Salutare tuturor!

Va propun o discutie noua, tehnica, pe cat posibil punctuala, pentru un scenariu comun: daca am un echipament care trebuie sa fie accesibil din internet si am un abonament de internet fix de la Orange, cum procedez?

Va rog, pe cat posibil, sa incercam sa adunam doar informatii tehnice, punctuale. Am cautat si sunt multe discutii in Comunitate, insa prea putine solutii. Unele din threaduri m-au inspirat si mi-au dat idei.

De asemenea, va rog sa incercam sa nu ne pierdem in detalii si scenarii, sa nu ne pierdem in dorinta de a arata ca stim mai bine decat altii - nu este un concurs. 🙂

Obiectivul meu: sa ajungem la o colectie concisa de setari si informatii necesare.

Sa incepem, deci!

In functie de scenariul punctual pe care il avem in minte, exista solutii multiple. Unele scenarii comune sunt:

1. Vreau sa imi accesez sistemul de supraveghere. Trecand peste intreaga discutie subiectiva (vreau sa imi expun sistemul in internet? stiu sa mi-l securizez? exista vulnerabilitati si ma asigur ca imi tin la zi sistemul?), in functie de sistemul ales, este posibil sa il pot accesa prin aplicatia producatorului. Spre exemplu, cei de la Hikvision stiu ca ofera posibilitatea de a-ti face un cont la ei, echipamentul se conecteaza la ei, iar eu imi pot vedea camerele de pe telefon sau din browser fara sa fac sistemul accesibil in internet. Nu voi comenta aceasta varianta. Eu personal aleg sa nu merg pe aceasta varianta pentru ca nu am incredere in nicun tert.

2. Vreau sa imi accesez sistemul de alarma prin intenet. Este fix scenariul de mai sus, nu il reiau. Difera producatorii si aplicatiile, dar abordarea este aceeasi.

3. Vreau sa imi accesez calculatorul de acasa de la distanta. Exista solutii precum LogMeIn sau Teamviewer care imi permit sa fac acest lucru. Chiar mai simplu, daca la computer este cineva si daca pe computer ruleaza Windows 10, atunci pot accesa aplicatia Quick Support (integrata in sistemul de operare) care imi permite sa ma conectez si sa lucrez fara sa instalez nimic. Experienta este buna, l-am folosit mult. Dar poate vreau sa ma conectez atunci cand nu e nimeni la computer, poate vreau sa rulez un server de baze de date sau sa imi tin o pagina personala. Da, exista si aici variante (toti providerii cloud ofera si solutii gratuite pentru consum redus de resurse), dar ne intoarcem la scenariul la care nu vreau sa dau unui tert acces la datele mele.

4. Vreau sa imi stochez pozele si filmarile personale de pe un Network Attached Storage. Poate am documente scanate, poate am doar pozele de la nunta sau de la majorat. Nu este relevant. In functie de producator, este posibil sa revin la scenariul 1 de mai sus, dar aici cu atat mai mult nu vreau sa dau nicicui acces. Da, as putea folosi Dropbox, Google Drive, OneDrive, Box, etc. dar nu vreau ca datele mele sa fie la discretia unui furnizor de servicii cloud. Poate sunt eu mai neincrezator si vreau sa am aparenta controlului.

Unde vreau sa ajung cu aceste scenarii? Simplu: exista momente cand vreau sa ajung prin internet la un server din reteaua mea - indiferent ca ii spunem sistem de supraveghere, NAS sau laptopul meu personal pe care vreau sa ma conectez prin Remote Desktop. Exista momente in care o persoana fizica poate avea nevoi legitime de a expune un serviciu prin internet.

Ei, de principiu, am doua probleme pe care trebuie sa le rezolv:

1. Adresa IP: unde ma conectez atunci cand sunt la birou si vreau sa vad daca pisica se joaca linistita sau mi-a rasturnat ghiveciul cu flori? Solutia cea mai simpla este sa solicit un IP fix de la Orange; astfel, intotdeauna adresa mea va fi aceeasi si ma pot conecta direct la ea. Un astfel de IP fix costa 2 euro lunar (daca am retinut bine, caci in alte parti si pe site am gasit informatii precum cost de 2.5 euro lunar si/sau exclusiv pentru persoane juridice). Dar doar pentru ca este cea mai simpla nu inseamna ca este si cea mai buna. Exista furnizori de servicii de tip Dynamic DNS, care imi permit sa folosesc un nume oarecare (ex: numelemeu.hopto.org) si imi actualizeaza ei adresa IP atunci cand se schimba. Unele astfel de servicii sunt gratis (Digi, spre exemplu, stiu ca ofera dynamic DNS fara niciun cost suplimentar pentru punctele de instalare din reteaua lor), altele sunt partial gratis (dyndns.com, care ofera pana la 5 adrese gratuit insa lunar trebuie o confirmare). Aproape sigur mai este necesara o configuratie suplimentara ori pe router, ori pe echipamentul conectat (inclusiv computerul din retea). Aceasta configuratie nu face obiectul discutiei. Ideea e ca se poate fara o adresa IP fixa si nu accept sa mi se spuna ca nu exista o solutie tehnica fara IP fix - da, pot sa inteleg o practica arbitrara de a-mi vinde fortat un serviciu de care am nevoie, dar macar vreau o asumare: "politica firmei este sa nu permita configuratia decat contra cost".

2. Configurarea routerului. Aici e o poveste mai ampla, dar ideea de baza este ca imi instruiesc routerul ca atunci cand vede o conexiune particulara dinspre internet sa o trimita la un anumit echipament intern. Da, stiu, discutam poate de IP static pentru echipamentele din reteaua locala, discutam de port forwarding, discutam de firewall pe echipament, etc. Presupunem ca stim ce facem, ca altfel nu am purta aceasta discutie. Intrebarea mea este: "cum configurez ONT-ul/routerul de la Orange?". 

• La Digi era simplu: interfata de administrare a routerului imi permitea sa fac direct port forwarding, nu ma intreba de sanatate. Daca nu imi placea routerul lor, puneam routerul meu, la WAN/Internet ii configuram numele si parola pentru PPPoE si gata.
• La UPC recent (respectiv la Vodafone) ma lasa sa fac configuratia direct pe router, dar pentru ca am avut probleme cu routerul lor am ales sa pun routerul lor in mod bridge, sa las routerul meu cu setari dinamice/DHCP pe portul WAN si sa fac configuratia mai departe de acolo. Practic nici nu mai vedeam routerul lor - era transparent.
• La UPC pe vremuri conectam modemul lor la routerul meu, in routerul meu introduceam datele de IP fix primite de la UPC, iar din routerul meu ma descurcam cu setarile.
• La Telekom pe vremuri am reusit pana la urma sa pun routerul meu in DMZ, iar de acolo routerul meu a preluat configuratia.
• La Orange nu pot face port forwarding sau DMZ pentru ca in interfata de administrare nu pot alege interfata WAN - e goala. Am citit manualul, nu vad optiunile pe care ar trebui sa le vad. Nu tine de browser si nu tine de device-ul de pe care incerc. Am cerut trecerea routerului in mod bridge fara IP fix (nu am nevoie, cum ziceam si mai sus). Mi s-a confirmat ca trecerea in modul bridge este gratuita si ca a fost implementata, dar ONT-ul lor continua sa se comporte ca un router. Am dezactivat DHCP-ul/NAT-ul si am lasat routerul meu pe Dynamic pentru WAN, dar nu a functionat. M-am uitat in logurile pe care mi le tin si am vazut ca in ultimul an am primit acelasi IP (nu e fix, doar ca... asa s-a "nimerit" 🙂 ). Am incercat sa imi pun acel IP, cu el insusi la gateway. Am incercat sa "ghicesc" gateway-ul si subnet mask-ul. Nimic. Ce trebuie sa pun la setarile de router (atat in ONT cat si in routerul meu)? Orange sustine ca nu ofera suport pentru astfel de scenarii. Consider ca Orange se spala pe maini si descurajeaza astfel de scenarii, nu ca nu ofera suport. Nu am intrebat cum sa imi configurez routerul, ci care sunt setarile pe care trebuie sa le am la nivelul ONT-ului si a WAN-ului din routerul meu pentru ca mai departe sa ma descurc? Ce imi scapa? Ce ar trebui sa mai fac? In cazul in care conteaza, este un Huawei HG8247W5.

Cum ziceam, orice informatie este binevenita. Rog insistent insa: fara comentarii pentru sau impotriva, fara evaluari subiective, fara suparari. Presupunem ca aceia care citesc thread-ul stiu ce fac, de ce fac anumite alegeri si nu intreaba "cum configurez X la routerul meu?" ci discuta despre setarile generale care trebuie facute.

Multumesc 🙂