Forum » Pomoč in nasveti » Kaj uporabit za remote dostop do domačega računalnika?
Kaj uporabit za remote dostop do domačega računalnika?
rokp ::
Kam se pa v osnovi povežeš preko ssh?
Nekam, do kjer imas dostop.
Recimo, da imas racunalnik na lokaciji IPA in racunalnik na lokaciji IPB, ti si pa na mobilni lokaciji IPC. Iz IPC bi rad prisel do omrezja na lokaciji A, pri cemer so vse povezave proti IPA onemogocene, lahko pa tako iz IPA kot iz IPC naredis SSH na IPB. Vnaprej si vzpostavis povezavo iz IPA na IPB (uporabis recimo autossh, ce se slucajno povezava prekine) in nastavis, da se lokalni port 127.0.0.1:PB na IPB preslika na port 127.0.0.1:PA na IPA (to je tisti reverse, ki je bil omenjen). Ko si na IPC, vzpostavis SSH na IPB, pri cemer naredis normalen port tunneling lokalnega porta 127.0.0.1:PC na 127.0.0.1:PB na napravi IPB. Na IPA:PA imas zagnan OpenVPN server (na TCP portu), klienta, ki ga zazenes na IPC pa usmeris na 127.0.0.1:PC. Na IPA potem naredis se masquerading v IPA za vse, kar prihaja preko tunela, pa si zmagal (upam, da nisem pri opisu kje naredil napake, definitvno pa to funkcionira, ker sam to uporabljam).
MrStein ::
A povezava poteka od doma na službeni računalnik ali iz službenega računalnika domov?
Če bi se OP bolj jasno izrazil glede tega, bi že imel delujočo rešitev.
Zgleda sicer, da se povezuje domov, od kod pa ... "Povezoval se bom 99% iz enega od svojih prenosnikov"
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
misek ::
MrStein ::
Update: Coronavirus prompts collaboration tool makers to offer wares for free
https://www.computerworld.com/article/3...
Mogoče je tudi TeamViewer zastonj....
https://www.computerworld.com/article/3...
Mogoče je tudi TeamViewer zastonj....
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
knesz ::
poweroff ::
Kam se pa v osnovi povežeš preko ssh?
Nekam, do kjer imas dostop.
Ahaaa... Se pravi rabi - server, ne?
Točno o tem govorimo.
sudo poweroff
rokp ::
Ja, samo z reverse povezavo te ne zanima dostop do omrezja serverja ampak v obratno smer. Pa (OpenVPN ali karkoli drugega) server je potem tisti, iz katerega si se prvotno povezal kot klient pri SSH.
SeMiNeSanja ::
Ni mi čisto jasno, zakaj bi v ssh tunel tlačil OpenVPN tunel. Je pa že kar precej časa (20 let?), kar sem nazadnje uporabil ssh tumel, pa še takrat bolj iz firbca, kvazi 'proof of concept'. Ampak zakaj bi si življenje tako zelo zakompliciral, pa mi res ni jasno.
Sploh pa... če je mišljeno, da bi stvar kvazi 'reverzno' povezovala - kaj ti to koristi, če si nekje na xy lokaciji in imaš le prenosnik in internetno povezavo?
Poleg tega.... v kateri firmi ti bo informatik šel na roko, da ti bo firmin server igral proxy za dostop do tvojega domačega računalnika?
----
Drugače pa je butasto, da se domača omrežja postavljajo tako, da imaš na koncu opravka z trojnim NAT. Res ni šanse, da 'gazdi' častiš en 'spodoben' router (npr. Mikrotika?), na njemu skonfiguriraš vsak port kot ločen VLAN in si omogočiš port forward do svojega 'lokalnega' routerja, po možnosti brez NAT-a?
Vse ostalo kriči po takem improviziranju, da samo glava boli.
Sploh pa... če je mišljeno, da bi stvar kvazi 'reverzno' povezovala - kaj ti to koristi, če si nekje na xy lokaciji in imaš le prenosnik in internetno povezavo?
Poleg tega.... v kateri firmi ti bo informatik šel na roko, da ti bo firmin server igral proxy za dostop do tvojega domačega računalnika?
----
Drugače pa je butasto, da se domača omrežja postavljajo tako, da imaš na koncu opravka z trojnim NAT. Res ni šanse, da 'gazdi' častiš en 'spodoben' router (npr. Mikrotika?), na njemu skonfiguriraš vsak port kot ločen VLAN in si omogočiš port forward do svojega 'lokalnega' routerja, po možnosti brez NAT-a?
Vse ostalo kriči po takem improviziranju, da samo glava boli.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
damirj79 ::
In kaj ce tudi gazda rabi vpn?
Drugace eden od soft vpnjev resi problem v nulo, wireguard, zerotier, softether... preferiram zerotier, ker je za taksen namen idealen
Drugace eden od soft vpnjev resi problem v nulo, wireguard, zerotier, softether... preferiram zerotier, ker je za taksen namen idealen
rokp ::
>če je mišljeno, da bi stvar kvazi 'reverzno' povezovala - kaj ti to koristi, če si nekje na xy lokaciji in imaš le prenosnik in internetno povezavo?
Ali nisi prebral enega od mojih prejsnjih postov ali pa ga nisi razumel (ampak glede na tvoje dosedanje poste tega ne verjamem).
> v kateri firmi ti bo informatik šel na roko, da ti bo firmin server igral proxy za dostop do tvojega domačega računalnika?
Pri zgoraj opisani resitvi cli dostop zadosca (razen za masquerading, ce rabis se to za dostop do preostalega dela omrezja in nimas pravic, potem res moras uporabiti neko vrsto proxyja).
Za tiste, ki zagovarjajo razne VPN resitve, ki med dvema poljubnima tockama brez kaksnih posebnih muk vzpostavijo povezavo - morda se ne zavedate, da taksne resitve potrebujejo se neko tretjo tocko, ki ni pod vasim nadzorom...
Ali nisi prebral enega od mojih prejsnjih postov ali pa ga nisi razumel (ampak glede na tvoje dosedanje poste tega ne verjamem).
> v kateri firmi ti bo informatik šel na roko, da ti bo firmin server igral proxy za dostop do tvojega domačega računalnika?
Pri zgoraj opisani resitvi cli dostop zadosca (razen za masquerading, ce rabis se to za dostop do preostalega dela omrezja in nimas pravic, potem res moras uporabiti neko vrsto proxyja).
Za tiste, ki zagovarjajo razne VPN resitve, ki med dvema poljubnima tockama brez kaksnih posebnih muk vzpostavijo povezavo - morda se ne zavedate, da taksne resitve potrebujejo se neko tretjo tocko, ki ni pod vasim nadzorom...
Zgodovina sprememb…
- spremenil: rokp ()
damirj79 ::
Za tiste, ki pa zagovarjajo razne VPN resitve, ki med dvema poljubnima tockama brez kaksnih posebnih muk vzpostavijo povezavo - morda se ne zavedate, da taksne resitve potrebujejo se neko tretjo tocko, ki ni pod vasim nadzorom...
Ni res, v primeru ZeroTier je ta tretja točka lahko v tvoji lasti, če želiš.
AnotherMe ::
A povezava poteka od doma na službeni računalnik ali iz službenega računalnika domov?
Če bi se OP bolj jasno izrazil glede tega, bi že imel delujočo rešitev.
Zgleda sicer, da se povezuje domov, od kod pa ... "Povezoval se bom 99% iz enega od svojih prenosnikov"
"Povezoval se bom 99% iz enega od svojih prenosnikov" - ki se bo nahajal na lokaciji, kjer ga bom trakrat uporabljal :) (včasih iz službe, včasih iz vikenda, včasih z dopusta na morju)..
AnotherMe ::
SeMiNeSanja je izjavil:
Drugače pa je butasto, da se domača omrežja postavljajo tako, da imaš na koncu opravka z trojnim NAT. Res ni šanse, da 'gazdi' častiš en 'spodoben' router (npr. Mikrotika?), na njemu skonfiguriraš vsak port kot ločen VLAN in si omogočiš port forward do svojega 'lokalnega' routerja, po možnosti brez NAT-a?
Vse ostalo kriči po takem improviziranju, da samo glava boli.
Internet "pride" v bajto na eni strani, v prvo stanovanje, iz njega v drugo, in potem k meni, kabel vmes je samo eden, zraven ni prostora za več kablov... Žal ta lepa opcija, ki sem na njo najprej pomislil odpade...
rokp ::
Na to lahko gledas tudi drugace - bodi zadovoljen, da si zadnji v vrsti, tako imas verjetno ti dostop do omrezij sosedov in ne oni do tvojega. ;)
mzakelj ::
>
Za tiste, ki zagovarjajo razne VPN resitve, ki med dvema poljubnima tockama brez kaksnih posebnih muk vzpostavijo povezavo - morda se ne zavedate, da taksne resitve potrebujejo se neko tretjo tocko, ki ni pod vasim nadzorom...
Ni res. VPN lahko gre direkt server client, ni treba 3 strani ...
proto ::
>
Za tiste, ki zagovarjajo razne VPN resitve, ki med dvema poljubnima tockama brez kaksnih posebnih muk vzpostavijo povezavo - morda se ne zavedate, da taksne resitve potrebujejo se neko tretjo tocko, ki ni pod vasim nadzorom...
Ni res. VPN lahko gre direkt server client, ni treba 3 strani ...
Je res, samo ti ne znas brati. Ne more portov odpirat ne na eni ne na drugi strani. Ima rokp cisto prav.
poweroff ::
Kakorkoli, rabiš nekje zunaj en dostopen server. In če ga nimaš, je to problem.
SSH tunel sem pa ravno danes uspešno uporabil.
Scenarij: jaz sem na VPN, mašina 10.10.xx.XX je na VPN, za to mašino je v lokalnem omrežju naprava 192.168.168.1, ki se jo upravlja preko web vmesnika.
Brez tegale bi se moral gladko vsesti v avto in na pot...
SSH tunel sem pa ravno danes uspešno uporabil.
ssh -L 8000:192.168.168.1:80 me@10.10.xx.XX
Scenarij: jaz sem na VPN, mašina 10.10.xx.XX je na VPN, za to mašino je v lokalnem omrežju naprava 192.168.168.1, ki se jo upravlja preko web vmesnika.
Brez tegale bi se moral gladko vsesti v avto in na pot...
sudo poweroff
mzakelj ::
>
Za tiste, ki zagovarjajo razne VPN resitve, ki med dvema poljubnima tockama brez kaksnih posebnih muk vzpostavijo povezavo - morda se ne zavedate, da taksne resitve potrebujejo se neko tretjo tocko, ki ni pod vasim nadzorom...
Ni res. VPN lahko gre direkt server client, ni treba 3 strani ...
Je res, samo ti ne znas brati. Ne more portov odpirat ne na eni ne na drugi strani. Ima rokp cisto prav.
Behind NAT Solution:
NAT-Traversal Function is enabled by default. No need to open any TCP/UDP ports on the NAT for accepting VPN connections which are initiated from Internet-side.
https://www.softether.org/3-spec
MrStein ::
Enako zerotier (in verjetno še drugi).
Torej:
- ena od teh tunnel/VPN rešitev
- po potrebi AnyDesk ali drugi, da vpostaviš VPN (če ne gre drugače)
- ko VPN dela, se čez njega povežeš z remote programom po lastnem izboru
Torej:
- ena od teh tunnel/VPN rešitev
- po potrebi AnyDesk ali drugi, da vpostaviš VPN (če ne gre drugače)
- ko VPN dela, se čez njega povežeš z remote programom po lastnem izboru
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
poweroff ::
Evo, zdaj sem za hec naredil SSH tunel na zunanjo kišto, dostopati pa hočem na lokalno kišto (192.168.178.XXX) in to preko RDP (port 3389):
V RDP clientu potem samo rečem: localhost, in padem na Windows mašino (192.168.178.XXX).
Najlepše je pa to, da če je Widows mašina ugasnjena. jo lahko z magic packetom preprosto zbudim oz. prižgem... in naslednjo sekundo se že povežem nanjo.
ssh -L 3389:192.168.178.XXX:3389 user@zunanjakista.si
V RDP clientu potem samo rečem: localhost, in padem na Windows mašino (192.168.178.XXX).
Najlepše je pa to, da če je Widows mašina ugasnjena. jo lahko z magic packetom preprosto zbudim oz. prižgem... in naslednjo sekundo se že povežem nanjo.
sudo poweroff
rokp ::
Behind NAT Solution:
NAT-Traversal Function is enabled by default. No need to open any TCP/UDP ports on the NAT for accepting VPN connections which are initiated from Internet-side.
https://www.softether.org/3-spec
Vau, tale NAT-Traversal je pa cool. A se pravi, ce povezavo narises z zeleno namesto s sivo in precrtano z rdecim krizcem, potem dela?
Pa se tole si preberi:
https://www.softether.org/1-features/1....
EvilDare ::
Tudi jaz sem do sedaj uporabljal obratni openvpn. Sedaj imamo zaradi razmer zrihtano drugače.
Drugače pa, če imaš v službi windows pro, enterprise ..,, ki omogoča rdp strežnik:
1. služben pc je klient
2. domači pc je strežnik
3. uredi si zastonj dns
4. port forward na domačem ruterju na tvoj pc na port 1194
5. namesti na oba openvpn: OpenVPN
6. drži se navodil za statično povezavo Navodila
7. ko se povežeš uporabiš windows remote desktop
V službi imaš datoteko s podatki kam se povezuješ (tvoj zastonj dns naslov), z datoteko ključa, doma pa je datoteka s konfiguracijo "strežnika" in ključ.
Drugače pa, če imaš v službi windows pro, enterprise ..,, ki omogoča rdp strežnik:
1. služben pc je klient
2. domači pc je strežnik
3. uredi si zastonj dns
4. port forward na domačem ruterju na tvoj pc na port 1194
5. namesti na oba openvpn: OpenVPN
6. drži se navodil za statično povezavo Navodila
7. ko se povežeš uporabiš windows remote desktop
V službi imaš datoteko s podatki kam se povezuješ (tvoj zastonj dns naslov), z datoteko ključa, doma pa je datoteka s konfiguracijo "strežnika" in ključ.
Zgodovina sprememb…
- spremenil: EvilDare ()
EvilDare ::
P.S.: ko imaš v službi urejene konfiguracijske datoteke, omogočiš OpenVPN service v services.msc, da se avtomatsko zažene.
damirj79 ::
Pa ti beres problematiko? Ce ne mores odpret portov za noter, ti noben od teh klasicnih vpn tunelov ne bo deloval. NAT-traversal tudi ne resuje tega problema. Ostanejo samo resitve z vmesno, tretjo tocko izven source in destination omrezja, ce imas oba limitirana, da ne mores NAT urejat.
rokp ::
Saj, ce smo cisto iskreni, v velikem stevilu primerov SoftEther cisto lepo deluje. Razen, kadar ne. Takrat je pa dobro, ce razumes, kako stvari delujejo. Jaz, recimo, ga ne bi uporabljal ze zaradi naslednjega stavka:
"The SecureNAT function is a hitherto unknown innovative proprietary technology developed for the SoftEther VPN, the use of which ..."
V njem pogresam samo se tisto "ce poklicete zdaj, vam podarimo se ..."
Sem pac star prdec.
"The SecureNAT function is a hitherto unknown innovative proprietary technology developed for the SoftEther VPN, the use of which ..."
V njem pogresam samo se tisto "ce poklicete zdaj, vam podarimo se ..."
Sem pac star prdec.
MrStein ::
zerotier je open-source, če koga to skrbi (kot da RDP ni sam po sebi enkriptan...).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
poweroff ::
Saj, ce smo cisto iskreni, v velikem stevilu primerov SoftEther cisto lepo deluje. Razen, kadar ne. Takrat je pa dobro, ce razumes, kako stvari delujejo. Jaz, recimo, ga ne bi uporabljal ze zaradi naslednjega stavka:
"The SecureNAT function is a hitherto unknown innovative proprietary technology developed for the SoftEther VPN, the use of which ..."
V njem pogresam samo se tisto "ce poklicete zdaj, vam podarimo se ..."
Sem pac star prdec.
Emm, kaj točno naj bi ta SecureNAT delal? Kolikor imam občutek, je to samo zelo kunštno ime, v resnici pa ni nič prav posebnega zadaj.
sudo poweroff
MrStein ::
zerotier preverjeno deluje čez NAT-e na obeh straneh (tudi več zapovrstjo).
Navodila za začetek so tule: https://zerotier.atlassian.net/wiki/spa...
(je malo več kot dva klika, nekje pet...)
Navodila za začetek so tule: https://zerotier.atlassian.net/wiki/spa...
(je malo več kot dva klika, nekje pet...)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
rokp ::
Se enkrat - stvari niso tako absolutne. Bi bilo bolje, ce bi napisal, da lahko deluje tudi cez NATe na obeh straneh. Ker v bolj zaprtih omrezjih tudi s pomocjo tretjega ni nujno, da deluje, so tudi za to potrebni neki pogoji... No, vemo, da deluje v najmanj enem primeru (vsaj v tistem, ki si ga preveril ;).
poweroff ::
Še enkrat, ker sem danes spil eno kavo premalo: ali Zerotier uporablja kakšen vmesni, zunanji strežnik?
sudo poweroff
MrStein ::
Ja, uporablja.
Sami paketki potem gredo direktno, če ni preveč "čudno" omrežje.
Sami paketki potem gredo direktno, če ni preveč "čudno" omrežje.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
poweroff ::
No, torej. Rabiš tretji server. Kako gredo pa paketki direktno, če sta obe omrežji odprti za zunanji vhodni promet (kar je standard)?
sudo poweroff
MrStein ::
Eh, probaj, pa boš videl, a ne?
(če že ne veš, kako te stvari delujejo)
(če že ne veš, kako te stvari delujejo)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
rokp ::
Verjetno si mislil zaprti in ne odprti za zunanji vhodni promet, kajne? Verjetno kaksen UDP hole punching ali kaj podobnega...
MrStein ::
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
poweroff ::
Saj je razloženo. Rabiš randevouz server.
Ja, mogoče se ne razumeva čisto.
Ja, mogoče se ne razumeva čisto.
sudo poweroff
MrStein ::
Ja, "3rd party" server. To je bilo povedano takoj na začetku.
Torej je zdaj vse jasno?
Torej je zdaj vse jasno?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MrStein ::
Saj ne rabi, to mu ponuja ponudnik softvera.
Bom ponovil za tiste, ki berejo samo z enim očesom:
Stvar.
Preverjeno.
Deluje.
Bo?
Bom ponovil za tiste, ki berejo samo z enim očesom:
Stvar.
Preverjeno.
Deluje.
Bo?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
damirj79 ::
Teamviewer, Anydesk, ilslight, zerotier, wireguard itd itd... vsi rabijo za svoje delovanje tretji vmesni clen. Zaradi tega ne rabis odpirat portov na routerju. Zerotier ti nudi da imas svoj lastni kontroler in ne public, se vedno pa mora ta kontoler imet na routerju odprte porte. Brez tega ne gre, kot tudi ne gre s klasicnimi vpn protokoli ipsec, l2tp, pptp, openvpn itd itd.
SeMiNeSanja ::
Skozi celo temo se vleče zmešnjava pojmov.
Prva zmešnjava je rezultat metanja pojmov v isti koš. Tako nihče ne loči več med "orodji za oddaljeni dostop" in VPN povezavami.
Poleg tega marsikdo očitno ne razume osnovnih principov mrežarjenja in VPN povezovanja.
Če se odmaknemo od remote access/managemnt rešitev in pogledamo samo 'prave' VPN povezave, imamo običajno opravka z dvema tipoma povezav:
a) omrežje - omrežje
b) odjemalec - omrežje
V tipični varianti mreža-mreža lahko katerakoli stran vzpostavi tunel - če sta obe strani na statičnih IP naslovih.
V primeru, da statični naslovi niso na voljo, si pogosto lahko pomagamo z DynDNS strežniki, tako da se tunel ne vzpostavlja na IP naslov, ampak na FQDN naslov, katerega preko DynDNS servica razrešimo v IP naslov.
Pri tem se običajno vzpostavi tunel, ko se pojavi 'potreba', da se preko njega pošlje paket podatkov na drugo stran. Pri mreža-mreža variantah je običajno lahko vsaka stran iniciator vzpostavitve tunela.
Drugače pri odjemalec-mreža varianti. Tu se ve, da je odjemalec precej 'mobilen', tako da se vsi scenariji nanašajo na to, da bo izključno odjemalec tisti, ki bo (po potrebi) vzpostavljal tunel.
Če zdaj v sliko postavimo še router ali dva z NAT-om brez forwardiranih portov, se seveda stvari bistveno zakomplicirajo, saj se s tem avtomatično določi stran z problematičnimi routerji kot stran, ki mora biti iniciator tunelov.
Pri mreža-mreža varianti to morda še deluje, problematično pa postane pri odjemalec-mreža varianti, saj ta že v osnovi ne predvideva, da bi bil 'gateway' tisti, ki bo vzpostavljal povezavo.
Pa tudi če bi gateway izvajal nekakšen 'callback' - če odjemalec ni direktno dosegljiv in se skriva izza NAT routerja, potem stvar spet ne bo delovala brez nekih dodatnih fint in for.
Tudi če bi bil odjemalec direktno dosegljiv na IP naslovu, ki ga deli preko DynDNS, mora nekdo dopovedati VPN strežniku, da odjemalec potrebuje povezavo. Ker je ta strežnik izza NAT-a, pa imaš spet problem.
Najlažje bi bilo, če bi se poslužil metod, ki se jih poslužujejo botneti. To nekje na IRC čakajo na znanem kanalu na ustrezen ukaz, ali pa npr. na twitterju na določen ukaz preko twitter omrežja.
Še pa vedno imaš problem, ko sta obe strani izza NAT routerjev brez forwardiranja portov. Takrat direktna povezava ne pride v poštev in se ne moreš izogniti nekemu 'posredniku', ki bo promet posredoval v eno in drugo stran. Tako, kot to že takointako počne večina 'remote access' rešitev.
V glavnem nobena znanost, zgolj nekaj logike je treba uporabiti.
Prva zmešnjava je rezultat metanja pojmov v isti koš. Tako nihče ne loči več med "orodji za oddaljeni dostop" in VPN povezavami.
Poleg tega marsikdo očitno ne razume osnovnih principov mrežarjenja in VPN povezovanja.
Če se odmaknemo od remote access/managemnt rešitev in pogledamo samo 'prave' VPN povezave, imamo običajno opravka z dvema tipoma povezav:
a) omrežje - omrežje
b) odjemalec - omrežje
V tipični varianti mreža-mreža lahko katerakoli stran vzpostavi tunel - če sta obe strani na statičnih IP naslovih.
V primeru, da statični naslovi niso na voljo, si pogosto lahko pomagamo z DynDNS strežniki, tako da se tunel ne vzpostavlja na IP naslov, ampak na FQDN naslov, katerega preko DynDNS servica razrešimo v IP naslov.
Pri tem se običajno vzpostavi tunel, ko se pojavi 'potreba', da se preko njega pošlje paket podatkov na drugo stran. Pri mreža-mreža variantah je običajno lahko vsaka stran iniciator vzpostavitve tunela.
Drugače pri odjemalec-mreža varianti. Tu se ve, da je odjemalec precej 'mobilen', tako da se vsi scenariji nanašajo na to, da bo izključno odjemalec tisti, ki bo (po potrebi) vzpostavljal tunel.
Če zdaj v sliko postavimo še router ali dva z NAT-om brez forwardiranih portov, se seveda stvari bistveno zakomplicirajo, saj se s tem avtomatično določi stran z problematičnimi routerji kot stran, ki mora biti iniciator tunelov.
Pri mreža-mreža varianti to morda še deluje, problematično pa postane pri odjemalec-mreža varianti, saj ta že v osnovi ne predvideva, da bi bil 'gateway' tisti, ki bo vzpostavljal povezavo.
Pa tudi če bi gateway izvajal nekakšen 'callback' - če odjemalec ni direktno dosegljiv in se skriva izza NAT routerja, potem stvar spet ne bo delovala brez nekih dodatnih fint in for.
Tudi če bi bil odjemalec direktno dosegljiv na IP naslovu, ki ga deli preko DynDNS, mora nekdo dopovedati VPN strežniku, da odjemalec potrebuje povezavo. Ker je ta strežnik izza NAT-a, pa imaš spet problem.
Najlažje bi bilo, če bi se poslužil metod, ki se jih poslužujejo botneti. To nekje na IRC čakajo na znanem kanalu na ustrezen ukaz, ali pa npr. na twitterju na določen ukaz preko twitter omrežja.
Še pa vedno imaš problem, ko sta obe strani izza NAT routerjev brez forwardiranja portov. Takrat direktna povezava ne pride v poštev in se ne moreš izogniti nekemu 'posredniku', ki bo promet posredoval v eno in drugo stran. Tako, kot to že takointako počne večina 'remote access' rešitev.
V glavnem nobena znanost, zgolj nekaj logike je treba uporabiti.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
damirj79 ::
V glavnem, kot pravis, nobena znanost, ce razumes potrebo, bos, ce je izvedljivo, tudi znal ponuditi resitev. Iz vse te klobase resitve nisi podal. Razlike med remote access orodji in pravimi vpn povezavami so ze dolgo zabrisane, saj marsikatero omogoca tudi site2site in client2site vpn povezavo, kar jih po definiciji uvrsca med prave vpn povezave. Kako to dosezejo, je pa mneda ze dolgo jasno, tretji clen lociran izven source in destination omrezja. Poanta je samo, ali si ti lastnik te tretje tocke, ali pa nek ponudnik.
MrStein ::
SeMiNeSanja je izjavil:
Še pa vedno imaš problem, ko sta obe strani izza NAT routerjev brez forwardiranja portov. Takrat direktna povezava ne pride v poštev in se ne moreš izogniti nekemu 'posredniku', ki bo promet posredoval v eno in drugo stran.
Seveda gre. Bilo opisano, z linkom na detajle.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
SeMiNeSanja ::
SeMiNeSanja je izjavil:
Še pa vedno imaš problem, ko sta obe strani izza NAT routerjev brez forwardiranja portov. Takrat direktna povezava ne pride v poštev in se ne moreš izogniti nekemu 'posredniku', ki bo promet posredoval v eno in drugo stran.
Seveda gre. Bilo opisano, z linkom na detajle.
Govor je bil o težavi, če hočeš to vzpostaviti brez neke tretje 'posredniške točke'.
Namerno nisem govoril o 'posrednikih', ker ti za moje pojme bolj spadajo v področje 'remote access' orodij.
Pač ni neke 'uradne' definicije/ločnice kaj je kaj in vsak si to malo po svoje razlaga. Za mene je ločnica ravno v tisti tretji točki, katera po mojih 'kriterijih' pri 'pravi' VPN povezavi nima kaj početi v scenariju, saj od VPN pričakuješ, da v nobenem primeru ne bo vmes nekoga, ki se lahko kakorkoli vplete v komunikacijo (tudi če to 'vpletanje' pomeni zgolj njeno omogočanje).
Kdo drug si seveda lahko stvar drugače interpretira. Dobro pa je, da ta interpretacija olajša razumevanje različnih scenarijev, ne pa da jih še dodatno otežuje.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
sbawe64 ::
TW nameščen na hdd (ne portable) trenutno zadnja verzija za win je 15.4.4445, kako odpraviti reklamni nag, ki se pojavi pri izhodu iz TW ?
Zapri TW.
V mapi %userprofile%\AppData\Local\Temp\TeamViewer\ se nahaja fajl "TeamViewer11_Exit.hta", odprite ga v notepad++/wordpad, pobrišite vsebino, shranite, nato dodajte attribut read-only (velikost fajla 0 bytov).
https://docs.microsoft.com/en-us/window...
Zapri TW.
V mapi %userprofile%\AppData\Local\Temp\TeamViewer\ se nahaja fajl "TeamViewer11_Exit.hta", odprite ga v notepad++/wordpad, pobrišite vsebino, shranite, nato dodajte attribut read-only (velikost fajla 0 bytov).
https://docs.microsoft.com/en-us/window...
attrib +r %userprofile%\AppData\Local\Temp\TeamViewer\TeamViewer11_Exit.hta
Zgodovina sprememb…
- spremenilo: sbawe64 ()
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Teamviewer (strani: 1 2 )Oddelek: Pomoč in nasveti | 14515 (3725) | Ales |
» | Alternativa TeamView-erju ali zamenjava IDja (strani: 1 2 )Oddelek: Omrežja in internet | 19395 (15551) | MrStein |
» | TV namesto RDPOddelek: Informacijska varnost | 4848 (3642) | MrStein |
» | VPN povezava PC-laptopOddelek: Pomoč in nasveti | 1762 (1587) | Pina |
» | VPN - vprašanjeOddelek: Omrežja in internet | 3143 (2977) | axee |