OpenVPN для www-сервера за NAT-ом

[skiffi50]

Привет.

Задачка дать удаленный защищённый http-доступ себе любимому (с мобильного ноута) на домашний www-сервер за NAT-ом (beeline, домашний интернет).

Белый IP или DynDNS понятно для чего. Как узнать белый адрес понятно. Сначала хочу протестить как пойдет в принципе.
С клиентом вроде все понятно.
Сервер Win2008SR2, инсталлировал туда OpenVPN сервер. Роутер - ASUS 520 (L2TP канал), подключен через Beelinе-овский рутер (маленький такой). Адрес ASUS-а 192.168.0.1, подключениям присваиваются - 192.168.0.N
На www-сервере порт - 8001.
Нужны какие манипуляции с 1701 500 и 1194 портами и где?

wbr
Vlad

[PEHDOM]

Цитата: Сообщение от skiffi50 Нужны какие манипуляции с 1701 500 и 1194 портами и где?

Вам нужно пробросить порт 1194 на внутренний адрес Сервера Win2008SR2
А дальше ничего непонятно что у вас куда подключено.. Структурируйте свою мысль. Нарисуйте схему чтоли?
Внутренняя сеть вас 192.168.0.0 это понятно, wan интерфейс ASUS 520-а смотрит прямо в инет? или там другая сеть для связи с Билайновским роутером, а уже билайновский роутер сморит в сеть. или билайновский роутер не роутер а модем например?

[medved_68]

Цитата: Сообщение от skiffi50 Как узнать белый адрес понятно.

Не факт, что при попытке доступа по этому "белому" адресу извне, маршрутизатор провайдера будет перебрасывать пакеты на твой адрес. Даже с большой вероятностью, что нет.

[skiffi50]

Цитата: Сообщение от PEHDOM Нарисуйте схему чтоли?

ПК Win2008sr2 c www-сервером на борту подключен к маршрутизатору. Там же развернул OpenVPN (не активировал, ключи сгенерил только). Локальная сеть не интересует. Интересует достаточно защищённый доступ по http извне. Причем не только с win (и даже не столько с win), а и Linux рабочей станции (Mint) - поэтому взялся за OpenVPN, как кроссплатформенный пакет.

Добавлено через 2 часа 16 минут

Цитата: Сообщение от medved_68 Не факт, что при попытке доступа по этому "белому" адресу извне, маршрутизатор провайдера будет перебрасывать пакеты на твой адрес. Даже с большой вероятностью, что нет.

видно низя выкладывать трассу и лог рутера.
ладно - на пальцах. Коробочка от билайна, как выяснилось Dlink DES1005A, грят безмозглый switch, можно выкинуть, ASUS-а хватит (Asus мой - прикупил для вафли). Трассу запустил, первым идёт, как и ожидалось 192.168.1.1, потом две строки со звездами и превышением интервала, потом потом идут внешние корбиновские ip и далее до места. Т.е. выданный статический ip адрес будет как бы alias-ом на локальный ip и что маршрутизатор должен о нем знать?

[PEHDOM]

Цитата: Сообщение от skiffi50 Интересует достаточно защищённый доступ по http извне

что в вашем понимании достаточно защищенный? чтобы чужие не лазили, или чтобы нельзя было перехватить пакеты? возможно вам будет достаточно SSL + преавторизации на сайте?


А опенВПН будет работать следющим образом:
У вас стоит win2008, на нем поднят опенВПН сервер котороый слушает порт 1194 . Адрес win2008 срвера 192.168.0.10 (например) , также стоит у вас роутер Асус, одним портом LAN, с адресом 192.168.0.1 он смотрит в локалку , потом WAN он смотрит в инет , допустим IP адрес динамический и используется сервис ДинДНС.
чтобы подключаться по опенВПН-у вам нужно на роутере создать два правила (может быть больше или меньше все зависит от настроек фаервола на вашем роутере)
1. разрешить машинке с адресом 192.168.0.10 обращаться куда угодно по порту 1194. естественно через NAT (можно и не создавать если у вас нет запрета на исходящие соединения)
2. пробросить порт 1194 который смотрит в инет на локальный адресс:порт 192.168.0.10:1194 (не помню как называеться эта опция в асусах, толи виртуал сервер, толи порт мапиинг. Вобщем в мануале должно быть напиасано..)

Все больше ничего не надо.
После этого в ОпенВПН клиенте вам нужно будет указать внешний ИП адрес или имя(в случае использования ДинДНС) вашего АСУСА и порт 1194 (ключи-логины-пароли вы заранее настроили). и вы установите ВПН-канал с Вашим WIN2008 сервером. При этом создастся дополнительное сетевое соединение в соответствии с настройками ОпенВПН сервера. Например сервер будет иметь адрес 10.0.0.1, а ваш клиент 10.0.0.10 Повторюсь это гипотетичекий пример, у вас адреса могут быть другие, в соответвии с настройками вашего сервера.
чтобы зайти на ваш www вам нужно будет в браузере набрать в строке адреса 10.0.0.1

[skiffi50]

пасиб. решил разобраться с защищёнными протоколами и остановился на среднесложном общеприменимом продукте. С SSL не очень представляю на каком уровне происходит шифрация (разве что на маршрутизаторе)? Штатное решение - вэбсервер с https применять не могу, т.к. в РФ не сертифицирована соответствующая библиотека, т.е. навык будет бесполезен.
---
ща немного подумаю...
т.е. вэбсерверу я прописываю в *\drivers\etc\hosts\ адрес 10.0.0.1 ?

[PEHDOM]

Цитата: Сообщение от skiffi50 т.е. вэбсерверу я прописываю в *\drivers\etc\hosts\ адрес 10.0.0.1 ?

не совсем понимаю зачем вам чтото прописывать в хостах.

Ваш вебсервер должен быть доступен только вам или ограниченному в пару десятков лиц кругу? Или он может быть доступен любым хомячкам, а вам нужно по ВПН-у только админить его, дабы кулхацкеры не перехватили ваши логины пароли? ВПН предназначен именно для построения частных сетей. Тоесть вам доступен будет не только веб. но вообще все что может предложить протокол ТСП/ИП, как будто ваш клиент и сервер соеденены проводом напрямую. со всеми вытекающими последствиями. Если вам нужен только доступ по ВЕБ , посмотрите в сторону https и авторизации на сайте. Вобщем корректно поставленая задача содержит половину ответа. ответте наконец что вы хотите в конечном итоге получить?

Цитата: Сообщение от skiffi50 С SSL не очень представляю на каком уровне происходит шифрация (разве что на маршрутизаторе)

На шестом уровне сетевой модели OSI. Данные, которые передаются по протоколу HTTPS, «упаковываются» в криптографический протокол SSL или TLS, тем самым обеспечивая защиту этих данных. Такой способ защиты широко используется в мире Веб для приложений, в которых важна безопасность соединения, например в платёжных системах. Маршрутизатор ваш вообще не при чем. Он просто передает пакеты от узла А узлу Б. По крайней мере в вашем случае.

Цитата: Сообщение от skiffi50 Штатное решение - вэбсервер с https применять не могу, т.к. в РФ не сертифицирована соответствующая библиотека, т.е. навык будет бесполезен.

с какого перляку? почти все госорганизации не брезгую SSL например https://esia.gosuslugi.ru/sia-web/rf...n/lp/Index.spr

[skiffi50]

Цитата: Сообщение от PEHDOM с какого перляку? почти все госорганизации не брезгую SSL

sapcriptolib
SAP/Solution Manager/CCMS, активация системы централизованного мониторинга

Добавлено через 10 минут

Цитата: Сообщение от PEHDOM не совсем понимаю зачем вам чтото прописывать в хостах.

это задает ip сервера. на текущий момент нужен защищённый удаленный доступ мне одному. следующий этап - подключение monitored systems.

[medved_68]

Цитата: Сообщение от skiffi50 Т.е. выданный статический ip адрес будет как бы alias-ом на локальный ip и что маршрутизатор должен о нем знать?

Ну хотя бы то, что все пакеты, пришедшие на этот "белый" IP необходимо DNAT'ить на серый IP, присвоенный твоему соединению. Если это есть - то доступ извне будет работать. Но если прописан только маскардинг твоего серого IP на белый для нормального выхода в Интернет - то не будет.

[PEHDOM]

Цитата: Сообщение от skiffi50 это задает ip сервера

это задает соответсвие ИП адреса имени. какому имени вы хотите прописать соответствие в хостах? И почему нельзя к серверу обрщаться по ИП адресу? ведь внутри ВПН адрес сервера будет всегда один и то же, даже если провайдер выдает вам динамический ИП.

Цитата: Сообщение от skiffi50 следующий этап - подключение monitored systems.

ну вобщем смотрите что вам больше подходит... SSL работает "напрямую"(хотя есть реализации ВПН на ССЛ)но требует поддержки ССЛ у клиента и сервера, ОпенВПН создает "тунель" (компьютеры на сетевом уровне видят друг-друга, так как будто бы они подключены проводом напрямую). Как настроить проброску портов на роутере при ВПН уже говорилось.

[skiffi50]

Цитата: Сообщение от PEHDOM это задает соответсвие ИП адреса имени. какому имени вы хотите прописать соответствие в хостах? И почему нельзя к серверу обрщаться по ИП адресу? ведь внутри ВПН адрес сервера будет всегда один и то же, даже если провайдер выдает вам динамический ИП.

пасиб ещё раз.
да-да...вспомнил - это для межсистемного обмена стоит блок пропускающий только символьные, не менее чем трехзонные имена - *bla.bla.bla,
Нормально всё должно быть - родственник уедет - получу "доступ к телу" - займусь плотнее
прояснить бы как не обрубить доступ домашним при экспериментах .
Сейчас один комп по кабелю подключен, два планшета по wifi могут подключаться, ну и, собственно, сервак по кабелю (а может по вафле можно?).

Сценарий, (ИМХО) :
1. всем компам и планшетам присвоить статические адреса
2. отключить в роутере DHCP,
3. В разделе ip config WAN&LAN WAN IP Setting поставить IP от провайдера, VPN Server - tp.internet.beeline.ru
4. Сохранить настройки и перегрузить роутер (чуть не забыл
5. Проверить, что доступ к инету у домочадцев есть . Далее самое интересное...
6. В разделе NAT Setting-Virtual Server проброс внешнего порта 1194 на локальный 1194 и локальный IP. Вопрос - надо ли для других IP (домочадным) проброс портов делать?
7. Активировать OpenVPN server с конфигом tls server -server (ex. 10*.0) 255.255.255.0
8. На OpenVPN-клиенте в конфиге - remote <IP от провайдера> 1194
9. Прописать OpenVPN IP для TAP Win32 адаптера (ex. 10*.1)
10. Запрет фильтрации TAP Win32 адаптера (снять галку в брандмауэре для VPN)
11. Рестарт OpenVPN сервиса.
12. Старт OpenVPN на клиенте. Проверяем получение IP адреса (ex. 10*.2).
20. поднять www сервер с etc/hosts: my_www OpenVPN_IP_TAP Win32 (ex. 10*.1)
21. Пробуем коннект http://OpenVPN_IP_TAP Win32:<www-порт>
фух....

[sskkru]

п.6 - домочадцам нужно добавить маршрут на удаленную сеть: route add -p XXX.XXX.XXX.0 mask 255.255.255.0 адрес_домашнего_сервера_на_котором_крутится_VPN, где XXX.XXX.XXX.0 - сеть на работе или где-то еще. Кроме того на самом сервере в конфиге VPN прописать все адреса, которые будет роутить сервер (если конечно VPN настроен не в режиме моста, а в роутинг)
п.9 никакого IP в TAP прописывать не нужно. Если ВПН поднялся, то адаптер получит его с DHCP впн-овского. Если не поднялся - смотреть логи
п.10 как правило не нужен, хотя как ведет себя винда 7 и выше с OpenVpn - не проверял
п.21 достаточно проверить пинг, а уж потом и все остальное должно пойти

[PEHDOM]

Цитата: Сообщение от skiffi50 1. всем компам и планшетам присвоить статические адреса

не обязательно, достаточно присвоить статический ИП только одному серверу, остальные могут получать ИП по ДХЦП. В принципе сервер тоже может получать ИП по ДХЦП, просто привяжите конкретный ИП для конкретного мак-адреса , в настройках ДХЦП (хотя я считаю что сервера всеже должны иметь статические ИП)..

Цитата: Сообщение от skiffi50 Вопрос - надо ли для других IP (домочадным) проброс портов делать?

не надо, им хватит простого ната.

[skiffi50]

Цитата: Сообщение от sskkru п.6 - домочадцам нужно добавить маршрут на удаленную сеть: route add -p XXX.XXX.XXX.0 mask 255.255.255.0 адрес_домашнего_сервера_на_котором_крутится_VPN, где XXX.XXX.XXX.0 - сеть на работе или где-то еще. Кроме того на самом сервере в конфиге VPN прописать все адреса, которые будет роутить сервер (если конечно VPN настроен не в режиме моста, а в роутинг) п.9 никакого IP в TAP прописывать не нужно. Если ВПН поднялся, то адаптер получит его с DHCP впн-овского. Если не поднялся - смотреть логи п.10 как правило не нужен, хотя как ведет себя винда 7 и выше с OpenVpn - не проверял п.21 достаточно проверить пинг, а уж потом и все остальное должно пойти

пасиб за дополнение
домочадцам кроме обычного инета никуда не надо
VPN нужен только www-серверу, никуда дальше себя не раздается

[sskkru]

А домочадцам прописать адреса нужно не для того, чтобы они ходили через VPN, а чтобы с работы можно было подключаться к ним