Jump to content
IHC-User.dk
  • 0
Sign in to follow this  
Michael Voldum

Opsætning af adgang til viewer fra internet

Question

Er der nogen der har en god beskrivelse til hvad der skal til for at få adgang til sin ihc fra internet ? Jeg har den sædvanlige adsl men tilhørende router som laver nat, derefter har jeg en firewall som også laver nat. Måske skulle man for nemhedens skyld disable nat på routeren....?Hilsen Mvo

Share this post


Link to post
Share on other sites

4 answers to this question

Recommended Posts

  • 0

En vejledning/beskrivelser har jeg ikke, men start med at lave en "plan" over dine IP adresser der skal NAT´s. Gå derefter ind i din router og firewall og lav regler herfor. Du bestemmer selv hvilke porte og IP adresser der skal åbnes til hvad og det gøres jo lidt forskelligt alt after Router fabrikat.Det kommer også lidt an på om du har andre servises som web, mail, ftp, NAS og lign kørende derhjemme i forvejen, men default porten til IHC Viewer er port 443. Prøv at "forwarde" den til den IP Adresse din Controller har og se om ikke den kan nåes fra Internettet. Husk at ændre admin brugernavn/password.

Share this post


Link to post
Share on other sites
  • 0

Her er en oversigt over problemstillingerne, når man skal have en IHC viewer på nettet gennem noget udstyr, der benytter NAT.Introduktion:NAT står for Network Address Translation. Det har man brug for, når man gerne vil have mere end en enkelt maskine på internettet med en almindelig internetforbindelse (fx bredbånd/adsl, internet via kabeltv o.lign.).Internettet benytter unikke ip-adresser for at kunne identificere enkelte enheder - og din internetudbyder har kun et begrænset antal af ip-adresser at dele ud af. Derfor får hver enkelt kunde som regel kun en enkelt. Men meget ofte vil kunden gerne have mere end en enkelt maskine på internettet.[img size=800]http://www.ihc-user.dk/media/kunena/attachments/legacy/images/NAT_og_IHC.jpgTryk på billedet for en større version På tegningen herover har kunden en ADSL-router. Den har fået ip-adressen 85.86.87.88 af internetudbyderen. Alt udstyr på den interne side af adsl-routeren har 192.168.0.X-adresser. Adsl-routeren laver NAT og oversætter al udgående trafik (når der surfes, hentes post, downloades etc.) fra maskinerne med 192.168.0.X-adresser, så for serverne ude i verden ser det ud som om, trafikken kommer fra 85.86.87.88. På den måde ved serverne ude i verden, hvor de skal sende trafikken hen, når de svarer. Det er så adsl-routeren, der sørger for at sende svarene fra serverne ude i verden tilbage til de rigtige maskiner på det interne netværk.Så langt, så godt.Udfordring:Men hvad nu, når man har en server på netværket, der skal kontaktes udefra? Gæsten på tegningen befinder sig et sted på internettet - og hun vil gerne have fat på webserveren på det interne netværk. Den eneste adresse hun kender, er 85.86.87.88 - men når trafikken ankommer til adsl-routeren, hvor skal den så sende den hen? Der er brug for en oversættelse (en port forward), som sørger for, at lige præcis web-trafikken bliver ledt ind til webserveren (på tegningen 192.168.0.11).I praksis sker det ved, at adsl-routeren konfigureres til, at alt udefrakommende trafik, der ankommer på 85.86.87.88 på tcp port 80 (tcp port 80 er http-trafik) skal videresendes til 192.168.0.11 på tcp port 80.Den skarpe iagttager vil have opdaget, at det betyder, at man ikke kan have mere end een server, der svar på den samme port: Forskellige porte kan godt sendes videre til forskellige servere (På tegningen bliver ftp-trafik, der ankommer til 85.86.87.88 på tcp port 20 og 21 fx sendt til en anden intern server: 192.168.0.12) - men kun en modtager per port.Det er også en god idé at sørge for, at serveren ikke skifter adresse, men beholder den samme, for ellers går der kludder i viderstillingen. Hvis webserverem pludselig ikke har ip 192.168.0.11 mere, svarer den jo ikke på den trafik, der bliver oversat til 192.168.0.11... Det er derfor god praksis, at servere ikke benytter dhcp (hvor ip-adressen kan skifte), men tildeles en fast ip-adresse!IHC Viewer:Selv om det også er en webserver, der er indbygget i IHC Vieweren, kan den heldigvis benyttes med SSL-krypteret trafik (https:// i stedet for kun http://). Det giver flere fordele: Det er svært at aflytte trafikken - og https:// benytter tcp port 443 i stedet for en almindelig webservers tcp port 80. Man kan derfor godt have en webserver og en IHC-Viewer på nettet på samme tid med en enkelt adresse fra internet-udbyderen.I praksis skal man derfor huske:[ul][li]IHC-vieweren skal have en fast ip-adresse på det interne netværkMan kan kontrollere, at man kan tilgå IHC-vieweren lokalt. I eksemplet herover kan man prøve at skrive https:// 192.168.0.10 i en internet-browser fra en af maskinerne på det lokale netværk[/li][li]Den enhed, som lavet NAT, skal videresende indgående trafik til port 443 til IHC-viewerenI eksemplet herover skal adsl-routeren sende trafik, som ankommer til tcp port 443 på ip 85.86.87.88 til tcp port 443 på ip 192.168.0.10[/li][li]Og så er det en rigtig god idé at ændre standard-passwordet på IHC-vieweren - nu når den er tilgængelig for hele verden![/li][/ul]Yderligere info om NAT:http://www.hundigegaardantennelaug.dk/router.htmhttp://www.howstuffworks.com/nat.htm (på engelsk)Om at få IHC-vieweren på et trådløst netværk: Se indlæg nr. 6235 her på forummet-- Jakob

post-221-1354925679338_thumb.jpg

Share this post


Link to post
Share on other sites
  • 0

Michael skrev:

Jeg har den sædvanlige adsl men tilhørende router som laver nat, derefter har jeg en firewall som også laver nat.
Jo flere NAT-enheder, der står efter hinanden, des større risiko er der for, at man ikke kan få det til at fungere i praksis. Så som du skriver, kan det være en god idé at disable NAT for en af enhederne, hvis det kan lade sig gøre. Det er ikke alle routere/firewalls, der understøtter 'transparent mode'/'bridge mode', hvor der er ip-adresser fra samme segment på både yder- og inderside.Men i teorien kan du være heldig at få "dobbelt-NAT" til at fungere. I forhold til det generelle eksempel herover er der nu to enheder, der NAT'er:[img size=800]http://www.ihc-user.dk/media/kunena/attachments/legacy/images/IHC_og_NAT_og_firewall.jpgTryk på billedet for en større versionOg det betyder, at du i forhold til eksemplet ovenfor skal huske et par ekstra finurligheder;[ul][li]Firewallen skal have fast ip-adresse på både yder-og inderside[/li][li]Adsl-routeren skal viderestille al trafik udefra på tcp port 443 til firewallens ydersideI eksemplet skal al trafik, der ankommer til tcp port 443 på 85.86.87.88 stilles videre til tcp port 443 på 192.168.0.2[/li][li]Firewallen skal viderestille al trafik udefra på tcp port 443 til IHC-viewerenI eksemplet skal al trafik, der ankommer til tcp port 443 på 192.168.0.2 stilles videre til tcp port 443 på 192.168.1.10[/li][li]Måske skal der specifikt laves regler i firewallen, der tillader indgående trafik på tcp port 443 til 192.168.1.10(Det afhænger af firewallens model)[/li][/ul]-- Jakob

post-221-13549256793564_thumb.jpg

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...

Important Information

Privacy Policy og We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.