Авторизация

sticky Пожелания к нам / Wish list

Больше
8 мес. 3 дн. назад #109 от admin
admin ответил в теме Пожелания к нам / Wish list
Добрый день,
Увы, мы не можем предоставить вашим устройствам выход в интернет, в этом случае мы станем "операторами связи" со всеми вытекающими последствиями. Хотя технически это не сложно.
Однако, возможна конфигурация, когда два ваших устройства, подключенные к vpnki (через Провайдера 1 и Провайдера 2) будут выходить в интернет лишь через одно из этих устройств (например, через Провайдера 1).
Это удобно для обхода различных ограничений Провайдера 1, когда он предоставляет доступ к своим внутренним ресурсам лишь для собственных адресов.
Второе удобство такой конфигурации - единая точка для контроля правил безопасности для всей сети. Ведь теперь у нее не два, а одно "окно наружу".

Чтобы собрать такую конфигурацию вам нужно выполнить некоторые действия, но они будут немного отличаться в зависимости от типов ваших устройств.
К сожалению, я сейчас не могу написать пошаговую инструкцию, так как это нужно собрать самому и описать в командах.
В связи с недостатком времени я могу коротко описать что нужно сделать, а вы попробуйте - может быть и получится.

Допустим есть два устройства raspberry 1 и 2. Точкой общего выхода в интернет будет являться точка 1.
Считаю, что оба устройства 1 и 2 уже настроены на подключение к vpnki (по инструкции) и друг друга пингуют. Считаю что на распберри стоит ОС Debian (Raspbian).

Итак:

- отключить все действующие соединения

- установить соединение с устройства 2

- на устройстве 2, после установления соединения, необходимо переписать маршрут по умолчанию на новое направление, а именно на адрес центрального сервера vpnki - 172.16.0.1.
команда будет выглядеть приблизительно так: sudo ip route add default via 172.16.0.1
после этого весь трафик в Интернет с устройства 2 будет направлен к туннель. Это означает, что на данном этапе устройство потеряет выход в интернет, однако туннельное соединение будет работать.
Проверить можно командой ip route и посмотреть куда направлен маршрут 0.0.0.0

- на личной странице сайта в разделе Дополнительно, есть пункт "Маршрут по умолчанию". Вам необходимо объявить туннель, ведущий к устройству 1 - маршрутом по умолчанию.

- установить соединение с устройства 1. Проверить наличие маршрута по умолчанию на сервере vpnki.
Для этого в разделе "Дополнительно" на странице "Инструменты" нажмите кнопку "Таблица маршрутов". Там вы должны увидеть, что маршрут по умолчанию 0.0.0.0 (или default) указывает на интерфейс, ведущий к устройству 1.

- на устройстве 1, которое будет являться точкой единого выхода в Интернет необходимо настроить правила трансляции NAT.
Это будет означать, что соединения, поступившие с устройства 2 должны выходить в интернет с адресом вашего ethernet интерфейса устройства 1.
Для этого пишется правило приблизительно такого содержания:
sudo iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -j SNAT --to-source <адрес интерфейса ethernet устройства 1>

- на всякий случай выполнить компанду, включающую маршрутизацию трафика на распберри (не уверен, что она нужно, но хуже не будет) - sudo sysctl net.ipv4.ip_forward=1

- на странице "Инструменты" выполнить компанду ping 8.8.8.8 и убедиться, что пакеты, выпущенные с адреса 172.16.0.1 до адресата доходят

- на устройстве 2 выполнить команду traceroute -d 8.8.8.8 и убедиться, что трафик от устройства 2 пошел к серверу vpnki, затем на адрес устройства 1, а затем уже в Интернет.

Это приблизительная схема, пишу по памяти и могу ошибаться.

Если все заработает, то следующим шагом будет загрузка этой конфигурации в оба устройства для старта при загрузке системы.

Вот вам еще пригодятся команды:
sudo iptables -t nat -L - посмотреть правила NAT
sudo iptables -t nat -D POSTROUTING 1 - удалить правило NAT
sudo ip route delete default via 172.16.0.1 - удалить дефолтный маршрут, ранее прописанный на устройстве 2
Спасибо сказали: Lsar

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
8 мес. 3 дн. назад #110 от Lsar
Lsar ответил в теме Пожелания к нам / Wish list
Спасибо за обьяснение, попробую.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
5 мес. 3 нед. назад #295 от SergNF
SergNF ответил в теме Пожелания к нам / Wish list
Если я правильно понял, то Вы предоставляете два способа доступа к компьютерам/сети за "серыми ip" (nаf'ом) провайдера. Оба эти способа предполагают изменения на "удаленном (внешнем) компьютере". Т.е. я не смогу получить доступ к своим компьютерам из ... интернет кафе, "заадминистрированного" рабочего места и т.п.
Вы не думали, наряду с HTTP-proxy, поднять у себя "CGI-прокси" (дабы не употреблять страшное слово "анонимайзер")?
Пусть с очень жесткими ограничениями, подобными "гостевому доступу".

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
5 мес. 3 нед. назад #296 от admin
admin ответил в теме Пожелания к нам / Wish list
Да, вы правы, именно так. Сейчас функционируют два способа - vpn и http/socks5 прокси.

Спасибо за эту мысль. Насчет прокси сервера уровня приложения (их часто называют очень по-разному) мы думаем и, скорее всего, кое-что придумаем :)
Сейчас тестируем варианты, но пока окончательного решения нет. Не все вполне универсально получается и обеспечить таким образом качественно работающий доступ к очень различным домашним ресурсам пока не удается. Но мы бьемся и, думаю, победим :)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Модераторы: mb