Zyxel Keenetic 4g + L2TP + No-IP + Ubuntu: как бы мне всё это подружить?

Question

[Chii]

У меня есть сервер с убунтой, роутер и домен на no-ip. Провайдер даёт динамично внешний IP адрес через L2TP туннель. Прошивка роутера второй ветки, первой зашивать очень не хочется.



Нужно сделать так, чтобы всё, что посылается на домен, приходило на сервер который подключается через роутер. И чтобы уходило обратно как положено. И в идеале — чтобы сервер получал с DHCP роутера тот IP, который провайдер выделил для L2TP.



Никак не могу придумать, как такое замутить. Спаситепомогите пожалуйста.

Answer 1

[JDima]

Сделать статическую NAT трансляцию нужных портов на сервер… В чем вопрос-то? Роутер вроде поддерживает no-ip.
Нет, выдать серверу IP адрес внешнего интерфейса роутера нельзя (а если и можно, то все равно нельзя).

Answer 2

[Ruma7a]

Поднять на сервере inadyn и выдвинуть его в DMZ — как-то так, не? :)

Comments

[bazil11]

зачем в DMZ??

[Ruma7a]

Затем, чтобе все запросы к внешнему IP перенаправить на сервер за маршрутизатором. В топике же хотели ВЕСЬ трафик на сервер :)

Вариант со статическим NAT теоретически выглядит более безопасным, но кто мешает закрыть ненужные извне порты на самом сервере?

Answer 3

[apetropolsky]

1. Резервируем айпишник для сервера в DHCP роутера.
2. Настраиваем на роутере PAT (хоть для всех портов, по желанию. только не могу понять, а зачем на сервере нужен весь трафик, когда обычно достаточно определённых портов?) с интерфейса L2TP на внутренний айпишник сервера.
3. Привязываем домен на no-ip к роутеру, там встроенный клиент есть.
4. ???
5. PROFIT!!!

Выглядит всё, признаться, проще некуда, но, что-то мне подсказывает, что тут есть некие подводные камни, с которыми Вы столкнулись? Если так, то хотелось бы услышать конкретику.

Comments

[Chii]

Подводный камень заключается в роутере, который я никак не разберусь как настроить.
Определённые порты вполне подойдут, но роутер я пока не победила =(

[Ruma7a]

Обычно, в сохо-маршрутизаторах, раздел настройки PAT называется Virtual Server, поищите там.

[Chii]

Если бы всё было так просто — я не задавала бы тут вопрос =(
Но в интерфейсе есть только:

dashboard — там только информация о нём
broadband — подключение к провайдерам, туннели, дхцп клиент, там же есть подключалка к no-ip, есть Static Routes. Но маршруты я почему-то писать не умею, тут нужны подсказки
home — здесь у него настраиваются прокси, нат, дхцп сервер и вообще локалка в пределах роутера
wireless — тут я всё уже настроила
security — Address translation Rules (NAT) и Access Rules. И вроде в NAT 22 порт направляется на сервер и access всё permit, а ssh ни по внешнему ip ни по домену зайти не могу.
system — логи, пинговалка, юзеры для вебки и консольки, ковырялка прошивки и доступ у флешке, который я отключила

И ещё его можно telnet, но моих опыта и знаний мало для такой операции

[Ruma7a]

А по имени вёб-интерфейс модема открывается, для начала?

Попробуйте поднять ssh не на 22, а на каком-нибудь ещё порту. Например, на 10000. Может у него какая-то особая любовь к первой тысяче портов.

Попробуйте прорваться на сервер не только по SSH — но и по HTTP, FTP, типа такого:

(echo -e "HTTP/1.1 200 OK\nContent-Type: text/html\n\n Hello World";) | nc -vv -l 8080

Если в putty выбрать протокол RAW — подключается на пробрасываемый порт?

[apetropolsky]

1.

security — Address translation Rules (NAT) и Access Rules. И вроде в NAT 22 порт направляется на сервер и access всё permit, а ssh ни по внешнему ip ни по домену зайти не могу.

а что говорят логи на этот счёт? на роутере видна попытка коннекта извне по 22 порту?

2.

И ещё его можно telnet

Можно. =) У меня такая железяка дома стоит, так что ближе к вечеру смогу подсказать более детально, с синтаксисом и конкретными примерами и советами, если не решится до этого времени. Можно в личку писать.

Answer 4

[apetropolsky]

Чуть подробнее опишу настройку роутера по шагам.

1. Привязываем домен No-IP к роутеру (предполагается, что он зарегистрирован, судя по топику):
Веб-морда — Broadband — DyDNS — сервис No-IP — заполняем поля «Домен», «Логин» и «Пароль», ставим галку на смотрящем в интернет интерфейсе (L2TP0).
2. Переходим в Home — Static DHCP Bindings — добавить — прописать имя сервера с убунтой, его мак и нужный ip.
3. Настраиваем NAT на роутере, прицепившись к нему телнетом:

(config)> ip nat %LANname%

//имя интерфейса, смотрящего в локальную сеть. по дефолту Home.

(config)> ip static tcp L2TP0 80 server_ip 80

//ip static добавляет трансляцию, tcp — транспорт, L2TP0 — интерфейс, смотрящий во внешний мир, 80 — номер порта, который надо транслировать, server_ip — адрес сервера, на который транслируем, 80 — номер порта, _на_ который нужно транслировать. Повторить для каждого нужного порта. Можно и из веб-морды через Security — Address Translation Rules, но через CLI быстрее, имхо.

Вот, вроде, и всё. На всякий случай и на будущее: мануал по CLI прошивки v.2.00.

Comments

[agmt]

А не надо ли ещё:

access-list _WEBADMIN_L2TP0
    permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
!

// Тут были разрешены icmp/tcp/udp ото всех ко всем.
По-крайней мере, для работы ping надо точно.