Vzdálený přístup neveřejná IP

[MisakP]

Pro názornost ještě obrázek, který do předešlého postu už nešel nahrát.

Jak-funguje-dns-122847288758021.png (108.81 KiB) Zobrazeno 2467 x

[mobilik]

Neviem, ale včera sa pozrel kamaráť kde to všade išlo a išlo to na server do Kanady podľa IP

[MisakP]

Klidně mi pošli do PM tvou adresu, mrknu ti na to a porovnám s tím, jak to vychází mě.

[dumi]

Panove vzhledem k tomu, ze tu trosku motate jablka a hrusky se tu trosku zkusim rozepsat a uvest do problematiky.

Mejme zadani:

chi se dostat na sve raspebry (ci cokoliv jineho) s HA nebo cimkoliv jinym z internetu.

Motate dynamickou DNS a NAT traversal.

DynDNS jako takove vam jen zajisti, ze pokud mate na svem routeru sice verejnou IP, ale neni staticka, tzn v case se meni, tak se vam dynamicky bude menit i ten DNS zaznam. Tzn treba mojeip.dyndns.com pujde na sprvnou IP, pokud se na routeru zmeni. Tim to hasne, Pro pristup na svoje hracky za routerem musite mit nastavene presmerovani portu na tom routeru. Osobne doporucuji jeste k tomu pouzit port knocking, ale to uz je veci kazdeho soudruha jak bezpecne to chce mit.

Vetsina pripojeni pro domacnout dneska verejnou IP nedisponuje, ale je schovana za NATem, tzn za jednou verejnou IP je mnoho IP neverejnych a na venek v internetu vystupu jako jedna IP adresa. Z toho jasne plyne, ze dostat se za NAT z venku je problem. V podstate jedna z mala moznosti je to, ze na routeru kde je verejna IP se musi presmerovat konkretni port na danou privatni IP za routerem. To je problem v pripade, ze router neni ve vasi sprave. nehlede na to, ze tech NATu muzete mit za sebou X, musel by jste to nastavit na kazdem z nich.

Jediny zpusob jak se dostat za NAT je ten, ze zarizeni za NATem se pripoji nekam ven, na server s verejnou IP adresou. Vy se pote take pripojite na ten server a ten vas nasmeruje do jiz otevrene cesty. Tzn samotne DNS tohle opravdu nedokaze. pokud tohle ten duckneco dela, tak je to rozhodne tak, ze si otevre spojeni smerem ven, ktere pak vyuzje pro datovy tok smerem dovnitr. Cinymy slovy jdete pres prostrednika, kterym je server te dane sluzby. Proto to opravdu muze jit pres kanadu nebo buh vi jakou cast sveta.

Dalsim resenim jak se dostat pres NAT je opravdu vyuzit VPN, napriklad OpenVPN (pomerne mohloch) a nebo lepe wireguard, ktery je vyrazne lehci na konfiguraci pro neznaleho cloveka. Raspebry za NATem se skrze VPN pripoji na server, idealne si zridit svuj, napriklad nejaky VPS (wedos jej napriklad nabizi za neco kolem 100Kc/ mesicne) a bud pak vyuzijete porty na verrejne adrese VPS, cimz vlastne je to dostupne odkud koliv z internetu a z jakehokoliv zarizeni==> pro kazdeho vcetne hackru. nebo vyuzijite ciste VPN a pak v zarizeni ze ktereho se chcete pripojit potrebujete mit tu VPN taky nastavenou. Je to vyrazne bezpecnejsi, Vase sluzba neni vubec videt v internetu, ale zase pro pripojeni potrebujete zarizeni s VPN.



Cela akce Raspebery VPN -> VPS s konfiguraci VPN, plus portforward nebo VPN na mobilu je otazka radove hodinky konfigurace vcetne instalace toho VPS. mate to vramci CR, rychle a spolehlive.

aneb bud nejaky duckneco s pochybnou funkcnosti zadarmo, nebo za malo penez, hodne muziky v podobe VPS + VPN.
narozdil od nejakeho cloudu buhvikoho mate zajisteny, ze to :
A] bez ohlaseni nevypnou
B] bez ohlaseni nezpoplatni
C] nepolezou vam skrze to do vasi vnitrni site
D] nebudou dolovat vase data
E] bude to vyrazne rychlejsi

Nejake dotazy?

[josse]

Dalsim resenim jak se dostat pres NAT je opravdu vyuzit VPN, napriklad OpenVPN (pomerne mohloch) a nebo lepe wireguard, ktery je vyrazne lehci na konfiguraci pro neznaleho cloveka. Raspebry za NATem se skrze VPN pripoji na server, idealne si zridit svuj, napriklad nejaky VPS (wedos jej napriklad nabizi za neco kolem 100Kc/ mesicne) a bud pak vyuzijete porty na verrejne adrese VPS, cimz vlastne je to dostupne odkud koliv z internetu a z jakehokoliv zarizeni==> pro kazdeho vcetne hackru. nebo vyuzijite ciste VPN a pak v zarizeni ze ktereho se chcete pripojit potrebujete mit tu VPN taky nastavenou. Je to vyrazne bezpecnejsi, Vase sluzba neni vubec videt v internetu, ale zase pro pripojeni potrebujete zarizeni s VPN.

Dovolil bych si upozornit na jedno vylepšení po kterém není VPN potřebná v telefonu/PC venku mimo domov a není potřeba VPN na zařízení ve kterém běží HA a další věci... Hlavně pokud takových uvnitř domácí sítě je více a různých může to být lepší.

VPN se udělá mezi VPS a domácím routerem a jakékoliv nastavování je jen na VPS a routeru, pak na telefonu a ani malinách není třeba nastavovat vpn. Což by mohla být výhoda pro HA. Do některých instalačních obrazů HA bych nedoporučoval se pokoušet o instalování VPN. Další výhoda je plná kontrola nad https! HA řeší SSL krkolomně přes nějaký doplněk a tuším dva externí servery, takhle bych nebyl na nikom závislý. Fungují standartní letsencrypt nástroje.

A wireguard je mnohem energeticky efektivnější než OpenVPN na bateriových strojích: telefon. Může běžet pořád a na výdrži to nepoznáte.

[dumi]

Ano da se udelat VPN i na routeru, ovsem i zde mas dve moznosti:

mit bud porty vytazeny verejne na VPS -> muzes odkudkoliv, ale muze kdokoliv
nebo opet s VPN na klientech => bezpecnejsi.

V podstate to jestli potrebujes VPN na mobilu nebo ne nesouvisi s tim jeslti das VPN na router nebo primo raspberry
Jsou to dve oddilne casti systemu, ktere umi fungovat ve vsech kombinacich

[josse]

Ano da se udelat VPN i na routeru, ovsem i zde mas dve moznosti:

mit bud porty vytazeny verejne na VPS -> muzes odkudkoliv, ale muze kdokoliv
nebo opet s VPN na klientech => bezpecnejsi.

V podstate to jestli potrebujes VPN na mobilu nebo ne nesouvisi s tim jeslti das VPN na router nebo primo raspberry
Jsou to dve oddilne casti systemu, ktere umi fungovat ve vsech kombinacich

Spíš ten zásah do HA jsem myslel nedělat. Ta věc se neustále vyvíjí a často dost zásadně. Přidávat do HA VPN nebo SSL bych v některých případech nedělal, nedoporučoval a udělal bych to přes router+VPS.

[MisakP]

Jediny zpusob jak se dostat za NAT je ten, ze zarizeni za NATem se pripoji nekam ven, na server s verejnou IP adresou. Vy se pote take pripojite na ten server a ten vas nasmeruje do jiz otevrene cesty. Tzn samotne DNS tohle opravdu nedokaze. pokud tohle ten duckneco dela, tak je to rozhodne tak, ze si otevre spojeni smerem ven, ktere pak vyuzje pro datovy tok smerem dovnitr. Cinymy slovy jdete pres prostrednika, kterym je server te dane sluzby. Proto to opravdu muze jit pres kanadu nebo buh vi jakou cast sveta

Tohle jen doplním, že z pohledu HA, dělá https://www.duckdns.org/ jen to, že hlídá vaší měnící se veřejnou adresu a aktualizuje ji s tím, že vy se stále připojujete na necoduckdns.org a nic neřešíte. Prostřelit firewall si ale musíte sami. Pokud to nejde, nebo neumíte, jsou zde další cesty jak zde už bylo popsáno.

[dumi]

Ano takze je to neco jako DynDNS, ale tady se resilo jak se pripojit bez verejne IP adresy, v tom pripade je tahle sluzba k nicemu.

[josse]

Už se to přeci řešilo...
viewtopic.php?p=7291#p7291

[MisakP]

To je asi na interpretaci no. Mám Vodafone (UPC), kde nemám veřejnou adresu, ale můj modem dostane přidělenou na delší dobu IP adresu, na kterou se dostanu z internetu. Nevýhodou je, že se občas změní. Tohle https://www.duckdns.org/ řeší krásně, pokud si udělám na routru port forwarding do vnitřní sítě.

Ale souhlasím že je to spíše špatná interpretace, co je veřejná adresa, statická veřejná atd.

[dumi]

Pokud ma tvuj modem adresu ktera je dosazitelna z internetu je verejna. pak je jeste staticka verejna a to je o tom, ze se ti nemeni.

Neverejne privatny rozsahy zacinaji:

10.0.0.0
192.168.0.0
172.16.0.0

cokolik jineho je verejka. Pak ti bude duck fungovat.

[MisakP]

Jo máš recht, neuvedl jsem to úplně přesně, moje chyba.

[Lubik]

Ahoj. Existuje este dalsi sposob, ako sa "zvonku" dostat na zariadenie vo vnutornej sieti za NATom, firewallom a bez verejnej IP adresy.
Pouzivam na to sluzbu remot3.it.
Ma to aj apku do mobilu, co je v dnesnej dobe moderne.
Podla mojichbskusenosti je najjednoduchdi spodob, ako to sprevadzkovat, nainstalovat na malinu alebo podobne SBC distribuciu DietPii, ktora v sebe uz obsahuje velmi jednoduchy sposob, ako to nainstalovat a sprevadzkovat - ma to sikovnu utilitku na instalovanie.
HomeAssistant moze bezat pritom na rovnakom SBC, ako remot3.it, alebo na inom zariadeni vo vnutornej sieti.
A este bonus: pre take domace pouzivanie je to zadarmo a staci to na 5 zariadeni.