Jak co nejlevněji zpřístupnit stroj za NAT

[jouda2]

Jestli jsem to správně pochopil, tak není potřeba nic psát a dá se to zvládnout pomocí HAProxy.

Nebo apache + mod_proxy, taky v pohodě, včetně lokálního /.well-known (patrně nginx a squid budou použitelné taky, ale to nemám otestované na vlastní klávesnici)

[Reklama]

[Randolf]

Pokoud nejde nejak extra o rychlost, tak krasne (ale dle meho nazoru alfa quality) reseni je ZeroTier One.
https://www.zerotier.com/

[Filip Jirsák]

Jestli jsem to správně pochopil, tak není potřeba nic psát a dá se to zvládnout pomocí HAProxy.

Nebo apache + mod_proxy, taky v pohodě, včetně lokálního /.well-known (patrně nginx a squid budou použitelné taky, ale to nemám otestované na vlastní klávesnici)

Pokud vím, Apache, nginx ani Squid to pokud vím neumí. Tam musíte SSL zakončit na serveru (tj. musí mít privátní klíč), případně v nginxu můžete poslat dál celý TCP provoz (tj. nepotřebujete privátní klíč), ale zase nedokáže podle SNI hlavičky provoz směrovat na správný backend.

HAproxy to myslím umí, umí to i další aplikace (stačí hledat „SNI proxy“). Ale je potřeba k tomu mít ten management – asi to nechcete poskytovat jako službu pro desítky lidí tak, že dáte všem právo editovat konfigurační soubor HAproxy.

[XMen]

Pokoud nejde nejak extra o rychlost, tak krasne (ale dle meho nazoru alfa quality) reseni je ZeroTier One.
https://www.zerotier.com/

Ano podobne riesenia zvazujem ale ich problem je ze funguju systemom, ze sa musim prihlasit do nejakej siete (VPN) aby som sa dostal na moj stroj, miesto toho aby som siel priamo bez nutnosti tychto tunelov.

Inak pytal som sa na portforwarding - zamietli, tiez som sa pytal ci by mi nedali aspon staticku ipv6 adresu a tu povolili na filtri - zamietli. Teda podla tej komunikacie sudim, ze chcu na ipv4 zarobit a preto ipv6 neriesia. Nejaka "bezpecnostna" zalezitost je iba vyhovorka, zakaznikovi preco nieco robit nebudu.

Bohuzial zmena je tiez zlozita. Este zvazujem optiku od Telecomu tam si ale nemozem byt isty ci vzdy budem mat verejnu ipv4 alebo mi ju jedneho pekneho dna zrusia. Tatiez tie krabicky ku optike nemam kde odlozit. Viac menej ani nemam velmi na vyber.

[Filip Jirsák]

Ano podobne riesenia zvazujem ale ich problem je ze funguju systemom, ze sa musim prihlasit do nejakej siete (VPN) aby som sa dostal na moj stroj, miesto toho aby som siel priamo bez nutnosti tychto tunelov.

ngrok nebo Serveo vám ten port zpřístupní na normální veřejné IPv4 adrese.

Bohuzial zmena je tiez zlozita. Este zvazujem optiku od Telecomu tam si ale nemozem byt isty ci vzdy budem mat verejnu ipv4 alebo mi ju jedneho pekneho dna zrusia. Tatiez tie krabicky ku optike nemam kde odlozit. Viac menej ani nemam velmi na vyber.

Kdyby to bylo jednoduché a zadarmo, už byste to asi měl dávno vyřešené. Holt s tím nějaké náklady budete mít – buď se změnou ISP, nebo za IPv4 adresu u daného ISP, a nebo s nějakým tunelováním.

Odpůrci IPv6 pořád tvrdí, že není potřeba, tak tady vidíte, jak je to ve skutečnosti – to, že není IPv6 dostatečně rozšířené, vás reálně stojí a bude stát peníze.

[Reklama]

[_Jenda]

Protoze mam vyreseno stahovani zmen na uctu u FIO svym skriptem v PHP do DB (podle dokumentace API se to da udelat za den dva), tak bych treba preferoval klasicke bankovnictvi, od progresivniho domu.

To je hezké (sám jsem takhle kdysi v brmlabu napsal automatické sledování členských příspěvků), ale použitelné jenom pro platby v ČR, s trochou snahy možná v EU, ale určitě ne světově.

[wakatana]

Pouzival som ZeroTier ale na hosting to asi nebude to prave orechove, nakolko klient musi mat nainstalovany taktiez ZeroTier a musi patrit do danej VPN. Napada ma este TOR - tam sa vraj da pristupit na domenu aj bez nainstalovaneho klienta cez tor2web. Toto by teoreticky tiez mohlo fungovat https://openport.io/ https://sshreach.me/init/default/index.html

[XMen]

Tak to vypada, ze najlepsie bude zohnat si nejake to VPS a na nom rozbehnut VPN server. Nic lepsie mi nenapada. Chcel som aspon to ipv6 ale vidim, ze aj po vyse 20tich rokoch je to stale nepouzitelne a nedostatok ipv4 adries vytvoril pekny bussines.

Mate nejake napady ohladne toho vps. Nejake lacne prip. zdarma. Vidim napr. ze AWS ma EC2 na rok zdarma.

[_Jenda]

Toto by teoreticky tiez mohlo fungovat https://openport.io/ https://sshreach.me/init/default/index.html

Oboje mi přijde, že má za tu cenu nepoužitelně omezená data (samozřejmě záleží co přes to chce tazatel tahat). Pro srovnání VPS od Forpsi má za 70 Kč 2 TB/měsíc.

[k3dAR]

[...] Pro srovnání VPS od Forpsi má za 70 Kč 2 TB/měsíc.

Pro srovnani VPS od wedos (VPS SSDL pevna ipv4, 1x vCPU, SSD RAID10 15GB, 2GB RAM) mam za ~150Kc/mesic - prenos neomezenej, nechapu to tazatelovo spojeni "nejsem socka" a "chci sluzbu zadarmo" :-) osobne to VPS mam prave jen pro ssh tunelovani , navic pouze zalozni, takze pouziju max parkrat za mesic, RAM zabrane <=100MB, SSD ~15%... i tak mi 150Kc prijde jako nic co by bylo potreba vzheldem k kontextu resit/snizovat...

[XMen]

...nechapu to tazatelovo spojeni "nejsem socka" a "chci sluzbu zadarmo" :-) ...

Preco nechapete? Jedine co ja chcem je nahrada za nieco co je zadarmo ako su IP adresy na ktorych sa zacina sravat bussines. Naco sa potom vytvoril ipv6 co vie adresovat vsetky zrnka piesku na planete, ked si za to aj tak musim platit. Pred 10timi rokmi nemyslitelne. Ak by som chcel VPS na prevadzkovanie serveru tak si rad zaplatim ale ja chcem iba routovanie na moj vlastny server a na to potrebujem vlastne iny server. No proste naco by sme veci robili jednoducho a lacno ked sa to da zlozito a draho.

[XMen]

Toto by teoreticky tiez mohlo fungovat https://openport.io/ https://sshreach.me/init/default/index.html

Oboje mi přijde, že má za tu cenu nepoužitelně omezená data (samozřejmě záleží co přes to chce tazatel tahat). Pro srovnání VPS od Forpsi má za 70 Kč 2 TB/měsíc.

O mnozstvo dat tak ani nejde ale skor i princip. Som z toho frustrovany.

[k3dAR]

...nechapu to tazatelovo spojeni "nejsem socka" a "chci sluzbu zadarmo" :-) ...

Preco nechapete? Jedine co ja chcem je nahrada za nieco co je zadarmo ako su IP adresy [...]

co si vybavuju, tak uz od minuleho tisicileti byla pevna IP vzdy neco za priplatek, krome vyssi varianty nabidky kde to mohlo byt jiz v cene...
(napr. ja mam nejvysii varianty nabidky internetu od mistniho poskytovatele a v cene je pevna IP i IPTV/archiv/recorder)

nicmene, ty rikas ze mas zkusenost ze jsi mel pevnou IP vzdy zdarma, v tom kontextu se da v podsstate chapat ze ted za ni nechces platit a rad by si ji mel od sveho poskytovatele internetu zdarma, nicmene pokud tu moznost nemas a hledas 3rd sluzbu kterou bys to obesel, tak ta logicky uz preci neni duvod aby byla zdarma a to je to co sem psal ze nechapu, nikoliv sluzby poskytovatele...

kazdopadne v tve situaci potrebujes VPS, tak se zamysli zda ti ji nekdo "musi" nabidnout zdarma protoze nejses socka, nebo zda si sluzbu zaplatis a jestli musis resit rozdil desetikorun, kolik ti to zabere casu, apod ;-)

[XMen]

...nicmene, ty rikas ze mas zkusenost ze jsi mel pevnou IP vzdy zdarma...

Nie, ja som vobec nehovoril od pevnej IP adrese ale verejnej IP. Pevne boli spoplatnene vzdy. Ja som vzdy hovoril o dynamickej verejnej IP adrese, ktoru som maval vzdy zadarmo ale kedze adresy dosli, tak uz zadarmo nie su, co je pochopitelne. Co uz nie je pochopitelne je to ze aj ked mam pridelenu dynamicku ipv6 adresu tak si mozem ist max. brnkat, lebo oni to prideleuju iba kvoli tomu aby som mal dostupne weby ktore idu vylucne na ipv6. Nejake spristupnovanie z vonku spoplatnuju a to, ze dosli ipv4 adresy je fajn vyhovorka. Ze sa blokuje prichodzia ivp6 komunikacia je vraj kvoli bezpecnosti, co som doteraz nepochopil, ale asi vela ludi im na tuto vyhovorku skoci. Jedine co ja potrebujem je mat verejnu a neblokovanu ipv6 adresu na routeri a odtial si presmerovat komunikaciu na moj stroj. Nemyslim si ze chcem nieco nerealne ale hlavne nemam rad, ked sa niekto snazi silou mocou zarobit na niecom co on sam ma zadarmo.

[jeyare]

Nechcem remoting. Zatial chcem iba prevadzkovat webove aplikacie.

Chces prevadzkovat vlastne web app zo svojho "domu" a nechces platit za fixnu verejnu adresu.
Predpokladam, ze chces aj nieco ako uroven zabezpecenia, aby si na Gateway nemal rovno nalepku "posluzte si".
Neviem, co za webserver pouzivas. Ak vsak nginx/appache tak by ta mohlo zaujat riesenie na baze NAS od Synology. Co ziskas:
- platformu na ktorej mozes robit vsetko co opisujes a cez Quickconnect na dialku spravovat NAS a jej obsah
- DDNS v NASe bude riesit tvoj problem s verejnou IP adresou
- mozes si na to v NAS vygenerovat self-signed SSL certifikat alebo LE
- prostrednictvom nativneho Reverse proxy v NASe mozes riesit preklopenie subdomeny z 443 (in) do locahost (akykolvek port)
- Reverse proxy ti teda obsluzi aj dokerovske instancie v NASe (ak pouzivs dokery, svet je jednoduchsi)
- V tom istom NASe sa nativny firewal a IP blocking postara o dodatocnu uroven bezpecnosti
- v konecnom dosledku na tvojom domacom routeri potom staci mat NAT 443 do NAS IP a mas to. Ziadne dalsie porty nepotrebujes.
Mne tak bezi 20+ instancii v kontajneroch (NAS) + dalsie nativne v NASe.
Bezpecne, fukcne, flexibilne. Fallback na 3 kliky cez Portrainer. Deployment novej verzie neohrozujuci "ostre" verzie.

Viac na nezavislom fore SynoForum.com