OpenVPN - přístup na pobočku s neveřejnou IP

[Tom K]

Potřebovoval bych dát uživatelům možnost přístupu (RDP, SMB) na 1PC (dále PC-PRACE), připojené k internetu přes NAT bez možnosti promapování portů.

Jedno z řešení: Pomocný OpenVPN server někde v internetu, na PC-PRACE OpenVPN v módu klient, u uživatele taktéž OpenVPN v módu klient, na serveru povolit client-to-client connections.

Máte nějaký lepší tip? (PC-PRACE i uživatelé jsou stroje s Windows)

[Reklama]

[JardaP .]

Nesel by ssh tunel, eventuelne pomoci reverse ssh? Jinak n2n, Hamachi.

[Cek]

pokud nad tim nechces moc dumat a jsou to Wokna s ne totalne tajnyma datama, tak TeamViewer....

[trubicoid2]

jo, ten teamviewer umi i vpn, takze klient si bud vezme soubory pres teamviewer nebo se pripoji do vpn

[j]

Jo, a vecne to pada, a pro komercni ucely to zadarmo neni (a pada to i zaplaceny).

Mimochodem, prijde mi to jako nejaka cernota, protoze pokud by nekdo neco takovyho chtel provozovat ofiko, tak rozhodne nema problem s verejnou IP/portfowardem. A pak nezbyva nez poprat prijemne hledani noveho zamestnani se znaznamem "vyhozen pro hrube poruseni pracovni kazne".

[Reklama]

[JardaP .]

@j: Hele, znas ty moderni IT pohadky? Zacina to obvykle: "Za devatero firewally, za devatero NATy....".

[Jenda]

Ne, to OpenVPN mi přijde jako dobrý nápad.

j: bohužel i firmy jsou občas připojeny přes strašné pseudoISP, třeba proto, že je to autoservis v HorníDolní, kde mají jeden počítač, místního wifináře z garáže a OuTů s nejbližším DSLAMem 3 kilometry.

Nesel by ssh tunel, eventuelne pomoci reverse ssh?

Spíš ne, protože to ti na tom počítači, ze kterého se chceš připojovat, otevře ty porty na localhost:139 a localhost:445, jenže pokud už tam Samba běží, tak s tím nic nenaděláš.

A jestli jsi myslel že bys tyhle porty vystrčil na serveru s veřejnou IP do netu, tak bych se chtěl otázat na tvé duševní zdraví, vystrkovat windowsí Sambu do netu.

[PetrM]

A co IPv6 tunel třeba přes HE na obou strojích? Skrz šestkovou síť se pak uvidí napřímo. A pak už s VPN nebude problém. Je to sice rovnák na ohybák...

[j]

A co IPv6 tunel třeba přes HE na obou strojích? Skrz šestkovou síť se pak uvidí napřímo. A pak už s VPN nebude problém. Je to sice rovnák na ohybák...

Na to potrebujes verenou IPv4.

@j: Hele, znas ty moderni IT pohadky? Zacina to obvykle: "Za devatero firewally, za devatero NATy....".

Ale jo, znam, jen bych se takovy zhuverilost neodvazoval nazvat pripojenim k internetu, natoz je realizovat (ani duchodci co ho zajima precteni mainpage seznamu). O jakymkoli firemnim vyuziti vubec nemluve.

[JardaP .]

Nesel by ssh tunel, eventuelne pomoci reverse ssh?

Spíš ne, protože to ti na tom počítači, ze kterého se chceš připojovat, otevře ty porty na localhost:139 a localhost:445, jenže pokud už tam Samba běží, tak s tím nic nenaděláš.

A jestli jsi myslel že bys tyhle porty vystrčil na serveru s veřejnou IP do netu, tak bych se chtěl otázat na tvé duševní zdraví, vystrkovat windowsí Sambu do netu.

Aha. Tak tohle jsem vubec nepochopil. Zejmena tu druhou cast, ktera je opravdu krypticka. Prosim o objasneni pomoci barevnych obrazku a nejakych jednoduchych didaktickych pomucek. Snad pak, navzdory memu dusevnimu zdravi, konecne pochopim, jakym zpusobem ssh tunel vystrkuje porty sdileni Widli na verejnou adresu do Internetu.

BTW, i kdyby se ti podarilo vystrcit sambu na verejnou adresu, nejblizsi ISP na ceste ti provoz na jeji porty nejspis zablokuje, takze i kdybys byl tak blby, ze ti nevadi bezpecnostni implikace, stejne si nepomuzes. Tohle se dela uz od sereho davnoveku Internetu. A pak jeste bys mel jisty problem s tim, jak donutit Widle/Sambu, aby do browseru site zahrnuly stroj nekde v Hornich Praskolesich, za devaterymi Internety a devaterymi backbony.

[Jenda]

Aha. Tak tohle jsem vubec nepochopil. Zejmena tu druhou cast, ktera je opravdu krypticka. Prosim o objasneni pomoci barevnych obrazku a nejakych jednoduchych didaktickych pomucek. Snad pak, navzdory memu dusevnimu zdravi, konecne pochopim, jakym zpusobem ssh tunel vystrkuje porty sdileni Widli na verejnou adresu do Internetu.

Tak popiš, jak by sis ten SSH tunel představoval. Pokud něco jako že klient udělá

ssh -L 139:localhost:139 -L 445:localhost:445 user@remote

tak to nebude fungovat, protože na Windows už na localhost:139 a 445 něco poslouchá. A používat Sambu na nestandardních portech podle mě Windows neumí.

BTW, i kdyby se ti podarilo vystrcit sambu na verejnou adresu, nejblizsi ISP na ceste ti provoz na jeji porty nejspis zablokuje, takze i kdybys byl tak blby, ze ti nevadi bezpecnostni implikace, stejne si nepomuzes. Tohle se dela uz od sereho davnoveku Internetu.

Právě že ne, například z UPC do Eurosignalu (přes cz-prg01a-ra4-vla2156.net.upc.cz, nix.2connect.cz, v21-j1r.sit.prg.uvt.cz, v4008-eurosignal.2connect.cz) to prochází.

A pak jeste bys mel jisty problem s tim, jak donutit Widle/Sambu, aby do browseru site zahrnuly stroj nekde v Hornich Praskolesich, za devaterymi Internety a devaterymi backbony.

Mluvil jsem o SSH tunelu, který vystrčí ty porty na serveru s veřejnou IP. A pak stačí do Windows zadat \\server\share.

[JardaP .]

Tak popiš, jak by sis ten SSH tunel představoval. Pokud něco jako že klient udělá

ssh -L 139:localhost:139 -L 445:localhost:445 user@remote

tak to nebude fungovat, protože na Windows už na localhost:139 a 445 něco poslouchá. A používat Sambu na nestandardních portech podle mě Windows neumí.

Tak on by ten sshd nemusel bezet na Widlich, ze, ale treba na RPi nebo necem linuxovem, co uz tam treba maji. Mozna ale, ze to jde rozjet i tak, ze sshd bezi v cygwinu primo na Widlich. Ale protoze to sam nepotrebuju, tak to nehodlam prilis googlovat a testovat. Nicmene strucne hrabnuti do Googlu napovida, ze resenim by patrne byl MS Loopback Adapter: http://www.nusphere.com/products/remote_file_ssh.htm . Nic by tedy nemelo branit vytvoreni ssh tunelu do cygwinu na stroji, jehoz data chci sdilet. A vzhledem k tomu, ze ten stroj je zaNATovany, bude nutne si vypomoci pomoci reverse ssh. Tedy za predpokladu, ze aspon druha strana ma verejnou ip a tam budou muset mit stroj, ze ktereho se iniciuje ten tunel a odkud se pak bude poskytovat pristup ke vzdalenym sdilenim ostatnim strojum. To by asi mohl zase byt cygwin.

BTW, i kdyby se ti podarilo vystrcit sambu na verejnou adresu, nejblizsi ISP na ceste ti provoz na jeji porty nejspis zablokuje, takze i kdybys byl tak blby, ze ti nevadi bezpecnostni implikace, stejne si nepomuzes. Tohle se dela uz od sereho davnoveku Internetu.

Právě že ne, například z UPC do Eurosignalu (přes cz-prg01a-ra4-vla2156.net.upc.cz, nix.2connect.cz, v21-j1r.sit.prg.uvt.cz, v4008-eurosignal.2connect.cz) to prochází.

Na coz se nemuzes spolehnout, protoze jinde to zase neprochazi. Porty Widlich sdileni jsou casto blokovany a s ohledem na patologickou deravost Widli nebudou samy. A to jiz od doby prvnich "Internetovych" pripojek, kde clovek v Network Neighbourhood videl stovky pocitacu a s klidem mohl lezt na cizi data nebo tisknout na cizi tiskarne na druhe strane mesta.

Mluvil jsem o SSH tunelu, který vystrčí ty porty na serveru s veřejnou IP. A pak stačí do Windows zadat \\server\share.

Ano, to je jiste dobry napad. To by mne ani ve snu nenapadlo a ze se mi obcas zdaji pekne kraviny.

[Tom K]

Mimochodem, prijde mi to jako nejaka cernota, protoze pokud by nekdo neco takovyho chtel provozovat ofiko, tak rozhodne nema problem s verejnou IP/portfowardem. A pak nezbyva nez poprat prijemne hledani noveho zamestnani se znaznamem "vyhozen pro hrube poruseni pracovni kazne".

Musim Vas uklidnit - zadna cernota, jen RDP pristup na PC pripojene k internetu pres pronajimatele prostor, dva NATy bez moznosti promapovani.

[kojot4]

Tak vzhledem k tomu, že jsem toto docela aktivně řešil tu můžu prakticky popsat různá řešení a úskalí.

OpenVPN - client-to-client

Poměrně zajímavé řešení, sám ho mám naimplementované. Nevím co bylo myšleno stylem "povolím komunikaci mezi klienty", ale prakticky OpenVPN nabízí "subnet topologii", která to defaultně povolené má. Klíčové je správně nakonfigurovat ccd, aby to klientům vždy přidělilo stejnou IP adresu v závislosti na jménu certifikátu.

Pro komunikaci je obecně doporučeno UDP spojení, ale je možné použít i TCP a dokonce je možné i tunelovat přes proxy server.

Konfigurace vypadá nějak takto:

Kód: [Vybrat]

server 192.168.1.0 255.255.255.0
topology subnet
client-config-dir ccd

A pak ccd soubory podle jména, třeba ccd/client1

Kód: [Vybrat]

ifconfig-push 192.168.1.2 255.255.255.0

OpenVPN - server a iptables

Další možností - ale spíše jen přes RDP, je připojit Windows server jako VPN klient a na serveru pomocí iptables a DNAT přesměrovat příchozí port 3389 co jde na server někde v Amazonu přímo do VPN. U RDP klientů pak není vůbec třeba vpn, výsledná konfigurace vypadá takto:

RDP klient --> AWS server:3389 --> IPTables DNAT --> VPN Server:3389 --> NAT --> VPN Klient (RDP Server)

Cena

U AWS je výhodné, že se platí jenom za skutečně využitý čas. Je tak možné třeba naskriptovat zapnutí mašiny jenom v čase, kdy je VPN potřeba. To lze udělat například přes Lambda funkce, nebo aws-cli...

Úroveň komentujících

Trošku mě to sere, ale dovolím si rýpnout. Většina lidí to tu komentuje, ale nevidím tu nikoho, kdo by s tímhle měl praktickou zkušenost s realizací, což je trošku smutné.

[Jenda]

Úroveň komentujících

Trošku mě to sere, ale dovolím si rýpnout. Většina lidí to tu komentuje, ale nevidím tu nikoho, kdo by s tímhle měl praktickou zkušenost s realizací, což je trošku smutné.

Já jsem to realizoval.