Полная домашняя автоматизация в квартире 41 метр
Re: Полная домашняя автоматизация в квартире 41 метр
порт маппинг на хуавее выключить, оставить только дмз.
Для проверки, включить пк в хуавей, и попробовать подключиться по впн к микротику по адресу 192.168.100.3
А потом уже заниматься внешним подключением.
Для проверки, включить пк в хуавей, и попробовать подключиться по впн к микротику по адресу 192.168.100.3
А потом уже заниматься внешним подключением.
Re: Полная домашняя автоматизация в квартире 41 метр
1. Насколько я могу судить, Хуавей работает в режиме роутера, а значит DDNS, который включен на Микротике никогда работать не будет, т.к. просто не сможет узнать свой текущий внешний белый IP.
2. В этом случае DDNS нужно настраивать на Хуавее, да и то, если ему на WAN-порт назначается внешний белый IP (динамический). Либо переводить Хуавей в режим моста и всё настраивать на Микротике, но тут будут особенности, т.к. на этом ONT провайдер предоставляет услуги в разных вланах.
3. Есть предположение, что Хуавей не умеет пробрасывать GRE, поэтому у вас и не работает PPTP VPN на Микротике. Если так, то придётся выбрать и настроить другой VPN-протокол на Микротике (например, "чистый" IPSec с авторизацией по паролю). Хорошая ветка по Микротикам есть на forum.ixbt.com.
2. В этом случае DDNS нужно настраивать на Хуавее, да и то, если ему на WAN-порт назначается внешний белый IP (динамический). Либо переводить Хуавей в режим моста и всё настраивать на Микротике, но тут будут особенности, т.к. на этом ONT провайдер предоставляет услуги в разных вланах.
3. Есть предположение, что Хуавей не умеет пробрасывать GRE, поэтому у вас и не работает PPTP VPN на Микротике. Если так, то придётся выбрать и настроить другой VPN-протокол на Микротике (например, "чистый" IPSec с авторизацией по паролю). Хорошая ветка по Микротикам есть на forum.ixbt.com.
Re: Полная домашняя автоматизация в квартире 41 метр
Taurus, у меня дома такая же схема, только вместо хуавея стоит зте.
Все работает.
Все работает.
Re: Полная домашняя автоматизация в квартире 41 метр
По долгу службы приходится часто сталкиваться с сетевым обрудованием... Про GRE верно сказано. Для более точного понимания - PPTP работает примерно так - сначала по TCP 1723 устанавливается соединение - это так называемый "управляющий канал". После инициализируется соединие по GRE и именно по GRE идут данные. GRE это не TCP и не UDP - это свой протокол и портов у него нет. Т.е. просто настроить DMZ - не достаточно, т.к. в случае DMZ на DMZ хост прокидываются только TCP и UDP.
Из всего выше сказанного:
1. Роутер (в вашем случае Хуавей) должен иметь отдельную настроку на пересылку GRE - как правило она звучит что-то типа PPTP path through или какая-то похожая формулировка
2. Если вы получаете интернет по VPN (роутер по WAN получает серый IP, а затем по VPN коннектится к провайдеру) - то 100% свой PPTP туннель в таком интернете вам не сделать
3. Если роутер (в вашем случае Хуавей) получает на WAN серый IP, то 99,9% свой PPTP туннель в таком интернете не сделать.
Поэтому выходов из данной ситуации 2:
1. Настроить L2TP или L2TP/IPsec - это может оказаться сложно... Зато очень безопасно:) Но жрет много рессурсов роутера на шифрование (в результате скорость может оказаться порезана).
2. Настроить OpenVPN - в микротике это встроенная возможность, настраивается легко. Микротик может быть как сервером, так и клиентом. И для работы нужен только один порт (по умолчанию 1194 UDP). В случае, если микротик - это сервер, но на хуавее нужно пробросить 1194 UDP на микротик. DMZ отключить. Если микротик - клиент - то ничего вобще не нужно пробрасывать.
По поводу DDNS - поддерживаю. Если микротик за еще одним роутером - то зарегиться в DDNS он никогда не сможет - это нужно отключить и настроить на Хуавее (если он это умеет)
Re: Полная домашняя автоматизация в квартире 41 метр
Да, не получается даже с полученным белым IP (оформил белый ip):
IPv4 Information
WAN Name Connection Status IP Acquisition Mode IP Address Subnet Mask VLAN/Priority MAC Address Connected
1_INTERNET_R_VID_20 Connected PPPoE XXX.17.149.0 255.255.255.255 20/0 20:XXXX:BC:7C:C8 AlwaysOn
Микротик видит этот адрес, но внешний адрес и локальный адрес микротика отличаются - поэтому их сервис не может начать работу.ДАННЫЕ О ПОЛЬЗОВАТЕЛЕ
IPv4-адрес
XXX.17.149.0
olegik-ah, по поводу остальных советов спасибо, буду пробовать.DDNS server received request from IP XXX.17.149.0 but your local IP was 192.188.100.3; DDNS service might not work.
Re: Полная домашняя автоматизация в квартире 41 метр
После получения белого ип - при включенном дмз - при подключении из внешней сети я попадаю напрямую к микротику что через winbox что по http.
Могу все настраивать на нем, но вот их фирменный сервис Cloud - все ругается DDNS server received request from IP XXX.17.149.0 but your local IP was 192.188.100.3.
Re: Полная домашняя автоматизация в квартире 41 метр
Подозреваю, что у вас конфиг на микротике не вполне корректен. Его нужно чистить, а лучше (и проще) сбросить и настроить все с нуля.empenoso писал(а): ↑13 фев 2018, 16:05После получения белого ип - при включенном дмз - при подключении из внешней сети я попадаю напрямую к микротику что через winbox что по http.
Могу все настраивать на нем, но вот их фирменный сервис Cloud - все ругается DDNS server received request from IP XXX.17.149.0 but your local IP was 192.188.100.3.
У меня точно такая же схема.
Стоит ZTE от МГТС (gpon), после него микротитк 2011, после микротика 2011 еще пара микротиков 109.
На ZTE включен нат и дмз хостом назначен микротик 2011.
На этом микротике включен нат, файервол, поднят впн. К нему подключаюсь с работы, с телефона, к нему постоянно подключен микротик на даче через лте.
Cloud работает как на нем, так и на всех микротиках внутри.
Прочие устройства в домашней сети, умеющие работать с дднс так же успешно на них авторизуются и регистрируются.
ПРи этом, мой ЗТЕ на ВАН порт получает серый IP, из диапазона 10.хх.хх.хх, а белый IP ему натится гдето в недрах оператора.
Проблем, описанных выше не видел. Вероятно вот почему.
GRE - это инкапсуляция. Работает на сетевом уровне (там же, где IP). Поэтому у него нет портов. Порты - они на транспортном, там где TCP и UDP.olegik-ah писал(а): ↑13 фев 2018, 14:36По долгу службы приходится часто сталкиваться с сетевым обрудованием... Про GRE верно сказано. Для более точного понимания - PPTP работает примерно так - сначала по TCP 1723 устанавливается соединение - это так называемый "управляющий канал". После инициализируется соединие по GRE и именно по GRE идут данные. GRE это не TCP и не UDP - это свой протокол и портов у него нет. Т.е. просто настроить DMZ - не достаточно, т.к. в случае DMZ на DMZ хост прокидываются только TCP и UDP.
Из всего выше сказанного:
1. Роутер (в вашем случае Хуавей) должен иметь отдельную настроку на пересылку GRE - как правило она звучит что-то типа PPTP path through или какая-то похожая формулировка
2. Если вы получаете интернет по VPN (роутер по WAN получает серый IP, а затем по VPN коннектится к провайдеру) - то 100% свой PPTP туннель в таком интернете вам не сделать
3. Если роутер (в вашем случае Хуавей) получает на WAN серый IP, то 99,9% свой PPTP туннель в таком интернете не сделать.
После авторизации на PPP сервере, сервер и клиент начинают в IP пакет для внешнего маршрута упаковывать IP пакет внутренней сети. Этот внутренний IP пакет уже содержит данные TCP/UDP и прочих высокоуровневых протоколов. Этакая матрешка. В процессе задействованы только 2 граничных устройства, промежуточные - не задействованы. Если промежуточные - не файервол, который занимается перепаковкой, отбрасывая все до транспортного (или выше) уровня, и приписывая на выходе другие заголовки. Такой должен поддерживать GRE, прочие, которые передают как есть - не должны.
В нашем случае, если работает только нат, и настроен хост дмз, IP пакеты туда попадают без перепаковки, только адрес получателя меняется, т.е. нат-маршрутизатор внутрь пакетов не заглядывает.
Ну и соответственно, с выводами 1,2,3 я не согласен.
Re: Полная домашняя автоматизация в квартире 41 метр
Открыл для себя обжимники dupont:
https://www.aliexpress.com/item/Blue-Pi ... 62300.html
https://www.aliexpress.com/item/50-sets ... 72262.html
Получается быстро и аккуратно:
https://www.aliexpress.com/item/Blue-Pi ... 62300.html
https://www.aliexpress.com/item/50-sets ... 72262.html
Получается быстро и аккуратно:
-
- Сообщения: 651
- Зарегистрирован: 16 фев 2016, 19:52
Re: Полная домашняя автоматизация в квартире 41 метр
Шаг тот который надо - как у всех совместимых с мегой датчиков.
Re: Полная домашняя автоматизация в квартире 41 метр
Только что настроил удаленный доступ в сеть через сервис Cloud микротика. Всем спасибо за советы!
Получил белый IP от провайдера. На MikroTik RB2011UiAS-2HnD-IN указал на порту Eth1 - PPPoE логин пароль от Ростелекома.
На Huawei HG8245H в настройках WAN - Bridge. В "Binding Options" указал только 1 порт (у меня 4й), который и будет мостом в нужный vlan провайдера. Остальные порты LAN остаются для доступа к роутеру.
В поле «Multicast VLAN ID» дублируем идентификатор из поля VLAN ID.
Итог - все как обычно через микротик заработало.
Получил белый IP от провайдера. На MikroTik RB2011UiAS-2HnD-IN указал на порту Eth1 - PPPoE логин пароль от Ростелекома.
На Huawei HG8245H в настройках WAN - Bridge. В "Binding Options" указал только 1 порт (у меня 4й), который и будет мостом в нужный vlan провайдера. Остальные порты LAN остаются для доступа к роутеру.
В поле «Multicast VLAN ID» дублируем идентификатор из поля VLAN ID.
Итог - все как обычно через микротик заработало.
Erik писал(а): ↑13 фев 2018, 16:36Подозреваю, что у вас конфиг на микротике не вполне корректен. Его нужно чистить, а лучше (и проще) сбросить и настроить все с нуля.empenoso писал(а): ↑13 фев 2018, 16:05После получения белого ип - при включенном дмз - при подключении из внешней сети я попадаю напрямую к микротику что через winbox что по http.
Могу все настраивать на нем, но вот их фирменный сервис Cloud - все ругается DDNS server received request from IP XXX.17.149.0 but your local IP was 192.188.100.3.
У меня точно такая же схема.
Стоит ZTE от МГТС (gpon), после него микротитк 2011, после микротика 2011 еще пара микротиков 109.
На ZTE включен нат и дмз хостом назначен микротик 2011.
На этом микротике включен нат, файервол, поднят впн. К нему подключаюсь с работы, с телефона, к нему постоянно подключен микротик на даче через лте.
Cloud работает как на нем, так и на всех микротиках внутри.
Прочие устройства в домашней сети, умеющие работать с дднс так же успешно на них авторизуются и регистрируются.
ПРи этом, мой ЗТЕ на ВАН порт получает серый IP, из диапазона 10.хх.хх.хх, а белый IP ему натится гдето в недрах оператора.
Проблем, описанных выше не видел. Вероятно вот почему.
GRE - это инкапсуляция. Работает на сетевом уровне (там же, где IP). Поэтому у него нет портов. Порты - они на транспортном, там где TCP и UDP.olegik-ah писал(а): ↑13 фев 2018, 14:36По долгу службы приходится часто сталкиваться с сетевым обрудованием... Про GRE верно сказано. Для более точного понимания - PPTP работает примерно так - сначала по TCP 1723 устанавливается соединение - это так называемый "управляющий канал". После инициализируется соединие по GRE и именно по GRE идут данные. GRE это не TCP и не UDP - это свой протокол и портов у него нет. Т.е. просто настроить DMZ - не достаточно, т.к. в случае DMZ на DMZ хост прокидываются только TCP и UDP.
Из всего выше сказанного:
1. Роутер (в вашем случае Хуавей) должен иметь отдельную настроку на пересылку GRE - как правило она звучит что-то типа PPTP path through или какая-то похожая формулировка
2. Если вы получаете интернет по VPN (роутер по WAN получает серый IP, а затем по VPN коннектится к провайдеру) - то 100% свой PPTP туннель в таком интернете вам не сделать
3. Если роутер (в вашем случае Хуавей) получает на WAN серый IP, то 99,9% свой PPTP туннель в таком интернете не сделать.
После авторизации на PPP сервере, сервер и клиент начинают в IP пакет для внешнего маршрута упаковывать IP пакет внутренней сети. Этот внутренний IP пакет уже содержит данные TCP/UDP и прочих высокоуровневых протоколов. Этакая матрешка. В процессе задействованы только 2 граничных устройства, промежуточные - не задействованы. Если промежуточные - не файервол, который занимается перепаковкой, отбрасывая все до транспортного (или выше) уровня, и приписывая на выходе другие заголовки. Такой должен поддерживать GRE, прочие, которые передают как есть - не должны.
В нашем случае, если работает только нат, и настроен хост дмз, IP пакеты туда попадают без перепаковки, только адрес получателя меняется, т.е. нат-маршрутизатор внутрь пакетов не заглядывает.
Ну и соответственно, с выводами 1,2,3 я не согласен.
Re: Полная домашняя автоматизация в квартире 41 метр
Очень повезло, что Хуавей умеет мосты в Vlan делать... Обычно провайдерские железки сильно проще по функционалу и настройкам.
А так, в принципе как я и писал - PPP(oe)/PPTP внутри канала PPP(oe)/PPTP почти 100% не работает, если каналы поднимаются разными железками... Не вникал до уровня сниффа пакетов, но, полагаю, что железки не могут понять какой GRE паект для них, а какой переслать дальше.
А так, в принципе как я и писал - PPP(oe)/PPTP внутри канала PPP(oe)/PPTP почти 100% не работает, если каналы поднимаются разными железками... Не вникал до уровня сниффа пакетов, но, полагаю, что железки не могут понять какой GRE паект для них, а какой переслать дальше.
Re: Полная домашняя автоматизация в квартире 41 метр
В настройках ethernet порта у микротика нет полей логин и пароль.
https://wiki.mikrotik.com/wiki/Manual:I ... e/Ethernet
Re: Полная домашняя автоматизация в квартире 41 метр
Не точно выразился:Erik писал(а): ↑19 фев 2018, 01:23В настройках ethernet порта у микротика нет полей логин и пароль.
https://wiki.mikrotik.com/wiki/Manual:I ... e/Ethernet
Re: Полная домашняя автоматизация в квартире 41 метр
без ната и файервола?
Re: Полная домашняя автоматизация в квартире 41 метр
Ну файервол я обычно не включаю - как-то мне кажется что больше проблем с настройкой чем пользы, а почему нат не включился - пока не смотрел.
А вы используете файервол на микротике?
А вы используете файервол на микротике?
Re: Полная домашняя автоматизация в квартире 41 метр
Обязательно использую.
С десяток мегабит отброшенных пакетов в неделю.
Но если им что-нибудь ответит, например днс, поток тут же увеличивается на порядки.
С десяток мегабит отброшенных пакетов в неделю.
Но если им что-нибудь ответит, например днс, поток тут же увеличивается на порядки.
Последний раз редактировалось Erik 19 фев 2018, 10:51, всего редактировалось 1 раз.
-
- Сообщения: 528
- Зарегистрирован: 09 авг 2016, 15:09
- Откуда: Сочи
Re: Полная домашняя автоматизация в квартире 41 метр
Без файервола вы открываете доступ из интернета всем желающим.
Боты вас очень быстро найдут, все ваши устройства через некоторое время задосят запросами на все основные порты.
Боты вас очень быстро найдут, все ваши устройства через некоторое время задосят запросами на все основные порты.
Re: Полная домашняя автоматизация в квартире 41 метр
А можно какой-нибудь пример для базовой настройки файервола?martiniman писал(а): ↑19 фев 2018, 10:48Без файервола вы открываете доступ из интернета всем желающим.
Боты вас очень быстро найдут, все ваши устройства через некоторое время задосят запросами на все основные порты.
И по камере у меня вопрос давно висит, но спросить не у кого - как лучше сделать - в коридоре камера, сервер пишет видео в другом месте - как лучше серверу к камере обращаться - через проброс порта или через впн сервиса cloud ХХХ.sn.mynetname.net?