ПРИМЕР 2: ДОМАШНИЙ СЕРВЕР И СМАРТФОН АНДРОИД

Если вы впервые настраиваете свою систему то вам, вероятно, будет важно знать ту последовательность действий, которая приведет к успеху.
Ниже представлена последовательность шагов, которая даст вам уверенность в том, что вы на верном пути.
Большинство пользователей потратят на подключение 15-30 минут своего времени в зависимости от ИТ-подготовки.

Постарайтесь не отступать от последовательности, чтобы не запутаться.
Не отвлекайтесь от процесса, старайтесь понимать что именно вы делаете и каким должен быть результат каждого действия.

PS: Если вы читаете этот раздел уже после "некоторых экспериментов", то имеет смысл очистить все настройки на сайте в разделе "Дополнительно", а также на ваших устройствах и начать все заново.

В этом примере приведены вымышленные данные. В вашем случае, используемые адреса устройств будут другими.

Этот пример написан для того, чтобы вы могли сопоставить схему и текст, а затем применить полученные знания к своей задаче.

Исходные данные

Итак, мы хотим получить доступ со смартфона к серверу, расположенному у вас дома. Для этого нам потребуется подключить два туннеля. Один с маршрутизатора Keenetic, второй со смартфона на Андроид. Конечно, можно подключить туннель к VPNKI и напрямую с сервера, но это более простая задача и ее мы рассмотрим в другой инструкции. А пока сложный вариант.

Устройством №1 является ваш домашний маршрутизатор Zyxel Keenetic.
 
"За ним" (если смотреть со стороны Интернета) расположена ваша домашняя сеть с внутренней адресацией.
Например, все устройства вашей домашней сети имеют адреса 192.168.1.1, 192.168.1.2, 192.168.1.3 и т.д. с маской 255.255.255.0
Таким образом, все устройства образуют вашу единую сеть адрес которой - 192.168.1.0 с маской 255.255.255.0. Для тех кто не знаком с терминологией, небольшое уточнение - есть адреса устройств, а есть и адрес самой сети, которая описывает все ваши устройства вместе взятые. В данном примере, адрес 192.168.1.0 с маской 255.255.255.0 описывает все ваши устройства.

Допустим адрес 192.168.1.1 - это адрес вашего маршрутизатора внутри домашней сети, а 192.168.1.33 - адрес сервера в домашней сети, к которому мы хотим получить доступ.

Устройством №2 является смартфон на платформе Android (версия 4.2 и выше), подключенный через мобильную сеть по протоколу PPTP/L2TP.

Вам потребуется на Андроиде любая утилита, реализующая тестовый функционал - команду ping. Мы, например, используем утилиту Ping & DNS, установленная c Google Play.

Никакой рутовый доступ не нужен.

Шаг 1. Подключение устройства №1 (Zyxel keenetic)

Результат: Устройство №1 подключено и пинг 172.16.0.1 успешен

Шаг 1.0. Получите на личной странице сайта логин и пароль для первого туннеля.
Запишите где-нибудь данные, включая закрепленный за устройством адрес из сети VPNKI (например, в нашем случае 172.16.100.100)

Шаг 1.1. Осуществите настройки своего Zyxel Keenetic по инструкции с сайта и установите соединение. !!! Обратите внимание на п.4.4 инструкции и обязательное наличие маршрутов 172.16.0.1/32 и 172.16.0.0/16 (или в другой форме записи 172.16.0.1 маска 255.255.255.255 и 172.16.0.0 маска 255.255.0.0)

Шаг 1.2. Через 13 секунд после установления соединения выполните на Zyxel keenetic команду пинг адреса 172.16.0.1 Адрес сервера в вашем случае будет таким же, как и в примере - 172.16.0.1
Результат должен быть успешен в любом случае.

Шаг 1.3. Через 13 секунд после установления соединения выполните пинг адреса 172.16.100.100 со страницы сайта "Инструменты".
Результат должен быть успешен, однако, если пинг не проходит то необходимо:
- разрешить маршрутизатору отвечать на пакеты протокола icmp (см. ссылку) с той лишь разницей, что необходимо выбирать в настройках не соединение к Интернет - "Broadband connection", а туннельное соединение типа PPTP/L2TP к сервису vpnki

Шаг 1.4. Результат успешен. Отключите соединение

Шаг 2. Подключение устройства №2 (Смартфон Android)

Результат: Устройство №2 подключено и пинг 172.16.0.1 успешен

Шаг 2.0. Получите на личной странице сайта еще один логин и пароль для второго туннеля.
Запишите где-нибудь данные, включая закрепленный за устройством адрес (например, в нашем случае 172.16.200.200)

Шаг 2.1. Осуществите настройки своего Андроида по инструкции с сайта (за исключением информации о маршрутах, п.5 вторая картинка, оставьте это поле пустым, мы добавим эту информацию позже). Установите соединение

Шаг 2.2. Через 13 секунд после установления соединения выполните на Андроиде команду ping 172.16.0.1
Результат должен быть успешен в любом случае.

Шаг 2.3. Через 13 секунд после установления соединения выполните пинг адреса 172.16.200.200 со страницы сайта "Инструменты"
Результат скорее всего будет неуспешен, но это нормально. Просто ваш Андроид не отвечает на пинги. Здесь мы с вами в этом просто убедились.
В дальнейшей работе это сильно не помешает.

Шаг 2.4. Результат успешен. Отключите соединение

Поздравляем, первые шаги вы сделали успешно!

Теперь немного посложнее ...

Шаг 3. Готовимся объединять туннели

Результат: Zyxel Keenetic и Android настроены, адрес 192.168.1.1 пингуется со страницы "Инструменты"

Шаг 3.0. На личной странице сайта, для туннеля, ведущего к Zyxel Keenetic, внесите изменения.
Так как этот туннель ведет к маршрутизатору то установите галочку "Настроить маршрут" и укажите что "за вашим" маршрутизатором имеется внутренняя сеть.
ВНИМАНИЕ! указывается именно адрес сети 192.168.1.0 с маской 255.255.255.0, а не адрес какого-либо одного из устройства в ней.

Шаг 3.1. Установите соединение к vpnki от Zyxel Keenetic. Через 13 секунд после установления соединения вновь проверьте пинги, которые мы уже успешно сделали на шагах 1.2. и 1.3.
Можете также нажать на кнопку "Таблица маршрутов" на странице "Инструменты" и увидеть, что ваша внутренняя сеть (192.168.1.0/24) доступна через адрес вашего Кинетика 172.16.100.100

Шаг 3.2. Затем со страницы "Инструменты" попробуйте выполнить пинг внутреннего адреса маршрутизатора 192.168.1.1
Скорее всего, пинг будет успешен, однако, в зависимости от настроек маршрутизатора, вы можете получить и отрицательный результат.
В этом случае необходимо проверить правила прохождения пакетов icmp через маршрутизатор (правила межсетевого экрана) и его способность отвечать на пинги, идущие на адрес 192.168.1.1
См.картинку, в данном случае приведен пример для интерфейса L2TP0, использующего протокол L2TP

Шаг 3.3. Теперь со страницы "Инструменты" попробуйте выполнить пинг вашего сервера по адресу 192.168.1.33

Если пинг будет не успешен, то имеет смысл еще раз проверить правила межсетевого экрана на маршрутизаторе (предыдущий пункт), а также правила межсетевого экрана на сервере. Он может быть настроен не отвечать на пакеты протокола icmp

Шаг 3.4. На смартфоне с Андроидом внесите изменения, указав в настройках соединения два маршрута - к сети vpnki и вашей внутренней сети: 172.16.0.0/16 192.168.1.0/24
Этот шаг отражен в инструкции по настройкам Android и мы его ранее пропускали. Имейте ввиду, что эта опция появилась в Андроиде начиная с версии 4.2

Шаг 3.5. Установите соединение от Андроида к vpnki. Через 13 секунд проверьте пинги, которые были успешными на шагах 2.2. и 2.3.
Если все успешно, то переходите к завершающему шагу.

Шаг 4. Объединяем туннели

Результат: Смартфон на Android имеет доступ по http к домашнему серверу

Шаг 4.0. Считаем, что соединения от обоих устройств успешно установлены. Через 13 секунд после установления всех соединений с Андроида выполните пинг адреса вашего маршрутизатора 172.16.100.100
Если все предыдущие шаги были успешными то, скорее всего, и здесь все будет хорошо.

Шаг 4.1. С Андроида выполните пинг вашего внутреннего адреса домашнего маршуртизатора 192.168.1.1

Шаг 4.2. С Андроида выполните пинг вашего сервера по адресу 192.168.1.33

Шаг 4.3. С Андроида установите соединение к веб-интерфейсу сервера.
Это соединение может оказаться не успешным, даже при успешном прохождении команд пинг.

Если такое произошло, то имеет смысл:

• проверить настройки правил межсетевого экрана на вашем маршрутизаторе и разрешить трафик tcp и udp, приходящий из туннельного интерфейса
  См. картинку на шаге 3.2

• проверить настройки сервера, ведь теперь вы обращаетесь к нему из сети 172.16... , которая отличается от его собственной 192.168... и, в этой связи, некоторые правила безопасности могут блокировать веб-доступ из "чужой" сети, даже не смотря на успешные пинги

 
Поздравляем!

Вы успешно прошли все пункты и получили удаленный доступ к домашнему серверу или видеорегистратору или IP-камере без белого IP-адреса!

*** Если вдруг что-то не получилось, обращайтесь на Форум