DNS dinamic digi

Vreau sa accesez o retea locala digi.
am activat dinamic dns  pe site-ul digi   domeniuexemplu.go.ro

Incerc sa pun in browser http://domeniuexemplu.go.ro

1. de pe un device din reteua locala :

Forbidden
Rejected request from RFC1918 IP to public server address

2. de pe un device din afara retelei :


This site can’t be reached
domeniuexemplu.go.ro refused to connect.
Try:
Checking the connection
Checking the proxy and the firewall
ERR_CONNECTION_REFUSED


Aceasta retea digi este formata dintr-un ONT digi pus in mod bridge si un router cu OpenWRT + alte device-uri.
Am incercat mai demult si cu alt router si am avut acelasi rezultat.

Știu ca pentru a ajunge la diverse dispozitive si aplicatii trebuie sa am port forwarding in router dar eu încerc prima data sa ajung la router.



Pe site-ul digi sub DNS dinamic exista sectiunea Administrare porturi.
Aici poti selecta sau nu ipv4 ....si mentiona diferite porturi. Eu vreau doar sa ajung la router in browser . Pe viitor va trebui sa le cer acces celor de la digi pentru fiecare port in parte?

pai nu ai ce sa accesezi. ONT e pus in bridge si Routerul e ascuns in spatele firewall.

ca sa intrii in pagina de configurare router, intai activezi Remote Management si pe urma intrii pe xxx.go.ro :80 de regula


trebuie sa ai CEVA in spatele routerului ca sa poti accesa. Deci un port forward si un "ceva" ( un PC , un server, etc)

Edited by andrei_221, 18 April 2023 - 19:35.

 quantico2708, on 18 aprilie 2023 - 19:25, said:

Pai routerul stie cand clienti vin din WAN si cand vin LAN.
Pe aia din WAN ii pune la zid.

 andrei_221, on 18 aprilie 2023 - 19:33, said:

Andrei te-a sfatuit f bine:

1. activezi remote access din interfata routerului
2. daca ai posibilitatea schimbi portul de la 80 la ceva atipic si neutilizat
Dupa astea 2 faze o s apoti doar sa accesezi interfata routerului de pe internet Vezi ca routerele mai noi deja te forteaza la https

3. cnd vrei sa accesezi resurse din retea din internet va trebui sa faci fwd la anumite porturi. ai grija ca de acum deja iti expui reteaua pe internet si riscurile de securitate cresc.

Eu nu recomand sa-ti dai gauri in firewall.
In schimb recomand sa folosesti Cloudflare Tunnels. E gratuit.
Prin metoda asta, pe langa ca nu-ti mai dai gauri in firewall, nici nu-ti expui IP-ul in mod public, dar si beneficiezi de conexiune https (certificat SSL gratuit si reinoit automat de Cloudflare). Plus ca, daca vrei, poti sa limitezi accesul la resursa interna in diferite moduri, de exemplu, doar pentru un numar restrans de persoane, bazat pe o lista de emailuri.
Explica baiatul asta mai bine ca mine.
[ https://www.youtube-nocookie.com/embed/ZvIdFs3M5ic?feature=oembed - Pentru incarcare in pagina (embed) Click aici ]


Ai nevoie si de un domeniu, dar poti lua unul gratuit de aici: https://www.freenom.com

@quantico2708
Pct 1, NAT loopback.
Pct 2, NAT (eventual si PAT) + access rule, aka port forward.

Rezolvare:
Pentru eroare cu RFC1918 trebuie să scoți din LuCi RFC filter, o faci via SSH cu "vi", te duci in "/etc/config/uhttpd" și la linia:
option rfc1918_filter '1'
Treci din 1 in 0

Pentru acces din WAN, trebuie sa faci port fwd din firewall sau traffic rule, faci portfwd pe un port extern "random", de la 65500 in sus care să aibă drept corespondent portul 80 din LAN, adică, LuCi. Nu modifica portul pe care rulează LuCi fiindcă atunci trebuie și din LAN sa accesezi cu adresa modificată de forma 192.168.1.1:8080(de ex). Daca faci portforward, doar din WAN trebuie sa pui portul, de ex: DnsDinamic.Go.ro:65500
Îți sugerez sa faci in schimb un VPN Wireguard, instalezi pachetele și îl configurezi in 5 minute, e mult mai safe.
Daca totuși nu vrei via VPN, măcar activează HTTPS din tabul "Administration", după, port forward pe portul 443.
Bafta
Daca ai și alte nelămuriri in legătură cu OpenWRT sau derivatele acestuia îți stau la dispoziție pe PM, folosesc activ firmware-ul pe niște routere de vreo 5 ani.

Edited by Rares95, 18 April 2023 - 21:06.

Corect, ai presupus ca doar luci vrea prin loopback.

Am schimbat următoarea setare :

OpenWRT > Network > Firewall >General settings > Zones :
Zones forwarding : WAN : Input = Accept

si merge

e periculos ?


ca si alternativa

OpenWRT > Network > Firewall >General settings > Zones :
Zones forwarding : WAN : Input = Reject

dar

OpenWRT > Network > Firewall >Port forwards 
WAN port 655xx   >>> LAN local_ip_openwrt  port 80

Ai modificat in setările generale de firewall ca regula de baza sa fie accept la toate INPUT-urile din WAN? E foarte greșit, tu cu setarea asta lași tot traficul din WAN sa intre in LAN.
Modifica înapoi pe Reject sau Drop.
Deschizi doar ce ai nevoie , nu dai accept la toate INPUT-urile.
Pune un screenshot ca sa îmi dau seama exact ce ai modificat

Faci port forward asa:
Source zone - WAN
Port extern: un port random, de la 65500 in sus
Destination zone - LAN
Adresa IP din LAN e cea a routerului, adică 192.168.1.1
Port: 80(http) sau 443(https).


Regula trebuie sa arate ceva de genul;
 image.png   36.61K   25 downloads

Modifica doar in TCP, nu e nevoie și de UDP.

Inca o dată, repet, soluția cea mai safe este sa îți faci un VPN direct pe router instalând pachetele de Wireguard și luci-app-wireguard.
Ai aplicația de Wireguard pe toate platformele, te conectezi la VPN, securizat, apoi ai acces în LAN, implicit și la LuCi, ce vrei tu.
Instalezi pachetele, creezi o interfață de VPN, generezi un set de key, îți adaugi userii, faci un portforward pe UDP pentru Wireguard și... Deschizi o bere, ai terminat și e muuult mai safe.

Edited by Rares95, 18 April 2023 - 22:10.

 Rares95, on 18 aprilie 2023 - 22:03, said:

Da, in pasul 2 am facut asta.
Am cam început sa ma prind care e faza cu port forwarding.

M-a derutat rubrica de administrare porturi de pe site-ul digi aflata chiar sub DNS dinamic. Care nici acuma nu inteleg ce rost are. O fi pt. cei care nu au ONT in bridge mode ???

Pe viitor voi explora si un VPN.
As vrea sa folosesc Tailscale care impreuna cu un NextDNS e pur si simplu genial.
Dar ma sperie asta:
Tailscale is unable to configure nftables automatically and this prevents the tailscale daemon from initializing properly and forwarding traffic.

Cu timpul mai vedem ...
Deocamdată problema se poate marca ca [SOLVED]

"Administrare porturi" de pe pagina Digi se referă la porturile filtrate de RDS, o serie de porturi cunoscute prin care se inițiază atacuri, și care, sunt filtrate chiar daca tu le ai deschise pe routerul tau, adică, degeaba le dai un forward sau un input in gateway, ele sunt tot blocate și e nevoie de cerere la ei ca sa îți meargă. Cererea e folositoare daca ai servicii care folosesc acele porturi. Acestea sunt filtrate la nivel de ISP, adică DIGI, ca sa fie toți mai safe pe internet, chiar daca nu au o soluție de securitate pe router / echipamente. Eu nu m-am lovit de filtrarea RDS, e doar la nivel de NetBIOS, SMTP, etc, si încă câteva.
Detalii aici despre ce porturi și servicii filtrează ei: https://www.digi.ro/...tare-securitate

Edited by Rares95, 18 April 2023 - 22:51.

Da, si eu zic ca singura metoda sigura e cu un vpn. Personal, recomand wireguard. Simplu, rapid, flexibil.

Wireguard merge foarte ok pe OpenWRT. Relativ usor de configurat chiar din LuCi. Si dai gaura in firewall doar pt VPN. Apoi te conectezi pe interfata de management ca si cum ai fi in LAN, fara sa expui nimic altceva la internet.

Edited by djbiti1, 19 April 2023 - 15:17.