Здравейте, наскоро си активирах услугата за статично IP от Виваком към един от плановете ми за интернет. След доста премеждия по активацията му (4 неуспешни опита да го активират, като след активацията блокира порта и ме оставиха 4 дни без интернет, докато техниците не дойдоха и не звъннаха на колегите си да рестартират порта). Днес се получи общо взето същата грешка, блокирал порт, при което разговарях с техници през чат и по телефон и те нищо не направиха (отново чакам физическо посещение от техник). Тааа. Въпросът ми е струва ли си цялата тази процедура и занимаване за хостването на този IP Адрес, понеже планирам да го ползвам за мой NAS Сървър + може би да хоствам някоя среда за разработка чрез публичен домейн насочен към статичното IP и няколко отворени TCP Порта за достъп до самото приложение. Тази услуга от Виваком надеждна ли е и аз ли съм единствения който се сблъсква с толкова много последователни премеждия още преди да съм започнал каквато и да е работа ползвайки това IP. Също има ли някакви специални настройки които да подготвям при хостването на едно такова приложение,  до тук изпълних основните стъпки, но при опит за достъп към публичния домейн насочен към IP-то, ми дава timeout грешки или тотално нищо не зарежда, TCP Port 80 се отваря и мога да го тествам, но 443 не мога, в момента съм с рутер Huawei  HG630 V2 ако някой може да ме насочи какво пропускам и какво да гледам ще съм благодарен

Като основни стъпки съм направил : 

• Добавяне на TCP портовете в рутера и насочването им към IP-то на компютъра хост
• Добавяне на компютъра да има статично IP в мрежата на рутера
• Отваряне на портовете през Firewall-a
• Насочване на публичния домейн към IP Адреса с A record 
• При тест с приложение което използва и двата порта - 80 и 443, само един от тях беше видим публично (80) докато 443 оставаше недостъпен

 

Така описани събитията и с подобна терминология, изглежда нямате никакъв опит и знания. За първи път чувам "рестартират порта", също за първи път чувам провайдър да бликора 443. С това "като рутерче" на Хуавей нямате почти никакъв контрол над трафика. Кой точно порт 443 е бликоран - дестинайшън или сорс 443? За публично достъпни услуги, а и не само, най-добре е собствен ръчно направен линукс рутер с nftables и unbound. По този начин ще имате пълен контрол над цялата мрежа, способност да извършвате мониторинг и да реагирете дори автоматично. Проблемът не е само във видимите портове и дали са отворени, а и дали са пренасочени към съответната машина. Ако устройсвото има DMZ, по-добре го изпробвайте. По-този начин всички портове ще са пренасочени в НАТ към съответната машина, но ако има как, въобще не го ползвайте. Аз винаги съм използвал DMZ, когато е нямало как да разкарам рутер на доставчика (заради откачени хардуерни мрежи като коаксиален кабел на Върджин). Също имайте едно на ум - трябват ви поне основни мрежови познания, за да се предпазите от атаки и/или превземане на машината. Според мен е най-добре да я оставите достаъпна само в локалната мрежа и евентуално чрез ВПН извън нея. Изложена на портове 80,443 и достъпна от целия Свят - огромен и ненужен риск. 

преди 2 часа, dmxice97 написа:

Здравейте, наскоро си активирах услугата за статично IP от Виваком към един от плановете ми за интернет. След доста премеждия по активацията му (4 неуспешни опита да го активират, като след активацията блокира порта и ме оставиха 4 дни без интернет, докато техниците не дойдоха и не звъннаха на колегите си да рестартират порта). Днес се получи общо взето същата грешка, блокирал порт, при което разговарях с техници през чат и по телефон и те нищо не направиха (отново чакам физическо посещение от техник). Тааа. Въпросът ми е струва ли си цялата тази процедура и занимаване за хостването на този IP Адрес, понеже планирам да го ползвам за мой NAS Сървър + може би да хоствам някоя среда за разработка чрез публичен домейн насочен към статичното IP и няколко отворени TCP Порта за достъп до самото приложение. Тази услуга от Виваком надеждна ли е и аз ли съм единствения който се сблъсква с толкова много последователни премеждия още преди да съм започнал каквато и да е работа ползвайки това IP. Също има ли някакви специални настройки които да подготвям при хостването на едно такова приложение,  до тук изпълних основните стъпки, но при опит за достъп към публичния домейн насочен към IP-то, ми дава timeout грешки или тотално нищо не зарежда, TCP Port 80 се отваря и мога да го тествам, но 443 не мога, в момента съм с рутер Huawei  HG630 V2 ако някой може да ме насочи какво пропускам и какво да гледам ще съм благодарен

Като основни стъпки съм направил : 

• Добавяне на TCP портовете в рутера и насочването им към IP-то на компютъра хост
• Добавяне на компютъра да има статично IP в мрежата на рутера
• Отваряне на портовете през Firewall-a
• Насочване на публичния домейн към IP Адреса с A record 
• При тест с приложение което използва и двата порта - 80 и 443, само един от тях беше видим публично (80) докато 443 оставаше недостъпен

 

Ако услугата е ADSL или VDSL не си заслужава. Трябва ти upload трафик, което при АДСЛ не е оферта. Колкото до активирането на статично IP, то няма нищо общо с описаните от теб проблеми. Активира се точно за 5 минути.

Редактирано 25 ноември 202525 Ное от Емил Костов (преглед на промените)

Първо се отърви от Виваком. Когато бях при тях, постоянно имах проблеми. Закачи се на друг доставчик, местен, ако има възможност.

Аз си хоствам няколко сайта на Линукс сървър. Сложил съм рутер Микротик направо след медия бокса с оптиката и всичко си работи.

преди 5 часа, Acnapyx написа:

Така описани събитията и с подобна терминология, изглежда нямате никакъв опит и знания. За първи път чувам "рестартират порта", също за първи път чувам провайдър да бликора 443. С това "като рутерче" на Хуавей нямате почти никакъв контрол над трафика. Кой точно порт 443 е бликоран - дестинайшън или сорс 443? За публично достъпни услуги, а и не само, най-добре е собствен ръчно направен линукс рутер с nftables и unbound. По този начин ще имате пълен контрол над цялата мрежа, способност да извършвате мониторинг и да реагирете дори автоматично. Проблемът не е само във видимите портове и дали са отворени, а и дали са пренасочени към съответната машина. Ако устройсвото има DMZ, по-добре го изпробвайте. По-този начин всички портове ще са пренасочени в НАТ към съответната машина, но ако има как, въобще не го ползвайте. Аз винаги съм използвал DMZ, когато е нямало как да разкарам рутер на доставчика (заради откачени хардуерни мрежи като коаксиален кабел на Върджин). Също имайте едно на ум - трябват ви поне основни мрежови познания, за да се предпазите от атаки и/или превземане на машината. Според мен е най-добре да я оставите достаъпна само в локалната мрежа и евентуално чрез ВПН извън нея. Изложена на портове 80,443 и достъпна от целия Свят - огромен и ненужен риск. 

Това бяха думите 1 към 1 на техника който дойде, видя статуса на мрежата и сигнала, звънна на негов колега и му каза същите думи че портът бил забил и да го рестартира. Иначе няма да се фокусирам конкретно върху тези портове може би ще отворя няколко други случайни, но главно идеята ми е да хоствам NAS + да тествам дев среда за един проект който правя, и понякога хостване на сървър за някоя игра, чисто любителско ползване. Ако имате някакви ресурси които да споделите да се ограмотя по темата ще съм благодарен, на съвети също

преди 1 час, dmxice97 написа:

Това бяха думите 1 към 1 на техника който дойде, видя статуса на мрежата и сигнала, звънна на негов колега и му каза същите думи че портът бил забил и да го рестартира. Иначе няма да се фокусирам конкретно върху тези портове може би ще отворя няколко други случайни, но главно идеята ми е да хоствам NAS + да тествам дев среда за един проект който правя, и понякога хостване на сървър за някоя игра, чисто любителско ползване. Ако имате някакви ресурси които да споделите да се ограмотя по темата ще съм благодарен, на съвети също

Най-вероятно е имал в предвид физическия порт (лан порт), а не сокет 443. Може също да е омазан софтуер/файруол. На теб, ако ти е блокиран дестинайшън 443, няма да ти работи почти нито един сайт. Също, прави разлика в това рутерът да няма отворен порт 443 (което е абсолютно нормално), а да НАТ-ва същия порт към друга машина зад него. При този случай рутерът препраща към съответната машина и тя трябва да "слуша" на 443, а не рутерът. В смисъл, на машината ти трябва да отворен. Ако не си си играл със сертификати, сертбот и т.н., най-вероятно е затворен на НАС-а ти. Порт 80 е по подразбиране и некриптиран. 443 е криптирана връзка, но изисква допълнителни настройки. Не можеш просто да си пуснеш уеб ресурс на 443 както става с порт 80. Не си споменал да си инсталирал сертификати сред свършеното от теб и е напълно нормално НАС-а ти изобщо да няма отворен порт 443. 

В смисъл, сигурен си, че реджекта или дропа идва от рутера, а не от НАС-а? 

преди 1 час, Acnapyx написа:

Най-вероятно е имал в предвид физическия порт (лан порт), а не сокет 443. Може също да е омазан софтуер/файруол. На теб, ако ти е блокиран дестинайшън 443, няма да ти работи почти нито един сайт. Също, прави разлика в това рутерът да няма отворен порт 443 (което е абсолютно нормално), а да НАТ-ва същия порт към друга машина зад него. При този случай рутерът препраща към съответната машина и тя трябва да "слуша" на 443, а не рутерът. В смисъл, на машината ти трябва да отворен. Ако не си си играл със сертификати, сертбот и т.н., най-вероятно е затворен на НАС-а ти. Порт 80 е по подразбиране и некриптиран. 443 е криптирана връзка, но изисква допълнителни настройки. Не можеш просто да си пуснеш уеб ресурс на 443 както става с порт 80. Не си споменал да си инсталирал сертификати сред свършеното от теб и е напълно нормално НАС-а ти изобщо да няма отворен порт 443. 

В смисъл, сигурен си, че реджекта или дропа идва от рутера, а не от НАС-а? 

На 90% мисля че от рутера , или има някакъв друг филтър който го спира след рутера, това което правя е :
Стартирам проект/хост на комп. (не на сървъра, за момента докато подкарам порта тествам на windows комп), Отворил съм изрично портовете през Firewall-a, също има добавен forwarding към тези портове в рутера. Най странното е че този проект (хостван на IIS) докато беше на дефолтните настройки - Localhost + Порт му направих forwarding + добавих статичния адрес вместо да използва localhost и сайта тръгна (беше публичен чрез въвеждане на IP:Port) До тук беше добре, след това единственото нещо което направих е да пренасоча вместо да използва статичното IP да използва домейн който е вече вързан към това IP, тук вече се объркаха нещата, с абсолютно същия тип настройки както беше преди ми хвърля "This site can’t be reached" и локално ако опитам да го достъпя през url-a + порта ми влиза в логин страницата на рутера. Не знам какво пропускам, но си мисля да ползвам друг рутер и в този на  виваком да му изключа всякакви защити и каквито и да било ограничения и всичко да минава през следващият 
 

Тоя рутер е стар, а ако ползваш интернет с домашен телефон - забрави. Това е отживелица.

преди 10 часа, Acnapyx написа:

Най-вероятно е имал в предвид физическия порт (лан порт), а не сокет 443. Може също да е омазан софтуер/файруол. На теб, ако ти е блокиран дестинайшън 443, няма да ти работи почти нито един сайт. Също, прави разлика в това рутерът да няма отворен порт 443 (което е абсолютно нормално), а да НАТ-ва същия порт към друга машина зад него. При този случай рутерът препраща към съответната машина и тя трябва да "слуша" на 443, а не рутерът. В смисъл, на машината ти трябва да отворен. Ако не си си играл със сертификати, сертбот и т.н., най-вероятно е затворен на НАС-а ти. Порт 80 е по подразбиране и некриптиран. 443 е криптирана връзка, но изисква допълнителни настройки. Не можеш просто да си пуснеш уеб ресурс на 443 както става с порт 80. Не си споменал да си инсталирал сертификати сред свършеното от теб и е напълно нормално НАС-а ти изобщо да няма отворен порт 443. 

В смисъл, сигурен си, че реджекта или дропа идва от рутера, а не от НАС-а? 

Не е споменал какъв е NAS-ът му. Ако е Synology, те вървят на TCP 5000 некриптирано и TCP 5001 криптирано. 99% от устройствата, създадени по appliance модела - рутери, суичове, стени, сториджи и т.н. - идват със самоподписани сертификати, затова няма да му се налага да пипа нищо по сертификацията.

преди 3 часа, Corvax написа:

Не е споменал какъв е NAS-ът му. Ако е Synology, те вървят на TCP 5000 некриптирано и TCP 5001 криптирано. 99% от устройствата, създадени по appliance модела - рутери, суичове, стени, сториджи и т.н. - идват със самоподписани сертификати, затова няма да му се налага да пипа нищо по сертификацията.

Не е проблем с АДСЛ модема. Просто трябва да се направи настройка. Единственият порт, който ползват HUAWEI модемите, мисля че беше 7224 или нещо от този сорт. И то това е заложено от производителя.

преди 19 часа, dmxice97 написа:

До тук беше добре

Това е много добре. В смисъл знаеш какъв е проблемът. Просто обяснено, ипв4 му трябва НАТ и/или портфорвардинг. Причината за това е, че имаш само едно публично ИП, а повече от едно устройство. Тук идва сериозен проблем, ако не знаеш какво правиш. Някой (или ти) отвън се опитвате да достъпите 269.378.678.567:80 примерно. Първото нещо, което пакетът ще срещне, е рутерът, защото това е адресът на рутера. Ако там има уеб сайт, конфигуриран да е достъпен отвън, ще отвориш него. Май всички рутери са достъпни по подразбиране само от локалната. Ако няма и рутерът не е конфигуриран да препраща - ще върне грешка. Ако е, към примерно 192.168.6.6 (локално ИП), ще имаш връзка с него. Идва сериозният проблем, ако имаш повече от един уеб саит/ресурс. Няма как да го достъпваш с ИП, понеже рутерът няма как да знае кога заявките за 269.378.678.567:80 да ги препраща към 192.168.6.6, кога към 192.168.6.7 и т.н. Вече с ДНС, ако на рутера имаш ревърснато прокси можеш да окажеш моятсайт1.цом да отива към 192.168.6.6, а моятсаит2.цом да отиват към 192.168.6.7. За целта на рутера ти трябва ревърснато прокси, nginx или апачи се справят чудесно. трябва ти уеб сървър на рутера дори да нямаш уеб сайт на него, за да окажеш кой трафик към коя машина да отива. Можеш дори да имаш повече от един сайт на една машина, не е задължително да са отделни. Но ти трябват общи познания по мрежи и системна администрация.  Има повече от един начин да се постигне това, някои лесни, някои не толкова. Това е чисто теоритично, а като изпълнение - зависи от човека. Може да използваш готови продукти на различно ниво. Аз предпочитам линукс и ръчно да си инсталирам необходимите пакети за мониторинг, контрол и автоматизация - през конзола, без уеб интерфейси.. Други предпочитат по-завършени решения като pfSence, openSence, TrueNAS и т.н.  трети се мъчат като теб, с каквото разполагат. Въпрос на умения, време и пари.

преди 1 час, Acnapyx написа:

Това е много добре. В смисъл знаеш какъв е проблемът. Просто обяснено, ипв4 му трябва НАТ и/или портфорвардинг. Причината за това е, че имаш само едно публично ИП, а повече от едно устройство. Тук идва сериозен проблем, ако не знаеш какво правиш. Някой (или ти) отвън се опитвате да достъпите 269.378.678.567:80 примерно. Първото нещо, което пакетът ще срещне, е рутерът, защото това е адресът на рутера. Ако там има уеб сайт, конфигуриран да е достъпен отвън, ще отвориш него. Май всички рутери са достъпни по подразбиране само от локалната. Ако няма и рутерът не е конфигуриран да препраща - ще върне грешка. Ако е, към примерно 192.168.6.6 (локално ИП), ще имаш връзка с него. Идва сериозният проблем, ако имаш повече от един уеб саит/ресурс. Няма как да го достъпваш с ИП, понеже рутерът няма как да знае кога заявките за 269.378.678.567:80 да ги препраща към 192.168.6.6, кога към 192.168.6.7 и т.н. Вече с ДНС, ако на рутера имаш ревърснато прокси можеш да окажеш моятсайт1.цом да отива към 192.168.6.6, а моятсаит2.цом да отиват към 192.168.6.7. За целта на рутера ти трябва ревърснато прокси, nginx или апачи се справят чудесно. трябва ти уеб сървър на рутера дори да нямаш уеб сайт на него, за да окажеш кой трафик към коя машина да отива. Можеш дори да имаш повече от един сайт на една машина, не е задължително да са отделни. Но ти трябват общи познания по мрежи и системна администрация.  Има повече от един начин да се постигне това, някои лесни, някои не толкова. Това е чисто теоритично, а като изпълнение - зависи от човека. Може да използваш готови продукти на различно ниво. Аз предпочитам линукс и ръчно да си инсталирам необходимите пакети за мониторинг, контрол и автоматизация - през конзола, без уеб интерфейси.. Други предпочитат по-завършени решения като pfSence, openSence, TrueNAS и т.н.  трети се мъчат като теб, с каквото разполагат. Въпрос на умения, време и пари.

Благодаря за изчерпателния отговор, оказа се странен проблем където друг процес на машината блокираше достъпването до този порт, с няколко команди през cmd го изключих и отново проверих всички стъпки за настройването, пуснах наново IIS със всичките му настройки нужни за локален хост + домейн и взе че тръгна. Грешките бяха няколко - Настройка на рутера която блокираше forwarding-а който съм добавил, настройка в IIS която е -> сайт -> Bindings -> IP-Adress трябва да е *, вместо локален/статичен IP адрес, това е бъгнало цялото пренасочване на домейна (преди това си работеше само ползвайки статичното IP. Отделно техници на виваком и днес дойдоха да оправят интернета за пореден път и пак се оказа "забил порт", Но в най-скоро време ще се прехвърля на оптика + по-добър рутер. За момента ги докарах настройките, но наистина рутера е много калпав и ограничен + факта че част от настройките по него могат да се правят от портала на виваком което допълнително може да прецаква нещата. Сега вече като подкарах портовете и домейна ще се прехвърля към настройването на Truenas scale, на една машина която съм заделил за сървър. Ако има непреодолими премеждия пак ще пиша, туко виж било полезно и за някой друг като мен в бъдеще