Trükkös kapcsolódás NAT mögötti gépre

Hálózatok egyéb

A következő a felállítás:

Adva van egy otthoni gép aminek van állandó, külső, fix IP-je és egy munkahelyi gép ami NAT, tűzfal, satöbbi mögött van.
Melóból egyszerűen tudok kapcsolódni az otthoni gépre ssh, remotedesktop satöbbivel ha az otthoni gép be van kapcsolva. Néha viszont pont az ellenkezőjére lenne szükségem. Otthonról kapcsolódni a melós gépre sshval pl. Ennek akadálya a NAT.

A következő trükköt találtam ki erre:
Kellene egy olyan Instant messenger software, amelyet állandoan "online" hagyok a melos gépen, ha ennek küldök egy instant üzenetet, ez nem csinál egyebet mint elindít egy scriptet ami egész egyszerűen ssh-val csatlakozik az otthoni gépemre és forwardolja a megfelelő portokat megfelelő irányba, máris megvan a kommunikációs csatorna a melós géppel.

Keresgéltem a neten ilyen IM kliens után, de egyrészt nem találtam, másrészt meg olyan nehéz megfogalmazni a problémát keresési kulcsszavakban, hogy nem igazán jártam sikerrel. Arra is gondoltam, hogy letöltök egy opensource IM klienset, ennek mocskolok majd bele a kódjába, csak nem igazán füllött még a fogam ehhez, utolsó lehetőség lenne, ha minden más esik.
Kérdés az lenne, hogy találkoztatok-e ilyen vagy ehhez hasonló klienssel, vagy egy ilyen kapcsolódási elgondolással NAT mögötti gépre és ha igen, hogyan volt ez kivitelezve a valós életben.

  • 3948 megtekintés

( colos | 2006. 10. 24., k – 21:56 )

a megvalositas attol is fugg, hogy milyen szoftverkornyezet van a munkahelyeden

udv Zoli

( kecsa | 2006. 10. 24., k – 21:57 )

Miert nem lehet allando kapcsolat a ket gep kozott?

Szerintem is okos, csak egy baj van vele. Nem indíthatok el egy scriptet a munkahelyi gépemen, ami 5percenként kapcsolódni próbál az otthoni gépre, attol függetlenül, hogy ez online van vagy sem, azt is figyelmen kívűl hagyva, hogy egyáltalán szükség van-e a kapcsloatra jelen pillanatban. Elvileg elindíthatnám, csak ez nem egy elegáns megoldás. Egyébként windoz fut melóban, nem tudom cygwin mennyire "értelmezi" a cron-t, sz'al ez fizikális akadály is.

Szerinted egy futo IM kliens hanyszor probal kapcsolodni kulonfele serverekhez? Akkor mar egy SSH tunnal celzottan az otthoni gepedre joval kisebb kockazat.

BTW sok redszergazda nem hiszi el, hogy a csoda tuzfala mogott ulo gepre be lehet lepni egy kihuzott SSH tunnel segitsegevel. Igy jobb, ha nem is tudnak rola, csak zavarna a pici lelkuket.

( Pontscho | 2006. 10. 24., k – 22:44 )

Úristen. A kulcsszó: VPN. Ha a céges policy engedi. Ha nem, akkor a többi ténykedésed is "törvényellenes".

---
pontscho / fresh!mindworkz

Engedi, viszont mindíg gáz van vele. Állandóan leesik a vpn szerver és mindíg a rendszergazdák nyakát kell járni. Ha este 10kor nem tudsz kapcsolódni otthonról VPN-el nem hívhatod a rendszergazdat telefonon, kell egy alternatív megoldás ami nem függ más embertől.

Adminisztratív módon: Le kell írni, hogy tilos, és s..berúgás jár érte, majd a naffőnökkel aláíratni. Aztán lehet nézegetni a hosszantartó ssh-kapcsolatokat a tűzfalon, meg esetlg érdekes kérdéseket feltenni a felhasználónak -- vagy fogni egy dedikált gépet, amiről ki lehet menni 22-es portra, a többiről meg letiltani.

itt technikai megoldasra gondoltam nem adminisztrativra. egyebkent a 22-es (es a tobbi) port tiltasa semmit nem er, ha engedelyezve van https kapcsolat akkor még a protokoll elemzo tuzfalak is kiengedik a kapcsolatot tapasztalatom szerint, ezert kerdeztem hogy mit lehet tenni ez ellen?

udv Zoli

Mégegyszer mondom: adminisztratív úton tudod a problémát kezelni. Ha kifelé a 22 meg a 443 portra mehet a delikvens gépéről csomag, akkor egyszerű és olcsó/ingyenes technikai megoldást szerintem nem fogsz találni. Ha nagyon kell, nézegesd a fizetős Zorp-ot:
http://www.balabit.hu/products/zorp/docs/
http://www.balabit.hu/common-dl/tuts/TUT_3.1_https_060626_en.pdf
http://www.balabit.hu/common-dl/tuts/TUT_3.1_ssh_060626_en.pdf

Ha nem hagyod, hogy folyamatos legyen a https kapcsolat (javítsatok ki, van valamilyen keepalive/connect vagy valami ilyen protokollüzenet, ami alapból böngészéshez nem kell), akkor nem megy az ssh over https. A másik, amit zeller kolléga ajánlott. Céges policyba beveszed, hogy nincs magán forgalom, minden szűrésre kerül (fontos a lepapírozás, mert így pl az internetbank hozzáférés is vagy monitorozdik, vagy nem megy), aztán teszel egy zorpot középre, ami végződteti majd újracsomagolja az ssl-t, és ha nem megfelelő forgalom van benne, akkor bukta.

Ez az a kategória, amikor nem megy :-)

Olyankor megy, ha a kliensnek még nincs meg a szerver kulcsa. Ebben az esetben a zorp lenyeli a kulcsot és a sajátját nyújtja mindkét fél felé. Teljesen transzparens, kivéve ha észreveszed, hogy valami nem stimmel a kulccsal.

Úgy, hogy a Zorp csak a bejövő SSL-t csomizza ki. A kimenő SSL-t nem. Mivel általában a bejövő SSL leközli a tanusítványát is, ez az egyszerű. A SSH over HTTPS így is lebukik, hiszen a visszajövő csomagnak sincs semmi köze a HTTP-hez. Az a titka sztem a dolognak, hogy a Zorp automatice megbizik abba a tanusitványba, amire nem mondod Te azt, hogy megbizhatatlan.

HA a VPN este 10-kor a munkádhoz kell, és az adott feladatodat akkor kell megcsinálnod, akkor szerintem igenis hívhatod az ügyeletes rendszergazdát/supportost, hogy oldja meg a problémát. Ha a probléma rendszeresen felmerül, eszkalálj a főnöködnél, hogy csináljanak valamit, mert így x-y-z feladatodat nem tudod megcsinálni. Utána meg kérdezz meg, hogy mit ajánlok VPN-ügyben :-))

( DoDver | 2006. 10. 24., k – 23:51 )

Nagyon egyszeruen megoldhato: felraksz egy openvpn szervert az otthoni gepedre, es a ceges gepedrol kapcsolodsz hozza, es pont. Amint bekapcsolod az otthoni geped, a munkahelyeden levo gep openvpn kliense egybol kapcsolodik. Masik megoldas lehet, h kersz egy portforwardot a munkahelyi geped fele.

( hgy | 2006. 10. 25., sze – 10:22 )

Ha a melos gep win es az otthoni gep is win, akkor
hasznalad a www.logmein.com-ot.
Ez https-es kapcsolaton keresztul tolja a cuccot, tehat secure.
Reg utan telepiteni kell a cel gepen egy klienst, ami tapasztalataim szerint
igen hatasosan atmegy minden natos, tuzfalon, mert a https port mindenhol nyitva van(többnyire).

Utana barhonnan 1 windowsos geprol, bongeszon keresytul(ie,firefox) keresztul tudsz a celgepre belepni.

Mindez https-en keresztul.

Akkor már inkább hamachi. Ez nem távoli asztal, ez csak VPN. Otthonra ingyenes. Mivel P2P nem kell szerver (csak ahhoz, hogy a kliensek egymásra találjanak).
Elindítod a benti gépeden, meg az otthonin is. Ha mind a 2 gép megy, a VPN -es IP címükön látják egymást. A VPN -es IP -k között meg azt használsz amit akarsz (SSH, VNC, Terminal services, CIFS (samba), FTP, etc ...)

Rosszul alvásra adhat okot, hogy 3rd party (Logmein) beleláthat a kapcsolatba a titkosítás ellenére is.

Ha opensource -t akarsz akkor wippien. Bár régen ez windows only volt, és sosem próbáltam.

( furge | 2011. 07. 25., h – 12:01 )

teamviewer

felrakod a klienst és bekapcsolva hagyod amikor mégy el. felírod az ID-t és beállítasz egy jelszót. akkor az otthoni gépről tudsz rá csatlakozni. tud vpn-t is csinálni vagy akár teljes képernyő átvétel. már sok linuxon is működik.

( fhuse | 2011. 07. 25., h – 13:53 )

Esetleg dropbox?
Már ha a melóhelyről megy.

Gép figyel egy foldert amiben mondjuk,
ha megjelenik egy file lefuttaja.
Ez konkrétan konnektál haza. :)
Végén átnevezi/törli stb. magát.