Ustawienie sieci pod HA- zdalny dostęp

Na noip.com “przejechałem” się przynajmniej kilka razy - i chyba zawsze było to związane z pogłębiającą się komercjalizacją tego produktu jakim jest DDNS.

HA ma “wbudowanego” klienta Duck DNS w postaci oficjalnego dodatku (addona, bodajże łącznie z automatyką odnawiania certyfikatów letsencrypt, no nie używam z braku publicznych IP, to nie wiem jak to wygląda), a no-ip.pl ma “gotowce” w klientach np. w openwrt czy gargoyle (oraz własnego klienta pod każdy “większy” system).

Tak swoją drogą odchodzi się od rozwiązań opartych na DDNS (tzn. producenci sprzętu odchodzą od wspierania własnych darmowych dla swoich klientów serwisów DDNS), przykładowo D-link tak “dmuchnął” swoich klientów (kilkanaście lat temu ta usługa była gratisem do sprzętu bezterminowo, później “sprzedali” swoich klientów innej firmie dając na otarcie łez pół roku gratisu właśnie w noip.com, a “bezterminową” usługę pozostawiając jedynie użytkownikom linii biznesowych ich sprzętu, po czym i tak zamknęli outsource’owany serwis)
D-Link DDNS | D-Link Polska
Dahua kończy wsparcie (od zeszłego roku rejestracja nowych kont jest zablokowana- proponuję kliknąć “Not Register?”)
https://www.dahuaddns.com/
to samo zrobił Foscam (tym razem nie chce mi się szukać linku do źródła)
Foscam Discontinues their DDNS Service | No-IP Blog
HIK za to zmigrował na rozwiązanie chmurowe
DDNS

Natomiast również bezobsługowy jest VPN https://www.zerotier.com/ (jakkolwiek wymaga klienta po obu stronach) a wspominam o nim często bo nie wymaga publicznych IP i klient w postaci addon’a tym razem z Community Add-ons jest też dostępny w HA.

@szopen jesteś w stanie mi wytłumaczyć jak ogarnąć zerotier? Od 2 dni próbuję go skonfigurować aby nie działał tylko w sieci lo0kalnej ale też poza i nie wychodzi to kompletnie:/ Masz gdzieś jakiś swój poradnik, który dosłownie jest w stanie “pociągnąć za rękę”?

Nigdy nie przygotowywałem niczego takiego, po prostu na każdym urządzeniu instalujesz klienta i dodajesz go do utworzonej sieci (ponadto ja nadaję im ręcznie IP z puli 172.23.xx.0/24 ale można użyć dowolnej dozwolonej puli adresów prywatnych, takiej by nie była w konflikcie z wykorzystywanymi pulami IP w łączonych sieciach).

Nie można blokować jego ruchu na firewallu, a generalnie dokumentacja jest dość dobra:
https://zerotier.atlassian.net/wiki/spaces/SD/overview

Jeśli chcesz to możesz podrzucić na PW screenshoty z panelu administracyjnego ZTO oraz z klientów, to może znajdę błąd, ale nie obiecuję, jestem po prostu zwykłym użytkownikiem.

W kwestii konfiguracji w HA → Konfiguracja → Ogólne
to wygląda to mniej więcej tak (oczywiście trzeba podać poprawne własne IP)

Trochę podczepiająć się pod temat - zerotier jest świetny ale rodzi się zasadnicze pytanie. Jak zrobić aby za pomocą zerotier alexa lub google mogło komunikować się z HA?

Poszła PW:)
Dziękuję z góry

@anon27282784 Ja nie widzę szans, ale asystenty głosowe są całkowicie poza moim spektrum zainteresowań.

Nie ma takiej możliwości bo te integracji wymagają dostepu do HA od strony publicznego internetu a ZeroTier to “prywatna sieć” - odizolowana, dostępna tylko dla systemów z zainstalowanym klientem Zerotier.

A jak ma się sprawa jeśli na edgerouter x zainstalujemy zerotier, to wydaje mi się że ha ma dostęp do internetów, ale jeśli chcemy się zalogować to włączamy klienta na telefonie i łączymy się poprzez adres lokalny do instancji ha

W każdej sytuacji (no prawie) HA ma dostęp do “internetów”, a tymczasem tu chodzi o to by “internety” miały dostęp do HA.

@szopen Aaa no tak

Chciałbym się podłączyć pod temat, jednak zależy mi żeby mieć (pozostawić) dostęp do ha przez domenę DuckDNS, ale lokalnie móc się łączyć przez http (ze względu na ograniczenia w wykorzystaniu encji kamer Reolink).
Sprawdziłem co zwraca strona Domain Dossier - Investigate domains and IP addresses, get owner and registrar information, see whois and DNS records :

image1710×974 135 KB

Zauważyłem też, że w mojej konfiguracji sieci za pomocą AP mam opis, że funkcje takie jak NAT będą niedostępne. Czy to może być przyczyna?

Masz router Asusa i to jego GUI (prawdopodobnie) jest wystawione do internetu a nie HA, brakuje przekierowania portów na routerze.

Zrobiłem przekierowania

image1516×312 47.2 KB

OK ale jak widać nie to działa bo certyfikat na porcie 443 jest od Asusa:

a powinien być od Let’s Encrypt.

To już jakiś trop DuckDNS W takim razie gdzie szukać przyczyny ? Źle przekierowane porty?

Sprawdź ustawienia routera, a konkretniej jego interfejsów zarządzania, wyłącz do nich dostęp od strony WAN (no chyba, że potrzebujesz tego, ale wtedy po prostu przenieś je na alternatywne porty - zwyczajowo to 8443 lub 4443).

Zmieniłem konfigurację ustawienia sieci IPv6 z native na wyłącz, to teraz mam " HTTPS - 443 Error: ConnectionRefused", co jeszcze można sprawdzić?

image1536×1592 287 KB

Doszło do połączenia (pakiet dotarł do celu) ale połączenie zostało odrzucone, prawdopodobnie przez ustawienia reguł na firewallu, musisz umożliwić dostęp z internetu, w większości nie wystarczy samo przekierowanie portów (DNAT).
Przy okazji proponuję unikać włączonej opcji UPnP.

Dzięki za podpowiedz, wyłączyłem UPnP. Wrzucam w takim razie ustawienia jakie mam w Firewall, może powinienem dodać jakąś regułę dla mojego HA?

image2560×1600 512 KB

Czyli raczej nie wiesz co i jak zrobić? Nie chcę brać odpowiedzialności za konfigurację Twojego firewalla, nie używam na codzień takiego sprzętu (firewalla dla “konsument” - bez obrażania kogokolwiek), potem będzie: “informatyk/administrator mi tak kazał” co wizerunkowo źle wpływa na postrzeganie tego zawodu.
Możesz “pobawić się” opcjami w “Reguły firewalla dla …”, musisz dopuścić ruch z internetu (do wpisania w remote: any albo pole puste, nie wiem co przyjmuje router) do Twojego HA (lokalny IP HA, zakres portow 8123 albo 443 w zależności od konfiguracji i addonów w HA).