AbcLinuxu:/ Poradna / Linuxová poradna / Dálkový přístup po síti

Štítky: bezpečnost, IPv6, monitorování, Nechápu, net, router, řešení, SSH

Dotaz: Dálkový přístup po síti

14.1. 07:27 sanoch | skóre: 7
Dálkový přístup po síti

Přečteno: 1367×

Odpovědět | Admin

Zdravím vespolek,

řeším vzdálený přístup k monitorování FV mikroelektrárny. Poradil by prosím někdo začátečníkovi nějaké nejjednodušší řešení? Terminálu se nebojím, ale po pročítání různých návodů a řešení na netu jsem z toho jelen. Nechápu dost dobře, jak se probourat ven přes router.

Schéma:

PC1 - router1 - net - router2 - PC2 + zařízení2

Tuto komunikaci bych potřeboval samozřejmě obousměrně, mezi PC1 a PC2 potřebuji SSH. Ideálně aby nebylo třeba veřejných IP adres. Pro router1 by byla k dispozici veřejná IP, ale pouze IPv6.

Pomohl by mi prosím někdo vysvětlit jak na to(trochu polopaticky)? Špatně se mi chápou věci, o kterých nevím, co přesně dělají. Potřebuji znát alespoň základní princip. Bezpečnost bych pro začátek neřešil, předpokládám, že řešení půjde postupně doladit.

Předem děkuji za rady.

S pozdravem Richard

Nástroje: Začni sledovat (1) ?

Odpovědi

14.1. 08:53 nikto
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Ak mas router kde vies rozbehnut VPN WireGuard, tak ti staci na jednej strane verejna IP(je jedno ci IPv4 alebo IPv6) a spravis si spoj site-to-site.

14.1. 09:21 .
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Neměl by být problém "probourat" se přes router ven. Předpokládám, že PC1 i PC2 mají přístup na "net". Potřeba je pak z netu se dostat na PC za routerem.

Nejjednodušší možnost je nastavit přesměrovaní portu a prakticky všechny routery to umí. Takže na router2 naklikáš, že port X se má přesměrovat na [PC2 port Y]. Když se pak připojiš na router2:X, tak spojení půjde na PC2:Y. Podobně opačným směrem. Ale k tomu je teda potřeba veřejná adresa (toho routeru). Pokročilejší možnost je VPN, jak píše kolega výše.

Pokud nemáš veřejnou adresu, ani jiný další server s veřejnou adresou, přes který bys to tuneloval, tak můžeš může použít služby jako "ngrok" nebo "tailscale". Princip je prakticky stejný, získáš přesměrování portu nebo VPN a ta jejich appka a servery obejdou to, že nemáš veřejnou adresu.

14.1. 11:06 Xerces
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

... Ideálně aby nebylo třeba veřejných IP adres. Pro router1 by byla k dispozici veřejná IP, ale pouze IPv6. ...

Tady si asi protiřečíte v zadání. Každopádně minimálně 1 veřejnou adresu potřebujete, pokud chcete komunikovat přes veřejné prostředí (Internet) ať už IPv4 nebo IPv6. Když budete mít pod svou správou 1 (ať už u sebe na některém z routerů, PC, nebo přímo zařízení) nebo někde venku, budete muset různě tunelovat. Pokud budete mít na každé straně 1, můžete navázat plnohodnotné obousměrné připojení. Pokud máte IPv6, nebudete mít jen 1 adresu, většinou se přiděluje rozsah, kterým byste měl být schopen pokrýt jak router1, tak PC1. Doporučuji si IPv6 zajistit i pro protistranu a nekomplikovat si to.

14.1. 11:49 sanoch | skóre: 7
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Ano, tam jsem to špatně formuloval. Mám k dispozici veřejnou IPv6 na straně "router1". Potřeboval bych ovšem přístup na stranu PC2 nejen z PC1 ale i třeba z telefonu. Samozřejmě na obou stranách PC1 i PC2 Ubuntu. Potřebuji to dočasně, než se navrhne a odsouhlasí konečné řešení.

14.1. 15:02 Xerces
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Z PC2 spusť ssh směrem na ROUTER1 který má veřejku a nahoď permanentní reverzní tunel na vybraný port. Potom, dokud to neupadne, se na ten port můžeš připojit odkudkoliv a dostaneš se na PC2. Když použiješ autossh ma PC2, tak se ti to při pádu znovu obnoví. Trochu sofistikovanější řešení je rozjet si tam vlastní VPN, ale v principu je to to samé. Jestli to je dočasné, tak přes ten reverzní tunel je to asi nejjednodušší.

14.1. 15:04 Xerces
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Předpokládám, že ty routery umí sshd a nejsou to nějaké jednorázové krabičky, které dávaj v TESCO k nákupu nad dva tisíce.

14.1. 17:50 sanoch | skóre: 7
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Děkuji. Co mám tedy hledat v popisu funkcí routeru?

Jinak jedná se o TP-link Archer AX23, co jsem se dočetl, tak VPN WireGuard, jak psal kolega výše, umí. Na něm bude veřejná IPv6.

Router2 je Zyxel VMG3625-T50B, dnes přišel od T-mobilu. Net na straně routeru2 budou zapojovat teprve v pátek odpoledne. Chtěl bych do té mít informace pohromadě, těžko někoho otravovat v pátek večer a o víkendu.

Nebude nejjednodušší vynechat router2, vrazit WAN přímo do PC2 a v něm nastavit síť jako by to byl router?

14.1. 18:41 Xerces
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Takže to jsou krabičky. Záleží co máš na těch PC za systémy (jestli je máš pod svou kontrolou), co potřebuješ na těch jednotlivých stranách všechno sesíťovat dohromady. Jestli je to přesně podle obrázku, tak router1 nemusí být fyzický, ale mužeš si routování nastavit přímo v rámci PC1. To je ale asi jen implementační detail. Koukal jsem na ty routery a TP-Link umí VPN WireGuard a OpenVPN a Zyxel pak jen OpenVPN, tak bych doporučil to v první fázi zkusit naklikat na OpenVPN přes webové rozhraní těch routerů. Detailněji neporadím, co kam kliknout. pokud by PC1 a PC2 byly s možností OpenSSH, tak osobně bych ten router1 zrušil, nahodil veřejku na PC1 a z PC2 bych si tam postavil ten tunel, ale samozřejmě VPN je víc "profi".

14.1. 18:56 sanoch | skóre: 7
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Díky, už se blížíme tomu, co jsem vlastně požadoval. Teď si teprve uvědomuji, že jsem požadavky napsal hodně obecně a nepřesně. Rourer1 musí být zatím zachován, je do domácí router.

Docela blbě jsem definoval požadavky na straně router2. Na tuto stranu se potřebuji dostat zvenku nejméně ze dvou míst. Z domu ze strany PC1 a z telefonu, případně notebooku. Fakt tomu téměř nerozumím, proto se ptám. Jistě se to dá nastudovat na netu, ale mám dva problémy:

1) Nevím jak přesně formulovat, co přesně chci 2)Slabá angličtina

Tudíž nejlépe česky, ale pomocí translatoru bych to asi taky nějak dal.

14.1. 18:51 Xerces
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Pokud stačí připojit jen jedno zařízení (PC), tak bych to dalším routerem mezi zbytečně nekomplikoval. Podle obrázku ale na druhí straně je jak PC2, tak zařízení, takže tam nějaká síť a tedy i router bude muset být. Samozřejmě pokud to PC2 má 2 síťovky, tak to jde píchnout za něj a routovat na tom PC2. Pokud to chceš mít jednoduše konfigurovatelný, tak to musí být co nejjednodušeji zapojeno, samozřejmě s ohledem na možnosti použitého HW.

14.1. 19:21 sanoch | skóre: 7
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Pokud jsem to dobře pochopil, nebude potřeba při OpenVPN veřejných adres. Zkusím to udělat s tím co mám k dispozici, tudíž s výše uvedenými routery. Jen mi není jasné, na které straně má být OpenVPN server a na které klient. Na straně Router2 bude optické připojení, tudíž nejrychlejší. A potřebuji obousměrnou komunikaci.

14.1. 19:41 Xerces
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

To je jedno z kolika míst se tam chceš připojovat. Jakmile to jednou spojíš, tak tam můžeš třeba z Čeljabinsku z čehokoliv co umí ssh nebo VPN. Veřejná adresa je potřeba pro spojení vždy, bez ní to prostě nejde. To je princip Internetu. Minimálně jedna, ale ideálně samozřejmě 2 :-)

Když se někde píše, že není potřeba veřejná IP adresa, tak je tím myšleno, že tu adresu nemusíš vlastnit ty, ale použijí se nějaké servery třetích stran (třeba za úplatu, nebo free). K těm se ale musíš taky připojit pochopitelně přes veřejnou IP. :-)

VPN server bude na router1 kde je ta veřejka. On ten TP-Link myslím VPN clienta ani neumí. VPN klient bude na tom Zyxelu (případně rovnou na PC2 nebo zařízení) a pak pochopitelně na všech strojích (všetně mobilu) se kterými se k té VPN budeš chtít připojit. Tak bych to viděl já. Jestli jsi to nikdy nedělal, tak počítej s tím, že se tam budou generovat ověřovací ceritfikáty pro spojení.

14.1. 20:19 Xerces
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Jo a doporučuju si to vyzkoušet už teď třeba s tím mobilem, notebookem a PC1, protože k PC2 budeš muset vzhledem k absenci veřejný adresy osobně a když to tam pak nastavíš blbě, tak se ujezdíš. :-)

14.1. 21:37 pavele
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Na PC1 a PC2 si nainstaluješ SSH server.

Na router1 si nastavíš přesměrovaní vybraného portu z routeru (například 4444) na port 22 (SSH server v PC1).

Otestuješ si připojení zvenku třeba z mobilu: ssh uživatel_na_PC1@IP_router1 -p 4444. Měl by ses dostat na PC1.

Na PC2 spustíš příkaz:

ssh -R 3022:localhost:22 uživatel_na_PC1@IP_router1 -p 4444

Z PC1 se potom dostaneš na PC2 příkazem: ssh -p 3022 uživatel_PC1@localhost

Z internetu se potom dostaneš na PC2 příkazem:

ssh -J uživatel_na_PC1@IP_router1 -p 4444 uživatel_PC1@localhost -p 3022

Až ti to bude fungovat včetně klíčů, tak si na PC2 můžeš nastavit/nainstalovat autossh.

Další možná varianta je nainstalovat si na oba PC HAMACHI a z mobilu přistupovat přes:

ssh -J uživatel_na_PC1@IP_router1 -p 4444 uživatel_PC2@IP_hamachi

Nebo si zkusit nastavit tu VPN, to by mělo taky fungovat...

15.1. 08:14 sanoch | skóre: 7
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Příloha:

screen.jpg (155635 bytů)

Dá se považovat statická IP WAN routeru za věřejnou?

15.1. 10:55 pet I. | skóre: 13
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Tato (zacinajici 10.xxxxxxxx) neda.

21.1. 09:50 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Pozn. Pokud poskytovatel připojení k Internetu provádí v rámci své infrastruktury překlad z veřejné IP adresy na privátní IP adresu wan rozhraní routeru klienta (klidně i z rozsahu 10.x.y.z) musî se chápat tato jako veřejná IP adresa (ve smyslu router je exponován do Internetu). Posuzovat pouze podle rozsahu IP adres může být někdy zavádějící.

21.1. 22:44 Xerces
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Co je na tom zaváděcího? Když se od sebe pokusím dostat desítkovou IP, tak se dostanu kam? Posuzovat podle rozsahu IP dle RFC zavádějící není.

25.1. 00:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Někteří ISP dělají, že máš na svém routeru IP z privátního rozsahu, ale chodí ti jakoby provoz z veřejné IP která ti patří. Je to asi kvůli tomu, aby tu veřejnou IP nemuseli routovat celou svou sítí. Pokud by sis nechal třeba jen přesměrovat port, tak to takhle bude vypadat úplně.

26.1. 22:39 Xerces
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Dobře, ale pokud tady někdo položí základní dotaz, tak na něj přeci nevybalíte všechny možný obskurnosti a nezakončíte to důkazem zpochybňujícím existenci Vesmíru. Forma a terminologie odpovědi by měli odpovídat předpokládáné schopnosti tazatele chápat. Takže hezky jako na základce. Nezpochybňovat základní pojmy a pravdy, veřejná adresa =, neveřejná adresa =, Internet =, Intranet =, VPN = :-)

25.1. 00:27 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Na něm bude veřejná IPv6.

A to druhé zařízení má IPv6? Protože pokud ne, tak je to k ničemu, nebudou si mít jak povídat. (leda že by sis tam pořídil nějaký IPv6 tunel)

15.1. 12:02 fwd
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Já používám VPN mobil - homeassistant pomocí Zerotier Mrkni na to. Jednoduché mastavení a klienti jsou pro mobil i PC. Je tedy VPN mezi zařízeními. V jedné síti se zadarmo může použít asi až deset zařízení, myslím.

19.1. 19:23 Hanz
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Nainstaluj Tailscale na obě PC... Veřejnou IP nepotřebuješ.

21.1. 08:16 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Co znamená „pouze IPv6“? Je tam IPv6 rozsah → není co řešit, vše je vyřešeno.

Adresa je samozřejmě veřejná, proto se jmenuje adresa, a IPv6 je … takzvaný internet, de facto.

Takže se prostě připoj na veřejnou IP(v6) adresu toho zařízení. Na routeru nastav firewall tak, aby příslušné příchozí připojení zvenčí umožnil (zakazuje-li ho).

Bezpečnost bych pro začátek neřešil, předpokládám, že řešení půjde postupně doladit.

Tohle vždycky skončí jediným možným způsobem.

21.1. 17:37 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Pokiaľ dostane IPv6 tak ako pred rokmi ja (funkčné len s IPv6 Privacy Extensions a aj to len čiastočne), tak mu je verejná IPv6 adresa bez DNS naprt.

13.2. 20:49 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Dostane IPv6 rozsah. Proč do toho mícháš privacy extensions? Ty si může ve své vnitřní síti (ne)nastavit, jak (ne)chce.

13.2. 22:33 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Pretože keď som to vypol, tak mi to odmietlo prideliť akúkoľvek IP adresu ktorá by videla von. Proste to zmršili na kompletku.

Riešením bol stroj času a návrat ku osvedčenému a plne funkčnému IPv4.

30.1. 18:02 hombre
Rozbalit Rozbalit vše Re: Dálkový přístup po síti

Jak zminuji ostatni diskutujici vyse Tailscale. Nebo Zerotier primo na router a jsi schopny si zaridit pristup do cele site za danym routerem. Tusim, ze OpenWrt podporuje jak Tailscale tak Zerotier. Mikrotik jen Zerotier. Dalsi moznost je si nastavit Tailscale primo na PC jako end node a mas to to same, pristupny cely subnet i bez verejne staticke IP. A to zadarmo, a to se vyplati. B-D

Založit nové vlákno • Nahoru

Tiskni Sdílej: