VPN - dynamicka IP adresa bez verejneho DDNS

Software [CZ] SW pomoc [CZ]
,
#1

Mam problem, ktery nedokazu vyresit sam, proto se obracim sem. Mam nasledujici konfiguraci:

  • Mox “I” mam doma, ma rozumne pripojeni, ale po novu (nuceny prechod od UPC k VF) uz nemuze mit statickou verejnou IP adresu, protoze to VF lidem bez ICO proste neumozni ani za poplatek. K tomuto Moxi jsem se pripojoval a stale chci pripojovat na VPN pomoci OpenVPN z mobilu atp.
  • Mox “II” je na chate, ma bidne pripojeni, ale stale statickou verejnou IP adresu od jineho ISP.

Kvuli bezpecnostni “paranoe” nechci na zadnem Moxi pouzivat servery typu no-ip pro DynDNS. Takze bych nejradeji mel Mox “II” jako DDNS server, diky kteremu muzu obejit dynamickou IP adresu z Moxe “I” a tim mit funkcni VPN tunel odkudkoli na Moxe “I”.

Lze to? Pokud ano, byl by zde nejaky opravdu trpelivy uzivatel, ktery by dokazal sepsat navod pro lamy, pripadne poslat link na jiz sepsany podrobny navod, klidne i v AJ)? Idealne pomoci reForis a LuCi, i kdyz se bojim, ze na to bude potreba prikazovy radek. Jen bych chtel upozornit, ze jsem odkojeny Windowsy, z Linuxu nevim zhola nic a DOS jsem naposled videl v minulem tisicileti, proto nemam rad ty prikazove radky. :slight_smile:

#2

Ahoj, v jakém režimu provozuješ ten exUPC modem? Router nebo modem/bridge? Máš na wan rozhraní opravdu veřejnou IP adresu (hlavně nic z bloku 100.64.0.0 - 100.127.255.255)?

#3

No, DDNS server bez prikazove radky asi nepujde. A i tak si myslim, ze by konfigurace byla slozita, i u klienta (protoze OpenWRT DDNS klienti maji jen preddefinovany seznam serveru, pokud se nepletu).

Nejjednodussi by bylo to obejit vlastnim “protokolem”. Co treba kazdy den na Moxu I pustit cronem skript (to by bylo jednoduche), ktery se pripoji na neco jako whatismyip, zjisti verejnou adresu a posle ti ji na mail. Kdyz se budes chtit pripojit, tak si akorat adresu prepises v /etc/hosts (soubor s lokalne definovanymi preklady domenovych jmen; umi to i Widle). Tada.

Pokud by i whatismyip byl problem z bezpecnostniho hlediska a vis, ze adresa prirazena WAN rozhrani je verejna, tak by to slo i bez whatismyip a rovnou si to precist z konfigurace routeru. V pripade, ze verejna adresa je jina (treba WIA ma staticke mapovani verejnych na “vnitrni”, ktere pak dostanes na WAN), tak by se dal ten whatismyip napsat a pustit i na MOX II, ale nevim, jak moc ti zvysi bezpecnost pustit tam verejne dostupny HTTP server. Posilani mailem jde nahradit nejakym automatizovanym uploadem na MOX II, kde si to uz prectes.

Tudiz: zero-trust reseni existuje, ale bude to opruz.

Vlastne ani nevim, proc by no-ip mel byt nejaky bezpecnostni problem. Svou IP adresu rozdavas denne stovkam serveru…

2 Likes
#4

Btw. aspon u WIA tvrdi, ze adresy jsou dynamicke verejne, ale prakticky ke zmene dochazi nejvyse jednou za pet let :slight_smile: I na tohle bych se zameril, treba resis neexistujici problem…

1 Like
#5

Modem/bridge (tzn. nutnost IPv4).

Aktualne mam 89.103.109.* Kdyz o tom tak premyslim, ani nevim, jestli je to verejna nebo neverejna IP, spise asi neverejna, co (me znalosti nejsou moc navysi)? :slight_smile:

#6

Můžeš použít cron a nechat si pravidelně posílat IP adresu toho routeru na e-mail pomocí notifikací.

MAILTO=""
# m h  dom mon dow  user  command
10 * * * *	root	create_notification -s news $(ifconfig pppoe-wan|grep "inet addr:"|awk '{print $2}'|awk -F : '{print $2}')
2 Likes
#7

Používám přesně to co radí “commar” cca 4x denně - mám VDSL od O2, adresa 85.xx.xx.xx a dříve se měnila cca 1x za půl roku, teď už cca 2 roky beze změny. Před měsícem změna služby na bonding s terminátorem a adresa zůstala stejná - OpenVPN i WireGuard fungují na 100%

3 Likes
#8

To samé má DSL od T-Mobile. Je navíc celá řada poskytovatelů (co zároveň patří mezi ty nejlevější), kteří rozdávají statické veřejné IPv4 adresy i dostatečné IPv6 rozsahy zdarma (a jsou navíc explicitně uvedeny přímo ve smlouvě). Já bych tedy rozhodně šel touto cestou.

#9

No, je to veřejná, jen jsem si chtěl ověřit, jestli nejsi za CGNAT adresou. Byl bys ochotný si zaplatit nějakou vlastní doménu? Některé se dají sehnat zdarma, některé jsou za pár korun…
Moje idea je taková, že bys měl vlastní doménu, a na tvém MOX 1 by běžel v cronu skript, který jednou za deset minut pošle HTTP požadavek k poskytovateli DNS hostingu a podle toho se nastaví A záznam na správnou IP adresu.

Takové privátní DDNS s vlastní doménou (ostatně tenhle setup provozuju taky).

3 Likes
#10

Nějaké domény vyšších řádů zdarma se jistě dají najít. (Ale nevím detaily, spolehlivost, apod.) Vlastní doména druhé úrovně (třeba .cz :wink: ) je fajn a ne nijak drahá. Pokud by měla být jen pro tenhle účel, možná by to byl poněkud overkill, ale v kontextu “bezpečnostní paranoie”…

3 Likes
#11

Na takové to domácí žvýkání jsou v pohodě, neměl jsem nikdy problém (ale používal jsem je jen na domácí web a právě kvůli DDNS)

Zase se tím můžeš naučit, jak funguje DNS, co to znamená vlastnit doménu, třeba objevíš i DNS hosting který je přímo podporovaný v luci-app-ddns balíčku…

1 Like
#12

Si tak rikam, ze kdyz Turris sam vi, jaka je jeho IP wan adresa (vidim ji v nastaveni site), tak jestli by dokazal posilat notifikace, kdyz se napr. instaloval update, rovnou i s aktualni IP adresou, bez nutnosti prikazu v cronu - takove jen zaskrtnuti moznosti v reForisu “include actual IP address in the notification”? (tip pro vyvojare) :slight_smile:

A kdyz bych byl troufaly, mozna by to dokazal i u zmeny IP samotne? Zmeni se IP wan adresa oproti naposled ulozene, Turris posle notifikaci. Bylo by to moc divoke / narocne implementovat?

Pokud by to bylo narocne, jak by musel vypadat script v cronu(?), ktery by nejprve “nekam” ulozil aktualni IP jako referencni a pote by v pravidelnych intervalech kontroloval, jestli je aktualni IP shodna s ulozenou. Kdyz by byla shodna, nic se nedeje; kdyz by byla rozdilna, posle mail a ulozi ji jako novou referencni. Bylo by to scriptove jiste slozitejsi, ale tak nejak elegantnejsi reseni, nez posilat kazdy den / kazdych X hodin aktualni IP adresu na e-mail.

No a kdyz uz jsme tak daleko, co kdyby CZ.NIC vytvorilo vlastni adresu pro kazde Turris zarizeni s aktivovanym adaptivnim firewallem? Kdyz se posilaji data do CZ.NIC, IP adresa zarizeni tam asi bude obsazena, takze CZ.NIC by mohl vedet, jaky Turris ma aktualne jakou IP adresu a mohl by tedy existovat celkem jednoduchy prekladac. I kdyz toto by bylo asi az hodne hodne hodne moc moc moc troufale prani. :stuck_out_tongue_winking_eye:

#13

Místo periodické kontroly spíše použít [OpenWrt Wiki] Hotplug (Tím nechci naznačovat, že bych se do toho já pouštěl. A dokumentace nic moc, co pamatuji.)

1 Like
#14

Asi tady řešíte neexistující problém. Ta IP 89.xxx je veřejná a i když je dynamická, tak pokud na nějakou delší dobu nevypnete modem od UPC/VDF tak se jen tak nezmění. Sám se byl u UPC/Vodafone od roku 2006 (od prosince 2021 na T-mobile - optika) a za tu dobu jsem měl pouhé 3 IP adresy. Jednu se starým modeme, pak další když jsem si musel dát ten jejich Comtel či jak se to jmenovalo a třetí když UPC přemigroval na VDF.

#15

Vim, ze se meni velmi malo kdy, mam ale osobni zkusenost. Kdyz jsem byl u UPC a jeste nemel statickou IP a zrovna byl 2 tydny pracovne v Nemecku, zmenili mi IP adresu (mozna byl chvilkovy vypadek elektriky, nevim) a ja tim byl vypnuty (na hotelu meli wifi bez hesla). Toho bych se rad vyvaroval.

#16

Stále nerozumím tomu, že když je to pro Vás tak důležité, nezařídíte si veřejnou IP adresu, i kdyby šlo o IPv6. Jak jsem už psal, v rámci stávající nabídky DSL to není žádný problém.

#17

V miste meho bydliste je jen jediny poskytovatel internetu po kabelu (UPC → Vodafone). Pocet wifi poskytovatelu je zde omezeny a dle zkusenosti znamych z okoli je jejich internet obcas nestabilni. A LTE atp. nechci. Jedina moznost abych si zachoval aktualni kvalitu pripojeni je podle me zridit si zivnost, tzn. abych mel ICO a tim padem se mi VF uracil zpristupnit tu pevnou IP adresu. To take nechci. Nevidim jine akceptovatelne reseni.

#18

Děkuji za vysvětlení. Moje zkušenost s UPC ještě před převzetí ze strany Vodafone byla taková, že na zavolání a po chvíli licitace s technikem (na kterého Vás museli nejdříve přepojit po o něco delší licitaci s operátorem) mi ji všude tam, kde jsem zprovozňoval Turris a veřejná IP byla z nějakého důvodu potřeba, vždy dali. Některé ze jmenovaných instalací byly zároveň určitě evidované na fyzické osoby.

#19

U UPC jsem mel statickou IP adresu bez problemu, ale po prevzeti Vodafonem uz ji “obycejnym” lidem nenabizeji a i vyslovne odmitli nastavit (s oduvodnenim, ze je treba ICO). Mozna, kdyz bych tam mel nejakeho znameho, ze by to slo, :slight_smile: ale to jaksi nemam.

#20

Trošku se mi zdá, že se tu pletou dva termíny dohromady … statická vs. dynamická veřejná IPv4.

S dynamickou veřejnou IP by problém být neměl … standardně dávají IPv6, na vyžádání případně i IPv4

Statickou IPv4 jen tak nedostanete … v době UPC byla pro fyzické osoby za poplatek, pro B2B zákazníky jako součást služby. Pak už jen pro B2B (tj. firemní zákazníky) a v tomto stavu to zůstalo i po převzetí UPC Vodafonem.

Malé stručné info od VF k tomuto tématu lze nalézt zde a zde

1 Like