Tunel do sítě s neveřejnou IP
-
- Příspěvky: 2
- Registrován: čtv 28. srp 2014 14:30:58
Tunel do sítě s neveřejnou IP
Dobrý den,
potřebuji vyřešit tunel do sítě, která je k internetu připojena přes router s neveřejnou IP. Předpokládám, že do této sítě umístím zařízení (např. RPi), které bude udržovat VPN tunel na VPS. Otázka zní, zda tento VPS musí nutně mít veřejnou IP adresu, nebo by bylo možno nějak využít např. reverzní proxy.
Děkuji
SDG
potřebuji vyřešit tunel do sítě, která je k internetu připojena přes router s neveřejnou IP. Předpokládám, že do této sítě umístím zařízení (např. RPi), které bude udržovat VPN tunel na VPS. Otázka zní, zda tento VPS musí nutně mít veřejnou IP adresu, nebo by bylo možno nějak využít např. reverzní proxy.
Děkuji
SDG
-
- Administrátor
- Příspěvky: 1373
- Registrován: úte 12. říj 2010 9:16:11
- Kontaktovat uživatele:
Re: Tunel do sítě s neveřejnou IP
Dobrý den,
teoreticky byste se mohl obejít i bez veřejné IP adresy, pokud použijete na 4smart.cz funkcionalitu pro mapování portů. V takovém případě ale nebude Vaše nastavení odolné vůči situacím typu plánované odstávky HW uzlu, kdy virtuální servery mění HW uzel a mění se tedy i veřejná IP adresa. S veřejnou IP adresou jste ušetřen zmíněných problémů. Obecně je dobré, aby alespoň jedno ze zařízení, které spojujete přes VPN, mělo veřejnou IP adresu.
J.M.
teoreticky byste se mohl obejít i bez veřejné IP adresy, pokud použijete na 4smart.cz funkcionalitu pro mapování portů. V takovém případě ale nebude Vaše nastavení odolné vůči situacím typu plánované odstávky HW uzlu, kdy virtuální servery mění HW uzel a mění se tedy i veřejná IP adresa. S veřejnou IP adresou jste ušetřen zmíněných problémů. Obecně je dobré, aby alespoň jedno ze zařízení, které spojujete přes VPN, mělo veřejnou IP adresu.
J.M.
-
- Příspěvky: 486
- Registrován: čtv 10. říj 2013 10:20:15
Re: Tunel do sítě s neveřejnou IP
Směrování portů používám na svém Asterisku, funguje to pěkně... Otázka: Kdyby k přesunu přeci jen z nějakého důvodu došlo, zůstanou alespoň zachovány porty, nebo budu v háji úplně?:-)
-
- Administrátor
- Příspěvky: 1373
- Registrován: úte 12. říj 2010 9:16:11
- Kontaktovat uživatele:
Re: Tunel do sítě s neveřejnou IP
Porty jsou zachovány tak, jak byly nastaveny na domovském ostrém HW uzlu. Změní se pouze IP adresa.
J.M.
J.M.
- xsouku04
- Administrátor
- Příspěvky: 8184
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Tunel do sítě s neveřejnou IP
A nebylo by možné tu původní ip adresu přeroutovat/přeNATovat na novou?admin píše:Porty jsou zachovány tak, jak byly nastaveny na domovském ostrém HW uzlu. Změní se pouze IP adresa.
J.M.
-
- Administrátor
- Příspěvky: 1373
- Registrován: úte 12. říj 2010 9:16:11
- Kontaktovat uživatele:
Re: Tunel do sítě s neveřejnou IP
Přeroutovat síťový provoz nelze. Je třeba počítat s tím, že stroj bude vypnutý, nebo nebude v serverovně dočasně vůbec přítomen.
IP adresa odstaveného HW uzlu by sice mohla být přenosná, to by ale zkomplikovalo poměrně dost věcí, které jinak fungují dobře a bylo by třeba je přepsat. Navíc by se toto chování a implementace poměrně špatně ladilo a testovalo. Za ostrého provozu je to dost nebezpečné.
Ještě lepší by bylo mapovat porty neveřejných adres za NATem na veřejnou IP adresu zvláštního VPS. To ale není z technických důvodů vůbec možné (OpenVZ).
Stejně tak uvažovat o tom, že funkcionalitu mapování portů bychom svěřili záložním HW uzlům, na které se 99% času jen replikují data, protože tyto záložní HW uzly odstavujeme častěji než ostré uzly.
Daleko elegantnější by možná bylo použít několik modulů RaspberryPi + 1 switch, které by se staraly výhradně o tento úkol. Jejich poruchovost je za předpokladu, že image paměťové karty bude read-only minimální. Možná je to trochu sci-fi, ale již nyní existuje RaspberryPi Housing.
IP adresa odstaveného HW uzlu by sice mohla být přenosná, to by ale zkomplikovalo poměrně dost věcí, které jinak fungují dobře a bylo by třeba je přepsat. Navíc by se toto chování a implementace poměrně špatně ladilo a testovalo. Za ostrého provozu je to dost nebezpečné.
Ještě lepší by bylo mapovat porty neveřejných adres za NATem na veřejnou IP adresu zvláštního VPS. To ale není z technických důvodů vůbec možné (OpenVZ).
Stejně tak uvažovat o tom, že funkcionalitu mapování portů bychom svěřili záložním HW uzlům, na které se 99% času jen replikují data, protože tyto záložní HW uzly odstavujeme častěji než ostré uzly.
Daleko elegantnější by možná bylo použít několik modulů RaspberryPi + 1 switch, které by se staraly výhradně o tento úkol. Jejich poruchovost je za předpokladu, že image paměťové karty bude read-only minimální. Možná je to trochu sci-fi, ale již nyní existuje RaspberryPi Housing.
-
- Příspěvky: 486
- Registrován: čtv 10. říj 2013 10:20:15
Re: Tunel do sítě s neveřejnou IP
xsouku04: tak ono by stačilo místo ip adres správně používat DNS záznamy s krátkým ttl a změna ip adresy by ani moc nevadila.. Jen teď přemýšlím proč jsem to tak neudělal a všechny telefony nastavil na ip adresu :-//
- xsouku04
- Administrátor
- Příspěvky: 8184
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Tunel do sítě s neveřejnou IP
To je pravda, mohli bychom každému virtuálu zřídit vlastní poddoménu z krátkou životností, která by v případě změny adresy začala automaticky vracet novou adresu. A bylo by po problému.mobilemanic píše:xsouku04: tak ono by stačilo místo ip adres správně používat DNS záznamy s krátkým ttl a změna ip adresy by ani moc nevadila.. Jen teď přemýšlím proč jsem to tak neudělal a všechny telefony nastavil na ip adresu :-//
mujprojekt.4smart.cz - byla by to pro nás i drobná propagace.
(text místo mujprojekt by byl volitelný)
-
- Příspěvky: 486
- Registrován: čtv 10. říj 2013 10:20:15
Re: Tunel do sítě s neveřejnou IP
Pokud Vaším cílem není prodat co nejvíce IPv4 adres, tak směle do toho )