Tweet
Брат ми е абонат на А1. Иска да му направя ВПН към домашният му компютър. Но като битов потребител, публичното му ИР е през CGNAT на доставчика. Рутера е на доставчика и най-вероятно ползва TR-069 или нещо подобно. Има ли начин за преминаване през CGNAT на доставчика? Т.е. през публичното ИР да се достъпи домашния комп?
-
-
Не знам какво е CGNAT но вероятно е някаква разновидност на добрият стар NAT.
Тоест от вън няма директен достъп до неговият рутер?
То и да има най-вероятно повечето неща като входящи конекции са филтрирани от доставчита така или иначе.
Според мен няма лесен начин.
Трудният е неговият хомо рутер да инициира тунел към някакъв външен ВПН концентратор с публичен достъп.
Мястото от което иска да достъпва домашната си мрежа - също.
Така двете точки ще се виждат взаимно през външният концентратор.
И пак ще зависи к'во и колко са му филтрирали ментелци нетя!
Все пак за да се направи VPN към някаква точка основно изискване е тя да има публично достъпен IP адрес.
Нещо, което тука явно няма.
Не твърдя, че няма различно решение но е вероятно наистина да няма такова без междинна точка.
Ся дали тя ще бъде някаква муглява 0слуга или просто VM с публичен адрес и VPN сървър на нея все тая.Враг усраине -
Един Микротик от вътре от ЛАН'а на брат ти да пуска ВПН връзка и мост към нещо(някой евтин клауд или хостинг на ВМка в БГ), което е с постоянно публично ИП където брат ти да се вързва при нужда.
Една ВМка от на брат ти компа с един Линукс да му пуска автоматично ВПН връзка с мост пак към нещо навън с публично ИП и като по-горе.
Или ТиймВюър с регистрация платен, но там има известен риск за сигурността, че понякога страдат от успешни атаки. Последното му дава възможности да прехвърля файлове, видео, звук и т.н. и не е супер голяма сума.
П.П. Ако се ползва ВМка, може ти да направиш всичко и после брат ти само ще я импортне като снапшот и стартира на неговото си ПиСи, а в клауда/хостинга ти може да я сложиш и обслужваш.Бъдете живи и здрави!Коментар
-
Много се опростява решението ако просто се надгради интернет 0слугата с реален IP адрес.
Всичко друго е некакво носене на вода от кладенци в трета гора.Враг усраинеКоментар
-
Знам, че селският доставчик ме щави малко повече от нормалното с тия 5лв но пък останалите им неща са ОК.
Става въпрос че от години има огромен дефицит на IPv4 адреси и стана нормално наемането им.
Доставчиците също плащат за тях.
Е, не по 5лв на адрес ама търговийката да върви
-
Е как ве, рибасома го дава за 2 кинта на месец статичното айпи. Кво му плащам. Сега то тествам, и мисля да си го оставя.
-
-
Съгласен съм на 100% с мнението на колегите по-горе, но ако желаем стриктно да се придържаме към заданието на stefsab има друг подход.
1. Инсталиране и конфигуриране на VPN server в локалната (домашна) мрежа
2. Задаване на статичен IP на VPN сървърът.
3. Чрез админ интерфейсът на А1 маршрутизаторът, настройка на portforwarding към IP адресът от точка 2.
ПП NAT-ът не е проблем
TR-069 няма отношение към този казус
И за да не съм голословен, ще приложа моят текущ сетъп през двоен NAT
1. Router 1 vDSL - силно ограничен по възможности рутер от доставчикът - Динамичен публичен IP address
2. LAN - 192.168.2.0/24 DHCP
3. Router 2 - WAN 192.168.2.105/24
LAN 192.168.9.0/24
4. В събнет 192.168.9.0/24 "хоствам" различни услуги от WEB server до VPN server
pic.1 portforwarding Router 1
И вторият NAT с прилежащият към него portforwardinginterface GigabitEthernet9
description Telekom_VDSL
ip address dhcp
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly in max-reassemblies 1024
duplex auto
speed auto
ipv6 address autoconfig default
ipv6 enable
!
interface Vlan1
ip address 192.168.9.1 255.255.255.0
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in max-reassemblies 1024
ip virtual-reassembly out max-reassemblies 1024
!
ip nat inside source static tcp 192.168.9.23 80 interface GigabitEthernet9 80
ip nat inside source static tcp 192.168.9.23 443 interface GigabitEthernet9 443
ip nat inside source static tcp 192.168.9.23 8089 interface GigabitEthernet9 8089
ip nat inside source static tcp 192.168.9.23 8003 interface GigabitEthernet9 8003
.
.
.
LZ1UFSКоментар
-
Благодаря за идеята!
Но А1 не ми дават достъп до техния рутер и съответно пренасочване от него не става.
До преди около 2г. нещата работеха. Тогава A1 нещо си промениха по мрежата и приключи.
След включване, по tr-069 или подобно, ISP -то си зарежда всички настройки в рутера. От този момент, за мен е "черна кутия".
При разговор със съпорта преди месеци, накратко - договора е за интернет - нали има интернет! Рутера е наш и доставяме НЕТ съгласно нашите вътрешни правила.....
Tracert отвътре не работи - А1 рутера си "мълчи"...
-
-
Това ако се приеме, че има контрол в рутера на доставчика.
Нямам идея това дали е така в случая с ментел.
Освен това ще трябва DDNS услуга например за да се заобиколи динамичният адрес.
Враг усраинеКоментар
-
Всъщност таксата за реален адрес сметната на годишна база не е толкова страшна. А ако раздават и статични адреси, въпросът е уреден...Коментар
Коментар