Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Jakub Velímský 23. 09. 2013, 13:45:26
-
Ahoj,
rád bych si nakonfiguroval domácí VPN síť, ale nemám veřejnou IP adresu.
Situace je následující:
Doma: router (tomatoUSB firmware s OpenVPN, bez veřejné IP), NAS, HTPC (linux)
Přenosná zařízení: mobil (Android 2.3), notebook (linux)
Práce: pracovní stanice, linux, 24/7 uptime s veřejnou IP adresou
Plánuji rozběhnout VPN server doma na routeru a použít (auto)ssh tunel na počítač v práci. Dává to smysl, nebo existuje jednodušší řešení?
Alternativy (měsíční platba za pevnou IP nebo změna poskytovatele připojení) existují, ale zatím jsem na ně příliš líný nebo lakomý.
Díky za rady,
Jakub
-
http://jenda.blog.root.cz/2008/07/28/reverzni-ssh-tunelovani/ (http://jenda.blog.root.cz/2008/07/28/reverzni-ssh-tunelovani/)
Příspěvek 18. od tukana je velice přínosný
-
No - zkusil bych přeci jen u providera vyžebrat alespoň jeden - klidně dost vysoký - port na (jeho) veřejné IP namapovaný na vlastní VPN server (a pak OpenVPN...). Ostatní se mi nikdy nepovedlo spolehlivě provozovat, snad s čestnou výjimkou Hamachi, což se mi ovšem zase nepodařilo rozjet na routeru...
-
Práce: pracovní stanice, linux, 24/7 uptime s veřejnou IP adresou
není jednodušší server pustit tam, pokud to běží nonstop? :-)
-
no, existuje například N2N, sám ho mám doma na routeru jako server a funguje to dobře, mám ho na openwrt. jinak bych spíš doporučil placený vpnhosting.cz. Teďka prodávaj i upravený tl-wr741nd spolu s předplatným http://eshop.vpnhosting.cz/specials?orderby=price&orderway=desc
-
jestli máš ale v práci veřejnou IP, tak to můžeš udělat naopak, jak již někdo výše napsal.
-
jestli máš ale v práci veřejnou IP, tak to můžeš udělat naopak, jak již někdo výše napsal.
Ahoj. Díky za odpovědi. K jednotlivým možnostem:
N2N: Nevím o klientovi pro Android.
Placený hosting: To už se mi spíš vyplatí měsíční příplatek za pevnou IP, nebo změna providera.
SSH VPN podle tukana: Tohle zvažuji, ale tomatousb na routeru používá dropbear ssh, který tunel síťového rozhraní neumí, takže je potřeba nějak dodat openssh (optware na flash disku nebo si udělat vlastní firmware). Zajímavé, hodně bych se naučil, jen mít na to čas. :-)
VPN server na počítači v práci: Tohle také zvažuji, ale není mi jasné, co to znamená, nejsem síťový odborník.
1) Znamenalo by to, že i komunikace mezi domácími zařízeními pojede přes linku do práce? To by bylo špatné.
2) V práci mám sice na stroji roota a firewall je celkem benevolentní, ale rozhodně nesmím (a nechci) připojovat svá domácí zařízení do sítě v práci, dělat si vlastní DHCP (pracovní DHCP nemám v rukách) a podobné věci.
Zkrátka potřebuji jenom možnost občas se z mobilu/notebooku dostat do domácí sítě. Tunelování OpenVPN pres SSH jsem zatím rozběhnul, není to ideální, ale funguje.
-
1) Znamenalo by to, že i komunikace mezi domácími zařízeními pojede přes linku do práce? To by bylo špatné.
2) V práci mám sice na stroji roota a firewall je celkem benevolentní, ale rozhodně nesmím (a nechci) připojovat svá domácí zařízení do sítě v práci, dělat si vlastní DHCP (pracovní DHCP nemám v rukách) a podobné věci.
aha, ano. veškerý provoz bude chodit přes každý openvpn server, který naopak potřebuje veřejnou IP (nebo aspoň port-forward z veřejné), aby se klient mohl připojit.
to už pak jen ten virtuální server za +-100kč/měs a nebo za tu veřejnou IP :-)
co třeba ještě IPv6, dá provider nějaký prefix? :-)
-
Já to řeším IPv6 tunely s HE.net nebo SiXXS, pokud není veřejná IP. Pak se dostanu odkudkoliv kamkoliv a nemusím nic řešit. Podpora na Androidu je bezproblémová (provozuju na telefonu klienty i SSH server pro přenos souborů) a není s tím nejmenší problém.
-
Já to řeším IPv6 tunely s HE.net nebo SiXXS, pokud není veřejná IP. Pak se dostanu odkudkoliv kamkoliv a nemusím nic řešit. Podpora na Androidu je bezproblémová (provozuju na telefonu klienty i SSH server pro přenos souborů) a není s tím nejmenší problém.
Něco podobného jsem v minulosti chtěl zprovoznit, ale... jestli to správně chápu máte pro svět venku přidělenou IPv6 adresu odpovídající koneci tunelu, která se v čase mění. Pokud budete komunikovat vy je to bez problémů, ale pokud bude komunikovat protistrana nemusí zrovna znát aktuální IPv6 adresu. Pokud je to jinak, nemohl byste to v rychlosti popsat. Děkuji.
-
jestli to správně chápu máte pro svět venku přidělenou IPv6 adresu odpovídající koneci tunelu, která se v čase mění. Pokud budete komunikovat vy je to bez problémů, ale pokud bude komunikovat protistrana nemusí zrovna znát aktuální IPv6 adresu. Pokud je to jinak, nemohl byste to v rychlosti popsat. Děkuji.
Chápete to špatně, jak tunnelbroker.net tak sixxs.net vám po registraci přidělí IPv6 adresy které se nemění.
-
Je to tak, jak píše Kolemjdoucí. Dostaneš rozsah /64 nebo když chceš i /48 a z něj si uvnitř sítě přiděluješ IP adresy. Ty adresy se nemění, jsou pořád ze stejného rozsahu. Já mám všechna zařízení navíc v DNS, takže se k nim připojím z celého světa pod doménovým jménem. Pohodlné a jednoduché.
-
Je to tak, jak píše Kolemjdoucí. Dostaneš rozsah /64 nebo když chceš i /48 a z něj si uvnitř sítě přiděluješ IP adresy. Ty adresy se nemění, jsou pořád ze stejného rozsahu. Já mám všechna zařízení navíc v DNS, takže se k nim připojím z celého světa pod doménovým jménem. Pohodlné a jednoduché.
Ahoj.
Znamená to, že lokální provoz zůstane na domácí síti a nepoteče přes linku ven?
Je k tomu nějaké dobré HOWTO? IPv6 mě trochu děsí.
-
Necitujte celé příspěvky nad sebou, zhoršuje to čitelnost diskuse.
Samozřejmě je to tak, není důvod, aby vnitřní provoz putoval do internetu. Tunel se sestavuje z brány (routeru) na který se směruje provoz mimo síť.
Nejlepším howto je knížka Pavla Satrapy (http://www.root.cz/knihy/internetovy-protokol-ipv6-treti-vydani/). Neboj se toho, není to žádná hrůza. K OpenWRT je halda návodů.
-
1) Znamenalo by to, že i komunikace mezi domácími zařízeními pojede přes linku do práce? To by bylo špatné.
aha, ano. veškerý provoz bude chodit přes každý openvpn server, který naopak potřebuje veřejnou IP (nebo aspoň port-forward z veřejné), aby se klient mohl připojit.
Tak to je nehorázná blbost. Veškerý provoz jde tak, jak potřebuješ a nastavíš si. Defaultně jde přes OpenVPN jen ten provoz, který vede do připojené sítě. Ale dá se samozřejmě nastavit, že přes OpenVPN půjde celý provoz. Instalace a zprovoznění OpenVPN spočívá v instalaci balíčku na každé straně a zkonfigurování např dle http://openvpn.net/howto.html. Práce na max půl dne ;)
-
1) Znamenalo by to, že i komunikace mezi domácími zařízeními pojede přes linku do práce? To by bylo špatné.
aha, ano. veškerý provoz bude chodit přes každý openvpn server, který naopak potřebuje veřejnou IP (nebo aspoň port-forward z veřejné), aby se klient mohl připojit.
Tak to je nehorázná blbost. Veškerý provoz jde tak, jak potřebuješ a nastavíš si. Defaultně jde přes OpenVPN jen ten provoz, který vede do připojené sítě. Ale dá se samozřejmě nastavit, že přes OpenVPN půjde celý provoz.
no jasně, trochu špatně pochopeno - není domácí jako domácí. domácí1 na stejné LAN se baví mezi sebou (pokud se nezmění default route do VPN), domácí2 na jiné konektivitě (např. mobil) už si přes server povídat musí :-)
a už tohle tazateli nevyhovuje, tedy tuhle variantu není třeba dál uvažovat.