Vzdálený přístup neveřejná IP

[marsyn]

Ahoj,
při studiu Home Assistenta(HA) https://www.youtube.com/watch?v=X47est0lzdg jsem narazil na velmi zajímavý způsob jak vzdáleně přistupovat na domácí server. To co popíšu mám odzkoušené na 2 mobilech Iphone 8 a nějaký starý Honor s androidem. Na HA čekám, mmj. objednáno Raspberry Pi4 ModelB 8GB RAM,Argon ONE V2 Case,Kingston A400 M.2 240 GB a nemůžu tak otestovat přímo. Zakládám proto nové vlákno a ne příspěvek do HA vláken, kde otázky vzdáleného přístupu HA padají. Pokud máte funkční jiné techniky prosím podělte se, praktické příklady.

K věci, mám internet O2 bronzový bez veřejné IP (za tu chtějí 254.10Kč/měs), nějaký port forwarding apod. techniky jsem nikdy nerozchodil, prostě jsem za NAT O2 a konec. Takže zdarma už několik let používám Adafruit IO cloud funguje pěkně nicméně retence dat je 30 dní, dashboard je velmi primitivní, počet dashboardů, zařízení, frekvence zasílání dat ... omezeno. Těd jsem narazil na aplikaci https://www.zerotier.com/ (technika UDP hole punching). Aplikace je pro WIN,iOS,MacOS,Android,LINUX,FreeBSD,NAS. Omezení tam jsou Authorized Members: max. 50, ale pro mě vyhovující. Dva testovací mobily jsou tedy 2 z 50.

Jak jsem testoval ?
Založen účet a přihlášen na Zerotier, kde se vygeneruje Network ID viz. video v úvodu. Zerotier One naistalován na Iphone a Honor phony ze storu a zadána Network ID, každé připojené zařízení dostane svou IP adresu. Např. Honor dostal 172.28.47.149. Na Honor naistalován jednoduchý web server tedy aplikace HTTP Server ze storu. Spuštěn web server, adresa na lokální síti 10.0.0.2:8080, přístup z PC funkční vidím Android file system a dokážu se dostat třeba na fotky složka DCIM. Na iPhonu vypnuta wifi a jede LTE. V Safari zadám 172.28.47.149:8080 a vidím to co na PC, brouzdání ve file systému Androida jede stejně jako na PC, je to velmi svižné, pravda ta stránka co se načítá z Androidu je primitivní. Pokud někdo Zerotier nebo něco podobného používáte podělte se prosím o zkušenosti/příklady.

[marsal]

Zajímavé, díky.

Pro pořádek lze zmínit asi nejjednodušší a nejčastější způsob, jak se dostat na domácí server: dynamickou DNS (DDNS) a port forwarding na domácím modemu/routeru.
Já jsem dlouho používal pro DDNS službu dyndns.info, ale poté, co podražili, jsem vyměnil tplink modemrouter za Asus, který má svůj firemní DDNS "zadarmo" (adresa je pak ....asuscomm.com) a přístup na ně je v jejich routerech zabudovaný. Odezvy tohoto DNS jsou, pravda, lecky poněkud delší, ale celkově to funguje k mé spokojenosti.

Nu a otevření portů na modemrouteru děláš s ohledem na bezpečnost, podle uvážení. Další možností je použití VPN, kterou leckteré modem/routery umožňují. Osobně upřednostňuji pohodlí před superzabezpečením.

[redcrown]

Já používám OpenVPN na Asus routeru a veřejnou IP. Těch pár korun za veřejnou IPinu mě rozhodně žíly netrvá.

[josse]

O2 bronzový bez veřejné IP (za tu chtějí 254.10Kč/měs), nějaký port...

FYI: Hetzner chce dnes si 4€ měsíčně za VPS včetně veřejné IPv4 a IPv6!
Do toho wireguard a je po starostech.

Wireguard je energeticky neuvěřitelně úsporný oproti obludám typu OpenVPN! (Na telefonu mám spuštěné pořád a neomezuje mě to)

HA jsem vyřešil na apache2 jako reverse proxy. Včetně SNI certifikátů letsencrypt.

[josse]

no-ip je stale zadarmo.

Jenže když je někdo spolu s deseti sousedy za jednou IP (u O2 už roky) tak to nefunguje!

[mobilik]

Pekný návod.
Našťastie ja mam verejnú IP, takže u mňa by to už nemal byť taký problém.

[MisakP]

Pokud nemáte veřejnou IP, jsou pro HomeAssisteta dvě rychlá řešení.

1. https://www.nabucasa.com/ - kterou zároveň podporujete vývojáře Home Assistenta
2. https://www.duckdns.org/ - který má do Home Assistent přímo plugin, tady je ale potřeba donastavit router

[Kodl69]

duckdns by mě zajímalo, ale z toho odkazu nejsem moc chytrej, můžeš to trochu rozvést?
Co se mi trochu nezdá, že do něčeho, co vypadá jako z portfolia duckduckgo.com se mám přihlásit účtem goole? to je jako když se na katechizmu pouští porno!!!

[MisakP]

Kdepak je to prověřené a bezpečné. Já to používám.

V podstatě, ti po přihlášení dají DNS adresu něco.duckdns.org, pak si naistaluješ do Home Assistenta rozšíření, které neustále kontroluje tvou "neveřejnou" IP adresu a pokud se změní, upraví i IP adresu v DNS záznamu, který reprezentuje něco.duckdns.org, vše běží šifrovaně SSL.

[Kodl69]

Tak to potřebuju ještě trochu podrobněj. Přihlásil jsem se nějak, mám token, mám subdoménu, ale dál jsem v pasti... v odkazu instal jsou ty tlačítka neaktivní, a potom je otázka, jestli to doinstalovat do mikrotiku nebo až do ha?

[josse]

Pokud nemáte veřejnou IP, jsou pro HomeAssisteta dvě rychlá řešení.

1. https://www.nabucasa.com/ - kterou zároveň podporujete vývojáře Home Assistenta
2. https://www.duckdns.org/ - který má do Home Assistent přímo plugin, tady je ale potřeba donastavit router

Duckdns je stejné jako noip, stejně jako dyndns nefungují za sdíleným NATem. Umí pouze vyřešit DNS plovoucí veřejné adresy, což je prostě práce na pár minut třeba každý měsíc, nebo taky jednou a pak už to operátor nemění ale sdílený Nat žádnou veřejnou adresu nemá.

Nabucasa to vyřeší tím, že data zkopírujte do cloudu a pak není třeba veřejná IP, ale chtějí $5 za měsíc za jediný HA. VPS + doména(která není potřebná) vyřeší libovolný počet takových věcí... A vychází na peníze stejně nebo levněji.

Na klienta v telefonu není potřeba DNS. Umí se připojit na IP.

[MisakP]

Tak to potřebuju ještě trochu podrobněj. Přihlásil jsem se nějak, mám token, mám subdoménu, ale dál jsem v pasti... v odkazu instal jsou ty tlačítka neaktivní, a potom je otázka, jestli to doinstalovat do mikrotiku nebo až do ha?

Je potřeba do HomeAssietnta doinstalovat/nastavit rozšíření https://www.home-assistant.io/integrations/duckdns/ a pak na routeru udělat port forwarding (přesměrování portu). aby když požadavek přijde na vaší IP, router věděl na jakou vnitřní IP a port má požadavek poslat.

Třeba takto:

přesměrování portů.png (28.53 KiB) Zobrazeno 5502 x

[marsyn]

chlapi u O2 je to přesně jak píše josse "Duckdns je stejné jako noip, stejně jako dyndns nefungují za sdíleným NATem." veškerá snaha kromě hole punching a la VPN, cloud apod., je marná nebo jsem blbý a něco mi uniká. Každopádně super díky za tipy budu zkoušet. Já jsem z malé dědiny vzduchem se šíří akorát smrad z uhlí a dráty tu má ADSL z 90tých let tak mizerné, že se nedostanu víc jak na 20MBit. Dva chlapci z CETINU nezávisle změřili a řekli nekvalitní drát fertig a to jsem 50m od ústředny. Pro zajímavost nevíte někdo jaký operátor má ADSL(jestli se to dneska ještě tak jmenuje) s veřejnou IP zdarma, kdesi kdysi jsem viděl přehled ale ne a ne to najít ?

[josse]

Operátoři už je několik let nerozdávají... Došli...
Jakmile chce někdo změnu, jestli ji doteď měl tak o ni přijde...
Když chce někdo vIP tak si ji zaplatí.

[Noparasito]

chlapi u O2 je to přesně jak píše josse "Duckdns je stejné jako noip, stejně jako dyndns nefungují za sdíleným NATem." veškerá snaha kromě hole punching a la VPN, cloud apod., je marná nebo jsem blbý a něco mi uniká. Každopádně super díky za tipy budu zkoušet. Já jsem z malé dědiny vzduchem se šíří akorát smrad z uhlí a dráty tu má ADSL z 90tých let tak mizerné, že se nedostanu víc jak na 20MBit. Dva chlapci z CETINU nezávisle změřili a řekli nekvalitní drát fertig a to jsem 50m od ústředny. Pro zajímavost nevíte někdo jaký operátor má ADSL(jestli se to dneska ještě tak jmenuje) s veřejnou IP zdarma, kdesi kdysi jsem viděl přehled ale ne a ne to najít ?

A VNC nebo Anydesk (https://cs.m.wikipedia.org/wiki/AnyDesk)

[josse]

chlapi u O2 je to přesně jak píše josse "Duckdns je stejné jako noip, stejně jako dyndns nefungují za sdíleným NATem." veškerá snaha kromě hole punching a la VPN, cloud apod., je marná nebo jsem blbý a něco mi uniká. Každopádně super díky za tipy budu zkoušet. Já jsem z malé dědiny vzduchem se šíří akorát smrad z uhlí a dráty tu má ADSL z 90tých let tak mizerné, že se nedostanu víc jak na 20MBit. Dva chlapci z CETINU nezávisle změřili a řekli nekvalitní drát fertig a to jsem 50m od ústředny. Pro zajímavost nevíte někdo jaký operátor má ADSL(jestli se to dneska ještě tak jmenuje) s veřejnou IP zdarma, kdesi kdysi jsem viděl přehled ale ne a ne to najít ?

A VNC nebo Anydesk (https://cs.m.wikipedia.org/wiki/AnyDesk)

VNC samo o sobě ne. To je stejné jako http HA.

Principem TeamViewer je obejít sdílený Nat. Obě strany se připojí k jejich serverům a ty pak realizují zprostředkování obrazu a vstupů k a od operátora. To znamená nevyžaduje zásah do firewallu, routeru, nevyžaduje veřejnou adresu, veškerá komunikace probíhá přes servery.

AnyDesk neznám, vypadá to z jejich stránek, že to funguje stejně jako TeamViewer...

[Noparasito]

AnyDesk je take vzdálená plocha

[trezvii]

Další varianta je použit IPv6, což myslím O2 by měla poskytovat zdarma, možna že už jí máš.

[dumi]

Kupte si VPS za 100Kc mesicne a udelejte si tam.VPN a mate klid.

Je to otazka chvilky.

Muzu pomoct s nastavenim.

Dokonce muzete se domluvit a vzit jedno VPS.pro vic.lidi.

Ze bych tohle zacal.nabizet jako sluzbu za penize? Je po tom.koukam.shanka

[rege]

Ked uz platit za cloud, tak radsej podporit vyvojarov a zobrat ten ich cloud, potom aj prepojenie s google je jednoduchsie.

[josse]

Kupte si VPS za 100Kc mesicne a udelejte si tam.VPN a mate klid.

Je to otazka chvilky.

Muzu pomoct s nastavenim.

Dokonce muzete se domluvit a vzit jedno VPS.pro vic.lidi.

Ze bych tohle zacal.nabizet jako sluzbu za penize? Je po tom.koukam.shanka

Co takhle seznam VPS pro porovnání ceny?

Já vím o Hetzner 4.22€ bez omezeni. České VPS jsem nenašel bez omezeni, všechny mají zákaz portů SMTP. Některé i další omezení.

[dumi]

Ja pouzivam wedos a na zadne omezeni jsem nenarazil.....

[mobilik]

Ohľadom duckdns Vám môžem povedať že to nie je to najrozumnejšie, aj keď možno bezpečne.
Príklad:
Kliknem na zapnutie svetlá, zapne ho o 2 sekundy, ale info o zapnutí príde bežné až o 50sekund, takže neznalo bude klikať a klikať a svetlo sa bude zapínať a vypínať...

Takže táto voľba je pre mňa určite zlá. Tie data idú na server do Kanady a naspäť...

[redcrown]

Kanada a z5 je rychleji, než 50sec:)

[MisakP]

Ohľadom duckdns Vám môžem povedať že to nie je to najrozumnejšie, aj keď možno bezpečne.
Príklad:
Kliknem na zapnutie svetlá, zapne ho o 2 sekundy, ale info o zapnutí príde bežné až o 50sekund, takže neznalo bude klikať a klikať a svetlo sa bude zapínať a vypínať...

Takže táto voľba je pre mňa určite zlá. Tie data idú na server do Kanady a naspäť...

Hledal bych prodlevu někde jinde než v duckdns .

DNS je pouze "laicky řečeno" služba, která převede neco.cz na IP adresu (např: 192.16.1.1) a tady tuto dvojici/DNS záznamu si pak DNS servery vyměňují mezi sebou po celém světě.

V reálu to funguje tak, že váš telefon se zeptá nejbližšího DNS serveru, zdali ví, na jakou IP přesměrovat váš požadavek při napsání neco.cz. Je tedy dost možné, že váš požadavek ani neopustí ČR .