Ako z neverejnej IP mat verejnu staticku

Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #15 kdy: 10. 01. 2024, 09:29:02 »
Na TP-Linku Archer AX20 se přes OpenVPN dá v pohodě fungovat rychlostí přes 20/20 Mbps, což pro někoho může být málo, ale jinému to stačí. Hlavní výhoda je pak jasně v tom, že OpenVPN má přímou integraci v routeru.

Výhoda? No, jak se to vezme. Já osobně bych v životě nepřipojil jakýkoliv black-box router k čemukoliv, co není moje uzavřená LAN. I když samozřejmě, i uvnitř LAN může být přes VPN připojený někam ven a sloužit jako v tomhle smyslu směrovač z té VPN na stroje v mé síti. Fiinančně to asi vyjde líp, než tam mít i úsporný větší počítač, ale na druhou stranu stejně může sloužit i nějaký ekvivalent Raspberry Pi na kterém bude přesně to, co budu chtít.


_Jenda

  • *****
  • 1 606
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:ako z neverejnej IP mat verejnu staticku
« Odpověď #16 kdy: 10. 01. 2024, 09:33:00 »
Na druhou stranu „vystacis s jednotkama Mbit“ je blbost, zas tak pomalá OpenVPN není,
Zas tak pomala je, protoze typicky neumi HW akceleraci. A to jednoduse proto, ze je treba splnit zcela konkretni vyber algoritmu aby to fungovalo, coz se pro dve ruzne protistrany neda udelat, protoze typicky to co umi jedna, nemi druha.
Právě jsem protlačil 162 Mb/s skrz veřejný internet. Server: nejlevnější VPS Forpsi za 70 Kč - jedno jádro E5-2650L v4. Klient: 4 roky starý notebook s i5-8265U. Hardwarová akcelerace: nepoužívá se, nebo alespoň jsem ji nijak neladil (defaultní openssl z Debianu).

Mimochodem zatímco OpenVPN u většiny podporovaných režimů používá AES (tj. dostupná akcelerace přes AES-NI instrukce), tak Wireguard používá natvrdo jako jedinou možnost ChaCha, pro kterou žádný hardware dostupný není, takže tam žádná HW akcelerace být nemůže.
« Poslední změna: 10. 01. 2024, 09:35:15 od _Jenda »

Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #17 kdy: 10. 01. 2024, 09:47:33 »
Jak radil kolega výše, opustil bych OpenVPN a použil Wireguard. Já to tak dokonce udělal z několika důvodů a jsem velmi spokojen.

Řešil jsem podobnou situaci, jako OP. V jedné lokalitě nemám veřejnou IP. V jiných ano. Propojil jsem lokality vzájemně Wireguardem. Ze svého zařízení se rovněž připojuji Wireguardem na lokalitu s veřejnou IP a dostanu se všude i do sítě s lokalitou bez veřejné IP s tím, že komunikace je směrována přes lokalitu s veřejnou IP. Konfigurace ani nebyla složitá.

Při propojení bod A s bod B obousměrmě Wireguardem stačí, aby veřejná IP byla na jednom bodu. O zbytek se postará Wireguard v základu a bez dodatečné konfigurace.

.

  • *****
  • 618
    • Zobrazit profil
Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #18 kdy: 10. 01. 2024, 09:59:32 »
Na TP-Linku Archer AX20 se přes OpenVPN dá v pohodě fungovat rychlostí přes 20/20 Mbps, což pro někoho může být málo, ale jinému to stačí. Hlavní výhoda je pak jasně v tom, že OpenVPN má přímou integraci v routeru.

Výhoda? No, jak se to vezme. Já osobně bych v životě nepřipojil jakýkoliv black-box router k čemukoliv, co není moje uzavřená LAN. I když samozřejmě, i uvnitř LAN může být přes VPN připojený někam ven a sloužit jako v tomhle smyslu směrovač z té VPN na stroje v mé síti. Fiinančně to asi vyjde líp, než tam mít i úsporný větší počítač, ale na druhou stranu stejně může sloužit i nějaký ekvivalent Raspberry Pi na kterém bude přesně to, co budu chtít.
To už může být komplikace. Naopak když mně běží OpenVPN v routeru, tak se po připojení dostanu třeba do své sítě do NAS a dalších zařízení bez toho, že by tam musel někde běžet PC. Ale jasně, každému vyhovuje něco jiného.

Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #19 kdy: 10. 01. 2024, 10:34:43 »
Na TP-Linku Archer AX20 se přes OpenVPN dá v pohodě fungovat rychlostí přes 20/20 Mbps, což pro někoho může být málo, ale jinému to stačí. Hlavní výhoda je pak jasně v tom, že OpenVPN má přímou integraci v routeru.

Výhoda? No, jak se to vezme. Já osobně bych v životě nepřipojil jakýkoliv black-box router k čemukoliv, co není moje uzavřená LAN. I když samozřejmě, i uvnitř LAN může být přes VPN připojený někam ven a sloužit jako v tomhle smyslu směrovač z té VPN na stroje v mé síti. Fiinančně to asi vyjde líp, než tam mít i úsporný větší počítač, ale na druhou stranu stejně může sloužit i nějaký ekvivalent Raspberry Pi na kterém bude přesně to, co budu chtít.
To už může být komplikace. Naopak když mně běží OpenVPN v routeru, tak se po připojení dostanu třeba do své sítě do NAS a dalších zařízení bez toho, že by tam musel někde běžet PC. Ale jasně, každému vyhovuje něco jiného.

Tak víte co, můj "router" je nějaký starší Banana Pi protože, jak jsem psal, nějaký TP-Link (ani nic jiného SOHO) bych, poučen slavnými děravými D-Linky DIR-850L, už nikdy nepřipojil přímo do WAN. Donedávna jsem tak používal normální úsporný bezvětrákový desktop, který zároveň sloužil i jako NAS, DHCP server, archiv, storage pro zálohy a mail server a který stejně nevypínám už proto, aby se pořád neroztáčely disky, ale ten musel být připojený přes powerline do patra a to na těch našich prastarých rozvodech fungovalo tak nějak jen jakž takž, takže to jsem opustil.


Zopper

  • *****
  • 802
    • Zobrazit profil
Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #20 kdy: 10. 01. 2024, 10:50:18 »
Ne každý je profi síťař a bezpečák. Ty SOHO krabičky sice nejsou žádný zázrak, ale poměr potřebných znalostí vs zabezpečení je tam o dost lepší, než když si člověk bez hlubších zkušeností bude stavět vlastní router a VPN server na RPi. A aktualizace jsou dneska (aspoň u některých) SOHO plně automatické na pozadí, zatímco apt-get upgrade v cronu bych si pustit netroufl. Takže pokud člověka nebaví se v tom hrabat a neví, co a jak (a není jeho cílem se to naučit), tak raději ať tam je all-in-one SOHO.

alex6bbc

  • *****
  • 1 679
    • Zobrazit profil
    • E-mail
Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #21 kdy: 10. 01. 2024, 10:56:40 »
pokud pujde cestou vps, tak to uz muze dat vsecko na tu vps a nemusi mit nic doma.

Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #22 kdy: 10. 01. 2024, 11:52:23 »
pokud pujde cestou vps, tak to uz muze dat vsecko na tu vps a nemusi mit nic doma.

Záleží, kolik toho doma má. To je to. Taky jsem doma měl vlastně jen "webservříky" jak píše. Jenomže ty minimálně jednu dobu pracovaly nad několikaterabajtovým úložištěm s fotkami, filmy a dalšími daty. Pokud poskytují něco, co má pár desítek mega, může to mít na VPS přímo. Ale od od jistého ne moc vysokého limitu to do VPS/cloudu fakt dávat nechcete.

Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #23 kdy: 10. 01. 2024, 11:59:09 »
Ty SOHO krabičky sice nejsou žádný zázrak, ale poměr potřebných znalostí vs zabezpečení je tam o dost lepší, než když si člověk bez hlubších zkušeností bude stavět vlastní router a VPN server na RPi. A aktualizace jsou dneska (aspoň u některých) SOHO plně automatické na pozadí [...]

Optimisto. Zvlášť s těmi plně automatickými aktualizacemi. Už roky tajně doufám, že jednoho dne mi nějaké takové levnější SOHO přistane v ruce. Ale zatím se tak bohužel fakt nestalo. Nemluvě o tom, že nějaké "automatické aktualizace" vydrží pár let a pak je po aktualizacích a po podpoře od výrobce. Přitom životnost těch zařízení je podstatně delší. Zrovna nedávno jsem od tchýně odvážel starý levný asi dvanáct let starý TP-Link, který jen u ní bez problémů fungoval asi deset let a je normálně funkční i dál. Dlužno podotknout, že proto, že ho nahradila O2 Smart Boxem; nejspíš proto, že jí to "dobře poradil" nějaký pitomec od O2 protože reálně ho naprosto nepotřebuje (a ono kdo taky jo) :D

Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #24 kdy: 10. 01. 2024, 13:03:33 »
Dakujem vsetkym za konstruktivne odpovede, mam dobry navod ako na to.

ISP je miestny "poskytovatel" s "pro zakaznickym" pristupom, ale bohuzial nemam inu moznost. Moj povodny poskytovatel mi oznamil, ze uz nezakupi licencie na LTE frekvencie a adekvatnu nahradu tu nemaju (aj ked je to pomalsie, ale dali mi vsetko co som potreboval).

Tak mi nezostane nic ine ako prejst k tomu "pro zakaznickemu", ked na to pride a tak hladam mozne riesenia.

Doma mam 2 web serveriky a k tomu este 1 sluzbu, zaroven pouzivam VPN na vzdialeny pristup domov.

Zamer bol, vsetky sluzby na ktore sa pristupuje z internetu presmerovat cez nejake VPS (80,443 (HAproxy), VPN) a traffic z LAN do internetu pre domacich pustat rovno von cez ISP (tam predpokladam nejaky ten stream TV, online hry, socialne siete, YT,.....).

Idajne ten "pro zakaznicky" ISP ma verejne IPv6, ale netusim, v akom stave to ma a moc sa mi nechce vsetko prekonfigurovavat na IPv6 (nemam s tym skusenost, ale tak mozno prisiel na to uz cas prejst).

V okolí není žádný velký poskytovatel mobilního internetu který by tam dosáhl LTE nebo 5G signálem, když současný již "nezakoupil" LTE pásma? Přece ten signál tam pořád je ale jenom jiný vlastník. Pokud vím tak každý velký operátor má nějakou formu veřejné adresy za příplatek (orange má třeba veřejnou dynamickou za jednorázový poplatek).

Začněte formou velcí operátoři kteří na dané adrese nabízejí služby > pak zda nabízejí veřejnou IP > následně jakou rychlost zde dosáhnu > za kolik měšíční platba internetu > kolik poplatek za veřejnou IP

K IPv6 pouze jestli na to máte hromadu času a trpělivosti tak to zkuste nastavit, já zkoušel a dokud nebude více funkčních návodu jak co přesně nastavit tak jsem to odložit na neurčito, ztracený čas mi za to nestál.

Mlocik97

  • *****
  • 901
  • Ubunťák, JS dev.
    • Zobrazit profil
    • E-mail
Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #25 kdy: 10. 01. 2024, 13:37:58 »
Na TP-Linku Archer AX20 se přes OpenVPN dá v pohodě fungovat rychlostí přes 20/20 Mbps, což pro někoho může být málo, ale jinému to stačí. Hlavní výhoda je pak jasně v tom, že OpenVPN má přímou integraci v routeru.

Alebo v NASu (Synology), kde momentálne OpenVPN používam.

Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #26 kdy: 10. 01. 2024, 16:38:08 »
Doma mam 2 web serveriky a k tomu este 1 sluzbu, zaroven pouzivam VPN na vzdialeny pristup domov.

Zamer bol, vsetky sluzby na ktore sa pristupuje z internetu presmerovat cez nejake VPS (80,443 (HAproxy), VPN) a traffic z LAN do internetu pre domacich pustat rovno von cez ISP (tam predpokladam nejaky ten stream TV, online hry, socialne siete, YT,.....).

Idajne ten "pro zakaznicky" ISP ma verejne IPv6, ale netusim, v akom stave to ma a moc sa mi nechce vsetko prekonfigurovavat na IPv6 (nemam s tym skusenost, ale tak mozno prisiel na to uz cas prejst).


1) od ISP si vyzadat IPv6 a zprovoznit na ni

2) pouzit Tailscale nebo Zerotier

3) Vyuzit Cloudflare

4) Vlastni VPS a nasledne Wireguard


Zopper

  • *****
  • 802
    • Zobrazit profil
Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #27 kdy: 11. 01. 2024, 08:22:19 »
Optimisto. Zvlášť s těmi plně automatickými aktualizacemi. Už roky tajně doufám, že jednoho dne mi nějaké takové levnější SOHO přistane v ruce.

Archer řada od TP-Linku to umí.

Ale zatím se tak bohužel fakt nestalo. Nemluvě o tom, že nějaké "automatické aktualizace" vydrží pár let a pak je po aktualizacích a po podpoře od výrobce. Přitom životnost těch zařízení je podstatně delší.

Ty krabičky sice vydrží fungovat dlouho, ale (třeba) wifi standardy se vyvíjejí celkem slušnou rychlostí. Takže v konfiguraci all-in-one, jedna krabička jako router, AP, VPN... dává smysl si prostě po pěti letech koupit něco nového už kvůli rychlostem a pokrytí. A držet je dlouho po podpoře na přípojce s veřejnou IP (tj. pokud to není za cgNAT) pak považuju za rizikové i když to bude čistě jen router a kompletně zabezpečnovat veřejně vystrčený server se mi nechce.

Zrovna nedávno jsem od tchýně odvážel starý levný asi dvanáct let starý TP-Link, který jen u ní bez problémů fungoval asi deset let a je normálně funkční i dál. Dlužno podotknout, že proto, že ho nahradila O2 Smart Boxem; nejspíš proto, že jí to "dobře poradil" nějaký pitomec od O2 protože reálně ho naprosto nepotřebuje (a ono kdo taky jo) :D

Jo, takové routery znám. Člověk je rád, když u nich ve vedlejší místnosti v paneláku dostane víc jak 2 Mbit, zatímco na přípojce od poskytovatele to jsou desítky. A pak tomu poskytovateli volají naštvaní zákazníci, že si tady platí drahý internet a ono jim to nejede, nemluvě o tom, kolik divných problémů umí udělat pojmalu umírající zdroj. Takže naprosto chápu, proč zákazníkům tlačí novější routery, dělal bych to taky.

Apropo, proč má tychýně SOHO krabičku a ne nějaký RPi routřík, o který se jí staráš? :)

Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #28 kdy: 11. 01. 2024, 10:18:38 »
Optimisto. Zvlášť s těmi plně automatickými aktualizacemi. Už roky tajně doufám, že jednoho dne mi nějaké takové levnější SOHO přistane v ruce.

Archer řada od TP-Linku to umí.

Nevím, jak teď, ale ještě nedávno archery až tak levné nebyly. Ale pokud to umí, jen dobře.

Ale zatím se tak bohužel fakt nestalo. Nemluvě o tom, že nějaké "automatické aktualizace" vydrží pár let a pak je po aktualizacích a po podpoře od výrobce. Přitom životnost těch zařízení je podstatně delší.

Ty krabičky sice vydrží fungovat dlouho, ale (třeba) wifi standardy se vyvíjejí celkem slušnou rychlostí. Takže v konfiguraci all-in-one, jedna krabička jako router, AP, VPN... dává smysl si prostě po pěti letech koupit něco nového už kvůli rychlostem a pokrytí

Pokud to pokrytím stačilo v roce 1 a majitel se nikam nepřestěhoval, bude to celkem logicky stačit pokrytím i v roce 10. A co se týká rychlosti, ta byla dostatečná jak tehdy, tak dnes. Standardy se sice vyvíjí, ale reálné nároky uživatelů zase tak odlišné nejsou a u šedesátileté paní už vůbec ne.

Zrovna nedávno jsem od tchýně odvážel starý levný asi dvanáct let starý TP-Link, který jen u ní bez problémů fungoval asi deset let a je normálně funkční i dál. Dlužno podotknout, že proto, že ho nahradila O2 Smart Boxem; nejspíš proto, že jí to "dobře poradil" nějaký pitomec od O2 protože reálně ho naprosto nepotřebuje (a ono kdo taky jo) :D
Apropo, proč má tychýně SOHO krabičku a ne nějaký RPi routřík, o který se jí staráš? :)

Tohle původně mé AP jsem jí dával když jsem se stěhoval před těmi lety já a to hlavně proto, aby se má (tehdy ještě budoucí) žena doma dostala u sebe doma rozumně přes wi-fi na internet. Tehdy jsem ještě byl ochoten podobné věci na WAN připojovat. Od té doby to tam tak nějak zůstalo, změnit to nikdy nikdo nechtěl a cizí domácnosti nespravuju, ta moje stačí bohatě.

Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #29 kdy: 02. 11. 2024, 15:55:02 »
Dakujem vsetkym.

Problem som vyriesil pouzitim Tailscale. Som prijemne prevapeny aka silna je to sluzba a k tomu aj free moznost.

Moje sluzby sice nemam priamo dostupne z internetu (verejne), co by sa dalo tiez v Tailscale poriesit, ako som cital.

Ale kedze ich pouzivam iba ja ako uzivatel a nemam problem pouzit klientsku apku, vyhovuje mi pristup iba cez tunel.

V pfsense v tailscale som si pekne nastavil advertised routes na ip konkretneho serveriku (xxx.xxx.xxx.xxx/32), nasledne pridal pre istotu firewall staticke pravidlo pre tailscale siet - pristup iba na TCP/UDP DNS na LAN adresu a TCP any na IP  serverikv.

V tailscale (web admin konzola) som si do DNS pridal pravidlo, kde pre domenu webserveriku sa ma poizit DNS preklad z LAN adresy pfsense. No a tam, v pfsense, DNS resolver si upravim DNS zaznam ako potrebujem.

Este raz dakujem za rady.