Port fortward σε Double Nat OpenWRT

[karaLRS]

Καλησπέρα.

Θέλω να μπορώ να συνδέομαι remote στο HASSIO που τρέχει στο σπίτι μου.

Internet έχω ως εξής:

Wind Modem Lan Port(192.168.1.254)  ---> Wan Port Openwrt Router(192.168.1.64)---> Local Network (192.168.3.xxx)--->HASSIO 192.168.3.200

Το Openwrt είναι σεταρισμένο σαν dchp client στο Wan interface οπότε παίρνει IP (192.168.1.64) από το DHCP του modem του παρόχου (zyxel VMG1312-B10D)

1. Στο HASSIO έχω κάνει σωστά όλα τα βήματα  και έφτιαξα domain HASSIO.DUCKDNS.ORG  
2. Με NGIX έφτιαξα τα SSL certificates (https://help.konnected.io/support/solutions/articles/32000023964-set-up-hass-io-with-secure-remote-access-using-duckdns-and-nginx-proxy)
3. έκανα port forward rule στο OPENWRT --> ΑNY TRAFFIC FROM 192.168.1.64  να πηγαίνει στην 192.168.3.200:443 που είναι το https του HASSIO
4. έκανα rule στο NAT του modem --> ANY TRAFFIC FROM PORT 6000 να πηγαίνει στο 192.168.1.64:443

Θεωρητικά αν μπω στο κινητό μου και γράψω https://hassio.duckduns.org:6000 θα πρέπει να μπορώ να βρω το HASSIO.

Δυστυχώς αυτό όμως δεν γίνεται και έχω error connection refused.

μου διαφεύγει κάτι;

[orgixmh]

Αν και δεν ξέρω τι είναι το Hassio που γράφεις έχω ένα παρόμοιο setup με το δικό σου με την διαφορά ότι αντί για ethernet σύνδεση μεταξύ vodafone router και openwrt έχω κάνει wifi client το openwrt.

Αντί να παιδεύεσαι με το 1ο ρουτερ και με portforward ρύθμισε το DMZ στην mac ή στην ip του openwrt. Στο openwrt θα χρειαστείς ένα traffic rule να κάνει accept input από το wan/internet zone την πόρτα που θες να κάνει redirect και ένα port forward πάλι στο openwrt. 

Αν έχεις teamviewer θα μπορούσα να βοηθήσω.

[M@dB0x]

Σε πρωτη φαση θα δοκιμαζα DMZ μονο και μονο για να δω αν δουλευει το PF ή οχι. Αν δουλευει, τοτε κατι δε κανεις καλα στο PF.

[jkoukos]

Το DMZ που σου πρότειναν παραπάνω είναι η καλύτερη λύση για να αποφύγεις το 2πλό ΝΑΤ.

Δοκίμασε να κάνεις PF στο Modem/router την ίδια πόρτα (6000) προς την WAN IP του OpenWrt. Μετά σε αυτό θα κάνεις PF την 6000 προς την 443 του Hassio.

[karaLRS]

Ευχαριστώ πολύ για τις απαντήσεις. θα δοκιμάσω dmz απόψε και θα ενημερώσω.

@orgixmh

hassio είναι το Home Assistant Που κάνει fusion όλα τα IOT που έχεις σπίτι και μπορείς να ελέγχεις έξυπνα το σπίτι.

[karaLRS]

εδώ είναι οι ρυθμίσεις που έκανα

1) Port Forward την 6000 από το MODEM zyxel στην IP 192.168.1.64 που είναι το Openwrt

2)DMZ εισαγωγή την IP 192.168.1.64 

3) Port forward στο Openwrt ότι έρχεται από την 192.168.1.64:6000 --> 192.168.3.200:443

όταν πάω στο https://hassio.duckdns.org:6000 έχω connection refused. το duckdns δουλευει κανονικά και έχει την Ip Μου.

μήπως φταίει που είναι σε διαφορετικά subnet?

[M@dB0x]

Δεν ειναι το θεμα σου το διαφορετικο subnet. Aν εχεις OTE κοβεις απο το site την αυξημενη ασφαλεια.

[jkoukos]

Επίσης από την στιγμή που έχεις ορίσει την WAN IP του OpenWrt στο Zyxel ως DMZ, κακώς κάνεις και port forwarding στο Zyxel.

Το DMZ επιτρέπει την επικοινωνία σε όλες τις πόρτες προς το OpenWrt, αυτόματα χωρίς τίποτα άλλο. Κάνε μια επανεκκίνηση στο Zyxel.

[karaLRS]

 

4 λεπτά πριν, jkoukos είπε

Επίσης από την στιγμή που έχεις ορίσει την WAN IP του OpenWrt στο Zyxel ως DMZ, κακώς κάνεις και port forwarding στο Zyxel.

Το DMZ επιτρέπει την επικοινωνία σε όλες τις πόρτες προς το OpenWrt, αυτόματα χωρίς τίποτα άλλο. Κάνε μια επανεκκίνηση στο Zyxel.

Δεν το γνώριζα. θα βγάλω το Port forward Και δοκιμάζω επανεκκίνηση.

4 ώρες πριν, M@dB0x είπε

Δεν ειναι το θεμα σου το διαφορετικο subnet. Aν εχεις OTE κοβεις απο το site την αυξημενη ασφαλεια.

Wind έχω

[karaLRS]

SOLVED

το Wan interface το είχα σε dhcp client.

το γύρισα σε static mode και έβαλα σαν gateway το 192.168.1.254 του zyxel .... και δούλεψε

https://openwrt.org/docs/guide-user/network/wan/dmz-based-bridge-mode

βοήθησε αρκετά αυτός ο οδηγός

 

Επεξ/σία 4 Φεβρουαρίου 2019 από karaLRS