Dotaz: Jde se připojit na pc přes VPN když nemám Veřejku?

Zkusím ti to vysvětlit jednoduše. Internet je jako pošta, někam pošleš dopis (paket), pak dostaneš odpověď. Když nemáš veřejnou adresu, tak krabičky po cestě až k té, co má veřejnou adresu, si nastaví pravidla, kam poslat paket s odpovědí až dorazí nazpět. Když cestu k tobě nemají nastavenu, nic nemůže k tobě dorazit, a to je situace, když by ses k sobě připojoval zvnějšku teď.

Rada pořiď si poskytovatele, který ti poskytne veřejnou adresu, nebo který ti poskytne plné IPv6 je nejlepší. Pokud to nejde tak si to nechej někým udělat. V zásadě potřebuješ si pořídit někde veřejnou adresu (např VPS) a pak vytvořit propojení z domu k VPS tak, aby když k VPS dorazí paket, tak ti byl přeposlán domů. A to je možné udělat různě, ale bez slušné znalosti toho, co děláš, je to těžce představitelné.

A co máš za poskytovatele připojení k netu? Možná, že veřejnou IP máš a ani o tom nevíš. Počítač za routerem veřejnou IP mít nebude ale to se dá řešit třeba forwardováním portů. Schválně zkus poslat výpisy z

ip a

a

tracepath seznam.cz

ať vidíme, kudy ti to teče.

Co třeba využít Hamachi?

IPv6. Pak není třeba řešit VPN.

(Mimochodem, technologie pro VPN se jmenuje IPSec a příkladem “key exchange” implementace je StrongSwan. OpenVPN je všeho všudy jednovláknová userspace hračka s matoucím názvem.)

Ideální by bylo si sehnat IPv6…

Nebo si tam můžeš rozjet Tor a nastavit si hidden service, kterou nasměruješ na lokální SSH port. A pak se odkudkoli připojíš na xxxxxxxx.onion, kde xxxxxxxx je adresa tvojí služby (otisk veřejného klíče, který se vygeneruje při vytvoření služby). Akorát si na straně klienta nastavíš ProxyCommand, aby se připojoval přes Tor.

P.S. Samozřejmost je vypnout přihlašování heslem a používat jen SSH klíče + mít aktualizovaný systém (resp. balíček openssh-server), prostě se chovat, jako bys měl veřejnou IP adresu.

Jo, jde to! Na tohle se da skvelym zpusobem pouzit SoftEther. Je to velmi jednoduche, velmi vykonne a celkove je to neuveritelne mocny sitovy nastroj. Je to vlastne virtualizace site. Nekde na verejne ip adrese (pronajaty malicky virtual, nebo nekde u kamose, nebo v praci) si postavis server (to je na par tuknuti). Ten server umi spoustu zajimavych veci, ale nas v tomto okamziku zajima jen to, ze to je jakysi virtualni rack a v nem virtualni switche. Muze jich tam byt kolik jen chces a nemusi byt vzajemne nijak propojene a tedy jednotlive virtualni site od sebe mohou byt zcela oddelene. To znamena, ze se muzes klidne domluvit s nejakou skupinou lidi a vsichni pro sve site pouzivat jeden server (rozlozeni nakladu na virtualku) a pritom byt od sebe zcela oddeleni.

Takze na verejne adrese mame tento virtualni switch a do nej "zapichnes" virtualni ethernet kabel (pobezi na nem softether klient) z toho pocitace, ktery je bez verejne adresy a je schovany nekde hluboko za sedmero sitemi a sedmero naty.

Potom vezmes jakykoliv jiny pocitac kdekoliv venku - treba take za sedmero jinymi naty a pripichnes se do nej take klientem. A tim je mezi nima vytvorena virtualni ethernet sit.

Podporuje to vsechny mozne os. Podstatne je, ze to je virtualni ethernet. Takze se na to pripojeni klientem a na jednotlive huby (switche) musis divat jako na kabel zapichnuty do switche. Jako kdybys v tom pocitaci mel sitovou kartu navic. V systemu ti na strane klienta (ten kdesi hluboko) vznikne vedle eth0 zarizeni tap_{zvolene jmeno}, takze napr. v debianu v /etc/network/interfaces tomu priradis nejakou ip adresu a az potom se na tu ip adresu muzes pripojit. Ve windows se ti mezi sitovkami objevi jedna dalsi sitovka a muzes tam cokoliv nastavovat tak jako u jakekoliv jine sitovky.

Nemusis na tom mit ani tcp/ip a muzes na tom provozovat treba ipx/spx, nebo i vlastni protokol - proste to fakt neni ip vpn, ale opravdu ethernet se vsim vsudy!

Pokud nechces na ten vnejsi pocitac instalovat nativniho klienta, tak i to se da, protoze jak jsem uz rekl, tak ten server umi spoustu veci a jednou z nich je i podpora nekterych vpn klientu - napr. ten z windows (l2tp - to uz ale musis provozovat tcp/ip a to stejne chces). Takze se muzes z venku pripojovat i bez toho abys mel nativniho klienta. Pokud mas tech virtualnich switchu definovanych vice, tak na kazdem z nich mas sve uzivatele, kteri se identifikuji jmenem a heslem. Jeden ze switchu je default, takze zadavas pri prihlaseni jen jmeno a heslo, ale kdyz se chces pripojit na jiny nez default (napr. je vice tech, kteri pouzivaji stejny server a pritom jsou od sebe oddeleni), tak zadavas username ve tvaru username@jmeno_hubu (muvim o pripojeni pomoci l2tp, jinak v nativnim klientovi primo volis hub ke kteremu se chces pripojit a pak zadavas uz jen jmeno a heslo).

Kdyz propojis konkretni hub na strane serveru s fyzickou sitovkou (local bridge se to tusim jmenuje - to tlacitko, kde se to zadava), tak tim pripojis celou sit. Takze kdyz budes u sebe za sedmero routery a sedmero naty mit namisto klienta take server (nebo treba jen bridge), tak tim jedinym pocitacem pripojis uplne celou sit a nikdo dalsi z te site nemusi mit zadneho klienta vse je propojene hned. Takze takto muzes propojit 2 hodne vzdalene lokalni site mezi sebou a udelat z nich jedinou lokalni sit. A nemusi to byt ani na fyzickem pocitaci, ale muzes takhle pripojit celou sit treba jen virtualkou. A nebo naopak muzes vyuzivat existujici server, ktery pripojuje lokalni sit a na nem se vytvori hub jen pro tebe a ten neni nikam pripojeny a tedy nijak "neprekazi" stavajici siti, takze se takhle muzes klidne nasackovat na server, ktery uz nejakou sit propojuje a nijak jim nepolezes do zeli a ani oni tobe ne - nebudou o sobe vedet.

Muzes takhle pripojit backup server do nejake cizi site aniz bys backup serverem pripojil sit kde bezi ten backup (tak to pouzivam ja casto). Muzes pripojit nejaky vzdaleny server nekde v cizi serverovne (treba pronajatou virtualku) do lokalni site a udelat z nej lokalni server. Muzes takhle odcestovat s nejakou ostrou cizi adresou do uplne cizi site (hodi se napr. tehdy, kdyz menis serverovnu a potrebujes za behu odlifrovat virtualku z jedne ciste do cizi - treba i za hranice zeme - a chvili pouzivat obe ostre ip adresy). Muzes takhle pripojovat notebooky obchodaku, putujicich kdekoliv po svete, a pripojit je do stavajici lokalni site. Nebo muzes sit vytvorit jen z externich pracovniku a jedinym timhle serverem mezi nimi vytvaret adhoc lokalni sit. Klient se jim pokazde pripoji automaticky a tak oni ani nemusi vedet jak se to zapina (kdyz jim to tak zkonfigurujes).

K pripojeni k serveru nativnim klientem postaci jediny, jakykoliv, port. Takze se to da dobre dnatovat. Navic protokol uvnitr ma zamerne vypadat uplne presne jako https (tvurce tvrdi, ze presne takhle vypada), takze tim v pohode projdes i pres jakykoliv vychytraly firewall, pokud tento nezakazuje https provoz smerem ven. Navic je provoz silne sifrovany, takze je to bezpecne.

Muzes propojovat i jednotlive virtualni switche mezi sebou (kaskada tomu rikaji) tak, ze se jednim hubem prihlasis do jineho a tim jsi mezi nimi natahnul ethernet kabel. Jdou s tim uzasne veci!

Za me je to jeden z nejuzasnejsich sitovych softu a s timhle softem - tedy s touto virtualizaci site - se prodratuju kdykoliv kamkoliv a nic mi v tomto smeru neni svate. Umi to i takove veci, ze muzes filtrovat dhcp pozadavky mezi sitemi, abys mohl mit v kaze siti vlastni dhcp server, protoze bez tohoto filtrovani by odpovidal dhcp server vzdalene site. Takze jednoduche, mocne a vykonne. Nainstalovane hned.

Jiste by se to dalo resit i jinymi zpusoby, ale tenhle zpusob je minimalne alespon skutecne nutne dobre znat a odzkouset! Rozvazuje to ruce!

Zdravim
No patrne uz mate rozhodnuto nicmene bych se ubiral cestou zda Vas ISP nenabizi verejnou IPv4 cili proverit stav u providera a pak uz si jen nastavit protunelovani v routeru na nejakou lokalni IP kterou pak natvrdo nastavite v PC s Ubuntu. ISP si vsak zpravidla nechaji za verejku zaplatit i vic nez 100 Kc mesicne. To uz je na povazenou poridit si VPS a pomoci SSH tunelu zpristupnit libovolne sluzby ktere Vam bezi na domacim PC. hledejte Googlem frazi ssh tunel - najdete spoustu info i v cestine. SSH tunely jsou silna vec, naucite se neco noveho, nezavisleho. U tunelovani, presmerovani portu bych si dovolil upozornit na stare FTP ktere potrebuje dva porty konkretnich cisel a pro toto je tedy zcela nevhodnym protokolem. Volte SFTP. Pouziti TORu je sice mozne ale i pripojujici se clovek potrebuje TOR, provoz pobezi klidne pres pul planety, rychlost bude velmi nizka - TOR zkratka pro toto ani neni urcen. Taky je na povazenou jestli toto cele mate jen tak na hrani, studium, jestli do toho date i nejake mince treba za verejku ci VPS.

ssh -N -R 5980:192.168.1.32:80 jmeno@server.cz -p 22

GatewayPorts yes

ssh -N -R 5922:192.168.1.32:22 jmeno@server.cz -p 22

sftp://jmeno@server.cz:5922