Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailemVyřešeno Přístup do domácí sítě

Dobrý den.

Snažím se pro svou 3D tiskárnu PrůšaI3 nastavit vzdálené ovládání. Tiskárnu mám napojenou přes Raspberry Pi3, na něm je systém OctoPi.
Připojit se k tomu snažím pomocí mobilní aplikace Printoid, která je k tomu přímo určená.
Myslím že tohle byly irelevantní informace, jen pro představu.

No, v aplikaci printoid musím nastavit IP adresu a port, pomocí kterého se připojím vzdáleně (ne pouze v rámci wi-fi).
Takže moje IP: 00.11.222.33 a port nastaven 1990.

Teď potřebuju nastavit router, a tam je kámen úrazu, ani s pomocí návodu jsem to nerozdýchal.

První věc je ta, že mám 2 routery, první Mikrotik, druhý TP-link. Jejich zapojení jsem tady již řešili Zapojení routerů.

K routeru TP-link je připojený právě Raspberry přes wifi (je na něm nastavena static IP, ta je pro jistotu i v Mikrotiku).

No, teď musím nastavit router, jenže který, myslím si, že Mikrotik.
Ve Winboxu jsem nastavoval pomocí návodu port forwarding. access-octoprint-from-the-internet a pomohl jsem si Přesměrování portů

Ale nepřipojím se, kde dělám chybu?
Doufám že jsem napsal vše podstatné.

Pokud někdo bude mít se mnou trpělivost, budu moc rád :-)

Předmět Autor Datum
moje IP: 00.11.222.33 Neni lepsi pouzit neco standardniho, namisto techhle vymyslenin?
Kurt 08.10.2017 14:36
Kurt
No upřímně si nejsem jistý, esli můžu svou pravou IP takhle veřejně publikovat, tak jsem to podal ta…
Dok 08.10.2017 14:40
Dok
máš to obráceně. To píčko poslouchá na 80/TCP (aspoň podle kapitoly 3/ toho návodu), kdežto ty na mi…
touchwood 08.10.2017 16:27
touchwood
Prohodil jsem je, stále se ale nepřipojím. Nedá se například nějak vypsat cesta ať je vidět, kudyma…
Dok 08.10.2017 21:57
Dok
Tak třeba chybí ty statické adresy ve vnitřní síti. edit: ten thread o routerech je taky hodně "výž…
touchwood 08.10.2017 22:22
touchwood
Tak na Mikrotik se připojím 192.168.88.1. Na TP-link se připojím 192.168.88.2. Na Raspberry se připo…
Dok 09.10.2017 04:50
Dok
a co ti tedy nefunguje? Port 1990/TCP otevřený máš.
touchwood 09.10.2017 07:12
touchwood
No, zapnu aplikaci pro připojení k raspberry, dám připojit a nepřipojím se. Přikládám vyfocené scree…
Dok 09.10.2017 19:09
Dok
od konce: pokud je to vše v rámci jedné L2 ethernetové domény, je jedno, do kterého portu to Píčko p…
touchwood 09.10.2017 19:13
touchwood
Namiesto Printoid pripoj normalny pocitac a pomocou programu 'nmap' otestuj ci mas priechodzi port 1…
Kilo.Viktor 09.10.2017 19:28
Kilo.Viktor
to podle fotky má. Já se zkusil připojit a spojení bylo navázáno.
touchwood 09.10.2017 20:03
touchwood
Moment, prosím? Odkud jste se připojil? A proč se tedy nepřipojím z té aplikace já? Mi už z toho jde…
Dok 09.10.2017 20:58
Dok
No, myslím že když se podařilo navázání spojení Touchwoodovi, mělo by to být správně, že by problém…
Dok 09.10.2017 21:34
Dok
Zalezi na tom kam sa podarilo naviazat spojenie. Na porte 80 ti pocuva nejaky DLink Share Center a i…
Kilo.Viktor 10.10.2017 02:36
Kilo.Viktor
A jak bych ho eventuelně zapnul? Myslel jsem že ho mám zapnutý jak jsem tu psal ten port forwardint…
Dok 10.10.2017 04:44
Dok
Ak ti bezi server pre tu aplikaciu, tak treba skontrolovat vsetky firewally po ceste, hlavne teda fw…
Kilo.Viktor 10.10.2017 13:01
Kilo.Viktor
No, Raspberry podle mě, alespoň to tak vypadá, nemá žáden firewall. Router Mikrotik firewall má, ale…
Dok 10.10.2017 19:58
Dok
Aby si to nerobil naslepo, doporucujem na server nainstalovat monitorovaci program 'wireshark', aleb…
Kilo.Viktor 10.10.2017 21:16
Kilo.Viktor
Díky ráno vyzkouším z jiné sítě projet tu svoji IP adresu. Tím serverem máš na mysli raspíčko? Proto…
Dok 10.10.2017 23:27
Dok
Serverom myslim Rpi. Ked nemozes instalovat graficky program 'wireshark', vyskusaj preskumat ci tam…
Kilo.Viktor 11.10.2017 01:29
Kilo.Viktor
Dnes jsem byl v kanceláři poskytovatele. Navyšovali rychlosti tak jsem se zároveň optal na blokované…
Dok 11.10.2017 10:56
Dok
no to přece ale vidíš sám jestli máš či ne?
touchwood 11.10.2017 11:00
touchwood
Asi se budeš divit, ale ne. Jednak na dotaz "jak zjistím veřejnou IP" a podobné dotazy, jsou všude r…
Dok 11.10.2017 11:23
Dok
"Jak zjistit veřejnou IP" = podívám se do konfigurace routeru. nic jiného není relevantní. Jediná v…
touchwood 12.10.2017 12:11
touchwood
Mno jak jsem už psla níže, bude to asi 1:1, protože co mi změnili IP na veřejnou, adresa na mojeip.c…
Dok 12.10.2017 12:16
Dok
V tom případě musíš předělat NAT pravidlo, odebrat IP adresu a (optimálně) nastavit místo ní in-ifac…
touchwood 13.10.2017 05:49
touchwood
Po tomto zákroku už telefon při připojování nevyhledává, ale okamžitě se vyhledávání přeruší. Vypadá…
Dok 13.10.2017 12:37
Dok
Nerád sa miešam profíkom do diskusie, siete nie sú moje "top"... Svoj Mikrotik som si nastavoval sám…
pme 10.10.2017 20:39
pme
má tam vyplněnou dst.address, což je "ekvivalent" a stačí to takto.
touchwood 11.10.2017 06:09
touchwood
Tak už mi změnili IP na veřejnou, když ale na jiné síti v nMap zadám výše uvedený příkaz nmap -p 199…
Dok 11.10.2017 20:56
Dok
Na skoušku, možná je to blbost, jsem napíchnul internet místo routeru přímo do nějakého PC, nastavil…
Dok 12.10.2017 10:57
Dok
Mikrotik obsahuje sniffer, tak si v nom snifni, ci ti chodi paket z Internetu smerovany na router s…
Kilo.Viktor 12.10.2017 19:36
Kilo.Viktor
Můžu poprosit trochu detailněji prosím.
Dok 12.10.2017 23:09
Dok
Tak už mi to jde! Díky všem! Poslední kousek skládanky nebyl na straně routeru, ale serveru, a je to… poslední
Dok 13.10.2017 14:03
Dok

No upřímně si nejsem jistý, esli můžu svou pravou IP takhle veřejně publikovat, tak jsem to podal takhle. Ve skutečnosti je samozřejmě jiná. Je to moje veřejná IP kterou stejně nezměním.
No když se tak dívám, stejně je uvedena v přiloženém souboru, takže už to je jedno.

máš to obráceně. To píčko poslouchá na 80/TCP (aspoň podle kapitoly 3/ toho návodu), kdežto ty na mikrotiku forwarduješ 80/TCP na 1990/TCP. Pokud chceš z internetu port 1990/TCP na 80/TCP, musíš to přehodit.

Příště raději piš podstatné věci, ne tvé dojmy.

Prohodil jsem je, stále se ale nepřipojím. Nedá se například nějak vypsat cesta ať je vidět, kudyma to neprochází? Nebo to takové snadné není?

A co se toho týče

Příště raději piš podstatné věci, ne tvé dojmy.

Tak to se omlouvám, ale já žádně své dojmy nepsal, jen jsem neuvedl konkrétní adresu, což je snad irelevantní. A podstatné věci jsem myslím taky napsal, alespoň jsem se snažil.

Tak třeba chybí ty statické adresy ve vnitřní síti.

edit: ten thread o routerech je taky hodně "výživný." Jak to je tedy nyní zapojeno? Ten TPshit je nastaven a zapojen jako AP? A má nekolizní IP adresu?

edit2: spojení normálně funguje, port máš otevřený správně.

Tak na Mikrotik se připojím 192.168.88.1. Na TP-link se připojím 192.168.88.2. Na Raspberry se připojím 192.168.88.110.
Zapojení TPlinku:
- v tplinku u wan nenastavovat nic,
- lan adresu musí vidět mikrotik, vyhovuje defaultní 192.168.1.1
- wifi pouze WPA2-PSK AES
- nakonec mu zakázat dhcp na lan straně (přidělovačem konfigurace bude mikrotik)
uložit nastavení a restart tplinku, přitom kabel od mikrotiku zapíchnout do lan.
takové zapojení proto, že tplink neumí režim bridge.
Přesně tak to i mám.

a co ti tedy nefunguje? Port 1990/TCP otevřený máš.

No, zapnu aplikaci pro připojení k raspberry, dám připojit a nepřipojím se. Přikládám vyfocené screeny z mobilu.

Když jsem připojený na mé wifi, tak se připojím při pokusu o místní připojení. Když jsem ale mimo třeba na mobilních datech, skouší skouší ale vzdáleně se nepřipojí. Napojil jsem teď Raspberry přímo do Mikrotiku, pro jistotu aby nebyl problém v přenosu mezi routery.

od konce: pokud je to vše v rámci jedné L2 ethernetové domény, je jedno, do kterého portu to Píčko připojíš.

Spíše se ptej, zda opravdu stačí jeden port? A to Píčko funguje směrem do netu? Pingneš si z něj např. na google DNS (8.8.8.8)?

Namiesto Printoid pripoj normalny pocitac a pomocou programu 'nmap' otestuj ci mas priechodzi port 1990. Mam take tusenie, ze ten port 1990 je potrebne premapovat v routri na 80 (8080). V tom navode je to uvedene. Precitaj si to este zopar krat.

No, myslím že když se podařilo navázání spojení Touchwoodovi, mělo by to být správně, že by problém u mě v telefonu? Skusím se z práce napojit z jiného telefonu. Případně můžu tohle připojení ozkoušet i na jiném PC? Například ping mojeip:1990 ? V práci bych to skusil, ale žáden software instalovat nemůžu.

Zalezi na tom kam sa podarilo naviazat spojenie. Na porte 80 ti pocuva nejaky DLink Share Center a inak nic. Port 1990 je filtrovany z Internetu. Mozno to mas vypnute.

[host@fun /]$ nmap -n -P0 62.77.113.33 -p 1990

Starting Nmap 7.40 ( https://nmap.org ) at 2017-10-10 02:33 CEST
Nmap scan report for 62.77.113.33
Host is up.
PORT STATE SERVICE
1990/tcp filtered stun-p1

Nmap done: 1 IP address (1 host up) scanned in 2.04 seconds

Ak ti bezi server pre tu aplikaciu, tak treba skontrolovat vsetky firewally po ceste, hlavne teda fw v routri a na pocitaci, ktory robi server pre tu aplikaciu. Ak mas ten port premapovany v routri spravne a fw v routri a na pocitaci to nefiltruje, tak by si rovnakym postupom mal dostat z internetu odpoved: 1990/tcp open stun-p1

No, Raspberry podle mě, alespoň to tak vypadá, nemá žáden firewall. Router Mikrotik firewall má, ale v něm jsem vlastně dával ten port forwarding na port 1990, takže by to mělo být OK.
Když jsem stáhnul program nMap, zadal stejný příkaz, tj. nmap -p 1990 -n -Pn 62.77.113.33, případně nmap -p 80 -n -Pn 62.77.113.33, u obou mi vypsalo PORT STATE SERVICE 80/tcp filtered http a PORT STATE SERVICE 1990/tcp filtered http. Dále jsem našel na webu tohle tcp-port-scanner-online-nmap.
No, u toho zadám jen svou IP adresu z mojeip.cz a vypíše mi tohle:

Scan Result TCP Port Scan Finished
Starting Nmap ( http://nmap.org ) at 2017-10-10 20:49 EEST
Initiating Ping Scan at 20:49
Scanning 62.77.113.33 [4 ports]
Completed Ping Scan at 20:49, 0.22s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 20:49
Scanning 62.77.113.33 [100 ports]
Discovered open port 80/tcp on 62.77.113.33
Completed SYN Stealth Scan at 20:50, 3.80s elapsed (100 total ports)

[+] Nmap scan report for 62.77.113.33
Host is up (0.24s latency).
Not shown: 99 filtered ports

PORT STATE SERVICE
80/tcp open http Scan with Web Server Scanner

Znamená to tedy že mám všechny porty nějak blokované?

Aby si to nerobil naslepo, doporucujem na server nainstalovat monitorovaci program 'wireshark', alebo aspon 'tcpdump' ktory ti zobrazi ci nejaky paket dorazil z routra na interface servera. tcpdump uz mozno system obsahuje. Ak nic nedorazi bude najskor problem v nastaveni routra. Ak dorazi, tak uvidis z akej adresy a portu prisiel a na aku adresu a port smeruje. Tak by sa dal pripadne zistit problem s portom, ktory ma byt 8080 namiesto 80 a podobne. Aky port vyzaduje serverova cast aplikacie je mozne zistit prikazom 'netstat' spustenym na serveri so zadanim prislusnych parametrov (pozri help k prikazu netstat).
Existuje jedna specialita pri skusani z 'Internetu'. Musis to skusat naozaj z Internetu a nie z domacej siete pouzitim verejne IP adresy. Vacsina novsich routrov taketo spojenie (uz konecne) filtruje. Mikrotik to urcite filtruje. Starsie routre to nefiltrovali. Su potrebne dve Internetove pripojenia. Pevne a mobilne napriklad.

Díky ráno vyzkouším z jiné sítě projet tu svoji IP adresu. Tím serverem máš na mysli raspíčko? Protože na to asi nemám jak co nainstalovat není tam klasický systém s grafickým prostředím. Víceméně to je jen program.

Serverom myslim Rpi. Ked nemozes instalovat graficky program 'wireshark', vyskusaj preskumat ci tam nieje mozne dostat aspon 'tcpdump' (alebo ci tam uz nieje instalovany). To je konzolovy program. Nepotrebuje to graficke prostredie.

Dnes jsem byl v kanceláři poskytovatele. Navyšovali rychlosti tak jsem se zároveň optal na blokované porty. Řekli mi že NEMÁM veřejnou IP, i když jsem si ji zřizoval. Takže do večera by měla být, pak dám info. Zatím díky.

Asi se budeš divit, ale ne. Jednak na dotaz "jak zjistím veřejnou IP" a podobné dotazy, jsou všude rady typu "zavolej si providerovi" nebo "podle ceny". A jednak jsem našel toto:

Jsem v komunitní síti, kde to děláme úplně stejně.
Pokud někdo chce veřejnou IP, tak mu lokální IP zůstane neveřejná, ale na internetové bráně se provede NAT 1:1,
což pro 99,9% programů je stejné jako by byla veřejná přímo na počítači.

Takže ani podle přidělené adresy bych to nepoznal, na to jsem se i ptal dnes v jejich kanceláři, řekli že přidělená IP zůstane stejná, že mi přijde emailem akorát nová veřejná adresa (počítám s tím že to bude ta, kterou si pak zjistím přes například mojeIP.cz.

//edit: A další věc je, proč jsem počítal že mám veřejnou IP, není to první zařízení co přes internet ovládám. Jednak mám NAS cloud, který jsem taky schopný ovládal skrze internet, to je ale nějak přes DNS, to bude ošetřené asi jinak. Druhá věc je, že mám zařízení Sonoff, což je jednoduchá mašinka na přerušení či propojení fáze v elektrickém vedení, možnost ovládat skrze internet, a to mi ide. Jednoduše se připojí do wifi, spáruje s telefonem a běží. Nechápu že takhle jednoduše neudělají taky tohle připojení :-)

"Jak zjistit veřejnou IP" = podívám se do konfigurace routeru.

nic jiného není relevantní. Jediná výjimka je NAT 1:1, ale to bys měl ve smluvním vztahu.

edit: cloudové srajdy používají servery třetích stran.

V tom případě musíš předělat NAT pravidlo, odebrat IP adresu a (optimálně) nastavit místo ní in-iface.

Po tomto zákroku už telefon při připojování nevyhledává, ale okamžitě se vyhledávání přeruší. Vypadá to, jak by ten průchod do routeru našel ale hnedka se odpojil. Může ho ještě něco v tom Mikrotiku blokovat?
Na googlu pořád mluví o nějaké maškarádě nebo pravidla pro filtrování. Já tu přikládám 2 screeny z nastavení IP-firewall FILTER a NAT.

Nerád sa miešam profíkom do diskusie, siete nie sú moje "top"...
Svoj Mikrotik som si nastavoval sám, ale v tom screene na presmerovanie portov mi tam chýba vyplnená položka In. Interface... či to má byť vyplnené alebo nie, nebudem polemizovať..., ale ja tam u seba mám ether1-gateway. On to má prázdne - nevyplnené...

má tam vyplněnou dst.address, což je "ekvivalent" a stačí to takto.

Tak už mi změnili IP na veřejnou, když ale na jiné síti v nMap zadám výše uvedený příkaz nmap -p 1990 -n -Pn mojeip objeví se port is Filtered. Při nmap -p 80 -n -Pn mojeip port is open.
Ptal jsem se v kanceláři mého ISP jestli neblokují žádné porty, řekli že neblokují.

Na skoušku, možná je to blbost, jsem napíchnul internet místo routeru přímo do nějakého PC, nastavil v něm adresy takže mi fungoval internet normálně bez routeru. Vyskoušel jsem potom na jiné síti:
nmap -p 1990 -n -Pn mojeip objeví se port is Closed. Při nmap -p 80 -n -Pn mojeip port is Closed.

Byla tahle zkouška blbost, nebo to znamená že problém není u mě? Myslel jsem že pokud se objeví znovu port is filtered, bude filtrovaný už u providera.

Mikrotik obsahuje sniffer, tak si v nom snifni, ci ti chodi paket z Internetu smerovany na router s cielovym portom 1990. Ak tam nic neobjavis problem bude u poskytovatela. Pri NAT 1:1 som si nie celkom isty, ze by sa kazdemu zakaznikovi premapovavalo vsetkych 65536 portov. Vyskusaj to s portom 8080, ktory v routri premapujes na ten potrebny, ktory potrebuje Rpi.

Tak už mi to jde! Díky všem!
Poslední kousek skládanky nebyl na straně routeru, ale serveru, a je to taková blbost.
Dle kroku 2, jsem na konec souboru haproxy.cfg měl přidat řádky

userlist L1
        group G1
        user USERNAME insecure-password PASSWORD groups G1

S tím že jsem automaticky před group a user udělal mezeru tabulátorem. Když jsem to nahradil mezerníky, chytlo se to. Pak jen reboot a bylo. Díky všem za trpělivost se mnou. Jsem happy.

Zpět do poradny Odpovědět na původní otázku Nahoru