Elektroda.pl
Elektroda.pl
X
Servizza
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Mała sieć, 2 ISP, 2 routery, 2 x DDNS No-IP - co jest nie tak?

McVik 02 Cze 2018 22:35 327 8
  • #1 02 Cze 2018 22:35
    McVik
    Poziom 9  

    Dzień dobry,

    Mam taki dość złożony problem, który staram się rozwiązać głównie eksperymentując, ale nie bardzo znam się na sieciach i zależnościach między adresacjami, urządzeniami itd. przez co nie wiem gdzie popełniam błędy. Na końcu załączam rysunek żeby lepiej zobrazować zagadnienie.

    Zacznijmy od tego co mam obecnie:
    • 2 łącza WAN od 2 dostawców Internetu
    łącze xDSL UPC - podstawowe - szybsze w obu kierunkach
    --- Ethernet RJ-45 (WAN za pośrednictwem zewnętrznego modemu Cisco EPC3212 / należy do UPC, dostęp blokowany przez UPC)
    --- zmienny IP zewnętrzny (router widzi IP zewnętrzny)
    router #2: TP-Link TL-R460
    --- IP: 192.168.11.201
    --- mask: 255.255.0.0 (nie da się ustawić 255.255.254.0)
    --- DHCP OFF
    --- DDNS: domainK.ddns.net (ręczne odświeżanie - brak wsparcia dla No-IP)
    --- port forwarding do urządzeń w podsieciach 192.168.10.0 i 192.168.11.0
    łącze ADSL Neostrada - backupowe - wolniejsze, zwłaszcza upstream
    --- linia telefoniczna RJ-11 (WAN przez wbudowany modem ADSL2+ Annex A)
    --- zmienny IP zewnętrzny
    router #1: TP-Link Archer D7 (główny / DHCP)
    --- IP: 192.168.10.1
    --- mask: 255.255.254.0
    --- DHCP ON - pula adresów: 192.168.11.100-199
    --- DDNS: domainM.ddns.net (autoodświeżanie dla No-IP)
    --- AP WiFi Dual-Band
    --- port forwarding + mapping do urządzeń w podsieciach 192.168.10.0 i 192.168.11.0
    • 2 podsieci NAT (chyba tak to się nazywa? a może to jest jedna podsieć?)
    --- 192.168.10.0 - system monitoringu IP + router główny (stałe IP)
    --- 192.168.11.0 - sieć lokalna (LAN, WiFi / DHCP + stałe IP)
    • switch #1 Netgear GS108GE, do którego podłączone są:
    --- router #1 Archer D7 (GigaEth) 192.168.10.1, do którego podłączone są:
    ----- wszystkie urządzenia WiFi (głównie DHCP: 192.168.11.100-199)
    --- router #2 TL-R460 (FastEth) 192.168.11.201
    --- PC (GigaEth / stały IP nie z DHCP) 192.168.11.22
    --- NAS (GigaEth / stały IP nie z DHCP) 192.168.11.23
    --- Multimedia (GigaEth / stały IP nie z DHCP) 192.168.11.21
    --- switch #2 PoE (FastEth) dla urządzeń do monitoringu w podsieci 192.168.10.0, do którego podłączone są:
    ----- rejestrator + kamery IP / stałe IP nie z DHCP; porty: 80, 443, 8888
    ----- switch #3 PoE (FastEth) dla urządzeń do monitoringu w podsieci 192.168.10.0, do którego podłączone są:
    ------- kamery / stałe IP nie z DHCP; porty: 80, 443, 8888

    Wewnętrzna sieć działa bez zarzutu tzn. z PC po LAN i z urządzeń połączonych przez WiFi łączę się do urządzeń w obu podsieciach.
    Do wyjścia na świat wykorzystuję przede wszystkim szybsze łącze UPC podpięte przez "słabszy" router, wymuszając routing przez wskazaną "na sztywno" bramę 192.168.11.201, a nie z DHCP.




    Urządzenia podłączane ad hoc np. przez WiFi, siłą rzeczy korzystają z DHCP i wykorzystują do wyjścia na świat łącze backupowe (domyślne) przez Neostradę, ale to jest dla mnie OK, bo nie obciążają mi łącza głównego.
    Oba wyjścia na świat działają bez zarzutu.

    Problemy pojawiają się dopiero przy dostępie z zewnątrz.
    Podstawowy problem jest taki, że na obu routerach potrzebuję wykorzystywać DDNS No-IP, na każdym pod inną domeną. Przyjmijmy, że:
    - router #1: TP-Link Archer D7 (główny / łącze backupowe / Neostrada) - DDNS: domainM.ddns.net (autoodświeżanie z poziomu routera)
    - router #2: TP-Link TL-R460 (łącze główne / UPC) - DDNS: domainK.ddns.net (odświeżanie manualne z powodu braku obsługi No-IP w routerze)
    Na obu routerach ustawiam port forwarding na NAS, Multimedia i urządzenia monitoringu (a więc do obu podsieci).
    Router TL-R460 "słabszy" nie posiada mapowania portów - tylko forwarding, ale ma UPnP, które teoretycznie powinno zapewniać mapowanie portów, jednak u mnie nie działa. Przez DDNS (domainK.ddns.net) przekierowuje tylko połączenia na 192.168.11.21:40443 (HTTPS/Multimedia), a np. nie przekierowuje na 192.168.11.23:443 (HTTPS/NAS) czy do urządzeń monitoringu w podsieci 192.168.10.0.
    Router Archer D7 "główny" posiada mapowanie portów i przekierowuje większość (ale nie wszystkie) połączeń z zewnątrz zgodnie z mapowaniami wprowadzonymi ręcznie. Przez DDNS (domainM.ddns.net) nie przekierowuje połączeń na 192.168.11.21:40443 (HTTPS/Multimedia) i urządzenia monitoringu w podsieci 192.168.10.0 na porty z UPnP, za to widzi NAS 192.168.11.23:443 (HTTPS/NAS) i niektóre urządzenia monitoringu w podsieci 192.168.10.0 mające manualnie dodane mapowanie portów na tym routerze.
    Problem w tym, że na Neostradzie jest beznadziejny upstream więc dostęp z zewnątrz działa makabrycznie wolno (streaming z monitoringu, download z NAS-a itp.).
    Zależy mi więc przede wszystkim na sprawnym działaniu wszystkich wywołań z zewnątrz przez szybsze łącze UPC via DDNS No-IP (domainK.ddns.net), a tymczasem na tej ścieżce właśnie większość wywołań nie działa.

    Zastanawiam się nad wymianą routera TL-R460 na jakiś router gigabitowy z obsługą VPN i najlepiej gdyby posiadał load-balancing / failover, tak by z jego poziomu ogarnąć oba WAN-y, cały routing, obie podsieci, port mapping, DHCP, automatyczne odświeżanie na obie domeny DDNS No-IP (inna na każdym WAN-ie), ale jednocześnie chciałbym wykorzystać w routerze Archer D7 modem ADSL-2+ oraz AP WiFi żeby nie kupować osobnego modemu czy AP WiFi.

    Czy Waszym zdaniem to w ogóle jest wykonalne?

    Myślałem o routerze Ubiquiti ERLite-3, ale nie wiem czy da radę, czy obsłuży 2 podsieci, czy wspiera load-balancing / failover, czy poradzi sobie z mapowaniem kilkudziesięciu portów na ok. 20 adresów IP, czy wspiera DDNS od No-IP (kiedyś nie wspierał, ale może już dodali)?
    Archer D7 ma 2 tryby pracy: "Modem + Router + Access Point" lub "Access Point". Obawiam się, że w tym drugim trybie nie zadziała jako modem ADSL, więc z "nowym routerem" musiałby pracować również jako router, ale jak w takim razie powinien być skonfigurowany poza wyłączeniem w nim DHCP, tak żeby "nowy router" widział zewnętrzny adres WAN po stronie Neostrady? Chociaż myślę, że w ostateczności można zostawić odświeżanie jednego IP w DDNS na Archerze D7.

    W przyszłości rozważam przejście na FTTH zamiast Neostrady. Wtedy chciałbym mieć większość urządzeń sieciowych z portami Gb, ale nie chciałbym wydawać majątku na kolejne urządzenia sieciowe. Jeśli np. dojdzie modem FTTH to Archer-a D7 chciałbym pozostawić jako AP, a modem wpiąć w switch GS108, zaś routingiem zajmowałby się nadal "nowy router".

    Załączam rysunek.

    Mała sieć, 2 ISP, 2 routery, 2 x DDNS No-IP - co jest nie tak?

    Pozdrawiam - McVik

    0 8
  • Servizza
  • #2 03 Cze 2018 21:59
    IC_Current
    Specjalista Sieci, Internet

    1. Sprawdź sobie bramy domyślne w urządzeniach i przeanalizuj, którędy pakiety wracają do komputera w Internecie i z jakim adresem publicznym wychodzą z Twojej sieci. Porównaj to z adresem, na który wskazuje DNS NO-IP (gdzie Twój komputer w Internecie wysyła zapytania) i wszystko Ci się wyjaśni.
    2. Korzystanie z sieci wewnętrznej bez VPN i szyfrowania transmisji to proszenie się o poważne kłopoty. Ile razy to już ludzie oglądali sobie czyjeś firmy przez monitoring. Są jednak hardcorzy, nawet niektóre duże ogólnopolskie firmy ...
    3. Proste w obsłudze, z VPN, multi Wan, LB, separacją sieci wewnętrznych są Drayteki.

    0
  • Servizza
  • #3 09 Cze 2018 00:12
    McVik
    Poziom 9  

    Dzięki za odpowiedzi.

    IC_Current napisał:
    1. Sprawdź sobie bramy domyślne w urządzeniach i przeanalizuj, którędy pakiety wracają do komputera w Internecie i z jakim adresem publicznym wychodzą z Twojej sieci. Porównaj to z adresem, na który wskazuje DNS NO-IP (gdzie Twój komputer w Internecie wysyła zapytania) i wszystko Ci się wyjaśni.

    Chyba niezbyt jasno to opisałem. Problem z dojściem do poszczególnych urządzeń mam z zewnątrz, nie z własnej sieci. Oczywiście z własnej sieci też mogę go wywołać jeśli wymuszę wyjście przez jedną bramę z wywołaniem adresu DDNS/IP drugiego łącza, ale nie o to chodzi. Jednak problem zasadniczy pojawia się jeśli wywołam adres DDNS np. z sieci GSM. Mimo jednakowej konfiguracji mapowania portów, wywołanie DDNS-1 na jeden port przechodzi, a na inne porty nie przechodzi, podczas gdy na drugi DDNS-2 jest dokładnie odwrotnie - na ten port, na który przechodzi w pierwszym przypadku - tutaj nie przechodzi, a na pozostałe porty przechodzi. To pokazuje, że adresy DDNS są raczej prawidłowo rozwijane tylko wewnątrz mojej sieci coś nie bangla. ;-)

    IC_Current napisał:
    2. Korzystanie z sieci wewnętrznej bez VPN i szyfrowania transmisji to proszenie się o poważne kłopoty. Ile razy to już ludzie oglądali sobie czyjeś firmy przez monitoring. Są jednak hardcorzy, nawet niektóre duże ogólnopolskie firmy ...

    Zgadzam się, dlatego napisałem, że myślę o wymianie routera na jakiś z VPN. :-)

    IC_Current napisał:
    3. Proste w obsłudze, z VPN, multi Wan, LB, separacją sieci wewnętrznych są Drayteki.

    A czy mógłbyś podpowiedzieć jakieś konkretne modele, które warto brać pod uwagę? Na razie znalazłem jeden - DrayTek Vigor 3200, ale ma aż 4 WAN, a mi wystarczą 2. Poza tym nie widzę żeby miał zwykły LB - tylko na kanałach VPN.

    0
  • Pomocny post
    #4 10 Cze 2018 20:57
    IC_Current
    Specjalista Sieci, Internet

    IC_Current napisał:
    IC_Current napisał:
    1. Sprawdź sobie bramy domyślne w urządzeniach i przeanalizuj, którędy pakiety wracają do komputera w Internecie i z jakim adresem publicznym wychodzą z Twojej sieci. Porównaj to z adresem, na który wskazuje DNS NO-IP (gdzie Twój komputer w Internecie wysyła zapytania) i wszystko Ci się wyjaśni.

    Chyba niezbyt jasno to opisałem. Problem z dojściem do poszczególnych urządzeń mam z zewnątrz, nie z własnej sieci. Oczywiście z własnej sieci też mogę go wywołać jeśli wymuszę wyjście przez jedną bramę z wywołaniem adresu DDNS/IP drugiego łącza, ale nie o to chodzi. Jednak problem zasadniczy pojawia się jeśli wywołam adres DDNS np. z sieci GSM. Mimo jednakowej konfiguracji mapowania portów, wywołanie DDNS-1 na jeden port przechodzi, a na inne porty nie przechodzi, podczas gdy na drugi DDNS-2 jest dokładnie odwrotnie - na ten port, na który przechodzi w pierwszym przypadku - tutaj nie przechodzi, a na pozostałe porty przechodzi. To pokazuje, że adresy DDNS są raczej prawidłowo rozwijane tylko wewnątrz mojej sieci coś nie bangla.


    Nie sprawdziłeś sobie bram domyślnych ...
    Masz skonfigurowane:
    Router R1 - publiczne IP1pub, prywatne IP1pryw
    Router R2 - publiczne IP2pub, prywatne IP2pryw
    Host w sieci wewnętrznej Hw - adres prywatny IPhw1, brama IP1pryw

    Trasowanie:
    Hw do sieci publicznej i odpowiedź
    - pakiety na IP1pryw -> zmiana na IP1pub -> Internet
    - Internet -> IP1pub -> zmiana na IP1pryw ->IPhw1
    Wszystko działa

    Połączenie z Internetu z hosta IPint na IPpub1
    - IPint -> IPpub1 ->IPpryw1 -> IPhw1
    - IPhw1 -> IPpryw1 -> IPpub1 -IPint
    Wszystko działa

    Połączenie z Internetu z hosta IPint na IPpub2
    - IPint -> IPpub2 ->IPpryw2 -> IPhw1
    - IPhw1 -> IPpryw1 (bo to jest brama) -> IPpub1 -IPint
    Nie działa - Host w internecie wysłał pakiet do IPpub2 i czeka na odpowiedź z IPpub2, ale jej nie otrzymuje, bo host z sieci wewnętrznej odpowiada z IPpub1.

    Ot to jest Twój problem

    Żeby coś sensownie myśleć i doradzić o routerze, potrzeba by było znać charakterystykę ruchu (przepustowość łączy, wolumen danych, ile ruchu szyfrowanego itp ...)

    0
  • #5 10 Cze 2018 22:00
    McVik
    Poziom 9  

    IC_Current napisał:
    IC_Current napisał:
    Połączenie z Internetu z hosta IPint na IPpub2
    - IPint -> IPpub2 ->IPpryw2 -> IPhw1
    - IPhw1 -> IPpryw1 (bo to jest brama) -> IPpub1 -IPint
    Nie działa - Host w internecie wysłał pakiet do IPpub2 i czeka na odpowiedź z IPpub2, ale jej nie otrzymuje, bo host z sieci wewnętrznej odpowiada z IPpub1.

    Teraz zrozumiałem. ;-) Dzięki, jutro spróbuję potestować.
    IC_Current napisał:
    IC_Current napisał:
    Żeby coś sensownie myśleć i doradzić o routerze, potrzeba by było znać charakterystykę ruchu (przepustowość łączy, wolumen danych, ile ruchu szyfrowanego itp ...)

    Obecnie mam 2 łącza 20 Mbps i 30 Mbps, ale planuję jedno z nich zmienić kiedyś na 300-500 Mbps. Dlatego szukam niedrogiego routera 2xWAN z min. 1 portem WAN 1000 Mbps, VPN, LB/backup, VLAN, DDNS No-IP i mapowaniem portów. Pozostałe parametry jak przepustowość, ilość kanałów/sesji VPN itp. mają dla mnie na razie drugorzędne znaczenie.
    Niestety ceny sensownego sprzętu przekraczają 1000 PLN dlatego szukałem tańszych opcji albo używek, ale trochę mnie wystraszyły niektóre negatywne opinie. Rozważałem np.: UBIQUITI EdgeRouter ER Lite-3, TP-Link TL-ER6020, Linksys LRT224, DrayTek Vigor 2925 lub 2926. Oglądałem też DrayTek Vigor 2920, ale ten ma zdaje się ograniczenie na porcie "Gigabit" WAN tylko do 150 Mbps.

    0
  • #6 10 Cze 2018 23:30
    IC_Current
    Specjalista Sieci, Internet

    Niestety nowy sprzęt na 300Mbps to grubo powyżej tysiąca. Za około 1000zł możesz mieć używane Cisco 1921 + karta VDSL. Tylko konfiguracja skomplikowana dla mniej zaawansowanych userów.
    Ubiquity sobie cenię za stabilność i oprogramowanie, jednak EdgeRoutera nie montowałem - jakby nie było Cisco jest znacznie bardziej funkcjonalne jako router.
    Z niedrogich rozwiązań - użyj switcha L3 i na nim skonfiguruj LB. Do switcha dołączysz już posiadane routery. Stan łączy internetowych wyślesz jako zmiany metryki w RIP. Jeżeli routerki poradzą sobie z NAT z obcej sieci (sieć za switchem) to będzie działać wszystko co chciałeś, łącznie z obydwoma przekierowaniami.

    0
  • #7 20 Cze 2018 16:15
    McVik
    Poziom 9  

    Dziękuję IC_Current za Twoje wskazówki i wyjaśnienia. Rzeczywiście - tak jak pisałeś - problem tkwił w ustawieniu domyślnych GW na urządzeniach. Nie rozumiałem tego ponieważ chyba wydawało mi się, że interfejs urządzenia zawsze będzie odpowiadał przez ten sam GW, przez który otrzymał pakiet. :-)
    Co do routera - kupiłem na eBay-u używany Liksys LRT-224 i czekam aż "dopłynie". Co sądzisz o tym routerze? Zdaje się, że nie ma mapowania portów - tylko prosty forwarding, nie wiem też czy obsłuży DDNS No-IP ponieważ różne źródła plączą się w zeznaniach, ale ogólnie wydaje mi się, że powinien sprostać wymaganiom w zakresie LB i VPN na 2 portach WAN. Jak nie da rady to będę szukał dalej, a ten pójdzie na Allegro. ;-) Widziałem, że używane schodzą niemalże na pniu więc chyba nie powinno być problemu.

    0
  • #8 20 Cze 2018 18:41
    IC_Current
    Specjalista Sieci, Internet

    Miałem w ręku kiedyś firewall ze starszej serii. Nie znam charakterystyki ruch, ale powinien wystarczyć na jakieś 200Mbps przy NAT/PAT, lub 50Mbps przy włączonym filtrowaniu na firewallu.
    Nie do końca rozumiem czym dla ciebie różni się mapowanie od przekierowania portów? Jedno i drugie to potoczne nazwy NAT/PAT (Port address translation). Ogólnie istnieją cztery kombinacje PAT - adresy source/destination oraz strony inside/outside. Nic więcej się tu nie da wykombinować.

    0
  • #9 22 Cze 2018 13:27
    McVik
    Poziom 9  

    Może opiszę to na przykładach. Niektóre routery w ustawieniach "Virtual Server" / "Port Forwarding" (różne nazwy są stosowane przez różnych producentów) pozwalają na translację portu zewnętrznego na inny port w sieci lokalnej - np. mogę ustawić port zewnętrzny (service port) 34567 i lokalnie IP 192.168.1.2 port 443 oraz w kolejnym rekordzie port zewnętrzny 45678 i lokalnie IP 192.168.1.30 również port 443. Mogę więc mieć w lokalnej sieci wiele urządzeń wystawiających jakiś serwer WWW na standardowym porcie HTTPS, a z zewnątrz dostawać się do każdego z nich wskazując inny port zewnętrzny pod jednym adresem DDNS. Również dzięki temu w lokalnej sieci zawsze dostaję się do moich urządzeń na standardowy port HTTPS. To nazywam mapowaniem portów.
    Mała sieć, 2 ISP, 2 routery, 2 x DDNS No-IP - co jest nie tak?
    Są też routery, które nie pozwalają na ustawienie portu lokalnego (wewnętrznego). W ustawieniach "Virtual Server" / "Port Forwarding" można podać tylko port zewnętrzny (service port) i lokalny IP, na który dany port będzie przekierowywany bez translacji / mapowania. Na zewnątrz mogę więc wystawić tylko jeden port 443, a nie chciałbym tego robić. W niektórych urządzeniach nie da się w prosty sposób (np. z poziomu GUI) zmienić domyślnego, standardowego portu HTTP, HTTPS, FTP, SFTP itp. A poza tym za każdym razem lokalnie musiałbym również wywoływać dedykowany, niestandardowy port, a to jest niewygodne gdy ma się wiele urządzeń, których porty trzeba poustawiać i zapamiętać. ;-) To nazywam "samym" port forwarding-iem.
    Mała sieć, 2 ISP, 2 routery, 2 x DDNS No-IP - co jest nie tak?
    Mam nadzieję, że udało mi się to wytłumaczyć niefachowym językiem - bardzo się starałem. ;-)

    0