Kinek milyen ötlete van a következő problémára:
Adott egy hálózat, amit egy szolgáltató által adott optikai végponton lévő router irányít [ebbe nem lehet belépni], csak DHCP-vel ip címet ad, dobozba nem tudok bemenni, ráadásul dinamikus a külső ip. Ezen hálózatban belül vannak gépek, amiket kívülről el kellene érni.
Gépeken ubuntu server.
Megoldás most:
Van egy windowsos gép, azt kívülről teamviewerrel megnyitom, majd arról putty az ubuntu gépekre.
Nagyon nem szeretném bridge módba rakatni az optikai végpontot és új routert vásárolni! Tudom, hogy azzal nagyjából minden gond megoldódna.
Ezen kívül valakinek ötlet esetleg?
Talán egy VPN szervert beállítok, amikhez csatlakoznának az ubuntu gépek. Itt jön a full amatőr kérdés: Ha az irodában van egy VPN szerver, ahol most vagyok és ide csatlakoznak azok az ubuntu szerverek, akkor én simán láthatom őket a belső hálózatomon, mintha itt lennének fizikailag? Az ubuntu gépeken hogy látom, milyen IP címük van?
Előre is köszönöm építő jellegű válaszotok! A nem építő jellegűeket (RTFM) is köszönöm!
- 1669 megtekintés
Hozzászólások
A vpn szerver és a kliensek között lesz egy külön szubnet, amiből a kliensek (Ubuntu szerverek) ip-t kapnak. Eléred ezeken is, ha mindegyik külön-külön kapcsolódik a vpn szerverhez (persze a vpn szerver oldalán is meg kell csinálni jól a routingot a többi gépre erre a tartományra). Ha csak egy Ubuntu kapcsolódik fel és a többi ezek kereszül, akkor nyilván jó beállításokkal (és ha a két telepen különböző az alap belső hálózati szegmens), akkor átrorutolható oda-vissza a másik belső tartomány a vpn-en keresztül és a normál belső címek alapján éred el. Ha pont ugyanaz a subnet van használva mindkét oldalon, az macera.
- A hozzászóláshoz be kell jelentkezni
Bármennyire is nem szeretnéd, azért egy ilyen igény biztonságos és üzembiztos megoldásának elsődleges feltétele egy saját kézben tartott, igény szerint konfigurálható router.
B verzióként a szolgáltató router-e szinte biztosan támogatja az uPnP-t, amin keresztül a belső gépek elvileg kérhetnek tőle port forward-ot a tűzfalon. (ennek pontos módját, szükséges ubuntu kliens progit nem ismerem, de googli biztos segít, egy próbát megérhet)
----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"
- A hozzászóláshoz be kell jelentkezni
Különösebb gond nélkül működhet a vpn belső gépen is, ha nem fér hozzá a routerhez.
- A hozzászóláshoz be kell jelentkezni
Bentről kifelé persze, HA van egy publikus saját VPN szervere, ahova "haza-csatlakozhatnak" a kliensek. Jelen esetben épp van, de az elegáns ez esetben is az lenne, hogy a saját kézben levő router csatlakozik "haza" és azon keresztül elér bármit, amit akar. Mert ha a kliens bármi miatt épp nem csatlakozik fel, akkor cseszheti :/
----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"
- A hozzászóláshoz be kell jelentkezni
Nyilván elegánsabb lenne, meg egyéb előnyökkel is járna, de ha vannak peremfeltételek, akkor vannak..:-)
- A hozzászóláshoz be kell jelentkezni
Lehet fura ötlet,de én betennék a véges hálóba egy Rpi-t vagy valami miniPC-t Linux-szal, majd onnan VPN egy küldő fix public IPs gépre (RPI, olcsó VPS). Ha adminisztrálni akarsz, akkor ssh tunnellel be tudsz menni az RPi-ra céges hálón.
Bonyolult,de te magad bonyolítottad meg azzal, hogy nem próbálsz/nem tudsz hozzáférést szerezni a routerhez, illetve nem akarsz újabb routert beiktatni. Egyébként minél bonyolultabb valami annál nehezebb karbantartani. Sokszor a szolgáltató segítőkészebb, mint gondolnád.
- A hozzászóláshoz be kell jelentkezni
Minek rakjon be egy Rpi-t, mikor ott vannak az Ubuntu szerverei?
- A hozzászóláshoz be kell jelentkezni
Az elnevezés, amit keresel, az a bastion host, bár azt meg illik külön zónába rakni :-P
- A hozzászóláshoz be kell jelentkezni
De nem tudja elérni kívülről, ezért mint bastion host egy picit rezeg. Másrészt külön host-nak lehetne értelme, de lehet, hogy ennyire production dolgot nem egy Rpi-ra bíznék, de ez saját ízlés.
- A hozzászóláshoz be kell jelentkezni
Próbáld meg hátha támogatja a dynamic port forwardingot az a router (kézi port forward gondolom nem fog menni mert nem tudod konfolni).
Like this: https://wiki.dd-wrt.com/wiki/index.php/Port_Forwarding#Port_Forwarding_…
Ha ez megvan, akkor a dyndns bejelentést bármelyik tetszőleges belső gép is el tudja végezni, mert meg tudja ő állapítani a public ip-t.
Ha ez nem megy, akkor a szolgáltatótól meg kéne kérdezni hogy lehetne-e esetleg belső port forwardot beállítani.
--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead
- A hozzászóláshoz be kell jelentkezni
Esetleg ez?
https://community.openvpn.net/openvpn/wiki/RoutedLans
kint felhuzol egy openvpn szervert, arra meg fixen felcsatlakozik egy kliens, amin keresztul latod a belso halot.
- A hozzászóláshoz be kell jelentkezni
Amíg nem lesz VPN-ed, shell elérésre Teamviewer helyett próbáld ki az ssh alapú teleconsole-t.
https://github.com/gravitational/teleconsole
https://www.teleconsole.com/
--
Légy derűs, tégy mindent örömmel!
- A hozzászóláshoz be kell jelentkezni
Keress ra az "ssh reverse tunnel" kifejezesekre. Ha van legalabb egy fix publikus IP cimed valahol, akkor ez megoldja a porblemaidat.
- A hozzászóláshoz be kell jelentkezni
Mindenkinek köszönöm a válaszokat, tesztelem a lehetséges megoldásokat.
Nagyon jó ötletek jöttek!
- A hozzászóláshoz be kell jelentkezni