Ako z neverejnej IP mat verejnu staticku

Ako z neverejnej IP mat verejnu staticku
« kdy: 09. 01. 2024, 15:34:40 »
Ahoj,
hladam pomoc, kedze poskytovatel internetoveho propojenia ma iba neverejne IP, potrebujem vyriesit pripojenie tak, aby som mal kdesi branu s verejnou statickou IPv4.

Moja predstava

1. prenajatie kdesi VPS s moznostou verejnej statickej IP (neviem ci je to mozne za rozumny peniaz)
2. instalacia pfsense1 vo VPS
3. nastavenie OpenVPN v pfsense1 ako klient
4. na mojej strane (WAN/LAN) instalacia pfsense2 ako brana a firewall (NAT, DOH, ....)
5. nastavenie OpenVPN na pfsense2 ako server
6. nastavit pfsense2 a 1 tak, aby traffic z internetu na WAN (verejna staticka IPv4) pfsense1 smeroval cez tunel OpenVPN na pfsense2, odtial NAT alebo HAproxy do LAN
7. traffic z LAN do internetu moze ist rovno von cez pfsense2, cez WAN s neverejnou IPv4

????
« Poslední změna: 09. 01. 2024, 18:18:07 od Petr Krčmář »


.

  • *****
  • 618
    • Zobrazit profil
Re:ako z neverejnej IP mat verejnu staticku
« Odpověď #1 kdy: 09. 01. 2024, 16:09:41 »
8. Změnit poskytovatele internetu.

Re:ako z neverejnej IP mat verejnu staticku
« Odpověď #2 kdy: 09. 01. 2024, 16:19:43 »
Zdravim,

mam VPS s verejnou statickou IP u Contabo, tusim ze za 6 Euro mesicne.

Ten postup mi pripada nejak moc slozity, nestacilo by udelat jenom remote port forwarding pres ssh z lokalni site na VPS?

S.

Re:ako z neverejnej IP mat verejnu staticku
« Odpověď #3 kdy: 09. 01. 2024, 16:40:56 »
Ahoj,
hladam pomoc, kedze poskytovatel internetoveho propojenia ma iba neverejne IP, potrebujem vyriesit pripojenie tak, aby som mal kdesi branu s verejnou statickou IPv4.

Moja predstava: [...]

VPS pořídíte za pár euro. (4,5 EUR měsíčně třeba u toho Contabo.) Na OpenVPN zapomenete a použijete WireGuard (https://wiki.archlinux.org/title/WireGuard) a UFW, cílový počítač nebo váš router do té VPN připojíte, na VPS povolíte IP forwarding v systému a do konfigurace toho UFW přidáte tři řádky. (https://www.baeldung.com/linux/ufw-port-forward, oddíl 3.2)

A změnit poskytovatele připojení taky není špatná alternativa pokud to u vás jde a ten někdo je schopný za obdobnou cenu poskytnout veřejnou statickou adresu. (Ale pro mě osobně to je poněkud opruz.)

.

  • *****
  • 618
    • Zobrazit profil
Re:ako z neverejnej IP mat verejnu staticku
« Odpověď #4 kdy: 09. 01. 2024, 16:58:05 »
Stačí, aby IPv4 byla veřejná. Pevná je pak jistě lepší, ale i s dynamickou se dá už fungovat poměrně dobře.


jjrsk

  • *****
  • 533
    • Zobrazit profil
Re:ako z neverejnej IP mat verejnu staticku
« Odpověď #5 kdy: 09. 01. 2024, 17:32:17 »
8. Změnit poskytovatele internetu.
Spravna odpoved.

kedze poskytovatel internetoveho propojenia ma iba neverejne IP
Potom to neni ISP a pokud to o sobe tvrdi, je to podvodnik. Kazdy ISP ma svuj AS a sve IP.

OpenVPN se vyhni, pokud si vystacis s jednotkama Mbit tak jako OK, v nejhorsim, ale ...
A kdyz uz se s tim pripadne budes mrcasit, a nebudes respektovat drobrou radu vyse, tak si rovnou rozjed IPv6.

Stačí, aby IPv4 byla veřejná. Pevná je pak jistě lepší, ale i s dynamickou se dá už fungovat poměrně dobře.
Na dynamickou se budes dost blbe pripojovat zvenku, coz je asi ucel toho proc to chce.

Re:ako z neverejnej IP mat verejnu staticku
« Odpověď #6 kdy: 09. 01. 2024, 18:12:47 »
kedze poskytovatel internetoveho propojenia ma iba neverejne IP
Potom to neni ISP a pokud to o sobe tvrdi, je to podvodnik. Kazdy ISP ma svuj AS a sve IP.

On tím nemyslel "má", ale "poskytuje". Nemluvě o tom, že nevím, proč by ISP musel nutně mít veřejnou adresu. ISP je prostě (v tomto případě) někdo, kdo vám jako koncovému uživateli poskytuje připojení do internetu. Ale to už je spíš akademická debata.

Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #7 kdy: 09. 01. 2024, 20:02:22 »
Neboza €1/m , euserv

Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #8 kdy: 09. 01. 2024, 21:31:32 »
Pokud by stacilo jen pripojovani zvenku tak koukni na Cloudflare Zero Trust "vpn" mozna ti to bude stacit.
https://www.cloudflare.com/plans/zero-trust-services/

Vytvoris tunel z vnitrni site lan na jejich servery, tam si pridas vlastni domenu a nastavis kam se to ma smerovat v tvoji siti.....

.

  • *****
  • 618
    • Zobrazit profil
Re:ako z neverejnej IP mat verejnu staticku
« Odpověď #9 kdy: 09. 01. 2024, 22:20:02 »
Stačí, aby IPv4 byla veřejná. Pevná je pak jistě lepší, ale i s dynamickou se dá už fungovat poměrně dobře.
Na dynamickou se budes dost blbe pripojovat zvenku, coz je asi ucel toho proc to chce.
Dynamickou veřejnou IPv4 dneska v pohodě vyřeší služba DDNS poskytovaná spoustou subjektů (typicky třeba výrobcem routerů, např. TP-Linkem, a to gratis), to je zcela triviální věc.

Mlocik97

  • *****
  • 899
  • Ubunťák, JS dev.
    • Zobrazit profil
    • E-mail
Re:ako z neverejnej IP mat verejnu staticku
« Odpověď #10 kdy: 10. 01. 2024, 00:18:21 »
Na OpenVPN zapomenete a použijete WireGuard (https://wiki.archlinux.org/title/WireGuard)

A viete napísať aj nejaké dôvody prečo sa vyhnúť OpenVPN? Alebo dať nejaké porovnanie?

_Jenda

  • *****
  • 1 605
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:ako z neverejnej IP mat verejnu staticku
« Odpověď #11 kdy: 10. 01. 2024, 04:52:47 »
Na OpenVPN zapomenete a použijete WireGuard (https://wiki.archlinux.org/title/WireGuard)

A viete napísať aj nejaké dôvody prečo sa vyhnúť OpenVPN? Alebo dať nejaké porovnanie?
https://www.root.cz/clanky/nastaveni-openvpn-pro-pristup-na-stroje-za-natem/#h21

OpenVPN jednovláknová a pomalá, větší opruz s nastavením (CA versus jednoduché klíče jako v SSH), ale zase méně překvapení díky userspace (ano, WG má taky userspace implementaci) - například u WG se tu diskutoval problém, že když se změní DNS záznam protistrany, již nastavený klient se nereconnectne, protože to funguje tak, že při nastavován tunelu resolvne DNS jméno userspace utilita a do kernelu se nastaví IP adresa a ta se pak navždy používá (logicky, kernel neumí resolvovat).

Na druhou stranu „vystacis s jednotkama Mbit“ je blbost, zas tak pomalá OpenVPN není, i na celkem lowendových běžných počítačích dá stovky Mb/s. Jednotky Mb/s dá maximálně na úplně nejhorších OpenWRT routřících (opravdu takových těch nejpomalejších typu QCA9531; na normálních dá opět desítky Mb/s).
« Poslední změna: 10. 01. 2024, 04:55:08 od _Jenda »

Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #12 kdy: 10. 01. 2024, 07:59:21 »
Dakujem vsetkym za konstruktivne odpovede, mam dobry navod ako na to.

ISP je miestny "poskytovatel" s "pro zakaznickym" pristupom, ale bohuzial nemam inu moznost. Moj povodny poskytovatel mi oznamil, ze uz nezakupi licencie na LTE frekvencie a adekvatnu nahradu tu nemaju (aj ked je to pomalsie, ale dali mi vsetko co som potreboval).

Tak mi nezostane nic ine ako prejst k tomu "pro zakaznickemu", ked na to pride a tak hladam mozne riesenia.

Doma mam 2 web serveriky a k tomu este 1 sluzbu, zaroven pouzivam VPN na vzdialeny pristup domov.

Zamer bol, vsetky sluzby na ktore sa pristupuje z internetu presmerovat cez nejake VPS (80,443 (HAproxy), VPN) a traffic z LAN do internetu pre domacich pustat rovno von cez ISP (tam predpokladam nejaky ten stream TV, online hry, socialne siete, YT,.....).

Idajne ten "pro zakaznicky" ISP ma verejne IPv6, ale netusim, v akom stave to ma a moc sa mi nechce vsetko prekonfigurovavat na IPv6 (nemam s tym skusenost, ale tak mozno prisiel na to uz cas prejst).

jjrsk

  • *****
  • 533
    • Zobrazit profil
Re:ako z neverejnej IP mat verejnu staticku
« Odpověď #13 kdy: 10. 01. 2024, 08:28:49 »
Na druhou stranu „vystacis s jednotkama Mbit“ je blbost, zas tak pomalá OpenVPN není,
Zas tak pomala je, protoze typicky neumi HW akceleraci. A to jednoduse proto, ze je treba splnit zcela konkretni vyber algoritmu aby to fungovalo, coz se pro dve ruzne protistrany neda udelat, protoze typicky to co umi jedna, nemi druha.

.

  • *****
  • 618
    • Zobrazit profil
Re:Ako z neverejnej IP mat verejnu staticku
« Odpověď #14 kdy: 10. 01. 2024, 08:49:05 »
Na TP-Linku Archer AX20 se přes OpenVPN dá v pohodě fungovat rychlostí přes 20/20 Mbps, což pro někoho může být málo, ale jinému to stačí. Hlavní výhoda je pak jasně v tom, že OpenVPN má přímou integraci v routeru.