Port Forwarding na Huawei HG8245W5 - pomoc

[kubanic]

Mozem otazku? naco je to cele prerabat na ipv4, nie je ta ipv6 presne nato ze to pojde aj za orange huawei routerom a aj za dalsim? dakujem za odpovede.

[shiro]

ipv6 vznikla kvoli tomu, ze dochadzali ipv4 adresy.
ipv6 sa medzi beznymi ludmi stale nerozsirilo preto, ze nik si nezapamata ipv6 adresu v tvare "2001:0000:130F:0000:0000:09C0:876A:130B", oproti lahko zapamatatelnej 192.168.10.50 a vela zariadeni ma s ipv6 problemy vo vseobecnosti.

[Ing.King]

Ahojte, som pripojený Telekomom, zariadenie Huawei EchoLife HG8245H je už doma ale nedostanem sa do neho, neberie mi default meno heslo zo spodnej časti zariadenia, služba samotná je cez PartnerNet Orange 1000/300 takže dnes ešte preberám Zyxel VMG3927. Prepoj medzi nimi je cez Huawei LAN1 a Zyxel do WAN.

Nákladovo to vyšlo zásadne lepšie v Orange + 6 mesiacov zdarma, takže som si vybral ťažkú cestu s ipv6...

Prečítal som diskusiu, očakávania mňa ako BFU:
pôjde IPTV sledovanietv - predpokladám bez nejakého zásahu. Ďalej prístup na štandardné weby. Kamery imou. Ideálne aj občas nejaký torrent - a tu je tá otázka na ipv6 budem vidieť peerov len s ipv6 alebo DS-Lite to preloží ?

PCP config postupy sú priamo na Orange webe ale nie v tejto kombinácii (len FiberNet nie PartnerNet). Tz. v mojom prípade Huwaei je len konvertor a bridge (prietokový ohrievač), sieťové nastavenia riešim až v Zyxeli, teda aj PCP predpokladám ?
Má zmysel to tweakovať alebo rovno vyžobrať Orange zmenu na ipv4 inak zostávam v Telekome a toto vypoviem ? Mám 14 dní online objednávka. DSL od Telekomu mám do 31.5.2025

Na inom fore je zmienka k kombinácii Huawei Zyxel Orange:
je to v Nastavenia-->Network Settings-->NAT-->PCP co je Port Control Protocol ktory vam vytvori spojenie do vasej lokalnej siete z vonku. Este je dolezite asi spomenut ze externy port si treba volit v rozmedzi 1025 - 2047 (zdroj internet).
Hlavny problem je ale v tom ze ked router restartujete tak PCP ip-cky sa vam pomenia a moze sa ist past ](*,) pokial si ich opat nezistite.

Reálne to chcem najprv potestovať ako limitujúce bude to ipv6 a následne by som začal robiť modifikácie na úrovni siete. Na DSL ipv4 som využíval DDNS aj NAT pre VNC správu, to by som vedel oželieť.

[molnart]

ale vsak pises ze orange ti dava zyxel router, tak ten huawei budes mat v bridge mode uz od vyroby, teda sa donho nedostanes a pravdepodobne ti ani nedava IP adresu, aspon urcite nie privatnu v rozsahu 192.168.0.0/16

[Ing.King]

áno nedáva, manuálne som si nastavil z rozsahu a vedel som ísť na web rozhranie. Tie konfigurácie bude treba robiť v Zyxeli

[shiro]

Ked sa ti po restarte pomenia PCP IPcky, tak to moze byt tym ze nemas staticku verejnu IP.
Kvoli nutnosti volby ext. portu medzi 1025 - 2047 narazil kamos so starsim externym WD NAS, kde mal natvrdo nastaveny port pre FTP a nevedel ho zmenit. Bol mimo tento rozsah a tym padom mu nesiel FTP server. Genialne, tieto obstrukcie. Plus, je riziko, ze dane zariadenia mozu zacat blbnut, ked sa im prestavi ich default port pre pristup, lebo s tym moc nepocitaju.

[molnart]

tak ale obmedzenie sa tyka externeho portu. co mu brani namapovat externy port 1523 na interny port 21 ? a vystrcit nezapezpeceny ftp port do internetu je take riesenie ze moze byt rad ze mu to neslo

[Ing.King]

Torrenty OK aj z IPV4, nastavil som PCP, zelená fajočka utorrent takýto download na DSL veru nie je
Mierne obavy som mal, niektoré weby mi nevedelo načítať ale zdá sa, že len "úvodné zahrievanie"
Takže suma sumárum, na také domáce chrumkanie postačí aj ipv6

[molnart]

ak nie nieco nevedelo nacitat tak je problem pravdepodobne v DNS. bud tam daj pihole alebo nejake overene DNS 1.1.1.1, 8.8.8.8 apod

[shiro]

tak ale obmedzenie sa tyka externeho portu. co mu brani namapovat externy port 1523 na interny port 21 ? a vystrcit nezapezpeceny ftp port do internetu je take riesenie ze moze byt rad ze mu to neslo

Som si vedomy rizika. Mam to tak uz par rokov, lebo Synology a blbnutie pri stahovani share linkov. FTP mam nastavene read only, je to len na zdielanie veci s kamosmi. Ma vlastne konto s obmedzenym pristupom a zlozitym heslom. Ano, skusaju na mna utoky, ale po prvom faili ide IPcka do perma blocklistu, takze moc sanci nieje. Uz nejaky cas rozmyslam ze budem FTP vypinat a zapnem ho len na potrebny cas.

Toto premapovavanie portov prave vyzera byt haluz. Skusal som to tiez, na NAS si viem menit cislo FTP portu. Ale po akejkolvek zmene sa programy nevedeli pripojit. Aj ked v nastaveniach mali moznost rucne nastavit iny port. Nechapal som. Tak som to nechal na default 21.

[mp3turbo]

FTP je strasne hnusny protokol, zavisi ci sa vyuziva active alebo passive mod. Hlavne v suvislosti s NAT.

To co si spravil a ako si spravil ti ziadnu bezpecnost nedava ani negarantuje ; staci jedine spojenie, jediny utok na znamu chybu ftp serveru a dovidenia.

[shiro]

Ale tiez nerozumiem, preco pri stahovani zo Synology NAS pomocou vygenerovaneho linku, sa tahanie nahodne prerusi? Nikto mi na to nevedel dat odpoved a niesom sam, komu sa toto deje. Tahas 100MB/500MB/1GB link, ako z hociakeho fileserveru a nahodne bum, spojenie vypadne. A nie, nieje to ISP (orange 600-100), protistrana ma Telekom, DSL, Orange, whatever, su to ludia v ramci SK. Akoby dakde dosiel nejaky timer, ale to je len moja teoria. Ofiko Syno support tiez mlci. Ale pri tahani cez FTP vsetko OK, nic nepada. Takze?

[mp3turbo]

to uz na dialku nepovieme, moze tam byt vsetko od slabuckeho procesoru ktory pojde na 100% pri nejakom tahani az po nejaky korporatny cloud-šit (pretoze ani jeden ucastnik spojenia nema verejnu adresu), ktory nie je schopny udrzat spojenie nejak dlho a/alebo obsluzit prislusnu rychlost (predstav si, ze 100 ludi na celom svete chce nieco tahat naraz a kazdy z nich ma k dispozicii len slabuckych 100Mbit, co ti vyslo ? prirataj k tomu geograficke problemy a'la zo Slovenska ides do nejakeho americkeho cloudu za oceanom).

Pri tahani cez FTP musis ist priamo, "bod-bod". Ziadny cloud za oceanom.

Na taketo otazky niekedy [casto / prakticky vzdy] dokaze dat odpoved... ano, samozrejme Mikrotik v roli routra. Nachytas pakety, mozno nieco zistis.

[shiro]

Nieje to ziaden cloud, vsetko ide priamo z NAS, linky generuje DSM, CPU sa flaka, RAM sa flaka, internet mam orange fiber 600/100, ziadne problemy pri inych sluzbach, v danu chvilu taha odo mna jeden clovek...robil som riadny vyskum, bo ma to stvalo.

[mp3turbo]

neviem, ja osobne to nepoznam. Skus nam dat nejaky link, please - samozrejme ze nechceme realnu vec, len vidiet ako to vyzera.

Vymyslim si : system ti vygeneruje link napr. https://www.shiro.sk/konskeporno/najdlhsie/483hddfneuxnm.avi, tak aby sme nemohli realne tahat tak ho zasifruj cojaviem na https://www.neviem.sk/svedskastvorka/najkratsie/djsjwhf.mpg chapes ide len o system, princip... lebo ked nemas verejnu adresu na tom NASe, co nemas, tak potom to musi byt nejako obicyklovane a ja som zvedavy ze ako. Zrejme nepomoze ani mapovanie portov cez router, pripajajuci ta na internet, pretoze DSM nemoze nic vediet o tejto skutocnosti (teda mas verejnu adresu napr. 200.300.400.500 a DSM, schovany vo vnutornej sieti na adrese 10.20.30.40 by ti vygeneroval linku https://200.300.400.500/konskeporno/atd, pretoze DSM proste nema najmensiu sancu vediet, ze na inom zariadeni = routri, mas premapovane nejake porty donutra na neho).

Riadny vyskum sa robi tak, ze sa nachytaju pakety ktore tečú v aktivnom spojeni a na zaver sa pozera, kde mohla nastat chyba a samozrejme ako 100hoven. Ak si toto neurobil, mozes pri tom sediet dvesto hodin a nemas v ruke absolutne nic relevatne. Kedze si viacnasobne prispieval v teme o Mikrotiku, tuto platformu pouzivas a do velkej miery poznas - takze sup, strcit akykolvek Mikrotik medzi Synology a hlavny router, nakonfigurovat aby to pasovalo a chytat pakety. Nemalo by to byt viac nez 10 minut, v principe potrebujes nastavit nejake dva ethernet porty do bridge (fuj ako to neznasam) a treti port aby si do toho mikrotiku mohol kukat a manazovat (co musis ajtak aby si sa na neho dostal, jedine zeby si isiel cez Waj-Faj cize v originali Wi-Fi).

Potom niekde vystavit nachytany subor a ked budem mat cas, mozeme na to pozriet. Samozrejme vycapit do Mikrotik temy, lebo sa moze ktokolvek sikovny pridat.