Huawei B525 - połączenie VPN i przekierowanie portów

[maciek9991]

Hej.
Chciałem mieć dostęp do rejestratora kamer przy użyciu routera Huawei B525 i sieci Play.
Jako iż Play nie posiada publicznych IP w ofercie postanowiłem skorzystać w tym celu serwer VPS (i połączenie VPN). Wcieliłem w życie następujący schemat:
Rejestrator kamer --> Huawei B525 --> VPN --> Serwer (z publicznym IP).

Na serwerze VPN to L2TP (innego w w/w urządzeniu użyć się nie da). IP klienta podłączonego do tegoż VPNa to 192.168.42.10, a "brama" to 192.168.42.1.
Również na serwerze ustawiam routing przez iptables tak, aby po połączeniu na PUBLICZNE_IP:1000 przekierował połączenie do 192.168.42.10:80.
Tutaj zaczynają się problemy.

Po połączeniu routera do VPNa mogę na serwerze puścić ping do 192.168.42.10 i wszystko lata (chyba, że checkbox "Disable WAN port ping" na routerze jest zaznaczony).
Jednak uruchomienie komendy lynx 192.168.42.10 (otwarcie przeglądarki z adresem "routera") spowoduje, że po długim czasie oczekiwania połączenie nie zostanie nawiązane. W tym wątku pisaliście, że po prostu nie da się zdalnie zarządzać tym routerem: http://www.bez-kabli.pl/viewtopic.php?f ... 9&start=15. To nawet lepiej.
W związku z tym zrobiłem przekierowanie portów - "WAN port" 80 przekierowałem na IP wideorejestratora (i jego port - 80).
Niestety - wciąż nijak nie mogę uzyskać dostępu do rejestratora. Ani z serwera wykorzystując komendę lynx 192.168.42.10, ani z publicznego IP (co w tej sytuacji jest zrozumiałe).

Czy taka konfiguracja w ogóle jest możliwa na tym routerze? A jeśli nie - jak inaczej dostać publiczne ip i łączyć się z kamerami, skoro Play takiego IP nie daje.

Pozdrawiam!

[tomekwwa]

Według mnie to router ubija połączenie na porcie 80. Zmień port w rejestratorze. Rejestrator ma swój serwer http? Bo do rejestratorów to raczej wykorzystuje się inne rodzaje komunikacji i strumieniowania.

[key]

Dla mnie wyglada to na problem zle ustawionego routingu. Przy prawidlowym, twoj komputer jest czescia sieci serwera VPN, wiec powinienes miec dojscie bezposrednio po adresie klienta.

Rozumiem, ze probujesz dojsc do rejestratora bezposrednio z serwera VPN?
Jesli tak, to po podlaczeniu sie VPNem, powinienes uzyskac dodatkowe wpisy w tabeli routingu - wklej wynik komendy route print na serverze przed i po podlaczeniu sie do VPNa.

Jesli chcesz miec dodatkowy serwer VPN, to wtedy trzeba sprawdzic ustawienia routingu w wszystkich punktach.

Jeszcze jeden detal - przy prawidlowo skonfigurowanym VPN nie potrzebne sa zadne przekierowania portow, one moga wrecz utrudnic komunikacje.

[maciek9991]

Dzięki za wskazówki - postaram się sprawdzić wszystkie, aczkolwiek fizycznie router jest dość daleko ode mnie i wolę uniknąć podróży.

Rzeczywiście mogłem skopać routing, a nie pomyślałem o tym wcześniej.
W planie mam wyłączyć / rozłączyć VPN na serwerze, sprawdzić tabelę routingu, włączyć VPN i znowu sprawdzić tablicę routingu.
Mam nadzieję, że po takiej akcji router sam się połączy do VPN'a. Tak jak wspomniałem - na ten moment nie będę miał fizycznego dostępu do routera :-/
Edit:
Routing mogę sprawdzić tylko na serwerze na którym jest postawiony VPN. Router, który do tego VPN się łączy, ma soft brandowany od Play i nie mam złudzeń, że konsola tam zadziała.
Chciałbym zrobić przekierowanie z ZEWNĘTRZNE_IP:1001 na pierwsze kamery (powiedzmy połączenie z VPN ppp0), następnie ZEWNĘTRZNE_IP:1002 pod połączenie VPN ppp1 itd. Do tego chyba muszę w iptables dopisać pewne reguły. Prawda?

Nie wiem jeszcze jak sprawdzę motyw z blokowaniem portu 80 zdalnie, ale może jeszcze coś wymyślę.

Niestety zajmę się tym dopiero po południu.
Pozdrawiam serdecznie.

[key]

Chciałbym zrobić przekierowanie z ZEWNĘTRZNE_IP:1001 na pierwsze kamery (powiedzmy połączenie z VPN ppp0), następnie ZEWNĘTRZNE_IP:1002 pod połączenie VPN ppp1 itd. Do tego chyba muszę w iptables dopisać pewne reguły. Prawda?

Nie. Przekierowanie i VPN to dwa rozne sposoby na rozwiazanie problemu dostepu z zewnatrz.

Poprawnie skonfigurowany VPN umieszcza oba komputery w jednej sieci - nie sa potrzebne przekierowania.
Przekierowania pozwalaja na dojscie do komputera za routerem poprzez adresacje przekierowanego portu routera na wewnetrznego clienta.

Jak pisalem powyzej - obydwa sposoby sa od siebie niezalezne, moga sie wrecz wzajemnie blokowac.

Routing mogę sprawdzić tylko na serwerze na którym jest postawiony VPN.

Powinno wystarczyc. Jesli dziala Ci polaczenie, mozesz sprawdzic tez, co wyrzuca polecenie tracert - powinno to pomoc przesledzic czy wszystko jest skonfigurowane poprawnie.

[maciek9991]

Nie. Przekierowanie i VPN to dwa rozne sposoby na rozwiazanie problemu dostepu z zewnatrz.

Poprawnie skonfigurowany VPN umieszcza oba komputery w jednej sieci - nie sa potrzebne przekierowania.
Przekierowania pozwalaja na dojscie do komputera za routerem poprzez adresacje przekierowanego portu routera na wewnetrznego clienta.

Jak pisalem powyzej - obydwa sposoby sa od siebie niezalezne, moga sie wrecz wzajemnie blokowac.

Dzięki za odpowiedź. Niestety widzę, że się nie zrozumieliśmy.
Nie posiadam publicznego IP (ani stałego, ani dynamicznego). Żeby to ominąć chcę użyć VPN'a, który jest postawiony na serwerze VPS z publicznym adresem IP.

Moja topologia wygląda następująco:

Wersja SVG obrazka: https://1drv.ms/u/s!AjsM6e0tXh33ibQkJUc ... Q?e=I65K1v

• Komp. kliencki ma tylko dostęp do Internetu (nie jest podłączony z VPN). Łączy się z adresem publicznym serwera VPS pod podpowiednim portem (np. 81.221.92.12:1001).
• Serwer VPS przekierowuje zapytanie (przez iptables) z adresu 81.221.92.12:1001 na adres 192.168.42.10:1234 (leci to przez interfejs ppp0).
• Router Huawei ma w ustawienia "wirtualnego serwera" regułę, że jeśli na WAN'ie wejdzie zapytanie na port 1234 to ma przekierować takie zapytanie na IP 192.168.8.100:1234
• Koniec końców Komp. kliencki dostaje upragniony dostęp do DVR'a.

Na początku, korzystając jedynie z przekierowania opcją "Wirtualny serwer" nie udało mi się zestawić połączenia z DVR'em. Nie miałem też możliwości testowania innych rozwiązań na "żywym organiźmie". W związku z tym pożyczyłem sobie ten sam router i u siebie w domu zrobiłem labolatorium.
Sytuacja "w labolatorium" wygląda tak samo jak na obrazku wyżej, z tym, że zamiast DVR jest serwer HTTP / FTP (na komputerze).
Przekierowanie portów przez "wirtualny serwer" nie działa (bez zaskoczenia), natomiast po przekierowaniu portów przez UPNP (biblioteka miniupnpc) wszystko działa jak należy. I to jest jak dla mnie wielkie zaskoczenie.
Niestety w DVR nie mam opcji włączenia UPNP.

Jakieś pomysły? Co może być przyczyną? Jak ominąć feralne przekierowanie portów?

[key]

Masz racje, nie rozumiemy sie.

Sprobuje jeszcze raz:
Jesli masz polaczona siec VPN, to na komputerze klienckim pojawi Ci sie dodatkowa karta sieciowa z IP nalezacym do VPN (czyli 192.168.42.x).
Czy polaczenie dziala mozesz sprawdzic wpisujac 192.168.42.10 w przegladarca - powinna pojawic sie strona konfiguracyjna Huawei'a.

Nastepnym krokiem jest spiecie sieci 192.168.42.x i 192.168.8.x - robi sie to na routerze Huawei, w konfiguracji VPN.
Mozesz sprawdzic czy to poprawnie dziala, wysylajac ping z sieci 192.168.8.x na 192.168.42.x.

Ostatnim krokiem jest powiadomienie klienta, ze dostep do sieci 192.168.8.x jest po 192.168.42.x - uzywasz polecenia route i dodajesz nowy trace.

Po tym masz bezposrednie dojscie do 192.168.8.x na kliencie - komputer zachowuje sie tak, jak by byl podpiety kablem do 192.168.8.x.

[maciek9991]

Bardzo się cieszę, że tak szybko odpisałeś.

Jesli masz polaczona siec VPN, to na komputerze klienckim pojawi Ci sie dodatkowa karta sieciowa z IP nalezacym do VPN (czyli 192.168.42.x).
Czy polaczenie dziala mozesz sprawdzic wpisujac 192.168.42.10 w przegladarca - powinna pojawic sie strona konfiguracyjna Huawei'a.

Niestety nie wiem jaka karta pojawiła się po połączeniu z VPN. Mam dostęp jedynie przez WebUI i nie mam możliwości zainstalowania innego softu / dostępu do konsoli. Po spięciu tunelu wiem jakie ma IP, ale mogę to sprawdzić jedynie na serwerze.
Po wpisaniu adresu routera w sieci VPN na serwerze nie wyskakuje WebUI (na serwerze wchodzę pod adres 192.168.42.10). Po włączeniu opcji "odpowiadania na żądanie ping z portu WAN" (czy jakoś tak) router prawidłowo odpowiada na pingi i polecenie traceroute.

Nastepnym krokiem jest spiecie sieci 192.168.42.x i 192.168.8.x - robi sie to na routerze Huawei, w konfiguracji VPN.

Niestety chyba nie mam takiej opcji.

Mozesz sprawdzic czy to poprawnie dziala, wysylajac ping z sieci 192.168.8.x na 192.168.42.x.

Czyli jedynie do bramy - 192.168.42.1.
Sprawdzę czy działa bez "spinania sieci na routerze Huawei". Może robi się to z automatu.

Ostatnim krokiem jest powiadomienie klienta, ze dostep do sieci 192.168.8.x jest po 192.168.42.x - uzywasz polecenia route i dodajesz nowy trace.

Klient nie jest podłączony do serwera w żaden sposób (ani VPN, ani lokalnie). Po prostu wprowadza IP publiczne serwera z odpowiednim portem - jako żądanie do usługi.
Wydaje mi się, że chodzi Ci o serwer na którym jest postawiony VPN (jest to jakby sytuacja analogiczna). Spróbuję dodać taki routing.

Po tym masz bezposrednie dojscie do 192.168.8.x na kliencie - komputer zachowuje sie tak, jak by byl podpiety kablem do 192.168.8.x.

Idea topologii jest trochę rozbieżna. Ale jeśli przyjąć, że jako "klient" mamy na myśli serwer, to wydaje się być sensowna.
Sprawdzę to

[maciek9991]

Czy polaczenie dziala mozesz sprawdzic wpisujac 192.168.42.10 w przegladarca - powinna pojawic sie strona konfiguracyjna Huawei'a.

Tak jak pisałem - nie działa. Działa natomiast ping i traceroute do adresu 192.168.42.10.
Wydaje mi się, iż jest to spowodowane tym, że Huawei nie daje dostępu z zewnątrz (WAN) do tego routera. Jest to tym bardziej prawdopodobne, że jeśli zaznaczę checkbox "odpowiadaj na pingi z WAN" to dopiero taki ping /traceroute przechodzi. Jeśli go nie zaznaczę - nie przechodzą.

Nastepnym krokiem jest spiecie sieci 192.168.42.x i 192.168.8.x - robi sie to na routerze Huawei, w konfiguracji VPN.

Konfiguracja VPN w Huawei wygląda jak na obrazku. Nie ma żadnych szczególnych opcji konfiguracji.

Mozesz sprawdzic czy to poprawnie dziala, wysylajac ping z sieci 192.168.8.x na 192.168.42.x.

Ping lata jak szalony.

Ostatnim krokiem jest powiadomienie klienta, ze dostep do sieci 192.168.8.x jest po 192.168.42.x - uzywasz polecenia route i dodajesz nowy trace.

Tworzę taką hopkę za pomocą polecenia:

Kod: Zaznacz cały

route add -net 192.168.8.0/24 dev ppp0

Ping na 192.168.8.1 nie działa, traceroute leci do pierwszego IP - czyli do Gateway (192.168.42.10).

Ustawienia VPN na routerze:


Pingi: