VNC yhteys kotiverkkoon ulkopuolelta

  • 23 April 2020
  • 8 kommenttia
  • 199 katselukertaa

Moi,

 

olen yrittänyt ulkoisesta verkosta päästä kotini sisäverkkoon käsiksi.

Yritän siis muodostaa "tight" VNC yhteyden toisella läppärillä ulkoisesta verkosta kotiverkossani olevaan tietokoneeseen.

Käytössä on Huawei B525s-65 ja olen määritellyt laitteen virtual server kohtaan kotikoneeni IP-osoitteen "on static, ei dynaaminen" sekä WAN/LAN portiksi 5900 jne.. Kaikki toimii kun molemmat koneet ovat toki samassa kotiverkossa, mutta jos vaihdan toisen koneen kotiverkon ulkopuolelle en saa muodostettua yhteyttä. Olen tsekannut toki julkisen IP-osoitteen ja yrittänyt sen avulla ja porttiohjauksella 5900 muodostaa yhteyden kotikoneelle. Testattu myös DDNS asettamalla no-ip.com routerin julkinen ip osoite vastaamaan domain namea. Ongelma luultavasti routerin päässä vai jotain jää nyt huomaamatta. Onko tämä mahdollista edes näillä laitteilla?


8 kommenttia

Moikka,

 

Kuulostaa siltä, että asetukset ovat päällisin puolin kunnossa ja VNC oikein asennettuna. Jos yhteyttä ei ulkopuolelta kuitenkaan pysty muodostamaan, tulee mieleen onko reitittimessä firewall, joka estää liikennettä vaikka port forward olisikin kunnossa.

 

Pystyisitköhän testaamaan jollain toisella palvelulla, toimiiko reitittimen port forward ylipäätään? Esimerkiksi joku simppeli web-serveri voisi olla kelpo testityökalu. Et maininnut käyttöjärjestelmää, joten en ehdota sopivaa ohjelmaa, mutta niitä löytyy kyllä helposti suosikkihakukoneella - tähän tarkoitukseen en  suosittele heittämään Apachea koneelle. :)

Toinen optio testata onko portti ylipäätään auki on käyttää palvelua https://www.grc.com/shieldsup . Tuolta löytyy käyttöehdot hyväksyttyä User Specified Custom Port Probe, johon voit asettaa käyttämäsi portin 5900, ja nähdä tuloksena onko portti auki vai ei.

Käyttäjätaso 7
Kunniamerkki +16

@Itsetehty  kirjoitti:

Olen tsekannut toki julkisen IP-osoitteen

Oletko tehnyt tämän mikä-ip-osoitteeni-on sivustolla vai B525 hallinnasta? Mikä-ip-osoitteeni-on palvelu palauttaa Telian CGNAT-reitittimen ip-osoitteen jos käytät APN:ää internet, ei oikeaa osoitettasi. WAN-osoite tulee aina tarkastaa oman modeemin hallinnasta.

 

Jos modeemin saama WAN osoite kuuluu johonkin näistä sarjoista, sinulla on yksityinen ip-osoite, eikä internetistä voi ottaa yhteyttä sinulle päin:

 

10.0.0.0 – 10.255.255.255

100.64.0.0 – 100.127.255.255

172.16.0.0 – 172.31.255.255

192.168.0.0 – 192.168.255.255

 

Jotta sinulle päin voidaan ottaa yhteys, tarvitset kaikkien jo tekemiesi temppujen lisäksi vielä julkisen ip-osoitteen.

 

Tee jompi kumpi näistä:

 

  • Konfiguroi B525 käyttämään UMTS/3G-verkkoa ja vaihda yhteysasetuksista käyttöön APN prointernet.
  • Tilaa Yhteyspiste-lisäpalvelu ja vaihda B525 yhteysasetuksista käyttöön APN opengate.

Yhteyspiste-lisäpalvelu mahdollistaa julkisen ip-osoitteen käytön myös LTE-verkkossa. Kytkentämaksu on 3,97 € ja perusmaksu 2,00 €/kk. Tilaaminen ei onnistu itsepalvelukanavissa, vaan joudut ottamaan yhteyden asiakaspalveluun joko soittamalla, laulukerttulilla tai jättämällä soittopyynnön.

 

Onko käyttämässäsi tietokoneessa palomuuri? Olethan muistanut avata portin 2900 myös tietokoneen palomuurista.

Moi,

 

käytössä on 2kpl Win10 konetta ja testaillut eri softilla ja huomannut ettei kyseinen 4900 portti ole auki. Avattu myös firewall incoming rules tuo portti 2900. Näyttäisi siis ettei tuo portforwarding toimi routerin päässä. Kotona on siis WLAN yhteys koneelle ja olen katsonut whats my ip address googlettamalla joka 109 alkuinen mikä siis on julkinen ip-osoitteeni aina ulospäin. En löytänyt tuohon WAN mitään osoitetta? eikä sitä ole liitetty oikeastaan mihinkään. 

Näyttäisi olevan huawein asetuksissa mainittuna dial up ja profile management kohdassa APN joka on internet. En tuota oikein tajua. ISP on jokatapauksessa Telia. Eli tuleeko tässä jokin NAT ongelma toisessa päässä?  

Käyttäjätaso 7
Kunniamerkki +16

@Itsetehty@  kirjoitti:

whats my ip address googlettamalla joka 109 alkuinen mikä siis on julkinen ip-osoitteeni aina ulospäin.


109-alkuinen osoite on kyllä julkinen osoite, mutta katsoit sen väärästä paikasta.

 

Osoite tulee katsoa Huawein modeemin hallinnasta. Minulla ei ole B525, mutta esimerkiksi B593 WAN-osoite löytyy koti / yleiskatsaus / internet-tila / ip-osoite.

 


@Itsetehty@  kirjoitti:

profile management kohdassa APN joka on internet.


APN internet avaa yhteyden, jolla ei ole julkista ip-osoitetta, vaan yksityinen osoite. Jos menet modeemin hallintaan, siellä näkyy 10.x.x.x tai 100.64.x.x – 100.127.x.x muotoinen yksityinen ip-osoite.

 

Kun modeemillasi on yksityinen ip-osoite, sinulle päin ei voida ottaa yhteyttä internetistä.

 

Joudut tekemään modeemiin uuden profiilin, jossa APN on joko prointernet tai opengate sekä ottamaan tämän profiilin käyttöön.

 

Prointernetin tapauksessa joudut myös asettamaan modeemin toimimaan UMTS/3G-tilassa. Opengaten tapauksessa voit käyttää myös LTE/4G-verkkoa, mutta tällöin liittymään tulee tilata Yhteyspiste-lisäpalvelu.

@irritus antoi jo hyvät vinkit ongelman ratkaisuun.


 


Ilman Yhteyspistettä(opengatea) tai prointernet-APN:ää liittymällä ei ole käytössä julkista ip:tä, eikä kaksisuuntaista datayhteyttä eli liittymän portit eivät ole auki.


 


Helpoin tuo on testata nyt että pakottaa reitittimen 3G:hen ja vaihtaa APN:ksi prointernet. Tällöin liittymä saa julkisen IP:n.


Jos tämä ratkaisu toimii, niin halutessasi voit sitten tilata Yhteyspiste-palvelun. Tällöin liittymä toimii myös 4G:ssä.


Yllämainituilla ratkaisuilla liittymä saa julkisen dynaamisen IP:n. Yhteyspiste Plus-palvelulla saa julkisen kiinteän IP:n ja hinta 11,53 €/kk.

Moi,

 

kiitos hyvistä vinkeistä. Tein kokonaan uuden profiilin ja kirjoitin sinne APN kohtaan mainitun prointernet. Vaihdoin verkon myös 3g, WAN osoite näytti olevan 194.137.x.x muotoinen ilmeisesti ei kuitenkaan yksityinen IP-osoite? mitä tuossa aikaisemmin mainittiin osoitteista.

Nyt kuitenkin tunnisti portien checkaus työkalu 5900 VNC yhteydeksi, mutta edelleen näytti että on kiinni/ei saa yhteyttä.

 

Tosiaan ilmeisesti käytössäni on kuitenkin yksityinen ip-osoite, jolloin toisessa päässä tehdään tuo kyseinen NAT muunnos julkiseen osoitteeseen. Näin ollen en saa yhteyttä kotiverkkooni muodostettua.

 

Eli yhteenvetona pitäisi saada julkinen IP osoite käyttöön ja avattua ilmeisesti vielä portti 5900 operaattorin päästä, ja tähän ratkaisuksi olisi se opengate.

 

Käyttäjätaso 4
Kunniamerkki +10

@Itsetehty@  kirjoitti:

Moi,

 

kiitos hyvistä vinkeistä. Tein kokonaan uuden profiilin ja kirjoitin sinne APN kohtaan mainitun prointernet. Vaihdoin verkon myös 3g, WAN osoite näytti olevan 194.137.x.x muotoinen ilmeisesti ei kuitenkaan yksityinen IP-osoite? mitä tuossa aikaisemmin mainittiin osoitteista.

Nyt kuitenkin tunnisti portien checkaus työkalu 5900 VNC yhteydeksi, mutta edelleen näytti että on kiinni/ei saa yhteyttä.

 

Tosiaan ilmeisesti käytössäni on kuitenkin yksityinen ip-osoite, jolloin toisessa päässä tehdään tuo kyseinen NAT muunnos julkiseen osoitteeseen. Näin ollen en saa yhteyttä kotiverkkooni muodostettua.

 

Eli yhteenvetona pitäisi saada julkinen IP osoite käyttöön ja avattua ilmeisesti vielä portti 5900 operaattorin päästä, ja tähän ratkaisuksi olisi se opengate.

 


Opengate ja prointernet kyllä toimivat samalla periaatteella, mutta prointernet ainoastaan 2G/3G-verkoissa. Yritithän varmasti etäyhteyttä tuohon julkiseen IP-osoitteeseen jostain muusta nettiliittymästä kuin tuon modeemin takaa?

Käyttäjätaso 7
Kunniamerkki +16

@Itsetehty@  kirjoitti:

194.137.x.x muotoinen ilmeisesti ei kuitenkaan yksityinen IP-osoite?


Kyllä, tämä on julkinen ip-osoite. Eli modeemin APN-asetus on kunnossa.

 

Kun portinohjauskin (virtuaalinen palvelin) on määritelty, todennäköisin vika on palomuureissa.

 

Onhan modeemin palomuuri käännetty off tai low asentoon?


Onhan tietokoneesta, jossa VNC on tarkoitus pyörittää, muistettu myös avata portti 5900 käyttöjärjestelmän palomuurista?

 


@Itsetehty@  kirjoitti:

Eli yhteenvetona pitäisi saada julkinen IP osoite käyttöön ja avattua ilmeisesti vielä portti 5900 operaattorin päästä, ja tähän ratkaisuksi olisi se opengate.


194.137.x.x on julkinen osoite ja kun modeemi kerta tämän saa, lähes kaikki portit ovat modeemillesi asti nyt avoinna.

Vastaa