Доступ в локальную сеть извне (проброс портов) при сером айпишнике

[Андрей Хатаев]

День добрый, олл. 

Есть роутер кинетик с 3g модемом. Провайдер Тинькофф (Теле2) выдает только серые айпишники (100.xxx....), белый нет возможности купить даже за деньги. Соответственно, в таких условиях тот адрес, который определяется через what is my ip не является непосредственно моим реальным адресом и его нельзя использовать для обращения к роутеру извне. KeenDNS частично решает эту проблему - я могу получить доступ к роутеру по DNS, но моя цель - устройства внутри локальной сети за роутером. Обычно такая задача решается пробросом портов с роутера на устройство в сети. Но у меня не получается и я не до конца понимаю, является ли это следствием ограничения, которое описано на приложенном скриншоте. При сером айпишнике используется облачный метод доступа. А мне нужно пробросить порты 8123 (Home Assistant) и 3389 (RDP) если второй я еще могу понять - вряд ли работает поверх (на основе) HTTP, то 8123 - это порт по которому крутится веб интерфейс Home Assistant - он уж точно должен работать поверх HTTP. Однако по http://[KeenDNS]:8123 у меня получить доступ не получается.

Подскажите, такое вообще теоретически возможно??

[vk11]

3 часа назад, Андрей Хатаев сказал:

 А мне нужно пробросить порты 8123 (Home Assistant) и 3389 (RDP) если второй я еще могу понять - вряд ли работает поверх (на основе) HTTP, то 8123 - это порт по которому крутится веб интерфейс Home Assistant - он уж точно должен работать поверх HTTP. 

Часто задаваемые вопросы по сервису KeenDNS

Вопрос: Возможен ли доступ к домашним устройствам по протоколам FTP, RDP, RTSP, Telnet через KeenDNS в режиме "Через облако"? Ответ: Нет. Через KeenDNS можно получить удалённый доступ к веб-конфигуратору Keenetic, а также к устройствам домашней сети с веб-интерфейсом (это может быть веб-камера, сетевой накопитель, маршрутизатор, сервер и др.) по протоколам HTTP/HTTPS по следующим портам: HTTP: 80, 81, 280, 591, 777, 5080, 8080, 8090 и 65080 HTTPS: 443, 5083, 5443, 8083, 8443 и 65083

[Андрей Хатаев]

То есть правило 81 (8080) -> 8123 должно работать? Однако я получаю ERR_CONNECTION_REFUSED.

Пробовал переводить конфигуратор маршрутизатора с  80 порта на другой, настраивал правило 80 -> 8123 - то же самое. Пробовал даже слушать данный порт на компьютере назначения (nc -l 8123)  - обращения по данному порту не было.

[Rhon]

сделайте KeenDNS имя  4-го уровня для HA, и без всяких пробросов будет работать.
проброс работает только с белым IP

 

[Андрей Хатаев]

А я даже и не заметил такой возможности, спасибо, все получилось! Но все-таки, погуглив форумы, подумываю о организации туннеля через промежуточный VDS

https://www.linux.org.ru/forum/admin/14923598
https://qna.habr.com/q/44330

либо с помощью такого ПО как https://www.softether.org/ либо пишут, что есть уже готовый сервис https://vpnki.ru/ - тк хочется еще ssh и RDP. Но за быстрое решение для веб интерфейсов тоже огромное спасибо ) 

[Monstr86]

sstp сервер поднимите на роутере и будет доступ в сеть за роутером.

[Андрей Хатаев]

12 часа назад, Monstr86 сказал:

sstp сервер поднимите на роутере и будет доступ в сеть за роутером.

Огромнейшее спасибо! Настроил sstp по данной статье https://help.keenetic.com/hc/ru/articles/360000594640-VPN-сервер-SSTP (отключил множественный вход и NAT)  + клиент для Мак ОС https://help.keenetic.com/hc/ru/articles/4415732965394 (+ ключ defaultroute).

Работает! За одним маленьким исключением - только по IP, доменные имена не резолвятся

→ ping beebox.local
ping: cannot resolve beebox.local: Unknown host

Когда я в локальной сети напрямую, то
 

→ ping beebox.local
PING beebox.local (192.168.1.82): 56 data bytes
64 bytes from 192.168.1.82: icmp_seq=0 ttl=64 time=99.848 ms

→ ping 192.168.1.82
PING 192.168.1.82 (192.168.1.82): 56 data bytes
64 bytes from 192.168.1.82: icmp_seq=0 ttl=63 time=188.588 ms

Edited August 15, 2022 by Андрей Хатаев

[Monstr86]

По  именам работать не будет, только по ip, т.к. это L3.

Edited August 17, 2022 by Monstr86

[Андрей Хатаев]

@Monstr86 День добрый, а не подскажите, почему при подключении компьютера через сеть мобильного оператора все выше перечисленное работает. А при подключении через домашнюю WI-FI сеть, где у меня айпишник 192.168.0.XX - подключение по SSTP к роутеру работает, но я не вижу устройств в его сети? Они имеют адрес 192.168.1.XX - не пингуются/не доступны для ssh подключения. Возможно надо настроить какой-то маршрут или что-то еще? Спасибо

[Monstr86]

В 29.07.2023 в 15:44, Андрей Хатаев сказал:

@Monstr86 День добрый, а не подскажите, почему при подключении компьютера через сеть мобильного оператора все выше перечисленное работает. А при подключении через домашнюю WI-FI сеть, где у меня айпишник 192.168.0.XX - подключение по SSTP к роутеру работает, но я не вижу устройств в его сети? Они имеют адрес 192.168.1.XX - не пингуются/не доступны для ssh подключения. Возможно надо настроить какой-то маршрут или что-то еще? Спасибо

Проверьте, нет ли перед вашим домашним роутером сегмента 192.168.1.Х, возможно модем. Еще важно как вы подключаетесь, если соединение устанавливается с самого компьютера, тогда проверку выше можно игнорировать, а если соединение поднимает ваш домашний роутер, то надо смотреть.

[Андрей Хатаев]

В 01.08.2023 в 13:28, Monstr86 сказал:

Проверьте, нет ли перед вашим домашним роутером сегмента 192.168.1.Х, возможно модем. Еще важно как вы подключаетесь, если соединение устанавливается с самого компьютера, тогда проверку выше можно игнорировать, а если соединение поднимает ваш домашний роутер, то надо смотреть.

@Monstr86 Ой, в посте выше ошибка, у меня дома тоже сеть 192.168.1.Х...  Соединение я устанавливаю с компьютера. Я так понимаю, одно из решений - это использовать дома другую подсеть (192.168.0.X)? И естественно вопрос - можно ли что-то сделать без такого переформатирования? Спасибо.

-------------

UPD: В общем я пока переформатировал одну из сетей, тк это было несложно из-за небольшого числа устройств и их настроек и после этого все заработало

Edited October 3, 2023 by Андрей Хатаев