Prosba na bastlíře-síťaře

Prosba na bastlíře-síťaře
Není tu, prosím, někdo, kdo dokáže poradit s tunelem z jedné sítě do jiné? (Bez možnosti ovlivnit předávání portů přímo v routerech, protože min. k jednomu nebudu mít přímý přístup, resp. můj bude až za vnějším firewallem). Jde o možnost kontrolovat na dálku 3D tiskové pracoviště.

Vysvětlení:
• Mám RasPi s kamerkou a běžícím streamem, který se mi generuje na lokální webové adrese v síti 2. Adresa ve formátu http://XXX.YYY.ZZZ.KUK/webcam/?action=stream&01234546789012.
• Mám NAS s běžící nadstavbou pro bezpečnostní kamery (Synology Surveillance), který si s takovým streamem snadno poradí a dokáže jej zpracovat, pokud je ve stejné lokální síti 2. Jenže potřebuji, aby přenos fungoval ze vzdálené, nijak nesouvisející sítě 1, kam RasPi přemístím.
• Na RasPi se mi i s mizernou znalostí Linuxu, PuTTY apod. podařilo nainstalovat Ngrok (a samozřejmě v něm mám založen účet).
• Ani za nic ale nemohu najít funkční nastavení, jak získat z Ngroku globální IP adresu (alias), kterou bych mohl podstrčit NASu. Tedy soukromý tunel přes dva firewally. Síťařské pojmy jsou dosud pro mne španělskou vesnicí (nekecám ;) ) a rady z různých fór a návodů, zdá se, nepomáhají.

Díky předem.
http://www.ngrok.com

18 komentářů:

  1. Pouzil bych vpn server nekde, kde na nej vidi obe ty zatizeni a pripojil je obe k nemu. Pripadne bych se mrknul, jedtli jeste eistue a finguje hamachi, ktere jsem pro podobne propojeni pouzival kdysi....

    OdpovědětVymazat
  2. už aby bylo IPv6 rozšířené a tyhle nesmyslné problémy navždy zmizely v historii

    OdpovědětVymazat
  3. Mrknu, díky. Ngrok by měl nicméně tunelovat bez ohledu na pevnou veřejnou IP, ne? (Propojení je právě přes jejich server.)
    PS: Na RasPi neběží celý Raspbian apod., ale OctoPrint.

    OdpovědětVymazat
  4. obávám se, že Hamachi už je asi dva roky placený. resp. je bezplatný do 5ti mašin při interaktivním sestavování sítě, a od 5ti mašin nahoru nebo při provozu v režimu služby je placený formou předplatnýho:
    vpn.net - VPN.net – Hamachi by LogMeIn

    OdpovědětVymazat
  5. Kamil Zmeškal Nejen o kameru, ale i o ono řízení tiskáren na dálku. ;) (Tedy min. kontrola a řízené zastavení v případě potřeby. Vše provozuji přes RasPi.) Nejhorší je, že jsem kousek od řešení, ale už za hranicemi množiny svých dosavadních znalostí v tomto směru. (A z desítek návodů na toto téma si mnohé protiřečí, mnohé nefungují na můj případ.)

    OdpovědětVymazat
  6. potřebuješ buďto komerční verzi VPN se serverem někde venku (čemuž bych z principu nedůvěřoval), nebo nějaký peer2peer VPN systém, který umí prostřelit díry NATem. To druhé myslím kdysi uměl již zmíněný Hamachi, ale pak ho koupil LogMeIn a od té doby mu nedůvěřuju. Ovšem existuje free a open náhrada: http://www.root.cz/clanky/otevrena-alternativa-k-hamachi-se-jmenuje-n2n/
    Praktickou zkušenost s tím nemám - doma jsem to vyřešil tak, že jsem komplet přešel na IPv6 (díky tunelářům ze SixXS) a tím pádem si můžu adresovat každé domácí zařízení přímo bez nějakých krutých obezliček s NATem a VPN.

    OdpovědětVymazat
  7. Petr Stehlík To skoro závidím. ;)

    OdpovědětVymazat
  8. Tomáš Vít nepsal jsem to kvůli vyvolání závisti, ale jako konkrétní návod, jak to můžeš také vyřešit. Tj. buďto Hamachi, nebo N2N, nebo si pořiď na obě místa IPv6 tunely, třeba přes SixXS (i když to je asi složitější na nastavení routeru).

    OdpovědětVymazat
  9. Jo a zeptej se u poskytovatele připojení, jestli nemá/nedá IPv6. Sakra už to dávno mělo všude být! Moji garážoví ISP mě svorně fakují, ale třeba O2 už IPv6 dává normálně. Skutečný Internet znamená přímé propojení koncových bodů, tj. PC stanic, krabiček atd. Žádné podělané NATy mezi tím.

    OdpovědětVymazat
  10. NAT je největší zlo právě kvůli pocitu falešného semi-bezpečí. A pak samozřejmě také proto, že tu vyrostla celá generace lidí, kteří ani netuší, že unikátní IP adresy dostaly v Internetu všechna zařízení proto, aby spolu mohly komunikovat napřímo.

    OdpovědětVymazat
  11. to je právě ono - NAT není žádná ochrana, tj. přesně ten falešný pocit bezpečí, o kterém jsem mluvil. Ale už toho nechme...

    OdpovědětVymazat
  12. Tomáš Vít No, a nemáš někde místo s veřejnou IP? na tý pustit VPN server na další malině, ke kterýmu se to RPi po startu připojí jako klient, a máš to. Takhle to mám doma a RPi B (tzn. jednojádro na 700MHz) utáhne bez problému 4 klienty zároveň.
    Výhoda je, že kvůli každý kokotině nemusíš na NATu nastavovat překlad a do FW střílet díry; nevýhoda samozřejmě je, že když to uděláš na PPTP a někdo ti louskne přihlášení, je to jako by ti seděl v obejváku a žral tvoje křupky :-)
    Klidně by se to dalo případně udělat na nějakým RPi freehostingu, akorát bys to musel mít v Holandsku; v ČR ho dostaneš zadara jen jako bonus, pokud už platíš velkej virtuální server.

    OdpovědětVymazat
  13. Marek Staněk Díky za tip. Pořád bych ale namísto VPN serveru na veřejné IP (což je pro mě další složitější laborování; jedno RasPi 1 tu leží ladem, v tom problém není) raději vyzkoušel přímý tunel se službou typy Ngrok.

    OdpovědětVymazat
  14. Tak N2N vypadá (zatím na první pohled) jako přesně to řešení, které by pomohlo. Jenže jej před více než dvěma lety dali autoři k ledu.

    OdpovědětVymazat
  15. Tak ono může fungovat, i když se už nevyvíjí, ne? Některé věci dosáhnou stavu dokonalosti a pak je jim u ledu jen dobře :)

    OdpovědětVymazat
  16. Petr Stehlík Přesně tak, jakmile je dokončeno, funguje to bez problému dokud někdo nevyhodí nějakou závislost ze standardní distribuce :-)
    Tomáš Vít No nevim, ale jestli Ngrok chápu správně, tak funguje v podstatě stejně; v obou případech máš iniciaci spojení "od konců" a potkáváš se na půl cestě, akorát s Ngrokem nemáš starosti s instalací a konfigurací toho "prostředka" a garantujou izolaci subjektů. A výměnou za to nemáš "prostředek" pod svojí kontrolou, což samozřejmě není nutně nevýhoda.

    OdpovědětVymazat
  17. Minulý víkend jsem se tu mořil s OpenVPN serverem z RasPi 2. Asi to funguje, ale protože jsem za firewallem nejen svým, ale i cizím (cílové umístění ale bude jinde), tak se prostě zatím nepřipojím přes UDP. ;) Takže čekám, zda se mi to pak povede domluvit na cílovém umístění i poskytovatele dané sítě.

    OdpovědětVymazat

Děkuji za každý smysluplný a/nebo povzbudivý komentář.