Перейти до змісту

Доступ в мережу із сірим IP


Рекомендовані повідомлення

Поки питання майже вирішено

забабахав собі доступ в свою мережу за натом, дуже дякую  @Lisovic що направляв мене з моїми нубськими питаннями в плані tcp/ip routing

також @Zheny@ за трохи теорії і пару гарних ідей

станом на сьогодні нормальний лінк ось уже 4 години.

в якості сервера виступає домашній mikrotik rb750gr3, в якості клієнта виступає tplink 741 з openwrt на борту,

це було важко це було пізнавально, особливо з настройкою мікротіка і відбиванням від ботів які постійно ломляться в мікротік(ще подосі)

 

поки локалка процює в обидві сторони, правда на дачі  якогось милого є проблема з інтернетом, тобто отримати його можу лише я з смартфону, інші компи і телефони непераварює, поки хз де зачаровано.

 

буде апдейт в сторону мікротіка на дачі, відпишусь по тестах і тд

 

тепер я в любій точці світу юзаю впн і попадаю одразу в дві локалки. 

ну і пара скрінів

image.thumb.png.298ece13ca5e825a6237b2792fe478a8.png

 

 

Capture.JPG

 

підсумую що дає ця штука,

1) таким макаром можна обєднати два віддалених офіси

2) задопомогою цієї штуки я вже контролюю всі свої розумні приблуди без задіювання граблів з веб сервером і прочим гемором

3) є прямий доступ до вебморди роутера

4) є доступ до правки своїх скриптів на вебморді на роутері без очікування суботи чи неділі,

5) моніторинг з любої точки світу з інтернетом своїх девайсів в двох мережах

6) великий запас знань....

 

проте це лише початок маленький такий :)

 

Посилання на коментар
Поділитись на інші сайти

  • Відповідей 55
  • Створено
  • Остання відповідь
52 хвилин тому, Voronin10 сказано:

поки локалка процює в обидві сторони, правда на дачі  якогось милого є проблема з інтернетом, тобто отримати його можу лише я з смартфону, інші компи і телефони непераварює, поки хз де зачаровано.

Що ти маєш на увазі під цим?

 

На рахунок віддаленого доступу до роутера, дуже рекомендую або закрити доступ ззовні і підключатись лише за допомогою впн, або налаштувати port knocking. Мікротік ще таки штука досить дірява.

 

Ще підкажу штуку для майбутніх експериментів. На мікротіку можна писати свої скріпти і виконувати їх по таймеру, ще він вміє відправляти пошту. Ці дві можливості можна використати для моніторингу чогось за мікротіком, наприклад відправляти лист коли якийсь з пристроїв перестав пінгуватись, або відправляти лист коли сам мікротік перезавантажився.

Посилання на коментар
Поділитись на інші сайти

1 хвилина тому, Lisovic сказано:

Що ти маєш на увазі під цим?

 

На рахунок віддаленого доступу до роутера, дуже рекомендую або закрити доступ ззовні і підключатись лише за допомогою впн, або налаштувати port knocking. Мікротік ще таки штука досить дірява.

 

Ще підкажу штуку для майбутніх експериментів. На мікротіку можна писати свої скріпти і виконувати їх по таймеру, ще він вміє відправляти пошту. Ці дві можливості можна використати для моніторингу чогось за мікротіком, наприклад відправляти лист коли якийсь з пристроїв перестав пінгуватись, або відправляти лист коли сам мікротік перезавантажився.

з скриптами я вже пристроїв туди відпраку ip на noip.com за ідею дякую, в веб морді прописано що доступ лише з локалки, 

 

 

 

по поводу зачаровано,

коли навернув тунель на openwrt відвалився інтернет, тобто комп ходить по локалці на дачі по локалці вдома а на i.ua неходить, телефон ще якось ходить. проте лише мій...

 

Спойлер
vim /etc/config/network
config interface 'vpn'
        option proto 'l2tp'
        option server 'srv'
        option username 'user'
        option password 'pass'
 
 
vim /etc/config/firewall
config zone
        option name             vpn
        list   network          'vpn'
        option input            ACCEPT
        option output           ACCEPT
        option forward          REJECT
 
config forwarding
        option src              lan
        option dest             vpn
 
config forwarding
        option src              vpn
        option dest             lan

 

 

 

image.thumb.png.a9701fad99380ea389b2c155df41863f.png

напевно в фаєрволі перечудив, але я лише копіпастив....

Посилання на коментар
Поділитись на інші сайти

Я не сільон в опенврт, точніше я її ніколи не бачив. Але судячи зі скріну, є підозра що в тебе правила неправильні.  В першому правилі має бути тільки lan->vpn, далі за ним lan->wan має бути accept всюди і галочка masquarading (ця галочка включає NAT, це потрібно для підміни адресу для інтернету), а тоді вже правило wan. І в правилах які відповідають за тунель, постав галочку MSS clamping, це зніме частину навантаження з маршрутизаторів на фрагментацію пакетів.

 

Ще дуже рекомендую подивитись курси тут http://blog.netskills.ru/p/mikrotik.html, дуже толково розказують, хоч і на москальскій, там доречі є і по цискі і по лінуксу.

Посилання на коментар
Поділитись на інші сайти

17 годин тому, Lisovic сказано:

Ще дуже рекомендую подивитись курси тут http://blog.netskills.ru/p/mikrotik.html, дуже толково розказують, хоч і на москальскій, там доречі є і по цискі і по лінуксу.

там були трабли, ще інтефейс висів для ipv6

перенастроїв все з початку,  видалив лишній інтерфейс

тай все завелось, ноут і телефон виходять в інтернет нормально

все старався створювати з веб морди, можливо тому і завелось, дописував лише

Спойлер

сonfig forwarding
        option src              lan
        option dest             vpn
 
config forwarding
        option src              vpn
        option dest             lan

зараз ось так

Спойлер

config zone
    option name 'vpn'
    option network 'vpn'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

    
config forwarding
        option src              lan
        option dest             vpn
 
config forwarding
        option src              vpn
        option dest             lan

УРААААА

П.С. @Lisovic дякую за ссилочку. читаю. чим більше читаю тим більше розумію що нічого я незнаю......

 

кастомно вже трошки вклинююсь до веб мордочки роутера на дачі :)

Capture.JPG

так в мене на сервачку :)

image.thumb.png.b08fbe59cd9e3a6778813cd85c0799a2.png

Посилання на коментар
Поділитись на інші сайти

додам важливі нюанси, 

після того як аплінк відбувся незавадить додати декілька маленьких скртптів 

1)в налаштуваннях інтерфейсів додати авто реконект інтерфейсу після декількох невдачних спроб підключення

2)скрипт який буде пінгувати гугл + (я додав свій сервер) раз в пять хвилин і якщо за три пінга немає відповіді то робити ребут роутера, 

це вже щоб на 101%

якщо треба то настрой і скрипт виложу

 

тут лише один мінус, якщо інтернет відвалився в провайдера роутер буде в циклічному пятихвилинному ребуті, 

Посилання на коментар
Поділитись на інші сайти

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.




×
×
  • Створити...