Dotaz: Jak přes NAT

Dobrý den, chtěl bych se zeptat, jak by se dal vyřešit tento problém: Mám dva PC, oba dva za NATem, každý v síti jiného poskytovatele, na jedom WinXP na druhém Kubuntu. Tedy asi takto:

PC-WinXP----NAT_01--...--internet--...--NAT_02----PC-Kubuntu

. Potřeboval bych tedy vytvořit stabilní spojení mezi těmito počítači. Když jsem hledal, narazil jsem na program nat-traverse, je to program psaný v perlu. Překompiloval jsem ho tedy do *.exe kvůli spuštění pod windows (nemůžu si dovolit spouštět přímo perlový skript, protože PC-WinXP se mění, a tak bych nemohl na každý nahazovat perl. Zkompilovaný program se zdá, že funguje (tedy soudě podle toho, že kompilace nevyhodila žádnou chybu a program nabídne nápovědu k parametrům apod, víc se mi ho věrohodně odzkoušet zatím nepovedlo)(Kompiloval jsem ho programem ActiveState Perl Dev Kit 7.0 Deployment resp. programem PerlApp.exe, jež byl jeho součástí., pokud byste si chtěli ověřit, zda je dobře nakompilovaný, "exáč" je tady http://uloz.to/181333/nat-traverse.exe)

Když se pak snažím vytvořit stabilní spojení mezi těmito PC podle tohoto článku na rootu (http://www.root.cz/clanky/prelez-preskoc-a-podlez-nat/) spojení skončí hláškou:

> Creating socket localhost:PORT <-> IP:PORT... done.

> Sending 10 initial packets... .......... done.

> Waiting for ACK (timeout: 10s)... .Couldn't read from socket: Unknown error

Napadá Vás, jak by se to dalo vyřešit, popř. jak ověřit, že tento je opravdu dobře zkompilovaný a chyba není v něm (BTW pogram je v příloze)? Popř. znáte nějaký jiný program? Děkuji.

PS. Myslíte, že by to zjednodušilo problém, kdybych měl namapované nějaké porty z NAT-01 na PC-WinXP (to je totiž jediné, jak bych to teoreticky mohl zjednodušit, přístup k NAT-01 nemám, takže o namapování na tento můžu požádat admina, ale to je jediné zjednodušení, které mě napadá, jinak obecně nemám přístup na žádný z těch NATů)

Pokud můžete z NAT-01 namapovat nějaké porty na PC za ním, máte vyhráno. Nechte si nějaký port namapovat, na tom PC s WinXP rozběhněte nějaký SSH server (můžete zkusit třeba SSHWindows – ale jenom jsem to našel přes Google, osobní zkušenost s tím nemám), a z druhého PC už můžete navázat ssh spojení a vytvořit si tunel.

možná je to hloupost, ale zkoušel jsi program hamachi? Vytvoří to virtuální LAN síť přes internet a existuje jak win verze, tak linux (hamachi, quamachi). Jenom si nejsem jistý jaký práva to potřebuje na tom XP (jestli nebudeš potřebovat admin práva)

... a z druhého PC už můžete navázat ssh spojení a vytvořit si tunel.

Jak z PC-WINXP navázat ssh spojení vím, ale jak vytvořit tunel to už ne . Na Winech používám program FreeSSHd, šlape mi dobře, ale asi jsem to napsal špatně, trochu to tedy pozměním: mám možnost napamovat porty z NAT-02 na PC-Kubuntu, ze kterého by se mělo ve většině případů přistupovat na PC-WinXP schované za NAT-01. Snažím si napsat nějaký takový skript aby byl se dal spustit na Winu, který by mi vytvořil po spuštění na PC-WINXP stabilní spojení s PC-Kubuntu, ze kterého bych pak na něj přistupoval. Skript si volá nějaké systémové programy, a vytvoří server, který naslouchá na určitém portu na příchozí spojení. Jenže zatím funguje pouze na PC s veřejnou IP a to se mi pro moje potřeby, kdy potřebuju přistupovat na oba PC z nichž jsou oba dva schované za natem nehodí. (i když ve skutečnosti ten, ze kterého nejčastěji přistupuju (PC-Kubuntu) může mít namapované nějaké porty na svůj NAT-02). Tak jsem do toho skriptu chtěl napsat, aby si pro vytvoření serveru čekajícího na spojení vyvolal ten nat-traverse, který by přesměroval pakety z NAT-01 na PC-WinXP do toho otevřeného terminálu, jenže s tím mi to nějak nejede (nevím jestli špatnou kompilací perlového skriptu do .exe, nebo špatným užitím příkazů). V každém případě, pokud byste věděli o jiném programu než nat-traverse, který se dá volat z shellu (bez GUI) k vytvoření stabilního spojení mezi dvěma PC schovanými za NATem, byl bych moc rád. Děkuji.

plink -N -R 3389:localhost:3389 user@server.example.com

Užití toho skriptu by mělo být asi takové: Např. Jsem doma na PC-Kubuntu za NAT-02 a strejda mi napíše, že mu něco nejede na PC. Tak místo toho, abych mu vysvětloval, kde najít jaký ssh server pro winy, jak ho nakonfigurovat a spustit, tak bych mu poslal ten svůj skrip, on by na něj poklikal a tím by vytvoři stabilní spojení mezi mnou a sebou na PC-WinXP za NAT-01 naslouchající s otevřeným terminálem na nějakém portu, na který bych se už pak připojil. Skript už mám vcelku napsaný, jen jak jsem psal, funguje na PC s veřejnou IP a to bych právě potřeboval nějak pořešit a jediné, na co jsem zatím přišel, byl právě ten perlový nat-traverse, který jede asi jen pod linuxem.

Možná by se to dalo ošéfovat vědomým užitím nějakého méně známého trojana, jenže to mi v otázce bezpečnosti nepřijde moc vhodné a navíc nevím, jestli by se na něj dalo přistupovat z lnx.

#!/bin/bash
#Pokud to chces bez hesla, pouzij prihlasovani pomoci klicu
xterm -e\
'ssh tvoje_jmeno@tvuj_nat2:presmerovany_port -R5000:localhost:22'

Nevím, jestli chcu něco co vlastně ani nejde, ale řešil jsem tento problém. Sem tam mi někdo řekne, že má nějaký problém na PC a nejlépší řešení by většinou bylo přihlásit se do příkazového řádku daného uživatele, spravit to a hotovo. Protože by bylo na dlouho říkat tomu dotyčnému, kde stáhnout jaký ssh server, jak ho nakonfigurovat, požádat ho o heslo k přístupu, popř. dělat to samé přes vzdálenou plochu, tak jsem si řekl, že bych si napsal nějaký DOSový skript, ke kterému by byly přiložené nějaké shellové programy, které by si podle potřeby tahal. Tyto programy by měly mít i své "linuxové dvojče", protože jsem střídavě na obou systémech. Zatím jsem takový skript napsal, ale funguje jen v interní síti, kde každé pc "vidí" přímo na druhé. Základem toho skriptu je program netcat, který si volá. Tento program spuštěný s parametry "nc.exe -L -pPORT -d -e cmd.exe" začne poslouchat na zadaném portu a když se k němu připojíte nějakým klientem např. telnet IP PORT, tak vám předá shell právě přihlášeného uživatele. Vše jde bez hesla, zkrátka dotyčný poklepe na ten skript a já se vzápětí připojím na otevřený terminál jím vytvořený. Problém ale samozřejmě nastal, když se jeden nebo oba z daných PC dostaly ven z interní sítě. Nejjednoduší by tedy asi bylo, zeptat se dotyčného na externí a interní IP a spustit nějaký program, který snad vytvořil ?tunel?, kterým by mě "přenesl" z mojí interní ip přes moji externí a jeho externí až k jeho interní ip a tam by se připojil právě na ten naslouchající netcat. Pravda, že to bez hesla všechno není zrovna asi nejbezpečnější, ale na "tu chvíli". Pokud by existovalo nějaké lepší řešení a hlavně časově vědomostně nenáročné pro dotyčné uživatele, nebo alespoň nějaké, kde by se mohli vyhnout instalování a konfigurování nějakého serveru, ke kterému bych se připojilv a zároveň se též vyhnout sdělování si přístupových hesel do systému, byla by to paráda.

Inspirujte se zde http://en.wikipedia.org/wiki/UDP_hole_punching

Tady je řešení, které sám spokojeně používám na několika místech:

Žádný nat-traverse, chownat ani jiný program pro UDP hole punching nepotřebuješ. OpenVPN totiž UDP hole punching zvládá automaticky sama (je to prostě dáno už její podstatou, že používá UDP). Stačí standardní point-to-point konfigurace OpenVPN, s tím že jako remote stranu v konfiguráku nastavíš adresu protějšího NATu. Ještě je také potřeba nastavit volby persist-tun, persist-key a ping, aby se OpenVPN o to spojení snažila i když jí druhá strana neodpovídá a neukončila se.

Tady je moje nastavení OpenVPN:

# Basic settings
dev tap
proto udp
remote nat.adresa.cz
ifconfig 192.168.1.1 255.255.255.0
port 5010
comp-lzo
secret muj_klic.key

# Ping settings
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
resolv-retry 5

# Logging
verb 3
mute 5

# System user
user nobody
group nobody

Nastavení je na obou stranách stejné, jenom to co jsem vyznačil tučně je třeba změnit (vždycky musí být nastavena adresa protějšího NATu a samozřejmě vnitřní IP adresy se musí lišit).