Killer_Pooh Posted June 26, 2018 Posted June 26, 2018 (edited) Здравствуйте, не являюсь гуру сетевым администратором, поэтому постараюсь изложить проблему с возможно не самыми корректными терминами, прошу извинить Задача: получить доступ к IP камере на даче с серым ip из любой точки мира , по протоколу RTMP, с помощью Open VPN сервера на домашнем роутере, на белом ip. Тех характертики: Дача: Keenetic 4g III (2.12.B.1.0-3) с 4g модемом и серым ip-адресом Дома: Keenetic Lite II (2.12.B.1.0-4) + KeenDNS (прямой доступ), соответственно с белым ip-адресом Дома поднят Open VPN сервер по следующей инструкции: https://help.keenetic.com/hc/ru/articles/115005822629-OpenVPN-сервер-на-Keenetic , с использованием общего ключа. Конфиг: Скрытый текст # # Sample OpenVPN configuration file for # office using a pre-shared static key. # # '#' or ';' may be used to delimit comments. # Use a dynamic tun device. # For Linux 2.2 or non-Linux OSes, # you may want to use an explicit # unit number such as "tun1". # OpenVPN also supports virtual # ethernet "tap" devices. dev tun # 10.1.0.1 is our local VPN endpoint (office). # 10.1.0.2 is our remote VPN endpoint (home). ifconfig 10.1.0.1 10.1.0.2 cipher AES-128-CBC # Our pre-shared static key <secret> -----BEGIN OpenVPN Static key V1----- --- -----END OpenVPN Static key V1----- </secret> # OpenVPN 2.0 uses UDP port 1194 by default # (official port assignment by iana.org 11/04). # OpenVPN 1.x uses UDP port 5000 by default. # Each OpenVPN tunnel must use # a different port number. # lport or rport can be used # to denote different ports # for local and remote. ; port 1194 # Downgrade UID and GID to # "nobody" after initialization # for extra security. ; user nobody ; group nobody # If you built OpenVPN with # LZO compression, uncomment # out the following line. comp-lzo # Send a UDP ping to remote once # every 15 seconds to keep # stateful firewall connection # alive. Uncomment this # out if you are using a stateful # firewall. ; ping 15 # Uncomment this section for a more reliable detection when a system # loses its connection. For example, dial-ups or laptops that # travel to other locations. ; ping 15 ; ping-restart 45 ; ping-timer-rem ; persist-tun ; persist-key # Verbosity level. # 0 -- quiet except for fatal errors. # 1 -- mostly quiet, but display non-fatal network errors. # 3 -- medium output, good for normal operation. # 9 -- verbose, good for troubleshooting verb 1 route 192.168.2.0 255.255.255.0 На даче, соответственно, клиент OpenVPN, который успешно соединяется: Скрытый текст # # Sample OpenVPN configuration file for # home using a pre-shared static key. # # '#' or ';' may be used to delimit comments. # Use a dynamic tun device. # For Linux 2.2 or non-Linux OSes, # you may want to use an explicit # unit number such as "tun1". # OpenVPN also supports virtual # ethernet "tap" devices. dev tun # Our OpenVPN peer is the office gateway. remote poohvlz.mykeenetic.ru # 10.1.0.2 is our local VPN endpoint (home). # 10.1.0.1 is our remote VPN endpoint (office). ifconfig 10.1.0.2 10.1.0.1 cipher AES-128-CBC # Our pre-shared static key <secret> -----BEGIN OpenVPN Static key V1----- --- -----END OpenVPN Static key V1----- </secret> # OpenVPN 2.0 uses UDP port 1194 by default # (official port assignment by iana.org 11/04). # OpenVPN 1.x uses UDP port 5000 by default. # Each OpenVPN tunnel must use # a different port number. # lport or rport can be used # to denote different ports # for local and remote. ; port 1194 # Downgrade UID and GID to # "nobody" after initialization # for extra security. ; user nobody ; group nobody # If you built OpenVPN with # LZO compression, uncomment # out the following line. comp-lzo # Send a UDP ping to remote once # every 15 seconds to keep # stateful firewall connection # alive. Uncomment this # out if you are using a stateful # firewall. ping 15 # Uncomment this section for a more reliable detection when a system # loses its connection. For example, dial-ups or laptops that # travel to other locations. ;ping 30 ;ping-restart 75 ; ping-timer-rem ; persist-tun ; persist-key # Verbosity level. # 0 -- quiet except for fatal errors. # 1 -- mostly quiet, but display non-fatal network errors. # 3 -- medium output, good for normal operation. # 9 -- verbose, good for troubleshooting verb 1 route 192.168.1.0 255.255.255.0 Далее были объединены локальные сети следующими командами на стороне vpn-сервера: no isolate-private system configuration save И на обеих сторонах, в настройках межсетевого экрана, для VPN интерфейса разрешены любые действия по IP протоколу. Всё хорошо, радости не было предела, пинг между роутерами есть, клиентов в сети на даче видно и можно соединяться по их адресам 192.168.2.x и всё работает как нужно Далее потребовалось иметь доступ к камере на даче не только из домашней сети, но и из любой точки в интернете. Дома делаю KeenDNS (с прямым доступом), в межсетевом экране разрешаю все протоколы, делаю переадресацию портов: вход-провайдер, выход-ip устройства на даче (см скриншот). Соединяюсь с домашним роутером по доменному имени без проблем (на стандартный порт 80), но когда пробую поменять на порт, на указанные в переадресации, то соединения нет. Напомню, что из домашней сети доступ на дачу по данным портам проходит. Также, если из домашней сети обратиться по доменному имени, указанному в KeenDNS, то соединение проходит. Соединения нету только из интернета по доменному имени и любому порту из переадресации. Также тоже самое пробовал и с доменным именем 4ого уровня, проблема не решается. Далее пробовал обратиться просто на белый ip домашнего роутера, но также нет соединения, кроме как с 80 портом. Надеюсь на помощь, спасибо. Edited June 26, 2018 by Killer_Pooh Quote
Killer_Pooh Posted June 28, 2018 Author Posted June 28, 2018 Апну и перефразирую вопрос кратко. Как попасть в сеть к клиенту OpenVPN из интернета Quote
Killer_Pooh Posted July 2, 2018 Author Posted July 2, 2018 Нашёл решение своей проблемы в данной инструкции https://help.keenetic.com/hc/ru/articles/213967949-Проброс-портов-через-интернет-канал-VPN-сервера-в-удаленную-локальную-сеть-за-VPN-клиентом , но сразу возникает новый вопрос. Клиенту нельзя получать интернет через VPN сервер, но у сервера динамик ip. Какое может быть решения для проброса маршрута с динамическим Ip? Quote
Killer_Pooh Posted July 6, 2018 Author Posted July 6, 2018 (edited) Кто нибудь может ответить? Есть ли какие-то варианты решения проблемы (без стороннего VPN-сервера) для доступа в сеть vpn-клиента из интернета, где хосты имеют динамический ip? Edited July 6, 2018 by Killer_Pooh Quote
Александр Ермоленко Posted November 6, 2019 Posted November 6, 2019 On 7/6/2018 at 6:40 AM, Killer_Pooh said: Кто нибудь может ответить? Есть ли какие-то варианты решения проблемы (без стороннего VPN-сервера) для доступа в сеть vpn-клиента из интернета, где хосты имеют динамический ip? Думаю решения нет и не нужно. Ну зачем VPN серверу динамически IP -- объясните мне, ибо сам я не в состоянии представить? Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.