pro dané porty :-|

No v každém případě, na Google WiFi jsem přesměroval porty: 1723; 5000; 1701; 500; 4500; 47; 50; 1194 pro jistotu... :)
Na Synology NASu jsem zapnul VPN: PPTP, OpenVPN i L2TP/IPsec. Nastavil jsem to a zkusil jsem se přihlásit na VPN z mobilu s Androidem na všechny tři možné varianty a neúspěšně.

Nejsem si jistý co jsem udělal špatně.

Dá se nějak zjistit, že moje IP je opravdu veřejná? Zda-li toto není chyba?

Jinak pak něvím, kde hledat chybu kromě místa mezi židlí a klávesnicí :)

Pokud je něco co bych Vám měl dále říct a pomohlo by to řešení, dejte vědět.

Děkuju moc
shaman171
Junior

Odeslat příspěvekod soban 10. 2. 2021 19:03

shaman171 píše:
Dá se nějak zjistit, že moje IP je opravdu veřejná? Zda-li toto není chyba?



Ano dá v routeru si zobrazíš informace o wan zařízení a koukneš na tu IP.

A porovnáš s tímto: https://cs.wikipedia.org/wiki/Priv%C3%A ... 3%AD%C5%A5

Pokud tam bude IP v některém z tohoto rozsahu tak nemáš veřejnou IPv4:

10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255

O2 používá většinou jako neveřejné IPv4 10.0.0.0 – 10.255.255.255.
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod shaman171 10. 2. 2021 20:38

Moc děkuju, tak jsem si otevřel mapu topologie a rozklepl SmartBox a pokud se nepletu tak má IP adresu 10.236.36.71 nebo je to jiný údaj to co myslím?

Zvláštní ale je, že když jdu na mojeip.cz tak mi to ukazuje IP adresu jinou a zdánlivě veřejnou.

V případě, opravdu nemám veřejnou, je nějaká šance VPN nějak rozumně zprovoznit?

Děkuju

EDIT://

Ještě mě napadá, od O2 je reálné mít veřejnou IPv6 za cca 120 kč/měsíčně. Dá se pak připojit skrze IPv6 když bude veřejná?
Přílohy
Screenshot_20210210-203345_TeamViewer.jpg
Screenshot - SmartBox
shaman171
Junior

Odeslat příspěvekod soban 11. 2. 2021 14:42

shaman171 píše:Zvláštní ale je, že když jdu na mojeip.cz tak mi to ukazuje IP adresu jinou a zdánlivě veřejnou.


V internetu jsou všechny IP veřejné jinak by to nefungovalo.
Prostě jseš schovanej za tou veřejnou IP s dalšími PC.....

shaman171 píše:V případě, opravdu nemám veřejnou, je nějaká šance VPN nějak rozumně zprovoznit?


NE.

shaman171 píše:Ještě mě napadá, od O2 je reálné mít veřejnou IPv6 za cca 120 kč/měsíčně. Dá se pak připojit skrze IPv6 když bude veřejná?


U O2 jsou všechny IPv6 veřejné pouze když nezaplatíš tak se může změnit.

A Ano i s IPv6 by to mělo fungovat ovšem problém pak nastane na druhé straně že se na tu VPN dostaneš pouze jak i druhá strana bude mít IPv6 připojení.

Takže pokud chceš něco platit tak si rovnou zaplať veřejnou IPv4.

Jinak pokud to je nová linka tak by jsi měl normálně dostat i veřejné dynamické IPv6 takže se koukni a případně IPv6 povol a uvidíš zda IPv6 dostaneš.
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod JirkaVejrazka 11. 2. 2021 16:36

V případě, opravdu nemám veřejnou, je nějaká šance VPN nějak rozumně zprovoznit?


Muzes si nekde zaplatit VPS hosting a udelat si ze sve site VPN tam (tj. z domacnosti smerem "ven"). Ta VPS bude mit verejnou IP adresu a muzes si na ni udelat VPN server. Pak se dostanes do vlastni site s tim, ze VPS bude fungovat jako spojovaci bod.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod soban 11. 2. 2021 18:34

Jasně, ale než platit VPS hosting není jednoduší si platit veřejnou IPv4 ?
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod JirkaVejrazka 11. 2. 2021 19:14

To samozrejme ano, ja jsem jen odpovidal na otazku.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod shaman171 26. 2. 2021 12:50

Ahoj všem,

jen pro úplnost tématu. Od O2 jsem odešel a přešel jsem k Metronetu. Mají to levnější a veřejnou IPv4 dávají zdarma. Při roční platbě mají 100Mbit za 499 kč/měsíc.

Takže za mě super!

PS: VPNka už běží přesně jak má.

Myslím si, že O2 už nikdy víc, jen kdyby nebylo alternativy.

Díky všem za pomoc.
shaman171
Junior

Odeslat příspěvekod paranekNEO 4. 5. 2022 11:28

Snad nebude vadit @shaman171, že na toto dobře indexované téma navážu.
@shaman171 to vyřešil elegantně. Já bohužel stejné štěstí nemám a budu ještě Sm*rtBox asi 58měsíců používat :-O

Řeším stejný problém a to VPNku. Zaplatil sem si předraženou ipv4 veřejnou adresu, ale nemohu sestavit tunel.

Již sem vyzkoušel:
1) DMZ
2) NAT/PAT porty UDP 500 a 4500
Obojí bez úspěchu. S tím, že Firewall na Smartboxu lze jen ponížit a úroveň nízká. Nelze zcela vypnout, aby se vyloučilo že je problém u něj.
Rozumná pravidla sem viděl jen pro ipv6.
Díky
paranekNEO
Kolemjdoucí

Odeslat příspěvekod tramin 7. 6. 2023 16:45

Trochu obnovím téma. Po aktualizaci telefonu One Nord2 na Android 13 přestalo fungovat připojení skr VPN, které mám přes router Asus RT-N18U (PC s W10). Píše mi to, že mám VPN aktualizovat na IKEv2 VPN. Router bohužel tuto možnost nenabízí. Je možné nějaké řešení, aniž bych musel kupovat nový router? Děkuji.
tramin
Junior

Odeslat příspěvekod JirkaVejrazka 7. 6. 2023 17:13

Pokud router umi Wireguard, tak je to jasna volba...
JirkaVejrazka
Mírně pokročilý
Další stránka
Odeslat odpověď
Zpět na Připojení k internetu

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků

Podmínky pro užívání služby informační společnosti | Informace o zpracování osobních údajů | Cookies
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group