לא מצליח לגשת מרחוק, פתיחת פורטים/DMZ לא עוזר

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
tomllic (פותח השרשור)
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 466
הצטרף: פברואר 2016
נתן תודות: 83 פעמים
קיבל תודות: 43 פעמים

לא מצליח לגשת מרחוק, פתיחת פורטים/DMZ לא עוזר

נושא שלא נקרא #1 

אהלן, כתובות הIP שלי בראוטר זהה למה שאני רואה בכל מיני כלי אינטרנט אז מזה אני מסיק שאני לא מאחורי NAT.
לא משנה מה אני עושה, אני לא מצליח לפתוח פורטים. גם DMZ לא עובד.
רעיונות?

tomllic (פותח השרשור)
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 466
הצטרף: פברואר 2016
נתן תודות: 83 פעמים
קיבל תודות: 43 פעמים

Re: לא מצליח לגשת מרחוק, פתיחת פורטים/DMZ לא עוזר

נושא שלא נקרא #2 

עדכון קטן, ואולי אני קצת אספר על מפת הרשת פה כי אני מרגיש שיש קצת התקדמות.
מחובר לסלקום (נטוויז'ן) על תשתית סיבים של בזק.
יש לי ראוטר AX1800 שמחובר לממיר סיב, ואל הראוטר הזה מחוברת יחידת MESH (DECO) בתצורת AP, ויש לי עוד יחידת לוויין מש בבית שמחוברת ליחידה הראשית.
כשאין כלום ב-DMZ, אין לי אף פורט פתוח לפי https://www.canyouseeme.org/
אבל! אם אני שם בDMZ את הכתובת של יחידת המש, עכשיו פורטים 22 ו-443 פתוחים! 80 למשל עדיין סגור.
זה עובד עם הכתובות של שתי יחידות המש. לא הצלחתי למצוא עוד פורטים פתוחים חוץ מהשניים האלה.
מה יכול להיות העניין?

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

Re: לא מצליח לגשת מרחוק, פתיחת פורטים/DMZ לא עוזר

נושא שלא נקרא #3 

תבדוק שה MESH באמת כפי שכתבת מוגדר בתצורת AP. כך זה צריך להיראות בממשק ניהול של DECO, כפי שסימנתי באדום בצילום מסך :

tomllic (פותח השרשור)
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 466
הצטרף: פברואר 2016
נתן תודות: 83 פעמים
קיבל תודות: 43 פעמים

Re: לא מצליח לגשת מרחוק, פתיחת פורטים/DMZ לא עוזר

נושא שלא נקרא #4 

@sys_admin
אכן, זה על access point במסך הזה.

a_yaron
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 2005
הצטרף: דצמבר 2005
נתן תודות: 58 פעמים
קיבל תודות: 179 פעמים

Re: לא מצליח לגשת מרחוק, פתיחת פורטים/DMZ לא עוזר

נושא שלא נקרא #5 

מה אתה רוצה לבצע, היכן הבעיה, למה להפנות פורטים לדקו ?
עד כמה שאני מבין צריך שמשהוא יאזין על הפורט כדי שהוא יסומן כפתוח ב https://www.canyouseeme.org/
לדוגמא פורט 21 מופנה למחשב שלי, רק כאשר שרת הFTP מופעל הפורט מסומן כפתוח, ההפניה עצמה לא מספיקה.

tomllic (פותח השרשור)
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 466
הצטרף: פברואר 2016
נתן תודות: 83 פעמים
קיבל תודות: 43 פעמים

Re: לא מצליח לגשת מרחוק, פתיחת פורטים/DMZ לא עוזר

נושא שלא נקרא #6 

18/05/2022 12:21  
a_yaron כתב:
מה אתה רוצה לבצע, היכן הבעיה, למה להפנות פורטים לדקו ?
עד כמה שאני מבין צריך שמשהוא יאזין על הפורט כדי שהוא יסומן כפתוח ב https://www.canyouseeme.org/
לדוגמא פורט 21 מופנה למחשב שלי, רק כאשר שרת הFTP מופעל הפורט מסומן כפתוח, ההפניה עצמה לא מספיקה.
...
היי, יש לי שרת VPN על ה-NAS שלי, הוא יושב בLAN שלי. אני מנסה להתחבר אליו מהקליינט. יש יוזרים, יש מפתחות, הכל בסדר.
השרת רץ. הפורט הרלוונטי עודכן בממשק של הראוטר.
כשאין כלום ב-DMZ, אין לי שום פורט פתוח לפי canyouseeme
כשאני שם ב-DMZ את הכתובת של כל אחד מהדקו-אים, לפי canyouseeme עכשיו 22 ו-443 פתוחים, אבל לא הפורט שציינתי במפורש לפתוח. דרך אגב, לא רק הפורט הזה, כל פורט שאני "פותח" לא נתפס בcanyouseeme.
המצב זהה גם כשאני בודק בשילדס אפ או בכל כלי אחר.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

Re: לא מצליח לגשת מרחוק, פתיחת פורטים/DMZ לא עוזר

נושא שלא נקרא #7 

הפתרון הכי פשוט יהיה לזהות מהיכן נובעת הבעיה. שלב ראשון אתה צריך לנסות לבדוק האם הפורט של שרת VPN שאתה מריץ בכלל פתוח בתוך הרשת ביתית. אם כן, אז שלב הבא יהיה להפנות רק את הפורט הספציפי זה בנתב לכתובת הפנימית של השרת. אחרי זה אתה יכול לבדוק, אם הוא פתוח מצד האינטרנט. ולא עם האתר בדיקות, אלה עם מחשב שמחובר לאינטרנט בנקודה אחרת. למשל עם מחשב נייד דרך חיבור סלולרי. אם לא, אז לנסות לפתוח פורט זה על מחשב אחר ברשת ביתית ולנסות למפות עליו את הפניית פורט מבחוץ. אם זה יעבוד, אז צריך לבדוק את החוקי FIREWALL בשרת NAS.
אלה הם שלבים פשוטים לבידוד הבעיה. בכל מקרה, ממש לא מומלץ להשתמש במנגנון שמכונה DMZ.

tomllic (פותח השרשור)
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 466
הצטרף: פברואר 2016
נתן תודות: 83 פעמים
קיבל תודות: 43 פעמים

Re: לא מצליח לגשת מרחוק, פתיחת פורטים/DMZ לא עוזר

נושא שלא נקרא #8 

20/05/2022 0:35  
sys_admin כתב:
הפתרון הכי פשוט יהיה לזהות מהיכן נובעת הבעיה. שלב ראשון אתה צריך לנסות לבדוק האם הפורט של שרת VPN שאתה מריץ בכלל פתוח בתוך הרשת ביתית. אם כן, אז שלב הבא יהיה להפנות רק את הפורט הספציפי זה בנתב לכתובת הפנימית של השרת. אחרי זה אתה יכול לבדוק, אם הוא פתוח מצד האינטרנט. ולא עם האתר בדיקות, אלה עם מחשב שמחובר לאינטרנט בנקודה אחרת. למשל עם מחשב נייד דרך חיבור סלולרי. אם לא, אז לנסות לפתוח פורט זה על מחשב אחר ברשת ביתית ולנסות למפות עליו את הפניית פורט מבחוץ. אם זה יעבוד, אז צריך לבדוק את החוקי FIREWALL בשרת NAS.
אלה הם שלבים פשוטים לבידוד הבעיה. בכל מקרה, ממש לא מומלץ להשתמש במנגנון שמכונה DMZ.
...
מסכים לגמרי לגבי DMZ. אין לי כוונה להשתמש בזה.
בכל אופן, ברשת הביתית, ניסיתי טלנט לNAS בפורט 22 - עובד.
ניסיתי בפורט שכביכול הNAS אמור להאזין לו - לא עובד.
אז אני תקוע בשלב הראשון.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

Re: לא מצליח לגשת מרחוק, פתיחת פורטים/DMZ לא עוזר

נושא שלא נקרא #9 

23/05/2022 8:40  
tomllic כתב:
מסכים לגמרי לגבי DMZ. אין לי כוונה להשתמש בזה.
בכל אופן, ברשת הביתית, ניסיתי טלנט לNAS בפורט 22 - עובד.
ניסיתי בפורט שכביכול הNAS אמור להאזין לו - לא עובד.
אז אני תקוע בשלב הראשון.
...
אם כך וגם בתוך הרשת הביתית הפורט שאתה רוצה להפנות החוצה מתוך ה NAS לא עובד, אז בכלל אין לך בשלב זה מה לחפש בנתב, אלה שהבעיה היא בהגדרות של NAS , של שירות זה שאתה רוצה להפעיל או ב FIREWALL של NAS. ואת הפתרון אתה צריך בכלל לחפש בתפעול של NAS ולא ברשת.
ומכאן השאלה, מה הוא בכלל השירות שאתה מנסה להפעיל ובאיזה פורט?

tomllic (פותח השרשור)
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 466
הצטרף: פברואר 2016
נתן תודות: 83 פעמים
קיבל תודות: 43 פעמים

Re: לא מצליח לגשת מרחוק, פתיחת פורטים/DMZ לא עוזר

נושא שלא נקרא #10 

23/05/2022 12:12  
sys_admin כתב:
אם כך וגם בתוך הרשת הביתית הפורט שאתה רוצה להפנות החוצה מתוך ה NAS לא עובד, אז בכלל אין לך בשלב זה מה לחפש בנתב, אלה שהבעיה היא בהגדרות של NAS , של שירות זה שאתה רוצה להפעיל או ב FIREWALL של NAS. ואת הפתרון אתה צריך בכלל לחפש בתפעול של NAS ולא ברשת.
ומכאן השאלה, מה הוא בכלל השירות שאתה מנסה להפעיל ובאיזה פורט?
...
כן, אני מבין.
השירות הוא שרת VPN של WIREGUARD והפורט זה סתם פורט רנדומאלי שאני שולט בו.
אין פיירוול על הNAS, אז אני לא מבין מה יכול לחסום את הפורט.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

Re: לא מצליח לגשת מרחוק, פתיחת פורטים/DMZ לא עוזר

נושא שלא נקרא #11 

23/05/2022 16:53  
tomllic כתב:
כן, אני מבין.
השירות הוא שרת VPN של WIREGUARD והפורט זה סתם פורט רנדומאלי שאני שולט בו.
אין פיירוול על הNAS, אז אני לא מבין מה יכול לחסום את הפורט.
...
זכורני ש WIREGUARD משתמש אך ורק בתקשורת UDP. ובגלל זה צריך לוודא שאתה בכלל ניסית לבדוק שפורט מתאים פתוח. בגלל שבתקשורת UDP הבדיקה של פורט פתוח היא שונה לגמרי מבדיקה של TCP. במקרה של UDP אתה אפילו לא מקבל acknowledge כמו במקרה של TCP.
גם הממשק debugging של WIREGUARD הוא נכה לגמרי בהשוואה לממשק דיאגנוסטיקה של OpenVPN למשל.

כך שאתה צריך להתחיל מהדברים הפשוטים בכלל ובגלל זה גם הכותרת של הדיון זה: "לא מצליח לגשת מרחוק, פתיחת פורטים/DMZ לא עוזר", היא בכלל לא רלוונטית. אתה צריך להתחיל מהדברים כמו להגיע למצב: "שמצליח לגשת מקרוב" וקר אחרי זה להתקדם שלב, שלב כמו למשל להגדיר כתובות וניתובים של שרת, את המפתחות שלו, את הכתובות וניתובים של ה Peers , את המפתחות שלהם וכו' ורק אחרי זה להתקין על מחשב ברשת מקומית לקוח להגדיר אותו ולראות, אם הוא מתחבר ואם לא למה ומה השגיאה שמתקבלת בכלל בשרת, אולי זו בעיה של מפתחות או כל דבר אחר.

ובקשר לממשק דיאגנוסטיקה של WIREGUARD, כך למשל נראה ממשק ניהול של שרת כזה במערכת pfSense , שאני מחובר עלייה לישראל מאי שם ביוון:
מול דיאגנוסטיקה של OpenVPN במערכת כזו:

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”