Ötletek távoli elérésre

 ( Carter | 2018. október 10., szerda - 12:33 )

Kinek milyen ötlete van a következő problémára:

Adott egy hálózat, amit egy szolgáltató által adott optikai végponton lévő router irányít [ebbe nem lehet belépni], csak DHCP-vel ip címet ad, dobozba nem tudok bemenni, ráadásul dinamikus a külső ip. Ezen hálózatban belül vannak gépek, amiket kívülről el kellene érni.
Gépeken ubuntu server.

Megoldás most:
Van egy windowsos gép, azt kívülről teamviewerrel megnyitom, majd arról putty az ubuntu gépekre.

Nagyon nem szeretném bridge módba rakatni az optikai végpontot és új routert vásárolni! Tudom, hogy azzal nagyjából minden gond megoldódna.

Ezen kívül valakinek ötlet esetleg?

Talán egy VPN szervert beállítok, amikhez csatlakoznának az ubuntu gépek. Itt jön a full amatőr kérdés: Ha az irodában van egy VPN szerver, ahol most vagyok és ide csatlakoznak azok az ubuntu szerverek, akkor én simán láthatom őket a belső hálózatomon, mintha itt lennének fizikailag? Az ubuntu gépeken hogy látom, milyen IP címük van?

Előre is köszönöm építő jellegű válaszotok! A nem építő jellegűeket (RTFM) is köszönöm!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A vpn szerver és a kliensek között lesz egy külön szubnet, amiből a kliensek (Ubuntu szerverek) ip-t kapnak. Eléred ezeken is, ha mindegyik külön-külön kapcsolódik a vpn szerverhez (persze a vpn szerver oldalán is meg kell csinálni jól a routingot a többi gépre erre a tartományra). Ha csak egy Ubuntu kapcsolódik fel és a többi ezek kereszül, akkor nyilván jó beállításokkal (és ha a két telepen különböző az alap belső hálózati szegmens), akkor átrorutolható oda-vissza a másik belső tartomány a vpn-en keresztül és a normál belső címek alapján éred el. Ha pont ugyanaz a subnet van használva mindkét oldalon, az macera.

Bármennyire is nem szeretnéd, azért egy ilyen igény biztonságos és üzembiztos megoldásának elsődleges feltétele egy saját kézben tartott, igény szerint konfigurálható router.

B verzióként a szolgáltató router-e szinte biztosan támogatja az uPnP-t, amin keresztül a belső gépek elvileg kérhetnek tőle port forward-ot a tűzfalon. (ennek pontos módját, szükséges ubuntu kliens progit nem ismerem, de googli biztos segít, egy próbát megérhet)

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Különösebb gond nélkül működhet a vpn belső gépen is, ha nem fér hozzá a routerhez.

Bentről kifelé persze, HA van egy publikus saját VPN szervere, ahova "haza-csatlakozhatnak" a kliensek. Jelen esetben épp van, de az elegáns ez esetben is az lenne, hogy a saját kézben levő router csatlakozik "haza" és azon keresztül elér bármit, amit akar. Mert ha a kliens bármi miatt épp nem csatlakozik fel, akkor cseszheti :/

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Nyilván elegánsabb lenne, meg egyéb előnyökkel is járna, de ha vannak peremfeltételek, akkor vannak..:-)

Lehet fura ötlet,de én betennék a véges hálóba egy Rpi-t vagy valami miniPC-t Linux-szal, majd onnan VPN egy küldő fix public IPs gépre (RPI, olcsó VPS). Ha adminisztrálni akarsz, akkor ssh tunnellel be tudsz menni az RPi-ra céges hálón.

Bonyolult,de te magad bonyolítottad meg azzal, hogy nem próbálsz/nem tudsz hozzáférést szerezni a routerhez, illetve nem akarsz újabb routert beiktatni. Egyébként minél bonyolultabb valami annál nehezebb karbantartani. Sokszor a szolgáltató segítőkészebb, mint gondolnád.

Minek rakjon be egy Rpi-t, mikor ott vannak az Ubuntu szerverei?

Az elnevezés, amit keresel, az a bastion host, bár azt meg illik külön zónába rakni :-P

De nem tudja elérni kívülről, ezért mint bastion host egy picit rezeg. Másrészt külön host-nak lehetne értelme, de lehet, hogy ennyire production dolgot nem egy Rpi-ra bíznék, de ez saját ízlés.

Próbáld meg hátha támogatja a dynamic port forwardingot az a router (kézi port forward gondolom nem fog menni mert nem tudod konfolni).

Like this: https://wiki.dd-wrt.com/wiki/index.php/Port_Forwarding#Port_Forwarding_using_UPnP

Ha ez megvan, akkor a dyndns bejelentést bármelyik tetszőleges belső gép is el tudja végezni, mert meg tudja ő állapítani a public ip-t.

Ha ez nem megy, akkor a szolgáltatótól meg kéne kérdezni hogy lehetne-e esetleg belső port forwardot beállítani.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Esetleg ez?
https://community.openvpn.net/openvpn/wiki/RoutedLans

kint felhuzol egy openvpn szervert, arra meg fixen felcsatlakozik egy kliens, amin keresztul latod a belso halot.

Amíg nem lesz VPN-ed, shell elérésre Teamviewer helyett próbáld ki az ssh alapú teleconsole-t.

https://github.com/gravitational/teleconsole
https://www.teleconsole.com/
--
Légy derűs, tégy mindent örömmel!

Keress ra az "ssh reverse tunnel" kifejezesekre. Ha van legalabb egy fix publikus IP cimed valahol, akkor ez megoldja a porblemaidat.

Mindenkinek köszönöm a válaszokat, tesztelem a lehetséges megoldásokat.
Nagyon jó ötletek jöttek!