LINUX.ORG.RU
ФорумAdmin

Провести трафик через хост к которому есть доступ по ssh

 , , , ,


0

1

Входные данные

  • Есть сеть за обычным домашним роутером.
  • Выход в интернет через lte - входящие соединения дропаются isp
  • Адресс - динамический, расшареный, ipv6 не поддерживается
  • Есть линукс машина в этой сети
  • Есть линукс хост в интернете с доступом по ssh, ограниченными вычислительными ресурсами (256mb ram 0.8ghz ядро)

В идеале: Хотелось бы иметь полный доступ к ресурсам этой сети, в том числе и udp, с минимальными издержками - скорость приоритетней удобства доступа.

Необходимый минимум: Иметь доступ к заданному tcp порту в сети с минимальными издержками.

Сейчас имеется: Шелл доступ в линукс машину этой сети, сделанный с помощью двух ssh форвардов, но работает это очень медленно, примерно на порядок медленее чем скорость исходящего подключения.

★★★★★

Решение на openvpn должно быть быстрее.

Deleted ()

В идеале OpenVPN (TUN UDP), но можно извратится и пробросить PPP тунел через SSH канал - но там скорости будут поменьше + лаги при потере пакетов (из за TCP транспорта).

zaz ★★★★ ()
Ответ на: комментарий от zaz

Ого, надо брать:)

Спасибо. Спасибо bdfy

Оставлю пока нерешённым, может кто ещё чего посоветует.

pon4ik ★★★★★ ()
Последнее исправление: pon4ik (всего исправлений: 1)
Ответ на: комментарий от pon4ik

Поднимаешь на вшней слабой машинке openvpn сервер (только если это виртуалка, она должна быть не LXC, там проблемы с /dev/tun будут). Машина из локалки выступает в качестве VPN клиента, те от нее всегда исходящее соединение и уже дальше по установленному исходящему соединению идет трафик и туда и обратно. Скорость жевать не должно, хотя 256m 0,8 реально доходяга. Конфиги для клиента и сервера проще сгенерить скриптом, например https://git.io/vpn

constin ★★★★ ()
Ответ на: комментарий от pon4ik

А какое ПО использовать?

strong/open swan, racoon

И как оно решает проблему запрета входящих соединений?

Никак, на фоне ваших ресурсов (256mb ram 0.8ghz ядро )по идее должно меньше ресурсов сожрать чем openvpn.

anc ★★★★★ ()
Ответ на: комментарий от anc

Не очень нужно получается в моём конфиге, ибо основной юзкекейс это всё-таки входящие соединения, ибо хост в интернете слишком тухлый что бы делать что-то кроме маршрутизации.

Но спасибо за расширение кругозора :)

pon4ik ★★★★★ ()
Ответ на: комментарий от pon4ik

что бы делать что-то кроме маршрутизации.

так я вам это же и предлагал, только с меньшей нагрузкой.

anc ★★★★★ ()
Ответ на: комментарий от anc

Ну дело в том, что просто маршрутизации не хватит, иначе я мог бы в теории просто сделать машину шлюзом (на практике зависит смогу ли я включить ip forwarding). Изюминка ситуации в запрете входящих соединений.

pon4ik ★★★★★ ()
Ответ на: комментарий от pon4ik

VPN решает проблему входящего соединения. трафик от слабой машинки до локальной идет всегда, потому что уже есть поднятое соединение. А дальше проброс портов на слабой машинке и публикуй любой сервис своей локальной в интернете. Но по умолчанию OpenVZ не предполагает tun Проверь , есть ли /dev/tun на машинке, если нет - пни саппорт. Если откажут, то поднимай какой-нить pptp

constin ★★★★ ()
Ответ на: комментарий от constin

Ну старая дырявость в этом плане меня почти не пугает, особенно если удастся перенести ответсвенность за vpn подключение на роутер.

/dev/tun в системе отсутсвует. Разберусь что это, и можно ли его иметь в openvz контейнере и тогда уже пойду к саппорту. А для начала попробую pptp видимо :)

pon4ik ★★★★★ ()
Ответ на: комментарий от constin

Учитывая, что шифрование меня не интересует от слова совсем - возможно стоит посмотреть в сторону l2tp?

pon4ik ★★★★★ ()

если можешь инсертить модули на вдс - попробуй wireguard. по отзывчивости будет лучше всего.

vvviperrr ★★★★★ ()
Ответ на: комментарий от vvviperrr

Не, у меня vps в контейнере. Только юзерспейсные дела доступны мне похоже, ну или что то изкоробочно во все ядра воткнутое.

pon4ik ★★★★★ ()
Ответ на: комментарий от constin

l2tp тоже хочет TUN/TAP Если шифрование не интересует, тогда точно надо pptp, он жрет меньше всего ресурсов.

И давно это в вашей вселенной?

anc ★★★★★ ()
Ответ на: комментарий от constin

pptp и openvpn - это две разных (и не единственных) реализации VPN но pptp чутка устарел и немного дырявый.

Вы уж простите. Но вы «диванный» советчик в вашей формулировке.
Как минимум разница в реализации, pptp - в ведре, ovpn - userspace. Но с pptp «огребешь граблей» при работе через нат, у ТС «никакой» сервак по мощности поэтому я и намекнул на ipsec.

anc ★★★★★ ()

Ну тут нужен лёгкий туннель без шифрования. Но это может дать проблемы в будущем, так как хотя средства обхода блокировок и не противозаконны сейчас, народ с упреждением считает, что у нас уже чебурашка, и действует заранее на консъюмерских тарифах (могут заблочить или настучать куда надо). Поэтому без шифрования я бы гонять не рискнул - не хочу становиться очередной жертвой «как бы чего не вышло». Так как VPS с более дружественной конфигурацией доступны в диапозоне до $10 в месяц, я бы предпочёл просто поменять VPS и поднять нормальный туннель.

slapin ★★★★★ ()
Ответ на: комментарий от anc

Как минимум разница в реализации, pptp - в ведре, ovpn - userspace.

Я отвечал изначально не на вопрос «какая разница между openvpn и pptp», а какая а разница между VPN и pptp". И между тем не писал, что никакой разницы нет между openvpn и pptp, напротив.

И давно это в вашей вселенной?

c l2tp ошибся

constin ★★★★ ()
Ответ на: комментарий от anc

ipsec в контексте l2tp ?:)

В любом случае - спасибо за поправку, начну пробовать тогда с l2tp т.к. оно выглядит наиболее удовлетворяющим моим потребностям, весь трафик что нужно будет шифровать будет шифроваться на других машинах но никак не на «роутере» ибо он тухловат для этого как было верно замечено.

pon4ik ★★★★★ ()
Ответ на: комментарий от anc

Вот как я понял работу ipsec:

К каждому пакету приделываются дополнительные поля в ip заголовке и меняется номер протокола, остальной уровень - шифруется.

Но работает всё на уровне ip.

Т.е. конкретно ipsec для обхода ограничения на входящие соединения не подходит?

pon4ik ★★★★★ ()
Ответ на: комментарий от pon4ik

Т.е. конкретно ipsec для обхода ограничения на входящие соединения не подходит?

Ага, не подходит, да ничего не может подойти.
Рекомендация была на основании ресурсов которые у вас есть, openvpn сожрет больше.

anc ★★★★★ ()
Ответ на: комментарий от anc

Ну как, виртуальная сеть - решает проблему. Естественно за всё надо платить.

Виртуальная сеть, для подключения которой достаточно исходящего tcp соединения.

pon4ik ★★★★★ ()
Последнее исправление: pon4ik (всего исправлений: 1)
Ответ на: комментарий от anc

Как работает vpn:

Клиент коннектится к vpn серверу. Создаётся псевдо интерфейс. Все пакеты маршрутизированные на этот интерфйс уходят по установленному tcp соединению на vpn сервер. Vpn сервер работает как шлюз, маршрутизирует эти пакеты дальше и рассылает их другим клиентам по tcp сессиям. Входящие пакеты с точки зрения клиентской системы, выглядят как пришедшие с псевдо интерфейса. Т.к. со стороны клиента требуется только исходящее соединение - проблема решена, т.к. входящие пакеты передаются по установленной tcp сессии.

Вопрос как работает ipsec?

pon4ik ★★★★★ ()
Ответ на: комментарий от pon4ik

пропуская белиберду... :)

Вопрос как работает ipsec?

В целом аналогично, только без интерфейсов, все работает на уровне ведра.

anc ★★★★★ ()

ssh умеет VPN. Но лучше OpenVPN, если есть возможность. IPSec не советую, упоротая гадость, никогда не работает.

Legioner ★★★★★ ()
Ответ на: комментарий от pon4ik

я купил за 10 баксов пожизненный на cloudatcost. причем можно собирать и инсертить модули. он конечно полудохлый, но для впна сойдет. минус - сервера в канаде, пинга 150-200, но скорость более менее, 2-5 мбита.

vvviperrr ★★★★★ ()
Ответ на: комментарий от Legioner

IPSec не советую, упоротая гадость, никогда не работает.

Чуш не гоните. Если вы не осилили приготовление ipsec это не значит что «никогда не работает». А еще пять звезд...
Минусы конечно есть, например больше одного клиента через один нат к одному серверу, но и плюсов достаточно в части потребления ресурсов и скорости.

anc ★★★★★ ()
Ответ на: комментарий от anc

Я не представляю, какие проблемы могут быть у OpenVPN со скоростью. Самая дешёвая VPS-ка держит 5 клиентов, которые и торренты качают и в игрушки играют, при этом нагрузка там околонулевая. И ровно 0 проблем с совместимостью. А с IPSec — айфоны умеют одно, андроиды умеют другое, линуксы умеют третье, бсди умеют четвёртое, пытаться там найти общий знаменатель — повеситься можно. И главное непонятно — зачем, когда OpenVPN просто работает.

Legioner ★★★★★ ()
Ответ на: комментарий от Legioner

У ovpn просадка по скорости больше чем у isec, заметно на низко скоростных каналах. Нагрузка на ведра больше, ибо userspace, ovpn - однопоточный.

А с IPSec — айфоны умеют одно, андроиды умеют другое, линуксы умеют третье, бсди умеют четвёртое, пытаться там найти общий знаменатель — повеситься можно.

Это да.... готовить конфиг подо все, то еще удовольствие, там еще и версии приходиться учитывать. Но для случая стационарных точек (связь сетей), не проблема. Так же не проблема когда это ограниченный круг устройств.

И главное непонятно — зачем, когда OpenVPN просто работает.

Не могу не согласиться, если все, канал, мощность серверов &etc устраивает, ovpn конечно удобнее.

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.