Полная домашняя автоматизация в квартире 41 метр

Обсуждение статей, технологий домашней автоматизации, программных и аппаратных решений
Erik
Сообщения: 231
Зарегистрирован: 08 ноя 2017, 08:55

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение Erik » 13 фев 2018, 12:22

порт маппинг на хуавее выключить, оставить только дмз.

Для проверки, включить пк в хуавей, и попробовать подключиться по впн к микротику по адресу 192.168.100.3

А потом уже заниматься внешним подключением.

Taurus
Сообщения: 47
Зарегистрирован: 23 мар 2015, 14:15

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение Taurus » 13 фев 2018, 12:23

1. Насколько я могу судить, Хуавей работает в режиме роутера, а значит DDNS, который включен на Микротике никогда работать не будет, т.к. просто не сможет узнать свой текущий внешний белый IP.
2. В этом случае DDNS нужно настраивать на Хуавее, да и то, если ему на WAN-порт назначается внешний белый IP (динамический). Либо переводить Хуавей в режим моста и всё настраивать на Микротике, но тут будут особенности, т.к. на этом ONT провайдер предоставляет услуги в разных вланах.
3. Есть предположение, что Хуавей не умеет пробрасывать GRE, поэтому у вас и не работает PPTP VPN на Микротике. Если так, то придётся выбрать и настроить другой VPN-протокол на Микротике (например, "чистый" IPSec с авторизацией по паролю). Хорошая ветка по Микротикам есть на forum.ixbt.com.

Erik
Сообщения: 231
Зарегистрирован: 08 ноя 2017, 08:55

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение Erik » 13 фев 2018, 12:27

Taurus, у меня дома такая же схема, только вместо хуавея стоит зте.
Все работает.

olegik-ah
Сообщения: 38
Зарегистрирован: 21 ноя 2017, 18:49
Откуда: Москва

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение olegik-ah » 13 фев 2018, 14:36

Taurus писал(а):
13 фев 2018, 12:23
Хуавей не умеет пробрасывать GRE
По долгу службы приходится часто сталкиваться с сетевым обрудованием... Про GRE верно сказано. Для более точного понимания - PPTP работает примерно так - сначала по TCP 1723 устанавливается соединение - это так называемый "управляющий канал". После инициализируется соединие по GRE и именно по GRE идут данные. GRE это не TCP и не UDP - это свой протокол и портов у него нет. Т.е. просто настроить DMZ - не достаточно, т.к. в случае DMZ на DMZ хост прокидываются только TCP и UDP.
Из всего выше сказанного:
1. Роутер (в вашем случае Хуавей) должен иметь отдельную настроку на пересылку GRE - как правило она звучит что-то типа PPTP path through или какая-то похожая формулировка
2. Если вы получаете интернет по VPN (роутер по WAN получает серый IP, а затем по VPN коннектится к провайдеру) - то 100% свой PPTP туннель в таком интернете вам не сделать
3. Если роутер (в вашем случае Хуавей) получает на WAN серый IP, то 99,9% свой PPTP туннель в таком интернете не сделать.

Поэтому выходов из данной ситуации 2:
1. Настроить L2TP или L2TP/IPsec - это может оказаться сложно... Зато очень безопасно:) Но жрет много рессурсов роутера на шифрование (в результате скорость может оказаться порезана).
2. Настроить OpenVPN - в микротике это встроенная возможность, настраивается легко. Микротик может быть как сервером, так и клиентом. И для работы нужен только один порт (по умолчанию 1194 UDP). В случае, если микротик - это сервер, но на хуавее нужно пробросить 1194 UDP на микротик. DMZ отключить. Если микротик - клиент - то ничего вобще не нужно пробрасывать.


По поводу DDNS - поддерживаю. Если микротик за еще одним роутером - то зарегиться в DDNS он никогда не сможет - это нужно отключить и настроить на Хуавее (если он это умеет)

empenoso
Сообщения: 901
Зарегистрирован: 11 ноя 2015, 08:03
Откуда: Пермь

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение empenoso » 13 фев 2018, 15:49

olegik-ah писал(а):
13 фев 2018, 14:36
Taurus писал(а):
13 фев 2018, 12:23
Хуавей не умеет пробрасывать GRE
По поводу DDNS - поддерживаю. Если микротик за еще одним роутером - то зарегиться в DDNS он никогда не сможет - это нужно отключить и настроить на Хуавее (если он это умеет)
Да, не получается даже с полученным белым IP (оформил белый ip):
IPv4 Information
WAN Name Connection Status IP Acquisition Mode IP Address Subnet Mask VLAN/Priority MAC Address Connected
1_INTERNET_R_VID_20 Connected PPPoE XXX.17.149.0 255.255.255.255 20/0 20:XXXX:BC:7C:C8 AlwaysOn
ДАННЫЕ О ПОЛЬЗОВАТЕЛЕ
IPv4-адрес
XXX.17.149.0
Микротик видит этот адрес, но внешний адрес и локальный адрес микротика отличаются - поэтому их сервис не может начать работу.
DDNS server received request from IP XXX.17.149.0 but your local IP was 192.188.100.3; DDNS service might not work.
olegik-ah, по поводу остальных советов спасибо, буду пробовать.

empenoso
Сообщения: 901
Зарегистрирован: 11 ноя 2015, 08:03
Откуда: Пермь

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение empenoso » 13 фев 2018, 16:05

Erik писал(а):
13 фев 2018, 12:22
порт маппинг на хуавее выключить, оставить только дмз.

Для проверки, включить пк в хуавей, и попробовать подключиться по впн к микротику по адресу 192.168.100.3

А потом уже заниматься внешним подключением.
После получения белого ип - при включенном дмз - при подключении из внешней сети я попадаю напрямую к микротику что через winbox что по http.
Могу все настраивать на нем, но вот их фирменный сервис Cloud - все ругается DDNS server received request from IP XXX.17.149.0 but your local IP was 192.188.100.3.

Taurus
Сообщения: 47
Зарегистрирован: 23 мар 2015, 14:15

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение Taurus » 13 фев 2018, 16:29

empenoso писал(а):
13 фев 2018, 15:49
Да, не получается даже с полученным белым IP (оформил белый ip):
...Микротик видит этот адрес, но внешний адрес и локальный адрес микротика отличаются - поэтому их сервис не может начать работу.
Попробуйте поискать настройку службы DDNS на Хуавее.

Erik
Сообщения: 231
Зарегистрирован: 08 ноя 2017, 08:55

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение Erik » 13 фев 2018, 16:36

empenoso писал(а):
13 фев 2018, 16:05
После получения белого ип - при включенном дмз - при подключении из внешней сети я попадаю напрямую к микротику что через winbox что по http.
Могу все настраивать на нем, но вот их фирменный сервис Cloud - все ругается DDNS server received request from IP XXX.17.149.0 but your local IP was 192.188.100.3.
Подозреваю, что у вас конфиг на микротике не вполне корректен. Его нужно чистить, а лучше (и проще) сбросить и настроить все с нуля.

У меня точно такая же схема.
Стоит ZTE от МГТС (gpon), после него микротитк 2011, после микротика 2011 еще пара микротиков 109.
На ZTE включен нат и дмз хостом назначен микротик 2011.
На этом микротике включен нат, файервол, поднят впн. К нему подключаюсь с работы, с телефона, к нему постоянно подключен микротик на даче через лте.
Cloud работает как на нем, так и на всех микротиках внутри.
Прочие устройства в домашней сети, умеющие работать с дднс так же успешно на них авторизуются и регистрируются.
ПРи этом, мой ЗТЕ на ВАН порт получает серый IP, из диапазона 10.хх.хх.хх, а белый IP ему натится гдето в недрах оператора.

Проблем, описанных выше не видел. Вероятно вот почему.
olegik-ah писал(а):
13 фев 2018, 14:36
По долгу службы приходится часто сталкиваться с сетевым обрудованием... Про GRE верно сказано. Для более точного понимания - PPTP работает примерно так - сначала по TCP 1723 устанавливается соединение - это так называемый "управляющий канал". После инициализируется соединие по GRE и именно по GRE идут данные. GRE это не TCP и не UDP - это свой протокол и портов у него нет. Т.е. просто настроить DMZ - не достаточно, т.к. в случае DMZ на DMZ хост прокидываются только TCP и UDP.
Из всего выше сказанного:
1. Роутер (в вашем случае Хуавей) должен иметь отдельную настроку на пересылку GRE - как правило она звучит что-то типа PPTP path through или какая-то похожая формулировка
2. Если вы получаете интернет по VPN (роутер по WAN получает серый IP, а затем по VPN коннектится к провайдеру) - то 100% свой PPTP туннель в таком интернете вам не сделать
3. Если роутер (в вашем случае Хуавей) получает на WAN серый IP, то 99,9% свой PPTP туннель в таком интернете не сделать.
GRE - это инкапсуляция. Работает на сетевом уровне (там же, где IP). Поэтому у него нет портов. Порты - они на транспортном, там где TCP и UDP.
После авторизации на PPP сервере, сервер и клиент начинают в IP пакет для внешнего маршрута упаковывать IP пакет внутренней сети. Этот внутренний IP пакет уже содержит данные TCP/UDP и прочих высокоуровневых протоколов. Этакая матрешка. В процессе задействованы только 2 граничных устройства, промежуточные - не задействованы. Если промежуточные - не файервол, который занимается перепаковкой, отбрасывая все до транспортного (или выше) уровня, и приписывая на выходе другие заголовки. Такой должен поддерживать GRE, прочие, которые передают как есть - не должны.
В нашем случае, если работает только нат, и настроен хост дмз, IP пакеты туда попадают без перепаковки, только адрес получателя меняется, т.е. нат-маршрутизатор внутрь пакетов не заглядывает.
Ну и соответственно, с выводами 1,2,3 я не согласен.

empenoso
Сообщения: 901
Зарегистрирован: 11 ноя 2015, 08:03
Откуда: Пермь

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение empenoso » 17 фев 2018, 10:42

Открыл для себя обжимники dupont:
https://www.aliexpress.com/item/Blue-Pi ... 62300.html
https://www.aliexpress.com/item/50-sets ... 72262.html

Получается быстро и аккуратно:
IMG_20180217_113241_.jpg
IMG_20180217_113241_.jpg (111.74 КБ) 967 просмотров

OlegJktu84
Сообщения: 634
Зарегистрирован: 16 фев 2016, 19:52

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение OlegJktu84 » 17 фев 2018, 13:35

empenoso писал(а):
17 фев 2018, 10:42
Открыл для себя обжимники dupont:
...
спасибо. присмотрюсь. Главное шаг пинов чтобы подошел...

empenoso
Сообщения: 901
Зарегистрирован: 11 ноя 2015, 08:03
Откуда: Пермь

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение empenoso » 17 фев 2018, 18:17

OlegJktu84 писал(а):
17 фев 2018, 13:35
empenoso писал(а):
17 фев 2018, 10:42
Открыл для себя обжимники dupont:
...
спасибо. присмотрюсь. Главное шаг пинов чтобы подошел...
Шаг тот который надо - как у всех совместимых с мегой датчиков.

empenoso
Сообщения: 901
Зарегистрирован: 11 ноя 2015, 08:03
Откуда: Пермь

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение empenoso » 18 фев 2018, 20:15

Только что настроил удаленный доступ в сеть через сервис Cloud микротика. Всем спасибо за советы!

Получил белый IP от провайдера. На MikroTik RB2011UiAS-2HnD-IN указал на порту Eth1 - PPPoE логин пароль от Ростелекома.
На Huawei HG8245H в настройках WAN - Bridge. В "Binding Options" указал только 1 порт (у меня 4й), который и будет мостом в нужный vlan провайдера. Остальные порты LAN остаются для доступа к роутеру.
В поле «Multicast VLAN ID» дублируем идентификатор из поля VLAN ID.

Итог - все как обычно через микротик заработало.
Taurus писал(а):
13 фев 2018, 16:29
empenoso писал(а):
13 фев 2018, 15:49
Да, не получается даже с полученным белым IP (оформил белый ip):
...Микротик видит этот адрес, но внешний адрес и локальный адрес микротика отличаются - поэтому их сервис не может начать работу.
Попробуйте поискать настройку службы DDNS на Хуавее.
Erik писал(а):
13 фев 2018, 16:36
empenoso писал(а):
13 фев 2018, 16:05
После получения белого ип - при включенном дмз - при подключении из внешней сети я попадаю напрямую к микротику что через winbox что по http.
Могу все настраивать на нем, но вот их фирменный сервис Cloud - все ругается DDNS server received request from IP XXX.17.149.0 but your local IP was 192.188.100.3.
Подозреваю, что у вас конфиг на микротике не вполне корректен. Его нужно чистить, а лучше (и проще) сбросить и настроить все с нуля.

У меня точно такая же схема.
Стоит ZTE от МГТС (gpon), после него микротитк 2011, после микротика 2011 еще пара микротиков 109.
На ZTE включен нат и дмз хостом назначен микротик 2011.
На этом микротике включен нат, файервол, поднят впн. К нему подключаюсь с работы, с телефона, к нему постоянно подключен микротик на даче через лте.
Cloud работает как на нем, так и на всех микротиках внутри.
Прочие устройства в домашней сети, умеющие работать с дднс так же успешно на них авторизуются и регистрируются.
ПРи этом, мой ЗТЕ на ВАН порт получает серый IP, из диапазона 10.хх.хх.хх, а белый IP ему натится гдето в недрах оператора.

Проблем, описанных выше не видел. Вероятно вот почему.
olegik-ah писал(а):
13 фев 2018, 14:36
По долгу службы приходится часто сталкиваться с сетевым обрудованием... Про GRE верно сказано. Для более точного понимания - PPTP работает примерно так - сначала по TCP 1723 устанавливается соединение - это так называемый "управляющий канал". После инициализируется соединие по GRE и именно по GRE идут данные. GRE это не TCP и не UDP - это свой протокол и портов у него нет. Т.е. просто настроить DMZ - не достаточно, т.к. в случае DMZ на DMZ хост прокидываются только TCP и UDP.
Из всего выше сказанного:
1. Роутер (в вашем случае Хуавей) должен иметь отдельную настроку на пересылку GRE - как правило она звучит что-то типа PPTP path through или какая-то похожая формулировка
2. Если вы получаете интернет по VPN (роутер по WAN получает серый IP, а затем по VPN коннектится к провайдеру) - то 100% свой PPTP туннель в таком интернете вам не сделать
3. Если роутер (в вашем случае Хуавей) получает на WAN серый IP, то 99,9% свой PPTP туннель в таком интернете не сделать.
GRE - это инкапсуляция. Работает на сетевом уровне (там же, где IP). Поэтому у него нет портов. Порты - они на транспортном, там где TCP и UDP.
После авторизации на PPP сервере, сервер и клиент начинают в IP пакет для внешнего маршрута упаковывать IP пакет внутренней сети. Этот внутренний IP пакет уже содержит данные TCP/UDP и прочих высокоуровневых протоколов. Этакая матрешка. В процессе задействованы только 2 граничных устройства, промежуточные - не задействованы. Если промежуточные - не файервол, который занимается перепаковкой, отбрасывая все до транспортного (или выше) уровня, и приписывая на выходе другие заголовки. Такой должен поддерживать GRE, прочие, которые передают как есть - не должны.
В нашем случае, если работает только нат, и настроен хост дмз, IP пакеты туда попадают без перепаковки, только адрес получателя меняется, т.е. нат-маршрутизатор внутрь пакетов не заглядывает.
Ну и соответственно, с выводами 1,2,3 я не согласен.

olegik-ah
Сообщения: 38
Зарегистрирован: 21 ноя 2017, 18:49
Откуда: Москва

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение olegik-ah » 18 фев 2018, 23:11

Очень повезло, что Хуавей умеет мосты в Vlan делать... Обычно провайдерские железки сильно проще по функционалу и настройкам.
А так, в принципе как я и писал - PPP(oe)/PPTP внутри канала PPP(oe)/PPTP почти 100% не работает, если каналы поднимаются разными железками... Не вникал до уровня сниффа пакетов, но, полагаю, что железки не могут понять какой GRE паект для них, а какой переслать дальше.

Erik
Сообщения: 231
Зарегистрирован: 08 ноя 2017, 08:55

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение Erik » 19 фев 2018, 01:23

empenoso писал(а):
18 фев 2018, 20:15
На MikroTik RB2011UiAS-2HnD-IN указал на порту Eth1 - PPPoE логин пароль от Ростелекома.
В настройках ethernet порта у микротика нет полей логин и пароль.
https://wiki.mikrotik.com/wiki/Manual:I ... e/Ethernet

:lol:

empenoso
Сообщения: 901
Зарегистрирован: 11 ноя 2015, 08:03
Откуда: Пермь

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение empenoso » 19 фев 2018, 07:41

Erik писал(а):
19 фев 2018, 01:23
empenoso писал(а):
18 фев 2018, 20:15
На MikroTik RB2011UiAS-2HnD-IN указал на порту Eth1 - PPPoE логин пароль от Ростелекома.
В настройках ethernet порта у микротика нет полей логин и пароль.
https://wiki.mikrotik.com/wiki/Manual:I ... e/Ethernet

:lol:
Не точно выразился:
mikrot_.jpg
mikrot_.jpg (106.51 КБ) 858 просмотров

Erik
Сообщения: 231
Зарегистрирован: 08 ноя 2017, 08:55

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение Erik » 19 фев 2018, 08:08

без ната и файервола?

empenoso
Сообщения: 901
Зарегистрирован: 11 ноя 2015, 08:03
Откуда: Пермь

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение empenoso » 19 фев 2018, 09:25

Ну файервол я обычно не включаю - как-то мне кажется что больше проблем с настройкой чем пользы, а почему нат не включился - пока не смотрел.
А вы используете файервол на микротике?

Erik
Сообщения: 231
Зарегистрирован: 08 ноя 2017, 08:55

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение Erik » 19 фев 2018, 10:47

Обязательно использую.
С десяток мегабит отброшенных пакетов в неделю.

Но если им что-нибудь ответит, например днс, поток тут же увеличивается на порядки.
Последний раз редактировалось Erik 19 фев 2018, 10:51, всего редактировалось 1 раз.

martiniman
Сообщения: 163
Зарегистрирован: 09 авг 2016, 15:09
Откуда: Сочи

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение martiniman » 19 фев 2018, 10:48

Без файервола вы открываете доступ из интернета всем желающим.
Боты вас очень быстро найдут, все ваши устройства через некоторое время задосят запросами на все основные порты.

empenoso
Сообщения: 901
Зарегистрирован: 11 ноя 2015, 08:03
Откуда: Пермь

Re: Полная домашняя автоматизация в квартире 41 метр

Сообщение empenoso » 19 фев 2018, 12:23

Erik писал(а):
19 фев 2018, 10:47
Обязательно использую.
С десяток мегабит отброшенных пакетов в неделю.

Но если им что-нибудь ответит, например днс, поток тут же увеличивается на порядки.
martiniman писал(а):
19 фев 2018, 10:48
Без файервола вы открываете доступ из интернета всем желающим.
Боты вас очень быстро найдут, все ваши устройства через некоторое время задосят запросами на все основные порты.
А можно какой-нибудь пример для базовой настройки файервола?

И по камере у меня вопрос давно висит, но спросить не у кого - как лучше сделать - в коридоре камера, сервер пишет видео в другом месте - как лучше серверу к камере обращаться - через проброс порта или через впн сервиса cloud ХХХ.sn.mynetname.net?

Ответить