Серый ip как сделать роутер видным из интернета

Добавил пользователь Skiper
Обновлено: 19.09.2024

собственно, тут в городе нет нужды трусы через голову одевать - всюду есть возможность от воблы отказаться и подключить инет от нормального провайдера. в области немного хуже с этим обстоит - приходится выбирать из воблы и воблы. оная, как давно известно, считает нормальным предоставлять доступ к сети интернет через NAT, выдавая клиентам серые IP.

поскольку сам к решению этого гемора ещё не приступал, интересны мнения всезнающего all-а, по поводу успешных методов борьбы с этим гемором.

Т.к. тема является архивной.

роутер ребутится, пока не получит белый IP, а там как повезет.
А вообще всё зависит от задач - зачем вам там белый IP какое оборудование стоит. чем не устраивают DNS сервисы

Т.к. тема является архивной.

Ну, например DNS от производителей роутеров часто умеет давать доступ даже через NAT. Ваш вариант конечно лучше, но не легче

Т.к. тема является архивной.

заработает не всё, а лишь доступ к настройкам роутера. при этом динамический DNS будет указывать на сервера облака, а не на клиента. одно лечим - другое калечим.
цель - дать доступ к RDP.

Т.к. тема является архивной.

Ниче не понял. Я ставил хранилку за кинетиком и модемом 3G
подключал через облако и по доменному имени попадал на хранилку, пробросив порт в кинетики. что я делал не так?

Т.к. тема является архивной.

честно скажу, не пробовал. может реально зря всякую фигню выдумываю, и зюхель уже всё сделал. сейчас на чём-нибудь проверю.

Т.к. тема является архивной.

хранилку через веб-морду смотрел? в настройках говорится, что он только и умеет - доступ к веб через облако доставлять.
пробовал сейчас ssh проброс через облако кинетика - болт.

Т.к. тема является архивной.

то было бы легко, если бы у клиента была VPN. а ему её нафиг не надо, у него есть магаз и есть инет дома, и есть желание в нерабочее время иметь RDP из дома в магаз. статики нет ни там, ни там. вот и морщу лоб по поводу максимально простого и стабильного решения. пока мысли в сторону халявных брокеров ipv6 и их туннелей.

Т.к. тема является архивной.

Поведай ему, что держать RDP наружу, в наше время весьма опрометчиво. И что он запросто может проепать всё своё файло.

Не рассуждал бы так категорично, если бы сам как то не оставил, всего на несколько дней rdp торчащим наружу, причём на не стандартном порту.
В результате на машинке поработал шифровальщик-слоупок.
Да, бывает годами торчит и ничего.

Т.к. тема является архивной.

а кто тебя заставляет держать rdp на стандартном tcp/3389 ? уже хз сколько лет выношу на пятизначные порты - там ещё ни разу не было даже попыток вломиться.

Т.к. тема является архивной.

хз. вот вообще не парюсь. правда и паролей простых нет, и юзеры стандартные отключены. всё норм работает, не у единственного клиента.

Т.к. тема является архивной.

Так я и говорю, до разу.
Пароли пох, они какую то уязвимость юзают, хотя на подломаной виртуалке 10ка стояла.
Мутить RDP over TLS не каждый будет

Т.к. тема является архивной.

я, грешным делом, купил белый статический IP у Ростелекома на свою контору в Кстово. Стоит удовольствие 150 рублей что-ли в месяц (точно цену не знаю, просто плачу 1200 за интернет, в том числе за белый статический IP)
до этого, да, иногда они шутили и прятали сервер конторы за NAT. Причем делали это как то спорадически. Было неудобно.

Но я бы не купил, если бы не пришлось подымать сервер переадресации ключей для долбаного ЕГАИС. Делали как раз для удобства клиентов, когда интернет в магазине и дома хрен пойми какой (то ли проводной с постоянными сменами IP, толи вообще мобильный) и, соответственно, нет возможности из дома спокойно поработать с ключом ЕГАИС, который в магазине.

Форум по системам видеонаблюдения, безопасности, пожарным и охранным сигнализациям, контролю доступа.

VPN, IP camera, серый IP

Доброго времени суток!
Имею два роутера: Zyxel Keenetic Viva(с 3g модемом Huawei e3272 с серым IP и китайской IP камерой) и Zyxel Keenetic DSL со статическим IP. Между роутерами организован VPN для отбеливания IP.
Проблема в том, что не получается получить доступ к IP камере из интернета за пределами сетей роутеров Viva и DSL.
Причем, при нахождении в сети Keenetic DSL получается получить доступ к камере по адресам: 192.168.2.30(локальная сеть Viva), 192.168.3.30(локальная сеть DSL) и внешнего статического IP.
Вопрос: как получить доступ к камере за пределами вышеописанных сетей? Предполагал, что после вышеописанных действий смогу подключится к камере по адресу: стат.ip + tcp-порт извне а выходит только изнутри. Или это предел возможностей vpn?

Есть "сервер" с белым ИПом, на нем фряха.
Есть "комп" с серым ИПом.
Нужно чтобы из внешнего мира можно было зайдя через ИП "сервера" на 3000 порт, попасть на 3000 порт "компа".

Туннель SSH между "сервером" и "компом" допустим я сделал, с "сервера" можно попасть в "комп" на нужный порт.

Но как теперь сделать чтобы внешний человек мог попадать на "комп"?

+ (0) или ничего не нужно уже делать? Должно уже работать так как уже сделано?

Проверяем: на "сервере" делаю
telnet 127.0.0.1 3000
попадаю на "комп" как и аоложено.

Если сделать с стороннего компа:
telnet `ИП сервера` 3000
то должен ведь попасть на "комп"? Или не должен? Нужно что-то еще установить или если нчего не мешает то соединение должно произойти?

И да "SSH туннель" это что? Обычно используют VPN в каком то виде и далее маршрутизацию на сервере.

Комп 1 Сервер Комп 2

чтобы попасть с компа 2 на комп 1 на сервере должна быть настроена проброска

Обратный туннель в помощь.
ssh user@server -R 3000:localhost:3000 -N
Но туннели работают только для тсп хотя наверное вы знаете

(7) Спасибо, разобрался, работает! Одного обратного туннеля оказалось достаточно, ничего дополнительно настраивать не пришлось.

Еще есть классная вещь autossh которая поднимает туннель если пропала связь. Можно в автозапуск поставить.
Пробовал на виндосе с помощью cgwyn создавать эту службу. Она запускалась, но работала не стабильно. Еще были способы для запуска службы, я их тоже пробовал, но ни один не работал стабильно

(6) Что такое "ssh туннель" я в курсе, но использовать это для двойной проброски это полный изврат.

Но вот не знать что такого однозначного понятия как "серый ip" нету. Есть "фиксированный|статический белый ip", есть "динамический белый ip".

А есть https://ru.wikipedia.org/wiki/Частный_IP-адрес, и что ты обозвал "серым IP" я реально не понял.

Когда такое требование возникло, обеспечить доступ к видеокамерам в отделах без белого ip, то решил через l2tp vpn сервер на vps хостинге куда роутеры подключались и стали доступны все устройства по любым портам.

Серый ип это который за натом. Вроде неоднозначности нет. Использовать впн в данном случае неудобно потому что его сложнее настроить. Потом надо пробросить порт из одной сети в впн. Это настраивать в 10 раз дольше чем. Это не двойная проброска это просто обратный туннель.
"стали доступны все устройства по любым портам". Это как? У вас один внешний ип и куча устройств которые используют одинаковые порты.

(12) ОК а как обзовешь ip который "за прокси" ?

>"стали доступны все устройства по любым портам". Это как? У вас один внешний ип и куча устройств которые используют одинаковые порты.

маршрутизация все устройства становятся доступны по уникальным ip адресам даже если эти ip адреса в отдельных подсетках разделенных совпадают

автоматическая трансляция адресов
подсеть1: 192.168.1.0 и подсеть2 тоже: 192.168.1.0

соединяем через vpn и все адреса подсети2 для доступа из 1-й (или любой иной) становятся вида 192.168.101.X
Т.е. сеть 1: был адрес железки внутри ее 192.168.1.2 192.168.101.2 и аналогично с прочими

(14)+ в реальности эту "трансляцию ip адресов" можно как угодно настраивать, современные роутеры (обожаю openwrt) почти что угодно позволяют делать с ними

"маршрутизация все устройства становятся доступны по уникальным ip адресам даже если эти ip адреса в отдельных подсетках разделенных совпадают"
То есть нужно столько же уникальных белых ип сколько внутренних? Я правильно понял? Надеюсь речь идет о видеорегистраторах, а то для каждой камеры отдельный ип это странно.
//ОК а как обзовешь ip который "за прокси" ?
Он серый. С серого ип поднимаем туннель на белый ип. Зачем его еще как-то называть?

(16) Не нужно никакой отдельный белый ip, он всего 1 достаточно на vpn сервере.
Далее просто роутер на каждую отдельную подсетку, обычно там где видеорегистратор (или несколько отдельных ip-камер) еще минимум 1 и более компов (или других девайсов типа МФУ, медиаплееров для проекторов рекламы и т.д.) есть в отделах

На роутерах настроена маршрутизация в результате откуда угодно можно куда угодно соединяться и не думать о проброске отдельных портов.

Вам надо получить доступ к такой то камере, которая за натом. Как это сделать из интернета, а не из внутренней сети, используя ваш способ? Как это сделать прописав маршруты?
"ip за прокси не обязательно серый, а может быть вполне белым"
Я говорил что его не обязательно называть как-то особенно. То что он за прокси не значит что его надо как-то называть, я про это.
Опенврт кстати тоже уважаю, у самого установлена.

(10) Да ладно, не обижайся ))) Нельзя же быть экспертов во всех вопросах. А ВПН тут как раз полный изврат.
Одну строчку в консоли написать гораздо проще чем ВПН настраивать.

(13) Ну все правильно, насчет того что серый айпи это тот что за натом.
Просто за натом белого не может быть в принципе.

(0) Непонятно.
Что значит сделал SSH между "сервером" и "компом" ? Нафига?
У тебя комп за натом, нужно просто в настройках NAT пробросить порт.

(23) >Просто за натом белого не может быть в принципе.

(25)+ при обычной маршрутизации пакеты пересылаются как есть (TTL не учитываем), при NAT происходит подмена IP:Port а затем в обратных пакетах обратная подмена

(24) >> У тебя комп за натом, нужно просто в настройках NAT пробросить порт.

Че, правда? Спасибо, не знал! Тогда конечно проще "в настройках NAT пробросить порт." )))))))

Нат там может быть не доступен. Также если это дома то там может быть 2 ната, один за другим и ни к одному из них нет доступа. Вообще кто дружит с юниксами советую изучить ssh это очень крутая штука.

В этой статье я постараюсь простыми словами пояснить, что такое функция динамической системы доменных имен (DDNS) и для каких задач она используется. Чтобы подготовить максимально простую статью, я все проверил на своем оборудовании. Постарался изучить все нюансы и возможные проблемы, с которыми можно столкнуться в процессе настройки.

Ниже речь пойдет об использовании DDNS именно на роутерах. Практически в каждом современно роутере есть поддержка функции динамической системы доменных имен, что дает возможность зарегистрировать для роутера бесплатный, статический адрес. Используя этот адрес, вы откуда угодно сможете зайти на свой роутер (в его веб-интерфейс) , или получить доступ к настроенному на роутере (или за ним) серверу, веб-камере, сетевому накопителю и т. д.

Что такое DDNS?

Функция "Динамический DNS" (Dynamic DNS) позволяет присвоить постоянное доменное имя (адрес для доступа из интернета) публичному, динамическому IP-адресу, который роутер получает от провайдера. Это нужно в первую очередь для доступа к настройкам роутера через интернет (когда вы не подключены к домашней сети) . Так же с помощью DDNS можно настроить доступ через интернет к FTP-серверу, который настроен на роутере. Есть разные сценарии использования функции DDNS (веб-сервер, игровой сервер, доступ к сетевому накопителю NAS, IP-камере) . Но удаленный доступ к FTP-серверу и к настройкам маршрутизатора – это самые популярные варианты. В моем случае, после настройки отлично работало и то, и другое. Некоторые производители дают возможность получать удаленный доступ к настройкам роутера через облако (используя приложение на мобильном устройстве) . Это намного проще и удобнее. Но такая функция есть далеко не на всех маршрутизаторах.

Для начала хочу пояснить, как работает DDNS. Каждый роутер, который подключен к интернету, получает от провайдера внешний IP-адрес. По этому адресу можно получить доступ к роутеру через интернет (или к серверу, который настроен на устройстве за роутером) . Даже когда мы подключены к интернету через другой роутер, мобильный интернет и т. д., и не находимся в своей локальной сети. Но проблема в том, что провайдер чаще всего выдает динамический IP-адрес, а не статический.

Возможно, ваш провайдер выдает вам белый (о белых и серых адресах я расскажу дальше в статье) , статический IP-адрес. В таком случае, вам не нужно настраивать DDNS, так как у вас есть постоянный IP-адрес для доступа к маршрутизатору. Скорее всего услугу "Статический IP-адрес" можно подключить у интернет-провайдера. Обычно, эта услуга платная.

Динамический, внешний IP-адрес, который провайдер выдает роутеру, может постоянно меняться (провайдер каждый раз выдает роутеру новый адрес) . И уже после изменения адреса мы не сможем получить доступ к роутеру через интернет. Здесь нам пригодится DDNS. Как я уже писал в начале статьи, с помощью этой функции можно получить постоянный адрес для доступ к нашему роутеру, даже если провайдер выдает динамический IP-адрес, который постоянно меняется.

Выводы: если провайдер выдает внешний статический IP-адрес (чаще всего нужно отдельно подключать эту услугу) – заморачиваться с настройкой функции "Динамический DNS" не нужно, в этом не смысла, так как у вас уже есть постоянный адрес. Если же у вас динамический внешний IP – настройка DDNS решит эту проблему. Так как после настройки мы получим статический адрес.

Не все так просто: "серые" IP-адреса и DDNS

Сейчас я коротко расскажу, что такое серые и белые внешние IP-адреса, и вы все поймете. Для выхода в интернет провайдер присваивает роутеру, или конкретному устройству внешний (публичный) IP-адрес. Белый, публичный IP-адрес (даже если он динамический) позволяет получить доступ к нашему роутеру из интернета. То есть, этот адрес обеспечивает прямую связь из сети интернет и маршрутизатором.

Так как белых IP-адресов на все устройства в сети интернет не хватает (возможно, это не основная причина) , то интернет-провайдеры очень часто выдают своим клиента (роутерам, устройствам) серые IP-адреса (они же приватные, или частные) . Это адреса из локальной (частной) сети интернет-провайдера. А уже из локальной сети провайдера идет выход в интернет через один внешний IP-адрес. Он может быть общим для определенного количества клиентов.

Мы сейчас не будем обсуждать, плохо это, или хорошо. Но дело в том, что функция DDNS через серый IP-адрес работать не будет . Чтобы настроить динамический DNS, необходимо, чтобы провайдер выдавал вам белый, публичный IP-адрес.

Некоторые маршрутизаторы могут сами определять, какой IP-адрес выдает провайдер. Приватный (серый) , или публичный (белый) . Так, например, на роутерах ASUS, если адрес серый, то в разделе с настройками DDNS отображается следующее предупреждение: "Беспроводной роутер использует приватный WAN IP адрес. Этот роутер находится в NAT окружении и служба DDNS работать не может".

Если ваш маршрутизатор не умеет определять это автоматически, то есть другой способ выяснить.

Как проверить, "белый" или "серый" IP-адрес выдает провайдер?

Нужно для начала зайти в настройки своего Wi-Fi роутера, и прямо на главной странице (обычно, это"Карта сети", или "Состояние") , или в разделе WAN (Интернет) посмотреть WAN IP-адрес, который присвоен роутеру интернет-провайдером. Вот, например, на роутере TP-Link:

Важно! Убедитесь, что на устройстве, в браузере не включен VPN. Иначе, на сайте будет отображаться не ваш реальный IP-адрес, а адрес VPN-сервера. Используйте стандартный браузер.

Если WAN IP-адрес в настройках роутера и на сайте отличатся, значит провайдер выдает вам серый IP-адрес. А если они совпадают – то белый. В моем случае адреса разные, значит у меня серый IP-адрес и DDNS настроить не получится.

В этом случае (если адрес серый) можно позвонить в поддержку интернет-провайдера, и сказать, что вам нужен белый внешний IP-адрес. Скорее всего они сделают вид, что не понимают о чем идет речь, и начнут рассказывать вам о статических и динамических адресах. Мол это одно и то же, подключите статический IP у нас и все заработает. Да, статический IP будет белым, но как правило, это платная услуга. Да и как мы уже выяснили выше в статье, настраивать DDNS тогда уже не нужно.

Как работает динамический DNS на роутере?

На роутерах разных производителей, даже на разных прошивках, настройка Dynamic DNS может отличаться. Но, так как принцип работы одинаковый, то и схема настройки на всех устройствах будет примерно одинаковой. В рамках этой статьи невозможно подробно показать, как выполнить настройку на разных маршрутизатора (это я буду делать в отдельных статьях) , но как это примерно работает, мы сейчас посмотрим.

Нужно зайти в настройки роутера и найти раздел с настройками "DDNS". Он может называться еще "Динамический DNS". Там должен быть список сервисов, которые предоставляют услугу динамического DNS. Некоторые из них платные, некоторые с бесплатным пробным периодом, а некоторые предоставляют DDNS бесплатно (с определенными ограничениями, но нам будет достаточно бесплотной версии) . Самые популярные: dyn.com/dns/, no-ip.com, comexe.cn.
Скорее всего, там сразу будет ссылка на регистрацию в выбранном сервисе, который предоставляет динамические DNS.
Многие производители сетевого оборудования предоставляют свои сервисы DDNS. Например, у ASUS это WWW.ASUS.COM (в списке сервисов на роутере) , на устройствах от Keenetic – KeenDNS (с поддержкой облачного доступа, который работает с серыми IP-адресами) . У TP-Link есть сервис TP-Link ID. Но, как я понимаю, он пока что доступен не на всех роутерах и работает только через облако. Если роутер предоставляет свой сервис динамичных доменных имен, то лучше выбрать его.
Нужно зарегистрироваться в выбранном сервисе и получить там уникальный адрес. В настройках роутера нужно указать этот адрес, и скорее всего еще логин и пароль, который вы установили при регистрации в выбранном сервисе.
Если подключение с сервисом будет установлено (смотрите состояние подключения) , то можно сохранять настройки.
После того, как мы получили уникальный адрес и задали все настройки в роутере (и он установил подключение к сервису) можно использовать этот адрес для доступа к самому роутеру через интернет.

Или к FTP-серверу, например (набрав адрес через ftp://) . В случае с FTP, к вашему роутеру должен быть подключен накопитель, настроен FTP-сервер и включен "доступ к Интернет".
Чтобы заходить через этот адрес в настройки роутера, скорее всего придется в настройках разрешить удаленный доступ для всех адресов.

Безопасность при использовании Dynamic DNS

Так как наш роутер имеет уникальный, постоянный адрес (пусть даже не известный для всех) , через который можно получить к нему доступ, то обязательно нужно подумать о безопасности. Чтобы закрыть для посторонних доступ к самому маршрутизатору, FTP-серверу, камерам и другим серверам и устройствам, которые подключены/настроены на роутере.

В первую очередь нужно установить надежный пароль администратора роутера. Об этом я писал в статье как на роутере поменять пароль с admin на другой. Если там есть возможность сменить имя пользователя – смените. Даже если кто-то узнает адрес вашего роутера и перейдет по нему, то не зная логина и пароля, он не сможет получить доступ к настройкам.

Если настроен FTP-сервер, общий доступ к файлам – обязательно нужно сменить имя пользователя и пароль установленного по умолчанию пользователя admin (он запрашивается при доступе к FTP-серверу) . Если создаете новых пользователей, то устанавливайте для них надежные пароли.

К маршрутизатору подключена IP-камера, сетевое хранилище NAS? Они также должны быть защищены хорошим паролем. Стандартное имя пользователя (admin) я так же рекомендую сменить. Сделать это можно в настройках этих устройств.

Если вы, например, планируете использовать адрес DDNS только для доступа к FTP-серверу, а доступ к панели управления роутером вам не нужен, то убедитесь, что удаленный доступ отключен в настройках роутера.

Выводы

Функцию DDNS можно настроить только на том роутере, который получает от провайдера внешний, белый, динамический IP-адрес. Если роутер получает статический внешний (WAN) IP-адрес, то в этой функции нет никакого смысла.

Если провайдер не может, или не хочет выдавать вам белый WAN IP-адрес, а вы не хотите, или нет возможности подключить услугу "Статические IP-адрес", то изучите информацию по своему роутеру. Возможно, там есть способ получать доступ к настройкам через облако. Но вот доступ файлам, IP-камере, NAS, через облако скорее всего не настроить.

Как в теории можно организовать удаленный доступ?

Что такое динамический IP-адрес?

Что такое фиксированный внешний IP-адрес?

Как организовать видеонаблюдение с динамическим IP-адресом?

Перенаправление порта

Перенаправление портов (англ. Port Forwarding)
Виртуальные серверы (англ. Virtual Servers) (на роутерах D-Link, TP-Link и Asus)
Настройка серверов (англ. Servers Setup)
Приложения (англ. Applications)

C использованием DDNS

KeenDNS для роутеров Zyxel
Облако TP-Link для роутеров TP-Link
Asus DDNS для роутеров ASUS

С Использованием UPnP

Облачные сервисы производителей роутеров

Облачные сервисы производителей оборудования для видеонаблюдения

Hik-Connect работает только с оборудованием HikVision и их же вторым брендом HiWatch
DirectIP только с оборудованием IDIS

И тут наверно вы уже хотите меня спросить, а чем в таком случае могут помочь облачные сервисы производителей видеонаблюдения, если система видеонаблюдения уже у вас есть.

И ответ здесь прост, если вы хотите использовать облако от производителей, вы можете купить P2P видеорегистратор , это как раз те регистраторы, которые поддерживают облачные сервисы производителей видеонаблюдения.

А камеры видеонаблюдения вы сможете оставить старые и подключить их к новому видеорегистратору с поддержкой облачного сервиса . Причем, не особо важно какие у вас камеры аналоговые или IP, так как и те и другие современные видеорегистраторы поддерживают облачные удаленный доступ.

Т.е. у вас будут разовые затраты на видеонаблюдение, но удастся избежать постоянных затрат в виде абонентской платы.

Облачное видеонаблюдение от операторов

Операторы это компании, которые не производят оборудование для видеонаблюдения. Они заказывают оборудование под своим брендом (OEM) и разрабатывают софт, который позволяет организовать удаленный просмотр живого видео и архива.

Например, компания Ivideon пытается в первую очередь впарить свое OEM барахло плюс свой облачный хостинг за абонентскую плату. Но если поковыряться на сайте вы без особого труда найдете программное обеспечение Ivideon Server и Client, которое можно использовать для подключения почти любых камер и просмотра их через интернет, но для этого вам нужно будет присесть на иглу абонентской платы.

Программное обеспечение нужно устанавливать на компьютер, что само по себе это плохая идея, так как ваш компьютер в таком случае будет работать 24 часа в сутки. Что приведет к его повышенному износу, особенно если вы собираетесь писать на этот комп видеоархив.

Виртуальные частные сети (VPN)

И роутеры попроще, на которых мы поднимем VPN клиенты, например MikroTik RB3011UIAS-RM.

И в результате мы сможем с вами реализовать примерно такую архитектуру:

Вывод

Хороших производителей видеонаблюдения не то чтобы много, но они есть . А вот хороших коробочных решений для организации удаленного доступа нет и, похоже, не предвидится.

Единственный хороший вариант это надежный VPN, но для того чтобы его организовать нужны навыки администрирования и приличное сетевое оборудование. По счастью у нас есть и первое, и второе, так что если вам нужен царский VPN для обеспечения вашей кибербезопасности и защиты ваших персональных данных мы его вам в два счета организуем .

Несмотря на то, что VPN стоит денег, выбора похоже уже нет, киберпреступность растет гигантскими темпами, только по официальным данным , число преступлений с использованием интернета возросло на 91% и в 2021 рост продолжится.

Перефразируя одного известного чекиста, то, что вас не коснулась киберпреступность это не ваша заслуга, а недоработка киберпреступников. Но судя по 91% росту, они намерены исправится.

Ну, и самое важное — ваше мнение

Ничто так сильно не мотивирует меня писать новые статьи как ваша оценка, если оценка хорошая я пилю статьи дальше, если отрицательная думаю, как улучшить эту статью. Но, без вашей оценки, у меня нет самого ценного для меня - обратной связи от вас. Не сочтите за труд, выберете от 1 до 5 звезд, я старался.

Читайте также: