Întrebare fară răspuns

Mic indrumar pentru port forwarding - internet fix Orange

Salutare tuturor!

Va propun o discutie noua, tehnica, pe cat posibil punctuala, pentru un scenariu comun: daca am un echipament care trebuie sa fie accesibil din internet si am un abonament de internet fix de la Orange, cum procedez?

 

Va rog, pe cat posibil, sa incercam sa adunam doar informatii tehnice, punctuale. Am cautat si sunt multe discutii in Comunitate, insa prea putine solutii. Unele din threaduri m-au inspirat si mi-au dat idei.

 

De asemenea, va rog sa incercam sa nu ne pierdem in detalii si scenarii, sa nu ne pierdem in dorinta de a arata ca stim mai bine decat altii - nu este un concurs. :)

 

Obiectivul meu: sa ajungem la o colectie concisa de setari si informatii necesare.

 

Sa incepem, deci!

 

In functie de scenariul punctual pe care il avem in minte, exista solutii multiple. Unele scenarii comune sunt:

 

1. Vreau sa imi accesez sistemul de supraveghere. Trecand peste intreaga discutie subiectiva (vreau sa imi expun sistemul in internet? stiu sa mi-l securizez? exista vulnerabilitati si ma asigur ca imi tin la zi sistemul?), in functie de sistemul ales, este posibil sa il pot accesa prin aplicatia producatorului. Spre exemplu, cei de la Hikvision stiu ca ofera posibilitatea de a-ti face un cont la ei, echipamentul se conecteaza la ei, iar eu imi pot vedea camerele de pe telefon sau din browser fara sa fac sistemul accesibil in internet. Nu voi comenta aceasta varianta. Eu personal aleg sa nu merg pe aceasta varianta pentru ca nu am incredere in nicun tert.

 

2. Vreau sa imi accesez sistemul de alarma prin intenet. Este fix scenariul de mai sus, nu il reiau. Difera producatorii si aplicatiile, dar abordarea este aceeasi.

 

3. Vreau sa imi accesez calculatorul de acasa de la distanta. Exista solutii precum LogMeIn sau Teamviewer care imi permit sa fac acest lucru. Chiar mai simplu, daca la computer este cineva si daca pe computer ruleaza Windows 10, atunci pot accesa aplicatia Quick Support (integrata in sistemul de operare) care imi permite sa ma conectez si sa lucrez fara sa instalez nimic. Experienta este buna, l-am folosit mult. Dar poate vreau sa ma conectez atunci cand nu e nimeni la computer, poate vreau sa rulez un server de baze de date sau sa imi tin o pagina personala. Da, exista si aici variante (toti providerii cloud ofera si solutii gratuite pentru consum redus de resurse), dar ne intoarcem la scenariul la care nu vreau sa dau unui tert acces la datele mele.

 

4. Vreau sa imi stochez pozele si filmarile personale de pe un Network Attached Storage. Poate am documente scanate, poate am doar pozele de la nunta sau de la majorat. Nu este relevant. In functie de producator, este posibil sa revin la scenariul 1 de mai sus, dar aici cu atat mai mult nu vreau sa dau nicicui acces. Da, as putea folosi Dropbox, Google Drive, OneDrive, Box, etc. dar nu vreau ca datele mele sa fie la discretia unui furnizor de servicii cloud. Poate sunt eu mai neincrezator si vreau sa am aparenta controlului.

 

Unde vreau sa ajung cu aceste scenarii? Simplu: exista momente cand vreau sa ajung prin internet la un server din reteaua mea - indiferent ca ii spunem sistem de supraveghere, NAS sau laptopul meu personal pe care vreau sa ma conectez prin Remote Desktop. Exista momente in care o persoana fizica poate avea nevoi legitime de a expune un serviciu prin internet.

 

Ei, de principiu, am doua probleme pe care trebuie sa le rezolv:

1. Adresa IP: unde ma conectez atunci cand sunt la birou si vreau sa vad daca pisica se joaca linistita sau mi-a rasturnat ghiveciul cu flori? Solutia cea mai simpla este sa solicit un IP fix de la Orange; astfel, intotdeauna adresa mea va fi aceeasi si ma pot conecta direct la ea. Un astfel de IP fix costa 2 euro lunar (daca am retinut bine, caci in alte parti si pe site am gasit informatii precum cost de 2.5 euro lunar si/sau exclusiv pentru persoane juridice). Dar doar pentru ca este cea mai simpla nu inseamna ca este si cea mai buna. Exista furnizori de servicii de tip Dynamic DNS, care imi permit sa folosesc un nume oarecare (ex: numelemeu.hopto.org) si imi actualizeaza ei adresa IP atunci cand se schimba. Unele astfel de servicii sunt gratis (Digi, spre exemplu, stiu ca ofera dynamic DNS fara niciun cost suplimentar pentru punctele de instalare din reteaua lor), altele sunt partial gratis (dyndns.com, care ofera pana la 5 adrese gratuit insa lunar trebuie o confirmare). Aproape sigur mai este necesara o configuratie suplimentara ori pe router, ori pe echipamentul conectat (inclusiv computerul din retea). Aceasta configuratie nu face obiectul discutiei. Ideea e ca se poate fara o adresa IP fixa si nu accept sa mi se spuna ca nu exista o solutie tehnica fara IP fix - da, pot sa inteleg o practica arbitrara de a-mi vinde fortat un serviciu de care am nevoie, dar macar vreau o asumare: "politica firmei este sa nu permita configuratia decat contra cost".

 

2. Configurarea routerului. Aici e o poveste mai ampla, dar ideea de baza este ca imi instruiesc routerul ca atunci cand vede o conexiune particulara dinspre internet sa o trimita la un anumit echipament intern. Da, stiu, discutam poate de IP static pentru echipamentele din reteaua locala, discutam de port forwarding, discutam de firewall pe echipament, etc. Presupunem ca stim ce facem, ca altfel nu am purta aceasta discutie. Intrebarea mea este: "cum configurez ONT-ul/routerul de la Orange?". 

  • La Digi era simplu: interfata de administrare a routerului imi permitea sa fac direct port forwarding, nu ma intreba de sanatate. Daca nu imi placea routerul lor, puneam routerul meu, la WAN/Internet ii configuram numele si parola pentru PPPoE si gata.
  • La UPC recent (respectiv la Vodafone) ma lasa sa fac configuratia direct pe router, dar pentru ca am avut probleme cu routerul lor am ales sa pun routerul lor in mod bridge, sa las routerul meu cu setari dinamice/DHCP pe portul WAN si sa fac configuratia mai departe de acolo. Practic nici nu mai vedeam routerul lor - era transparent.
  • La UPC pe vremuri conectam modemul lor la routerul meu, in routerul meu introduceam datele de IP fix primite de la UPC, iar din routerul meu ma descurcam cu setarile.
  • La Telekom pe vremuri am reusit pana la urma sa pun routerul meu in DMZ, iar de acolo routerul meu a preluat configuratia.
  • La Orange nu pot face port forwarding sau DMZ pentru ca in interfata de administrare nu pot alege interfata WAN - e goala. Am citit manualul, nu vad optiunile pe care ar trebui sa le vad. Nu tine de browser si nu tine de device-ul de pe care incerc. Am cerut trecerea routerului in mod bridge fara IP fix (nu am nevoie, cum ziceam si mai sus). Mi s-a confirmat ca trecerea in modul bridge este gratuita si ca a fost implementata, dar ONT-ul lor continua sa se comporte ca un router. Am dezactivat DHCP-ul/NAT-ul si am lasat routerul meu pe Dynamic pentru WAN, dar nu a functionat. M-am uitat in logurile pe care mi le tin si am vazut ca in ultimul an am primit acelasi IP (nu e fix, doar ca... asa s-a "nimerit" :) ). Am incercat sa imi pun acel IP, cu el insusi la gateway. Am incercat sa "ghicesc" gateway-ul si subnet mask-ul. Nimic. Ce trebuie sa pun la setarile de router (atat in ONT cat si in routerul meu)? Orange sustine ca nu ofera suport pentru astfel de scenarii. Consider ca Orange se spala pe maini si descurajeaza astfel de scenarii, nu ca nu ofera suport. Nu am intrebat cum sa imi configurez routerul, ci care sunt setarile pe care trebuie sa le am la nivelul ONT-ului si a WAN-ului din routerul meu pentru ca mai departe sa ma descurc? Ce imi scapa? Ce ar trebui sa mai fac? In cazul in care conteaza, este un Huawei HG8247W5.

 

Cum ziceam, orice informatie este binevenita. Rog insistent insa: fara comentarii pentru sau impotriva, fara evaluari subiective, fara suparari. Presupunem ca aceia care citesc thread-ul stiu ce fac, de ce fac anumite alegeri si nu intreaba "cum configurez X la routerul meu?" ci discuta despre setarile generale care trebuie facute.

Multumesc :)

  • Răspunde
  • Distribuie această întrebare

Răspunsuri

Am mai cautat informatii. Aparent configuratia curenta este una IPv6. Daca incerc sa fac forwarding prin IPv6, nu pare sa am nicio problema - vad interfata WAN, pot configura forwarding-ul din ONT. Nu am dus testele la bun sfarsit, dar pare ca pot obtine ceea ce vreau daca merg pe IPv6
Am constatat astfel ca interfata WAN IPv4 ramane "agatata" in connecting si singura interfata conectata este cea IPv6. Cheia este aici: dslite.orangero.net - aparent se foloseste Dual-Stack Lite - https://en.wikipedia.org/wiki/IPv6_transition_mechanism#D...
Pe romaneste, pe ONT nu mai ajunge o adresa IPv4. Pachetele mele sunt incapsulate in pachete IPv6, acestea ajung la Orange intr-un server carrier-grade NAT (abia aici exista o adresa publica IPv4), aici pachetele mele IPv4 sunt extrase, se face NAT si sunt trimise mai departe.
In acest punct pot sa inteleg tehnic blocajul: daca mie nu mi se aloca o adresa IPv4, este normal ca acest IP sa nu poata fi expus catre routerul meu. Daca interfata WAN IPv4 ramane tot timpul in connecting, este normal sa nu imi fie vizibila atunci cand incerc sa fac o configurare ulterioara. Chiar presupunand ca m-ar lasa sa fac acea setare, tot nu ar merge - interfata nu primeste o adresa IPv4.
De asemenea, pot intelege de ce este necesar un "IP fix" contra cost. Nu este absolut necesar sa am o adresa fixa, insa este mai usor de administrat si explicat de catre Orange o singura oferta (IP fix). Oricum probabil nu ar putea da tuturor clientilor cate o adresa IP, asa ca inteleg de ce ar taxa pentru asta: daca ai cu adevarat nevoie, platesti.
Mi-ar fi placut sa gasesc undeva informatiile astea structurate pe site-ul Orange, in loc sa imi bat capul.
Daca mai apar informatii noi, voi scrie aici. Daca cineva intelege mai bine functionarea sau stie sa aduca completari sau corecturi la ceea ce am scris, promit ca nu ma supar :)
Strict in ceea ce ma priveste o sa ma gandesc daca sunt dispus sa platesc pentru un IP fix sau incerc sa imi configurez un VPN profitand de cateva servere vizibile in internet pe care le operez.
La o adica, mai era si vorba aia: open source is only free if your time is not worth anything. :)

Trixen zici asa: "M-am uitat in logurile pe care mi le tin si am vazut ca in ultimul an am primit acelasi IP (nu e fix, doar ca... asa s-a "nimerit" :) ). Am incercat sa imi pun acel IP, cu el insusi la gateway. Am incercat sa "ghicesc" gateway-ul si subnet mask-ul. Nimic." Incearca sa pui un calculator cu dhcp pe firul care intra in router din ont. Vei vedea acolo net mask si gateway. O alta varianta sa dai un trace route si vezi ip routerului tau, apoi urmatorul ip este al gateway-ului sau. Net mask il deduci apoi.

Errr, nu ma prind. La ce ma ajuta sa imi mai interpun un server DHCP? ONT-ul are DHCP activ si imi furnizeaza deja un IP privat in router. De fapt asta e problema: IPul public. Nu imi trebuie unul care sa nu se schimbe, ci imi trebuie unul public.
Din cate am reusit sa inteleg, ONT-ul sta pe IPv6 si doar atat. Traficul pentru IPv4 e trimis mai departe la un NAT zonal administrat de Orange. Pe ONT nu imi ajunge o adresa IPv4 asa ca nu am ce face. Ori "inchiriez" un IP static, ori folosesc un router dual WAN (Mikrotik, e deja pe masa de lucru, dar aparent e prea destept pentru mine) pe care imi pun un port in ONT-ul Orange si un port in router-ul Vodafone setat in mod bridge. 2 euro la Orange sau 5 la Vodafone si am si redundanta pentru doar 3 euro in plus? :)

Nu ziceam de server dhcp. Ca sa vezi care este netmaskul si gatewayul retelei pui un client dhcp. Verifici apoi ce netmask si gateway a primit acest client. De asemenea daca dai trace route prima linie este ip tau, linia a doua este gatewayul tau.

Mie in router imi intra direct fibra. Nu ma pot "intepa" in fibra.
Iar routerul de la Orange:

  • ori imi da un IP de forma 192.168.x.x - nu ma ajuta
  • ori nu imi da nimic si imi "asignez" singur unul de forma 169.254
  • In concluzie, nu am cum sa obtin informatiile la care faci referire.
    Nota: chiar daca presupunem ca as putea identifica si apoi mi-as asigna acel IP pe echipamentul local, NAT tot la Orange se face, deci tot nu ma ajuta.
    M-am gandit si eu, dar nu am cum. Pe Dual Stack lite NU primesti IPv4 - https://www.citrix.com/blogs/2012/03/22/ds-lite-%E2%80%93... :)

Salut! Am observat că petreci timp în Comunitatea Orange, dar nu te-ai înscris încă.
Dacă te inscrii și devii membru, poți adresa întrebări în comunitate, poți să ajuți și tu alți membri și poți câștiga puncte, badge-uri și să te bucuri de multe alte beneficii!