Как соединить компы, которые за NAT?

sudo apt install strongswan && man strongswan добавить пиры:

conn hyperion 
auto=add 
compress=no 
type=tunnel 
keyexchange=ikev2 
fragmentation=yes 
forceencaps=yes 
dpdaction=clear 
dpddelay=30s 
rekey=no 
left=%any 
leftid=@your.domain.name 
leftcert=certificate.pem 
leftsendcert=always 
leftsubnet=0.0.0.0/0 
right=%any 
rightid=%any 
rightauth=eap-mschapv2 
rightsourceip=172.16.0.0/24 //адреса приватной (vpn) сети
rightdns=10.10.10.10 //адрес днс сервера для приватной сети. должен быть доступен из этой сети. проверь правила маршрутизации и файерволла 
rightsendcert=never 
eap_identity=%identity 
mobike=yes

c сертификатами от LE сам разберешься.

на клиентах, соответственно, настраивай ipsec ikev2 подключение. для шиндовсов работает начиная, вроде, с семерки.

Благодарю. Пошел курить маны

To all: Если есть еще варианты, прошу не стесняйтесь )

openvpn, l2tp

openvpn разве умеет объединять 2 разные подсети, находящияся за NAT-ами через третий комп, с внешним IP?

openvpn разве умеет объединять 2 разные подсети

да. и две и три и тридцать три.

находящияся за NAT-ами через третий комп, с внешним IP?

и nat тут с какого боку?

ЗЫ Не совсем понял причем здесь обьединение сетей? Вы пишите:

как установить (временное) ВПН-соединение между КК и ДК через ВК?

т.е. комп-комп.

и nat тут с какого боку?

Ну всмысле, что 2 компа не могут слушать входящие подключения, поэтому используют третий, как некий посредник для общения друг с другом. При этом желательно, чтобы ресурсы третьего были максимально изолированны от этих двух

Ну всмысле, что 2 компа не могут слушать входящие подключения, поэтому используют третий

Это понятно. Я не понял зачем в вопросе написанном в одно предложение было это уточнение. С точки зрения сервера, какая ему разница как соединяется клиент, nat, двойной nat и т.д.? Соединился и хорошо, было такое выражение «сервер не суетись под клиентом» :)

При этом желательно, чтобы ресурсы третьего были максимально изолированны от этих двух

iptables вам в помощь.

Понял. Спасибо. Тяжелее SSH-тоннелей ничего в жизни не поднимал, поэтому задаю глупые вопросы)

Так и ssh вам так же поможет. Тут на вкус и цвет. Что удобнее то и настраивайте. Принцип в целом не меняется.

Точно поможет? Я думал он умеет создавать только тоннели между двумя компами напрямую

zerotier
даже когда все за натами. просто ставишь клиент, и заходишь в сеть. потом все друг другу доступны по внутренним ip, которые видишь в админке.

Да. параметр -w а дальше все в ваших руках. И конфиг сервера sshd_config поправить нужно, что бы разрешить использование туннелей.

zerotier

Интересно. Никогда не юзал, но по описанию (использует stun) как раз то что хотелось ТС «как в тимвьювер». Сами пробовали? Он правда не завязан на свои сервера?

Я только сейчас допёр что на аватарке ложка ::)

На меня похожа

Рыжий, рыжий конопатый убил Столлмана лопатой :D

Я пробовал несколько раз. Он завязан на свои сервера, как минимум при начальном коннекте, потом (видно) трафик бегает между нодами напрямую.

Он завязан на свои сервера

Тогда мимо. ТС как я понял хотел уйти от «дяденьки» иначе ему и «тимвьювер» хватило бы.

На меня похожа

Не воспримите за оскорбление, только как старый факт. В школе была пара братьев «с такой окружностью лица» погоняло Глобус (если надо разбирать про кого, то добавляли старший/младший «Глобус старший», «Глобус младший»). Ещё раз извините, но не мог не вспомнить :)

наоборот же

Лень пробрасывать порты и вот это всё. Хочется облачно, как в тимвьювер :)

Может вы и правы, а мое предположение было не верным. Дождемся ответа от ТС.
ЗЫ Правда тогда не понятно, чем его «тимвьювер» не устроил? Тот же stun через «дядю» и пользуй.

Если потерпеть тормоза, то можно использовать связку tor + vnc. Рекомендуется только драйвер дисплея поставить, а вообщем права не нужны. Но тунелировать можно чем угодно, хоть stunnel.

Еще советую попробовать какой нибудь шлюз. Guacamole например.

Может вы и правы, а мое предположение было не верным

Ваше предложение было верным)

чем его «тимвьювер» не устроил

Обычное дело. Он сказал «Что-то ты не похож на домашнего юзера. Дай денег». Плюс хочется админить все айпишники сразу, да со своего компа, а не через удаленный рабочий стол.

Не знаю, подойдет ли встроенный в винду ipsec. Умеет ли он автопереподключение при разрыве и если умеет, то как часто долбится. Будем посмотреть

Не знаю, подойдет ли встроенный в винду ipsec. Умеет ли он автопереподключение при разрыве и если умеет, то как часто долбится. Будем посмотреть

Там вроде ipsec+l2tp, могу ошибаться. Для вынь юзеров раздаю ovpn. Нормально робит.

..и если от сервера не будет ответа целый месяц, не бросит ли он попыток подключиться. Короче, дьявол в деталях. Хоть свой тимвьювер пиши

А маршруты по прежнему самому добавлять после подключения? Лет 5 назат баловался, вроде так было

А маршруты по прежнему самому добавлять после подключения? Лет 5 назат баловался, вроде так было

Неверно. «Кастомные» маршруты раздаются уже с dhcp, так было и 20 лет назад и есть сейчас. Не достаточно «ppp» «оно» такое не умеет, к нему в связку надо добавлять dhcp сервер. Вот в таком варианте ppp + dhcp оно работает и вполне успешно.
В этом плане ovpn проще. Все из каробки можно настроить, без использования связок ipsec+l2tp+dhcp. Его(ovpn) минус в: userspace+однопоточность. Нагрузка больше.

Понял. Спасибо

Нашел из своих же ответов другому ТС про ppp+dhcp http://www.delayer.org/2014/10/pptp.html
А так, нагуглить легко.

zerotier. Просто пушка. Читаю и офигеваю. Это ж сколько всего можно сделать

Поидее тебе любой впн подойдет. Openvpn попроще, ipsec производительней. Можешь ещё tinc глянуть.

вот tinc это вещь, настоящий пир ту пир. правда заманаешься ключами обмениваться, у всех пиров должны быть ключи всех пиров.

tinc

Уже научился с «за NATми» подключениями? И даже если да, то чем отличается от ipsec ?

https://www.tinc-vpn.org/documentation-1.1/How-connections-work.html

firewalls might also prevent direct communication. In that case, VPN packets between A and C will be forwarded by B.

Спасибо! Я его давно «щупал», тогда такого не было. Очень здорово. Ещё раз спасибо.

Уже научился с «за NATми» подключениями? И даже если да, то чем отличается

от ipsec ?

Тогда в Tinc хотя бы 1 хост должен иметь реальный IP. А потом они уже напрямую (которые за НАТами).

Проблему обмена ключами решил с помощью Ansible модуля. (Но это подходит, если я админ на всех этих хостах.). Т.к. задача добавить хост в сеть - означает разложить новый пуб.ключ на все остальные хосты. И собрать со всех хостов их пуб.ключи на новый хост.

Тогда в Tinc хотя бы 1 хост должен иметь реальный IP. А потом они уже напрямую (которые за НАТами)

Так вроде нет. UDP hole punch он вроде не умеет. Поэтому если оба за NAT, то весь трафик через третий сервер

B will automatically help A and C punch holes through their NAT, in a way similar to the STUN protocol, so that A and C can still communicate with each other directly

Но

It is not always possible to do this however, and firewalls might also prevent direct communication. In that case, VPN packets between A and C will be forwarded by B.

Мне кажется достаточно удобное решение.
ЗЫ
Надо будет потестить на досуге.

Продано!

Для оpenwrt и кинетика есть пакеты. А вот микротик как всегда в пролете