Доступ сетке за «серым» IP?

Question

[avstepanov]

Ситуация следующая — имеется некоторый провайдер, который выдает только «серые» адреса. У клиента есть своя сетка, в которой работает NAS, несколько компьютеров, планшеты и т.п.



Требуется изредка каким-то образом подключаться к этой сетке для администрирования.



Понятно, если был бы «белый» адрес — можно было бы пробросить необходимые порты, поднять VPN-сервер на хранилище и т.п., а как быть с «серым» адресом?



Клиент в IT разбирается откровенно плохо, а находится далеко (т.е. вариант «подъехать» связан с авиаперелетом).



Подскажите, как можно осуществлять администрирование такой «недоступной» сетки?

Comments

[avstepanov]

NAS — Synology DS412+, может, можно на него что-нибудь взгромоздить для доступа?

Answer 1

[shadowalone]

Взять VPS, сделать VPN от клиента к этому VPS постоянное, сделать маршруты в его сеть.
далее, самому подключаться по VPN и видеть его сеть.
Для настройки всего этого, изначально заюзать тимвъюер.
ВПН любое — openvpn, pptp, l2tp+ipsec

Comments

[artemlight]

Удваиваю. Единственное что — советую сразу разворачивать openvpn, потому как в отличие от виндового l2tp клиента коннект он держит намертво.

[J_o_k_e_R]

Плюсую к openvpn. Более того, сможете свести в VPN всех таких клиентов. Будете иметь возможность подключиться туда, куда хотите. openvpn элементарен в настройке и надежен.

[vovagubin1987]

Но один минус-нужно к серверу иметь белый ip или покупать vps. Думаю, человек имел ввиду именно бесплатный вариант.

[shadowalone]

учитывая что сейчас vps можно взять за 150-200р в месяц — это не должно быть вообще проблемой.
Подумаешь, на пачку сигарет меньше скурил :)

[shadowalone]

> NAS — Synology DS412+, может, можно на него что-нибудь взгромоздить для доступа?
Сделать его шлюзом для всех устройств, а на нем поднять vpn-клиент

[vovagubin1987]

а ещё дешевле белый IP за 30 рублей в месяц.

[shadowalone]

не всегда пров может дать белый адрес, да и не везде за 30р.

[avstepanov]

К сожалению, тот пров, что имеется — очень большой монополист (в общем-то, другого просто нет) и белые IP не дает (даже за деньги и куда существеннее 30 рублей, хотя в той стране рубли не очень ходят ;))

Спасибо всем, буду смотреть в сторону VPN.

Answer 2

[cat_crash]

www.teamviewer.com/ru/index.aspx

Comments

[avstepanov]

Спасибо, думал про него, но для удобного варианта управления:
1. Нужно выделить под него какую-нибудь железку, которая будет всегда включена
2. Купить лицензию (чтобы без участия клиента можно было подключаться).

Рассматриваю этот вариант как запасной… может, еще какие-то варианты есть?

[xandr0s]

лицензия ни к чему (привет всяким правоведам). просто настройка для полного доступа и всё.

Answer 3

[vovagubin1987]

юзать ipv6 через тунельных брокеров.

Comments

[Krypt]

Кстати, а можно поподробнее? Особенно в том плане, что на устройстве, подключаемом к сетке удалённо, адреса ipv6 может и не быть

[vovagubin1987]

habrahabr.ru/post/85777/
Железо не знающее IPV6 пора в музей.

Answer 4

[Александр Парусов]

Чтобы все прояснить (поправьте, если в чем-то не прав).
Есть два понятия:

• Статический/Динамический IP - меняется ли он самопроизвольно (при подключении к провайдеру) или нет
  
• Серый/Белый IP - Серый IP - это адрес в локальной сети провайдера, аналогично 192.168.1.xxx, Белый IP - полноценный адрес в Интернет
  

Далее. Могут быть разные комбинации этих двух свойств. Самое главное, что, в общем случае, прямое подключение по Серому IP из Интернет не получится (без использования вспомогательного сервера с Белым IP). При этом прямое подключение к Динамическому Белому IP вполне возможно с использованием DynoDNS.

Оптимальный (но не самый простой) вариант решения проблемы с Серым IP - поднять VPN сервер на своем VDS, у которое есть Белый IP. Также, можно использовать различные платные и, возможно, бесплатные сервисы типа TeamViewer, Splashtop, LogMeIn-Hamachi, NetRouter, .... (в зависимости от потребностей)

Answer 5

[ruztm]

Так же искал решения по этой теме. Серый айпи как заноза в одном месте. LiderMaximum - ты болтун!
Мой случай: есть квартира с белым динамичным ip и есть участок с серым. NAS, asterisk, видеонаблюдение и openHab в обеих локациях. Требовалось все это соединить для синхронизации и мониторинга. Поковырявшись в сети и почитав что пишут умные дяди и тети, решил в пользу site-to-site VPN. Установил дистрибутив pfsense в качестве маршрутизатора в двух концах и настроил ipsec vpn туннель. В квартире, где белый айпи, pfsense слушает стук в туннель с другого конца и как услышит, так все подключается и все прекрасно. На другом конце pfsense, как инициатор соединения туннеля. Наоборот не получается, так как сидит за серым айпи и к нему не достучаться из вне. Но во всей этой ляпоте есть косяк. Если вдруг потух и перегрузился pfsense за серым айпи, то приходится ехать на место и нажимать на кнопку соединения туннеля в настройках ipsec. Подскажите как это автоматизировать или где в настройках поставить галочку

Comments

[D_Mitrich]

...наверняка в pfSense можно воткнуть кастомный сценарий по событию потушхих линков или просто чекать конкретное соединение по таймеру...

Answer 6

[The_KOPACb]

www.ammyy.com/ru/

а так — все варианты связаны с железкой.

Answer 7

[AxisPod]

DDNS и проброс портов на маршрутизаторе. При этом Synology NAS поддерживают из коробки.

Comments

[avstepanov]

Это все просто и работало бы, если бы IP-адрес был бы реальным.

Вот, например, списочек адресов, которые засветились: 178.89.80.221, 178.89.82.93, 178.91.53.145, 178.91.53.173, 2.134.20.101, 2.134.20.159, 2.134.3.196, 95.58.101.131, 95.58.115.176, 95.58.115.51, 95.58.117.114, 95.58.124.112, 95.58.125.134

[AxisPod]

Ну дык у вас же IP не меняется каждую секунду, а только при переконекте, вы бы сначала ознакомились с тем, что такое DDNS, а уж затем меня минусовали.

На nas висит клиент, который при изменении IP отправляет этот самый IP на сервис DDNS, который в свою очередь работает как DNS, только указывает время кэша как 0, соотвественно другие DNS сервера данные не кэшируют и всегда запросы отправляют на DNS DDNS-сервиса.

[AxisPod]

Вообще что вы описали, именно решается средствами DDNS сервисов (DynDNS), например no-ip.org. А всякие костыли в виде постоянно запущенного тимвьювера, всяких скриптов, которые скидывают Ip адрес являются именно костылями. Я для решения данной проблемы пользуюсь уже в течении лет 5 (если не больше) пользуюсь no-ip.org, решением от asus и от synology и пока ничего не сломалось.

[avstepanov]

Еще раз посмотрите на адреса? ничего не смущает? Это внутренние адреса провайдера, к которым нет доступа ни откуда, кроме как из сетки самого провайдера. Я же про это с самого начала говорю — «серые» адреса.

P.S. Динамические РЕАЛЬНЫЕ адреса меня ни сколько не смущают и как работает DDNS я знаю (и пользуюсь уже очень давно).

P.P.S. на моем собственном NAS висит DDNS на случай, если мой провайдер вдруг внезапно решит что-то перестроить в своей сети и сменить мой реальный IP (что уже один раз было и только из-за DDNS удалось оперативно получить доступ)

Answer 8

[Georg]

Как решили проблему?
Точно такая же задача, правда к железу доступ имеется.

Answer 9

[cccokOl]

LiderMaximum "существуют как минимум 3 решения"
В студию, пожалуйста!

Comments

[istis]

например, сервис KeenDNS на роутерах Keenetic дружит с серыми IP, соединить локалки с его помощью можно по протокол SSTP. единственная проблема, что скорость невысока, 500КБ - 1 МБ / сек. Но для задач топикстартера и этого достаточно

Answer 10

[Юрий Попов]

Точно так же пробросить порты, как и для белого IP. Плюс какой-нибудь DynDNS (тот же no-ip), и заходить по доменному имени.

Comments

[Денис]

Нерабочий вариант. Перепробовал все DynDNS - ни один не видит серый IP. У моего провайдера, например, серые IP вида 100.104.199.60, при этом внешний типа 213.212.10.22, вот этот внешний все DynDNS и видят. Сам страдал от этого, teamviewer пока использую - самый доступный, удобный и бесплатный вариант. AMMyAdmin, к сожалению, не даёт долго работать, сбрасывает сессию и требует денег.

Answer 11

[Илья Севостьянов]

пробрасывать порты, ну и ставьте в сетке клиента «стукача/чей» (Программа которая периодически подключается на заведомо доступный узел, тем самым выдавая свое местоположение в сети. (узел естественно вами контролируемый)

Как стукача можно использовать олдскульный iperf в режиме клиента, и пускать его скриптом (хоть на каждом компе клиента, а если у него Windows 7 или же UNIX-way операционки то скрипт можно прямо таки без проблем повесить на события подключения/отключения от сети, это как раз тот момент когда может произойти смена адреса).

С сервера вы всегда буде знать текущий IP, ходите сколько угодно.

VPN — тоже идея неплохая, все зависит от того насколько плотно Вам аутсорсить. Если на тачки по RDP/VNC ходить, то оно того не стоит,
ежели надо сеть тестить, внутренние сервисы и т.д. то, только VPN.

PS: У гада-провайдера может быть еще и магистральный NAT (хотя это уже история но в некоторых городах и весях я еще встречаю местные локалки которые наружу смотрят через прямой NAT провайдера, являясь там внутри — вполне себе обособленными, но это Ад и садомия и не обсуждается)

Comments

[Илья Севостьянов]

DSM — вполне себе «недокастрированный линь» потому можно на него стукача повесить

Answer 12

[Илья Севостьянов]

Как вы собираетесь подключаться — VNC, RDP, SSH?

Comments

[avstepanov]

RDP изредка, в основном нужны доступы к веб-интерфейсам железок (могу их «развесить» на различные порты и с помощью выбора соответствующих портов обращаться к нужной). Иногда нужен доступ по FTP (но это скорее экзотика).

Answer 13

[Алексей]

У меня такая проблема с серыми ip. Провайдер написал: "Не выдаётся сейчас "обычному" абону белый ИП! Он НАТИТСЯ. А вот статический выдаётся. В туннеле. Всегда один и тот же. Статический выдаётся ппп сервером при поднятии соединения, либо серый (172.20...., который потом НАТится), либо белый, который просто маршрутизируется в инет. Т.е. если нужен ГАРАНТИРОВАННЫЙ доступ из инета, то только стат. ИП."

Answer 14

[d2285]

Использую pointgsm.ru делают белый статический ip адрес, оформляют на физические лица

Answer 15

[LiderMaximum]

Используйте DDNS для удаленного доступа. Покупать статический внешний IP не нужно, серые IP, выдаваемые провайдером, совершенно не являются препятствием для организации удаленного доступа.
Вопреки всеобщему устоявшемуся мнению и критике малограмотных "умников" существуют как минимум 3 решения, позволяющие воспользоваться DDNS в случаях, когда провайдером выдаются серые IP.

Comments

[Александр Парусов]

Можете коротко написать эти 3 варианта?

[LiderMaximum]

Александр Парусов: Добрый вечер! С какой целью интересуетесь? Насколько осведомлены об условиях подключения и использования DDNS-сервисов? Каков ваш личный опыт использования DDNS-сервисов?

[Александр Парусов]

LiderMaximum: Мне, также, как и автору поста нужно было получить доступ к сетке за серым IP. DDNS (no-ip.com) настраивал в роутере Asus, IP получал, но доступа снаружи не было. Только позже узнал, что провайдер выдает серые IP . Ниже в другом ответе я более подробно описал понятия серый/белый, статический/динамический. На данный момент пробую использовать NeoRouter (пока успешно). Подумал, может есть еще какие-то варианты, кроме промежуточного сервера.

[LiderMaximum]

Александр Парусов: Хорошо. Я Вас понял. Мысли у Вас в правильном направлении.
Да, промежуточный сервер на мой взгляд - сгодится только для крупных сетей и организаций.
Вопрос еще такой: Вы хотите получить доступ к одному устройству или к сети в целом?

[Александр Парусов]

LiderMaximum: к небольшой сети, 255.255.255.0

[LiderMaximum]

Александр Парусов: Ок. Если Вам нужен доступ именно к компьютерной сети, то без VPN-сервера не обойтись, несмотря на то, что можно осуществить подключение с использованием DDNS.
DDNS - это своего рода альтернатива внешнему статическому IP-адресу, которые необходимо приобретать у провайдеров.