Гледам на някакви снимки, това чудо има 2 RG45 порта - да не би да го играе и рутер някакъв? Щото тогава нещата малко се променят

на 19.08.2017 г. в 17:15, street racer написа:

Гледам на някакви снимки, това чудо има 2 RG45 порта - да не би да го играе и рутер някакъв?

Да играе го някакъв рутер има WAN и LAN порт както и разпръсва WIFI. В моя случай съм го свързал чрез кабел в WAN порта. Може да се свърже с компа през USB обаче тогава през мрежата спира да се вижда хард диска закачен на него и става само WIFI рутер.

Горе доло стигнах до някакъв успех. От Булсатком ми направиха DDNS и през него мога да влеза в рутера през порт 8080. Смених го с друг и влизам без проблем в настройките на рутера. Резервирах IP на Кимакса и му отворих порт 21 но нещо не ще да работи. Нещо със защитната стена сигурно не е както трябва, да я изключа или някаква настройка?  И друго питане като вляза в настройките на Кимакса там е отворен порт 21 в рутера също отварям порт 21 да не би нещо да се мешат като са еднаква цифра?

 

А защо док станцията е свързана през WAN порта - какъв е смисъла и в нея да се прави NAT? Мисля, че трябва станцията да се конфигурира като обикновен NAS, със IP от LAN и да се включи в мрежата чрез LAN порта си.

ПС Я качи някъде User Manual-a на това чудо, че никъде не мога да го открия

Честно казано не знам защо съм я включил в WAN мога да пробвам да я свържа през LAN. Колкото до User Manual-a, в комплекта дават само една книжка, която трябва да се чете с лупа. И аз не намерих нещо електронно но ползвах това видео нещата са аналогични 

 

Във видеото, модела е малко по друг, но все пак виж окло 11:40 мин, тази настройка за "Allow WAN port access" и обяснителния текст до нея!

преди 1 час, dushi написа:

Резервирах IP на Кимакса и му отворих порт 21 но нещо не ще да работи.

А "Кимакса" достъпен ли е от локалната мрежа, т.е. имам предвид когато се опитваш да го достъпиш от компютър намиращ се в домашната ти мрежа, като заявиш частния ИП адрес, който си му резервирал - 192.168.1.131?

Редактирано 22 август 20178 г. от exwol (преглед на промените)

преди 19 минути, street racer написа:

Във видеото, модела е малко по друг, но все пак виж окло 11:40 мин, тази настройка за "Allow WAN port access" и обяснителния текст до нея!

Да модела е по друг, но настройките са същите. Книжката която дават китайците е за няколко модела и настройките за всички са абсолютно еднакви. При мен настройката на WAN порта е включена в обяснението пише, че ако го ползваш като рутер трябва да е изключено. мога от настройките да избера примерно static но според мен е все едно дали ще си получава адреса автоматично или аз ще му го задам, прилагам снимки. 

преди 27 минути, exwol написа:

А "Кимакса" достъпен ли е от локалната мрежа, т.е. имам предвид когато се опитваш да го достъпиш от компютър намиращ се в домашната ти мрежа, като заявиш частния ИП адрес, който си му резервирал - 192.168.1.131?

Да достъпен е, мога да влизам в него и да настройвам като набера 192.168.1.131 или ако реша да вляза през Windows Explorer-Network-Kimax мога да видя какво има на диска.

преди 24 минути, dushi написа:

Да достъпен е, мога да влизам в него и да настройвам като набера 192.168.1.131 или ако реша да вляза през Windows Explorer-Network-Kimax мога да видя какво има на диска.

Добре, а как го завяваш от вън. Нали опитваш с ftp://ddns.bulsat.com:21  където ddns.bulsat.com ти е записа направен от доставчика?

Да точно така го достъпвам ама ето сега докато си играя с лаптопа взе че се получи. Мисля, че предишния път съм забравил да сложа две точки след ftp. 

Така явно нещата работят остава да сложа парола на устройството и това е. 

Много благодаря за оказаното съдействие.

Радвам се, че вече всичко е ОК! Само едно допълнение - видях (във видеото), че може да се сменя дефолтния 21 порт! Не е ли добра идея, да се ползва някой по-нестандартен порт за фтп достъпа? Че доста онлайн скенери "търсят" постоянно неща на 21

преди 12 минути, street racer написа:

Не е ли добра идея, да се ползва някой по-нестандартен порт за фтп достъпа?

Мога да го сменя, а трябва ли да сменя и този в рутера  със същия като този в настройката на Кимакса? 

преди 22 минути, street racer написа:

Не е ли добра идея, да се ползва някой по-нестандартен порт за фтп достъпа? Че доста онлайн скенери "търсят" постоянно неща на 21

Добра е, но не знам колко е полезно. Принципно има начини да се разбере каква услуга върви зад даден порт дори и той да не е стандартния за нея. Така по-скоро ще се отърве от част от ботовете примерно, но ако питате мен ftp не предлага никакво криптиране. Аз бих минал поне на достъп по VPN, дори PPTP предлага някаква базова криптация. Най-сигурно би било с ssh tuneling и достъп с двойка ключове.

преди 12 минути, dushi написа:

Мога да го сменя, а трябва ли да сменя и този в рутера  със същия като този в настройката на Кимакса? 

ДА, ако смениш порта, трябва да го смениш и в рутера.

преди 27 минути, exwol написа:

Аз бих минал поне на достъп по VPN, дори PPTP предлага някаква базова криптация

Добре ще се постарая да направя VPN обаче предполагам трябва да не е PPTP. Нещо друго беше защото на синът ми айфона не подържа PPTP, а някакъв друг протокол.Проблема е, че самото устройство предлага само FTP и съответно да отвориш или затвориш порт 21 та въпроса е дали ако направя VPN и отворя порт 1723 на IP то на кимакса ще работи?  

Редактирано 22 август 20178 г. от dushi (преглед на промените)

iOS от доста време не поддържат PPTP. Става доста сложна конфигурацията с VPN - не е невъзможна!

Една смяна на 21 с друг (както каза колегата - отпадат част от ботовете) и една по - дълга и "ичзчанчена" парола.....

ПС: В DD-WRT нямаше ли възможност за "black list" -ване 

преди 3 часа, dushi написа:

Добре ще се постарая да направя VPN обаче предполагам трябва да не е PPTP. Нещо друго беше защото на синът ми айфона не подържа PPTP, а някакъв друг протокол.Проблема е, че самото устройство предлага само FTP и съответно да отвориш или затвориш порт 21 та въпроса е дали ако направя VPN и отворя порт 1723 на IP то на кимакса ще работи?  

Да така е, както споменах по-напред в темата ти най-новите версии на iOS не поддържат вече PPTP протокола. Съмнявам се обаче рутера да поддържа нещо различно от PPTP сървър. OpenVPN би било решение, но доколкото виждам рутера е 841n и е само с 4 мб флаш, а за OpenVPN трябва поне 8 мб, за това и този вариант отпада. Ако искаш сигурно криптиране остава като най-лесно да вдигнеш ssh сървъра на рутера и да правиш тунел. Мисля, че дори за iOS в магазина имаше безплатни приложения, които можеха да тунелират ssh връзка до 10 мин. във фонов режим. За Андоридите няма да имаш проблем, както и за други ОС - Windows с PuTTY, а за всяка Линукс дистрибуция или MAC е без проблем този тунелинг. 

Другият вариант е да вдигаш различен от PPTP,  VPN сървър на някоя от машините в локалната мрежа, но неудобството е, че тя трябва да работи непрекъснато, за да може да се връзваш към нея или пък другия момент е да си спретнеш отдалечено включване на тази машина за когато ти потрябва. Варианти колкото щеш, аз обаче лично не бих оставил чисто ftp, но това си е мое мнение. Всеки сам си преценява за себе си колко е важна защитата на данните му.

Ако все пак не ти се занимава с подобни гимнастики най-малкото, което можеш да направиш е да защитиш ftp-to с качествена (изчанчена) парола както казва @street racer  Също така силно е препоръчително да си напишеш поне едно елементарно правило за защитната стена в рутера, за да пази от brute force атаки, за "крадене" на паролата и да ограничиш опитите за логване в ftp-to примерно до 3 на минута, като използваш порта за основа на това ограничение. Примерът ще нещо от сорта:

iptables -t nat -I PREROUTING -p tcp -d $(nvram get wan_ipaddr) --dport 21 -j DNAT --to 192.168.1.131:21
iptables -I FORWARD -p tcp -d 192.168.1.131 --dport 21 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD 2 -p tcp -d 192.168.1.131 --dport 21 -m state --state NEW -m limit --limit 3/min --limit-burst 3 -j ACCEPT
iptables -I FORWARD 3 -p tcp -d 192.168.1.131 --dport 21 -j logrejec

По резонния въпрос отново на street racer за black list-а. Ако приемем, че може да се направи конфиг за достъп от определени ИП адреси, то когато си навън закачен към 3/4G мрежа на мобилните оператори например, това решение не би вършило работа, защото няма как да знаеш предварително къде ще си и какво ИП използваш вързан на тях. По-сложно и изобщо не знам дали ще сработи специално на рутера (не съм си играл), е да се ограничи достъпа по държави, но принципно това не пречи на ботовете да ползват зомбирани машини с BG локация, (уверявам ви, че и тук има доста такива и хората дори не подозират, че участват в подобни атаки включително и ddos) Най-удачен би бил вариант да се напише скрипт за автоматично блокиране на ИП, който скрипт примерно да се рънва през определено време от крона и да следи за съобщение в логовете и на тяхна база да блокира ИП, но това в момента не се сещам как ще се върже ftp-to, но не ми се и мисли толкова, защото всичко това включително и правилата в предния абзац за портовете, само биха ограничили опитите за brute force, а в същото време ftp-to си остава протокол без  криптиране и трети лица могат да видят паролата за логин, за това аз бих си организирал нещо с криптирана връзка + изчанчената парола, която принципно си е задължителна.
 

Редактирано 22 август 20178 г. от exwol (преглед на промените)

Благодарности за изчерпателните обяснения!

Не съм решил още какво точно ще правя, да оставя само FTPто или да правя някаква VPN. Рутера освен PPTP наистина нищо друго не поддържа. SSH за това нищо не съм прочел, мисля малко да се образовам и тогава да реша какво е по силите ми да направя. Предполагам се сещате, че правенето на мрежи не ми е професия и все пак седенето пред компютъра ми е само хоби. За това трябва доста да се пообразовам за да реша какво да правя.

Много благодаря на всички включили се с помощ и мнения по темата, предполагам и други хора ще се възползват от информацията предоставена от вас за решение на проблемите.