Pomoc Połaczenie z nas bez użycia cloudlinka oraz przekierowania

[tomeksup]

Pytania:

1. Jak połączyć się z nasem bez użycia cloudlinka ?
2. Jakie przekierowania usawić do nasa ? Mój Nas nie dogaduje się z zyxelem Zyxel VMG8324-B10A. Mam ustawiony pptp (vpn). Przekierowań na porty 80, 8080, 443 nie mogę zrobić bo router krzyczy że zarezerwowane dl ISP. Zatem muszę ręcznie to zrobić.

Proszę o rady.

 

[LEVY]

Najprościej Qnap-> Panel sterowania -> System -> Ustawienia ogólne -> Zarządzanie systemem:
Tu możesz zmienić domyślny numer portu HTTP używanego do administrowania przez WWW.
Port systemowy: wpisujesz np. 18080
W routerze przekierowujesz ten port na IP Qnapa w sieci lokalnej (Ustawienia sieciowe > NAT > Przekierowanie portów. Pełny opis jest na stronie 73 w instr. obsługi)
Do Qnapa dostajesz się z zewnątrz przez IP zewn:18080
Analogicznie można zrobić dla HTTPS (i w sumie raczej tak powinno się zrobić).

 

[tomeksup]

Ok, rozumiem, że do tego przekierowanie także trzeba ustawić.
Pytanie, dlaczego na domyślnym porcie 8080 nie mogę się połączyć skoro 8080 to standard ? Dlaczego router nie wie gdzie przekierować ruch ?

 

[Penerros]

A router ma włączoną funkcję UPnP?

Portu 8080 nie ma zajętego dla ISP w instrukcji obsługi.
https://www.orange.pl/binaries/o/ma...nyDostepSSL/InstrukcjaobslugiZyxelVMG8324.pdf

 

[tomeksup]

Czyli nie standard i muszę zrobić przekierowanie.

 

[Penerros]

Nie do końca rozumiesz co to jest przekierowanie portu. Porty domyslne dla isp to porty otwarte dla routera, a Ty chcesz przekierować port dla Qnapa, który jest na adresie lokalnym.

 

[Usunięty użytkownik pigers]

a przełączenie w tryb bridge'a jest możliwe ? ewentualnie wymiana tego Zyxela na czysty modem (wiem że Orange ma takie .. tylko niechętnie rozdają)

 

[LEVY]

Czyli nie standard i muszę zrobić przekierowanie.

Teoretycznie jeśli zrobisz w/g mojego opisu to powinno zadziałać nawet bez przekierowania ruchu na routerze. Przy odrobinie szczęścia ( zwłaszcza w małych sieciach) po stronie lokalnej tylko Qnap będzie nasłuchiwać na przykładowym porcie 18080 i powinien pierwszy zareagować. Zakładamy, że wybierasz niestandardowy port. to reszta urządzeń i komputerów nie ma na nim uruchomionych żadnych usług, więc na nim widoczny będzie tylko Qnap.

W praktyce dobrą zasadą jednak jest przekierowywanie portów, chociażby po to żeby wiedzieć "co piszczy w sieci".
Jak słusznie zauważył

Portu 8080 nie ma zajętego dla ISP w instrukcji obsługi.

Port 8080 chyba jest wolny, ale wiem że bardzo często jest on wykorzystywany do ataków jako zamiennik portu 80, więc raczej sugeruje unikanie go.
A już zupełnie "złotą zasadą" w/g mnie jest (i tu przyklepuję piątkę pigers) modem od dostawcy w trybie bridge, za nim mój własny router i mogę zrobić wszystko.

 

[tomeksup]

Tak, router można wymienić i ustawić w trybie bridge. Tylko, że qnap jest wpięty do niego. Do routera także jest wpięty mikrotik. Jednakże złoto dla tego kto umie w pełni ustawić zabezpieczenia firewallu mikrotika. Dodam, że mój mikrotik miał stary soft. Złamanie hasła zajęło mi 15 minut. Dziękuję za takie zabezpieczenia.
Dodatkowo poprzedni "informatyk" tak go skonfigurował, że miałem setki o ile nie tysiące prób zalogowania na niego dziennie. Sporo usług musiałem wywalić aby zwiększyć bezpieczeństwo. Krótko mówiąc jego rola polegała na wpięciu go do sieci.

Zatem przestawiam port na jakiś maksymalnie nietypowy. Robię przekierowanie. Ewentualnie określam adres źródłowy z jakiego mogą przychodzić połączenia na qnap plus odrzucanie dziwnych połaczeń na qnapie (5krotne logowanie z adresu zewnętrznego blokuje na stałe ip).

 

[Penerros]

Ja mam mikrotika na łączu 1g/1g, i jakoś nie ma problemu, kilka linijek w firewallu i nic specjalnego się nie dzieje, podstawą zmiana domyślnych portów, wyłączenie logowania po adresie mac.
Bezpieczny Mikrotik - RouterOS - Just Another IT Guy

 

[tomeksup]

Nie mam doświadczenia w ustawianiu reguł firewalla, więc się nie pcham w to.

 

[Penerros]

Wszystkiego da się nauczyć, wystarczy trochę chęci i poświęcenia czasu. Ja podziękowałem routerowi dostawcy po trzech dobach użytkowania.

 

[tomeksup]

Nauka się skończy kiedy opędzlują ci konto, bo zapomniałeś o drobnostce.

 

[Usunięty użytkownik pigers]

wow - ciekawe skąd mamy wziąść doskonałą konfigurację firewalla ? to jest niekończąca się historia ...

poza tym : problem rozwiązany ?

 

[tomeksup]

Jeszcze nie, bo będąc zdalnie przez team viewera nie mogę połączyć się z zyxelem z orange. Nie łączy się po lokalnym ip 10.0.0.1. Na 10.0.0.2 mam mikrotika. Połączenie idzie z kompa lokalnego do mikrotika a potem do zyxela. Oba urządzenia pingują, ale połączenie do zyxela nie dochodzi. Wcześniej działało. Jakieś omysły?

Przy okazji mam odpalony dhcp serwer na mikrotiku i orange. Czy w takim razie na mikrotiku mogę wyłaczyć ?

 

[Penerros]

DHCP zawsze powinien być tylko jeden.

 

[Usunięty użytkownik pigers]

DHCP zawsze powinien być tylko jeden.

w ramach jednej sieci broadcastowej.

Granicą dla brdcast jest router/firewall.

Bez schematu sieci jest to wróżenie z fusów. Nie wiemy co z czym i jak jest połączone.

 

[tomeksup]

Już mówię:

1. Urządzenie z wpiętym światłowodem Orange
2. Do niego zyxel.
3. Do zyxela jest wpięty mikrotik, qnap oraz jedno biuro
4. Do mikrotika wpięty jest kolejny zyxel (ze wzgl. na wifi, poprzednie urządzenia nie mają takiej możliwości).

Generalnie dhcp mam pokazane, że jest z adresu 10.0.0.2 (mikrotik), na routerze zyxel za światłowodem i ma też serwer dhcp, bo qnap musi działać.

Czy wyłączenie dhcp na mikrotiku nie wykrzaczy całej sieci ?

 

[Usunięty użytkownik pigers]

do zyxela#1 do portu lan jest wpięty mikrotik (MT) portem WAN i qnap ?
MT LAN jest wpięty do portu WAN zyxel#2 ?

urządzenia z sieci WLAN w zyxel#2 raczej nie dostanie się do qnapa, po co robisz sobie podwójny NAT ?
lepiej zyxel#2 sprowadzić do roli AP (konwerter LAN <-> WIFI)

a jeszcze lepiej postawić switcha po zyxel#1 , wpiąć tam wszytko , a zyxel#2 przerobić na APka (jak się da).

chyba że jest jakiś powód do fizycznego podziału sieci ??

 

[tomeksup]

Niby kiedyś był, ale praktycznie nie ma takiej potrzeby. Szefa od pracowników oddziela hasło (do folderów udostępnionych).

Nie wiem czy dobrze zrozumiałeś budowę. Tutaj narysowane. Teraz z kompa lokalnego nie mogęsię dostać na zyxeka a4193. Połączenie idzie lan-mikrotik-zyxela4193.

Sieć jest spieprzona. Chciałem zacząć od wyłączenia dhcp na mk i pozostawieniu tylko na zyxelu a4193.