DDNS, VPN - варианты подключения



  • мануалами черри версия не богата, сегодня разработчик сделал мне "хорошо", отплачу тем же.

    Предисловие…

    заранее предупрежу, что о существовании команды SUDO я узнал чуть позже нового года, когда озадачился забабахать "умную дачу" на лето. часть из того, что будет описано ниже, вы скорее всего знаете, а часть возможно пригодится.

    если я в чем-то ошибся или усложнил задачу, ПОЖАЛУЙСТА, укажите на это, ей-богу пока не особо шарю.

    мануал расчитан в основном на новичков и на желающих экономить (т.е. на своем опыте).

    итак, у вас есть IH на распберри, но нет проводного инета. У меня ещё всё хуже на даче, т.к. там берет только мтс.

    именно в моем случае я приобрел zyxel keenetic 4g и достал из кладовки старый модем мтс (Huawei E171)

    и

    роутер был выбран за дешевизну и антенну в 5 дБи, инетовый свисток потому что все равно такой валялся. сами можете применить всё что не попадя, просто первый пункт варьируйте под себя.

    Теория…

    к сожалению, мобильные операторы по умолчанию радуют нас только "серым" айпи, к которому невозможно подключиться "снаружи".

    в нашем случае если ваш распберри с сервером использует "свисток", то вы не сможете подключиться к нему из другой сети допустим со смартфона.

    сейчас мы БЕСПЛАТНО создадим сервер openVPN, что позволит использовать внутреннюю виртуальную локальную сеть, в какой бы точке мира мы б не находились.

    ну и как бонус, антироскомнадзор.

    поехали…

    1. собственно втыкаем модем в роутер и расшариваем мобильный инет на pi.

    тут можно сразу сделать сам роутер сделать ovpn клиентом, но именно в моем случае там дофига клиентов wifi будет, соответственно мне трафик быстро угробят. я сделал что б вафлю через мтс имели все, а вот сам pi выходил через ovpn.

    Об этом ниже…

    2. в зависимости от желания халявы и наличия свободных денег выбираем вариант получения сервера.

    2а.

    совсем бесплатно $50 на аренду VPS (но медленно).

    великий и могучий github студентам раздает очень вкусный набор в который входит ваучер на $50 для DO.

    набор здесь… https://education.github.com/pack

    студенты получают подключив свою почту .udu

    мы, простые смертные, указываем, что готовы предоставить документ и берем фото понравившейся студенческой карты поискав по слову "isic" в любой соцсети.

    важно. наименование учебного заведения в анкете должно совпадать с тем, что в карточке.

    дают халяву почти не разбраясь, шанс получения 99%. Но заветное письмо с одобрением и ссылкой придёт через 3-10 дней.

    2б.

    тоже дешевле.

    за $15 вы получаете много вкусного и кредит на $50 на новый акк на диджитал океан.

    https://www.humblebundle.com/software/python-dev-kit-bundle

    осталось 6 дней.

    2в.

    просто купить место на digitalocean.com

    3. предполагается, что у вас есть VPS.

    создать дропджет (виртуальную машину).

    рекомендую такую…

    $5 в месяц, это вам на 10 месяцев. как продлить бесплатно- ниже напишу.

    4. вы подключились по SSH к виртупльной машине.

    необходимо создать нового пользователя с sudo правами.

    если что мануал тут… https://www.digitalocean.com/community/tutorials/initial-server-setup-with-ubuntu-16-04

    5. устанавливаем сервер овпн по этой инструкции… https://www.digitalocean.com/community/tutorials/openvpn-ubuntu-16-04-ru

    тут важно все делать именно как написано. для не вникающих суть процесса ... даже имя сервера не меняйте.

    6. в итоге вы получаете готовый сервер плюс одного пользователя с файлом .ovpn

    что бы добавить новых пользователей, достаточно повторить шаги 6 и 11-13 из инструкции, что выше.

    попробуйте зайти с компьютера или со смартфона.

    для виндоуз это https://openvpn.net/index.php/open-source/downloads.html

    для андрюши рекомендовал бы https://play.google.com/store/apps/details?id=it.colucciweb.free.openvpn

    вошел? красава.

    7. не всё изначально работать будет… фиксим.

    7а. что бы клиенты новой сети видели друг друга (пинговали), а не только лазали в чужестранном инете...

    всё делается в конфиге сервера (!)

    раскоментировать

    client-to-client

    раскоментировать

    route 10.8.0.0 255.255.255.0

    7б. статический ip для клиентов…

    в конфиге сервера раскоментить

    client-config-dir

    этим разрешаешь применять к каждому клиенту свои настройки вместо использования общих.

    далее создать папку под конфиги строго в
    <quote>> /etc/openvpn/ccd
    там создаешь файл с именем пользователя, внутри одна строка…
    <quote>> ifconfig-push 10.8.0.66 255.255.255.0
    (сменить ip)

    всё, клиент переконекчивается с новым ip.

    7в. что б ещё и на винде клиенты статический ip иметь могли, то надо раскоментить (тоже в конфиге сервера)…
    <quote>> topology subnet

    7г. виндовый клиент изначально пинговаться не будет.

    исправить можно убив\настроив виндовый брандмауэр.

    8. и перезагрузить сервак.

    9. с клиентами распберрипай немного сложнее. мануал…
    <quote>> sudo apt-get update && sudo apt-get upgrade

    sudo apt-get install openvpn

    в директории /etc/openvpn/ создаем файл client.conf

    содержимое файла (копия моего)…
    <quote>> client

    proto udp

    remote ай.пи.адр.есс 1194

    dev tun

    comp-lzo

    persist-key

    persist-tun

    nobind

    tls-client

    tls-auth ta.key 1

    ca ca.crt

    cert clientpi.crt

    key clientpi.key

    keepalive 10 120

    log /var/log/openvpn.log

    verb 0

    mute 20

    remote-cert-tls server

    cipher AES-128-CBC

    auth SHA256

    рекомендую почитать по каждой опции и настроить под себя.

    9б. В ту же директорию закинуть файлы с сервера…

    ca.crt - корневой CA-сертификат

    ta.key - HMAC ключ

    client.crt - сертификат клиента

    client.key - ключ клиента

    10. по идее после перезагрузки клиента вы видите примерно это…

    Итого…

    Всё. теперь подключившись со смартфона к опенвпн, вам будет прекрасно виден сервер ih, в какой бы точке мира вы б не находились.

    –--

    и обещаное как продлить халяву на digitalocean спустя 10месяцев...

    просто найдите в инет новое студенческое удостоверение, создайте новый аккаунт в do, в панели старого аккаунта создаёте снапшот сервера и...

    –-----

    писал побыренькому и сумбурно, если что упустил - подскажите.



  • Что-то все как-то сложно…Варианты:

    1. Использовать DDNS. Если часто меняется IP, то не вариант. Хотя с серыми адресами помоему не работает

    2. Если дача, то в квартире можно на роутере поднять VPN-сервер и коннектиться к нему удаленным клиентом, который на даче. В квартире полюбому можно получить статику,соответственно прокинуть порт до внутреннего IP iH. А чтобы было совсем секурно, то лучше смартфоном цепляться к тому же VPN серверу и ходить по локальным адресам без всяких пробросов портов.

    У меня сделано по второму варианту iH висит на проброшенном порте, а все остальное доступно через VPN - 2 года полет нормальный. Вообще VPN очень удобно - из любой точки мира совершенно секурно подключаешься к своей локальной сети и администрируешь сеть, кодишь на серверах. Правда квартиру собираюсь продавать поэтому придется либо покупать сторонний VPN сервер, либо воспользоваться квартирным роутером родственников.



  • @Alex_Jet:

    Что-то все как-то сложно…Варианты:

    1. Использовать DDNS. Если часто меняется IP, то не вариант. Хотя с серыми адресами помоему не работает

    2. Если дача, то в квартире можно на роутере поднять VPN-сервер и коннектиться к нему удаленным клиентом, который на даче. В квартире полюбому можно получить статику,соответственно прокинуть порт до внутреннего IP iH. А чтобы было совсем секурно, то лучше смартфоном цепляться к тому же VPN серверу и ходить по локальным адресам без всяких пробросов портов.

    У меня сделано по второму варианту iH висит на проброшенном порте, а все остальное доступно через VPN - 2 года полет нормальный. Вообще VPN очень удобно - из любой точки мира совершенно секурно подключаешься к своей локальной сети и администрируешь сеть, кодишь на серверах. Правда квартиру собираюсь продавать поэтому придется либо покупать сторонний VPN сервер, либо воспользоваться квартирным роутером родственников.

    Доброго времени суток. Идея затронуть тему про удаленный доступ хорошая. Я намучался с динамическими ip , чтобы удаленно мониторить IH. Месяца 2 пробыл на dynDNS, и прочих сервисах. Но заинтересовал сервис dlink, который тоже предоставляет свои возможности, но так руки и не дошли, потому что где то слышал ( а может просто преснилось 🙂 ) что cherry будет работать облачно. Также где то читал про p2p , но не понял, это для камер или все же для удобства УД.



  • Спасибо, мужики, за отзывы.

    Проблема, к сожалению, действительно есть. И, imho, это самый действенный вариант её решения.

    Так мы получаем наш персональный сервер к которому коннектимся неважно с чего и откуда и получаем доступ к подсети в которой находится и сервер ih.

    Для меня (повторюсь, что опыт общения с линухом невелик) это стало идеальным вариантом. Хотя бы потому что реконнект к openvpn через пох какую сеть работает идеально. Пишке реально становится пофигу через что входить. Как только появляется соединение с инетом, она сама пробрасывает туннель и становится доступна по заветному 10.8.балаблабла..



  • @artem521:

    Доброго времени суток. Идея затронуть тему про удаленный доступ хорошая. Я намучался с динамическими ip , чтобы удаленно мониторить IH…

    Ты даже не представляешь сути проблемы (без обид, просто вагон кошек на этом съел).

    Серый ip мобильного оператора, это по сути вообще отсутствие внешнего ip. Не динамического… Вообще никакого.

    А по поводу динднс, больше рекомендую duckdns.org (но в случае мобильного серого ip и он не поможет. Говорил же, что много чего перепробовал).

    О плюсах в гугл.



  • @artem521:

    … cherry будет работать облачно. Также где то читал про p2p , но не понял, это для камер или все же для удобства УД.

    Вот кстати это был бы вариант шикарный. Та же замена овпн.

    Наши машинки конектятся к ih серверу, а мы с чего не попадя конектимся туда же.

    Плюсы…

    ° Весь мануал выше идет в анус, разраба - красавчик.

    Минусы...

    ° В случае использования, допустим, камер, каков будет процент потерь через перегруженный сервер? (проект вяло разрекламирован, денег мало, нафига арендовать дорогой сервер для переброса трафика).

    ° В случае использования, допустим, камер, насколько вы готовы доверить разработчику видео где переодевается ваша жена?



  • @artem521:

    Также где то читал про p2p , но не понял, это для камер или все же для удобства УД.

    P2P - вещь отличная. У меня камеры работают через P2P, правда сервак - в Китае (откуда прибыли камеры), но его суть - просто дать кратчайший путь по которому доступна IP-железка из вне. В принципе в iH можно было бы добавить P2P, но суть от этого не сильно измениться, поскольку кроме iH в доме есть еще как минимум камеры к которым нужен постоянный удаленный доступ.

    По мне - идеальное решение - это VPN до дома/дачи. Путей реализации может быть несколько:

    1. DDNS если IP белый и динамический (малореально если используется 3/4G)

    2. P2P встроенный в роутер

    3. VPN-сервер поднятый самостоятельно (в квартире, где есть статика от провайдера)

    4. Сторонний VPN-сервер

    Сейчас у меня так - если даже пропадает связность с iH (падает туннель VPN по разным причинам - выключение электричества в квартире, зависание роутера), то по P2P я имею доступ ко всем камерам/регистратору, а через GSM (SMS) имею оперативный доступ к iH.

    В идеале хотел бы поиметь P2P на роутере (Mikrotik hEX), но пока не заморачивался с этим, поскольку все устраивает.



  • Да согласен я. Был бы у меня на даче пусть динамический, но белый ip, стал бы я заморачиваться с этим овпн. Так что все описаное выше - решение частной проблемы, с которой, к сожалению, может каждый столкнуться.

    Собственно для этого и написан данный мануал. Что б следующему рукожопу облегчить жизнь.



  • @exFirst:

    Да согласен я. Был бы у меня на даче пусть динамический, но белый ip, стал бы я заморачиваться с этим овпн. Так что все описаное выше - решение частной проблемы, с которой, к сожалению, может каждый столкнуться.

    Решения 2,3,4 - это как раз для доступа к оборудованию, WAN (NAT) которого имеет серый IP!!!


Авторизуйтесь, чтобы ответить