Pomoc Jak udostęponić NAS w internecie (dwa routery) ?

[Giana Sisters]

Dzień dobry.
Chciałbym bardzo prosić o pomoc w temacie udostępnienia NASa w internecie. NAS jest za drugim routerem/modemem. Przygotowałem schemat podając przykładowe adresy, gdyż potrzebuję konkretnej, precyzyjnej pomocy. Nie znam się na sieciach i z trudem ogarniam temat DHCP i bramy. Skorzystałem z managera MyQNAPCloud, ale po długim mieleniu ten niby prawidłowo konfiguruje router2 do którego jest podłaczony, ale podaje, że łączność przez internet nie przechodzi testu. Podejrzewam że serwer "nie widzi" router 1. Router 1 jest podłączony do internetu stałym łączem światłowodowym.

Dziękuję z góry za pomoc.
.
Login - Dropbox

​

Wersja oprogramowania Firmware: 4.5.2 Build 1594
Model serwera: QNAP 253 Pro
Oprogramowanie router 2: DD-WRT
Oprogramoiwanie router 1: FunBOX3.0

 

[Ice]

Oczywiście że go nie widzi, bo musisz przekierować drugi raz porty na drugim routerze. Czyli z routera 1 na adres IP drugiego routera i z drugiego dopiero na nas.

 

[Giana Sisters]

Oczywiście że go nie widzi, bo musisz przekierować drugi raz porty na drugim routerze. Czyli z routera 1 na adres IP drugiego routera i z drugiego dopiero na nas.

Dziekuję Ci. A teraz ta upokarzająca część; Co mam wpisać w PF i na którym routerze? Dziękuję. Byłbyś w stanie rozpisać nawet teoretyczny przykład z użyciem adresów IP?

 

[Ice]

Pierwszy forward na address 192.168.1.2 (Bo taki adres ma drugi router zapewne)
A drugi forward w routerze z adresacja 172 na adres IP Qnapa.

Musisz zobaczyć jakie porty przekazujesz dalej: domyśle to 8080 http i bodajże 443, ale ten musisz sobie zmienić. Więcej pomogę wieczorem bo siedzę na telefonie.

 

[Giana Sisters]

Pierwszy forward na address 192.168.1.2 (Bo taki adres ma drugi router zapewne)
A drugi forward w routerze z adresacja 172 na adres IP Qnapa.

Musisz zobaczyć jakie porty przekazujesz dalej: domyśle to 8080 http i bodajże 443, ale ten musisz sobie zmienić. Więcej pomogę wieczorem bo siedzę na telefonie.

Super! Będę czekał. Dziękuję

 

[maks87]

Można jeszcze na routerze nr1 ustawić DMZ i tam wpisać adres routera nr2 czyli 192.168.1.2, wtedy pierwszy router będzie niejako "przezroczysty" i przepuści wszystko do routera nr2. A na routerze nr2 porty otworzą Ci się same jeśli skorzystałeś z konfiguracji myqnapcloud.
Uwaga: czy adres routera nr2 czyli 192.168.1.2 jest przypisany na stałe czy jest przydzielany z DHCP w routerze nr1?
Czy do routera nr1 masz podpięte przez kabel albo wifi jeszcze jakieś inne urządzenia, czy do niego podłączasz po kablu router nr2 a wszystkie urządzenia łączą się z routerem nr2?

 

[Penerros]

Z tym DMZ to ostrożnie, bo mogą przestać działać pewne usługi na pierwszym routerze. I nie każdy DMZ jest w 100% przeźroczystyhmmm

A na routerze nr2 porty otworzą Ci się same jeśli skorzystałeś z konfiguracji myqnapcloud

pod warunkiem, że router2 obsługuje UPNP i jest aktywne.

 

[maks87]

Z tym DMZ to ostrożnie, bo mogą przestać działać pewne usługi na pierwszym routerze. I nie każdy DMZ jest w 100% przeźroczystyhmmm

Hmm, nie spotkałem się z czymś takim aby coś przestało działać, ale nie mam też aż tak dużego doświadczenia w sprawach sieciowych. Ale w tym przypadku zakładam, że to by było dobre rozwiązanie bo nie wymaga od użytkownika dużej konfiguracji.

pod warunkiem, że router2 obsługuje UPNP i jest aktywne.

Oczywiście się zgadza, ale po tym jak @Giana Sisters napisał zrozumiałem, że UPnP działa. Nie wiemy co to za router, ale jak jest tam DD-WRT to raczej UPnP będzie obsługiwane.

 

[Penerros]

Najlepiej było by tego FunBoxa ustawić w tryb bridge, ale to wymaga telefonu do operatora. Oczywiście warunkiem takiego ustawiania jest nie używanie wi-fi, oraz pozostałych portów na FunBoxie, poza pierwszym. Problemy na pewno by się skończyły.

 

[Usunięty użytkownik pigers]

babole !

Adres 172.168.X.X - nie jest adresem dla sieci lokalnych , zmień adresację sieci .. nie przestrzeganie standardów prowadzi do kłopotów.

Jak to wyprostujesz, to zacznij przekierowywać porty (zakładam że 8080 i 443)
1. na routerze 192 - przekieruj w/w porty na adres LAN routera 172 (czyli masz dwie reguły dla portu 8080 i 443 prowadzące do adresu IP WAN routera)
2. na routerze 172 - przekieruj w/w porty na adres LAN QNAPa

 

[Penerros]

Jak to wyprostujesz, to zacznij przekierowywać porty (zakładam że 8080 i 443)

z tego co się orientuję to 443 to port https, jak przekieruje, to na fanboxie może przestać działać część stronhmmm

 

[Usunięty użytkownik pigers]

niech się ISP wypowie ..

 

[Giana Sisters]

Z tym DMZ to ostrożnie, bo mogą przestać działać pewne usługi na pierwszym routerze. I nie każdy DMZ jest w 100% przeźroczystyhmmm

A na routerze nr2 porty otworzą Ci się same jeśli skorzystałeś z konfiguracji myqnapcloud

pod warunkiem, że router2 obsługuje UPNP i jest aktywne.

Dziękuję Ci; DMZ - fajne kreatywne rozwiązanie. Spróbuję.

Adresacja 172 - zupełnie nie miałem pojęcia. Wybrałem ją sobie, bo łatwa do zapamiętania. A zaczęła działać. Tak to jest jak grafik ustawia sobie sieć

UPNP - jest aktywne na obu. Z tym ze na FunBoxie działa od ręki, a na DD-WRT milion pól do wypełnienia.

Adres IP routera2: Jest przydzielony statycznie.

DD-WRT - siedzi na Linksys1900ACS dedykowanym dla WRT. Nawet ja ogarnąłem wgranie, ale przyznaję bez bicia, że oryginalny soft Linksysa był o niebo prostszy i bardziej przejrzysty. Miał też ślicznie zaprojektowane GUI w porównaniu do siermiężnego DD-WRT

Status obecny - ponieważ nie ogarnąłem przekierowania na DD-WRT wg tego, co koledzy piszą; podpiąłem NASa bezpośrednio do FunBoxa i zrobiłem Port forward na FunBoxie dla portów 80 i 443. Zadziałało od ręki. FunBox nawet mi status wyświetlił co mam wpisywać w przeglądarkę hen w świecie, by NAS był widoczny.
Działa bez problemu nawet na iPhonie (dostęp do NAS).
Komputery, drukarki i reszta zostały na Linksys. FunBox oczywiście wciąż ich nie widzi. Widzi teraz tylko NAS i Linksys (router2).

Dziękuję za poświęcony czas. Podejmę próby z DMZ.

Aktualizacja: Pierwszym objawem włączenia DMZ na router 1 ze wskazaniem router 2 jest to, że UPNP na router2 zbudował sobie obszerną listę (jakby poczuł, że może wyjść na świat). Na liście cuda, włącznie z Minecraftem z Xboxa który do router 2 też jest podpięty. Wygląda więc na to, że jak podepnę NASA spowrotem do roter 2, to i on wskoczy na listę UPNP i zacznie być widoczny z internetu.

Drugim objawem jest to, ze FunBox (router1) przestał widzieć w swoim otoczeniu sieciowym router2. Tzn przydziela IP statyczne dla tego routera i router się zgłasza, można nim zarządzać, ale o ile wcześniej FunBox nawet nazwę definiował jako linksys, tak teraz jest to dla niego jakieś nieznane urządzenie.

 

[Penerros]

Funbox nigdy nie zobaczy urządzeń za routerem 2, nie pozwoli mu na to routing i firewall, oraz inny zakres podsieci

 

[maks87]

@daniel_t dlaczego nie zgadzasz się z tym co napisałem w jednym z powyższych postów czyli:

Można jeszcze na routerze nr1 ustawić DMZ i tam wpisać adres routera nr2 czyli 192.168.1.2, wtedy pierwszy router będzie niejako "przezroczysty" i przepuści wszystko do routera nr2. A na routerze nr2 porty otworzą Ci się same jeśli skorzystałeś z konfiguracji myqnapcloud.
Uwaga: czy adres routera nr2 czyli 192.168.1.2 jest przypisany na stałe czy jest przydzielany z DHCP w routerze nr1?
Czy do routera nr1 masz podpięte przez kabel albo wifi jeszcze jakieś inne urządzenia, czy do niego podłączasz po kablu router nr2 a wszystkie urządzenia łączą się z routerem nr2?

Nie pytam ze złości tylko bardziej z ciekawości, co źle napisałem?

 

[Ice]

Ofc, więc tak.
Robiąc strefę DMZ na pierwszym routerze, kierujesz cały ruch z sieci na tego jednego hosta. Dlatego jak kolega wyżej jest nieświadomy przekierowywania portów, nie powinno się go wrzucać na minę z DMZ, bo botów skanujących sieć są miliony, więc jak mu tam jakiś wpadnie, zacznie skanować porty (a w DMZ, chyba że coś się zmieniło w informatyce - kierujesz WSZYSTKIE porty na dany IP - o czym zapewne kolega Giana nie wie), to mu już nie odpuści. A niech potem dla ułatwienia, nie wiedząc co oznacza "pierwszy router będzie transparentny" wrzuci sobie na drugim też DMZ, bo przecież fajnie działa i np. Qnapa w DMZ. Można wziąć popcorn i obserwować co dalej.
Dlatego strefy DMZ to rzecz, której nie powinno się używać w ogóle, jak nie wiesz co to jest - jakie zagrożenia płyną z tego tytułu. Szczególnie w dzisiejszych czasach, gdzie boty non stop skanują wszystko bez przerwy, to my im na tacy się wystawiamy. Na forum często piszemy i zwracamy uwagę - jak najmniej portów, najlepiej łącz się po VPN.

 

[maks87]

Robiąc strefę DMZ na pierwszym routerze, kierujesz cały ruch z sieci na tego jednego hosta. Dlatego jak kolega wyżej jest nieświadomy przekierowywania portów, nie powinno się go wrzucać na minę z DMZ, bo botów skanujących sieć są miliony, więc jak mu tam jakiś wpadnie, zacznie skanować porty (a w DMZ, chyba że coś się zmieniło w informatyce - kierujesz WSZYSTKIE porty na dany IP - o czym zapewne kolega Giana nie wie), to mu już nie odpuści.

Zgadzam się w 100%, ale jeśli dalej jest drugi router to zakładam, że ustawienie DMZ na pierwszym większego zagrożenia nie zrobi, pod warunkiem, że na drugim się tego samego nie zrobi - ale o tym napisałeś.

... najlepiej łącz się po VPN.

Tu też się zgodzę, chociaż jak sam dobrze wiesz z innego wątku na forum, sam mam ostatnio problem z działaniem VPN, ale ogólnie jest to najlepsze rozwiązanie.

 

[badziewiak]

Warianty są możliwe 2 (A i B):
A) Czy można ustawić modem w trybie bridge? Jeśli tak, to modem będzie przezroczysty i na jego porcie eth będziesz miał adres taki, jakby tego modemu nie było. Wtedy faktycznie, zasadne jest podłączenie router 2 przez WAN.
B) nie ma możliwości ustawienia modemu w trybie bridge, to nie musi być robiona kaskada routerów, czyli że do LAN nadrzędnego łączysz WAN podrzędnego. Na router 2 wykonaj następujące działania w kolejności następującej:
1. Wyłącz DHCP.
2. Ustaw adres przykładowo 192.168.1.2.
3. Połącz obydwa routery przez porty LAN (bez WAN).
To sprawi, że router 2 będzie pracował jako switch, a cały ruch będzie nadzorowany przez router 1.
No i tak jak pisano powyżej, można bawić się w MyQnapCloud, jeśli oczywiście router 2 w przypadku A lub router 1 w przypadku B ma włączone UPNP. Jeśli nie ma, to How do I set up port forwarding on the NAS?

EDIT:
Port LAN to oczywiście port eth.

 

[Giana Sisters]

Warianty są możliwe 2 (A i B):
A) Czy można ustawić modem w trybie bridge? Jeśli tak, to modem będzie przezroczysty i na jego porcie eth będziesz miał adres taki, jakby tego modemu nie było. Wtedy faktycznie, zasadne jest podłączenie router 2 przez WAN.
B) nie ma możliwości ustawienia modemu w trybie bridge, to nie musi być robiona kaskada routerów, czyli że do LAN nadrzędnego łączysz WAN podrzędnego. Na router 2 wykonaj następujące działania w kolejności następującej:
1. Wyłącz DHCP.
2. Ustaw adres przykładowo 192.168.1.2.
3. Połącz obydwa routery przez porty LAN (bez WAN).
To sprawi, że router 2 będzie pracował jako switch, a cały ruch będzie nadzorowany przez router 1.
No i tak jak pisano powyżej, można bawić się w MyQnapCloud, jeśli oczywiście router 2 w przypadku A lub router 1 w przypadku B ma włączone UPNP. Jeśli nie ma, to How do I set up port forwarding on the NAS?

EDIT:
Port LAN to oczywiście port eth.

Dziękuję

Robiąc strefę DMZ na pierwszym routerze, kierujesz cały ruch z sieci na tego jednego hosta. Dlatego jak kolega wyżej jest nieświadomy przekierowywania portów, nie powinno się go wrzucać na minę z DMZ, bo botów skanujących sieć są miliony, więc jak mu tam jakiś wpadnie, zacznie skanować porty (a w DMZ, chyba że coś się zmieniło w informatyce - kierujesz WSZYSTKIE porty na dany IP - o czym zapewne kolega Giana nie wie), to mu już nie odpuści.

Zgadzam się w 100%, ale jeśli dalej jest drugi router to zakładam, że ustawienie DMZ na pierwszym większego zagrożenia nie zrobi, pod warunkiem, że na drugim się tego samego nie zrobi - ale o tym napisałeś.

... najlepiej łącz się po VPN.

Tu też się zgodzę, chociaż jak sam dobrze wiesz z innego wątku na forum, sam mam ostatnio problem z działaniem VPN, ale ogólnie jest to najlepsze rozwiązanie.

Dziękuje; intuicja podpowiedziała, że skoro DMZ robi transparency z pierwszego routera, to nie należy robić go na router 2, bo tym samym otworzę dostęp do wszystkiego

Warianty są możliwe 2 (A i B):
A) Czy można ustawić modem w trybie bridge? Jeśli tak, to modem będzie przezroczysty i na jego porcie eth będziesz miał adres taki, jakby tego modemu nie było. Wtedy faktycznie, zasadne jest podłączenie router 2 przez WAN.
B) nie ma możliwości ustawienia modemu w trybie bridge, to nie musi być robiona kaskada routerów, czyli że do LAN nadrzędnego łączysz WAN podrzędnego. Na router 2 wykonaj następujące działania w kolejności następującej:
1. Wyłącz DHCP.
2. Ustaw adres przykładowo 192.168.1.2.
3. Połącz obydwa routery przez porty LAN (bez WAN).
To sprawi, że router 2 będzie pracował jako switch, a cały ruch będzie nadzorowany przez router 1.
No i tak jak pisano powyżej, można bawić się w MyQnapCloud, jeśli oczywiście router 2 w przypadku A lub router 1 w przypadku B ma włączone UPNP. Jeśli nie ma, to How do I set up port forwarding on the NAS?

EDIT:
Port LAN to oczywiście port eth.

Miałbym takie teoretyczne pytanie uzupełniające; która architektura jest bezpieczniejsza? Czy to w ogóle jest różnica?

1. router1/modem podpięty do WAN router 2 i tam juz graty pozostałe (w tym NAS) i wychodzenie przez port forward lub/i DMZ na router1
2. brak kaskady, cały ruch nadzorowany przez router1, a router 2 to tylko switch i do niego podpięte wszystko (w tym NAS)
3. router1/modem podpięty do WAN router 2, ale NAS wpięty do router1 i wystawiony portforward samego NASa. A graty niewidoczne, schowane za drugim routerem

dzięki za przegłówkowanie

 

[badziewiak]

Możesz zrobić przekierowane portów (wariant 3) do NASa, ale czy masz stały publiczny IP? Prawdopodobnie nie. Jeśli nie, to albo myqnapcloud, który jest właśnie dynamicznym dns-em, albo ustawiasz dynamiczny dns w routerze. Wariant 1 i 2 pod względem bezpieczeństwa są równoważne (jeśli obydwa routery są takie same). Generalnie udostępnianie NASa na zewnątrz to dość ryzykowny pomysł, chyba że udostępniasz tylko określone usługi na określonych portach. Udostępnianie panela administracyjnego to moim zdaniem proszenie się o kłopoty. Lepiej zrobić na routerze serwer VPN (openvpn) lub postawienie VPN na NAS i przekierowanie na niego określonego portu.