LINUX.ORG.RU
решено ФорумAdmin

Доступ к локальным сервисам через интернет

 ,


0

1

Здравствуйте!

Имеется: локальная сеть, где сервер «А» слушает TCP-порты, а хост «Б» может к ним подключаться (возможно и большее количество хостов и серверов).

Задача: создать возможность разместить «А» и «Б» в любом месте в интернете.

Я нашёл такое решение с помощью сети yggdrasil: устанавливаю свой публичный пир yggdrsil на любой сервер с белым ip, так же устанавливаю его на «А» и «Б» (прописывая в конфигурации свой публичный пир). Теперь я могу точно так же могу обращаться к локальным сервисам, причём через публичный пир данные будут проходить в зашифрованном виде. Кажется, элегантное и простое решение? Но вот проблема: если в конфигурации какого-либо клиента yggdrasil появится публичный пир из глобального сегмента сети, все мои сервисы окажутся торчащими наружу?

Сильно не пинайте, я в сетевых технологиях не шарю. Буду благодарен, если подскажете другое решение моей задачи.

Поднять OpenVPN
Не может подключится сервер к openVPN серверу
Ответ на: комментарий от manntes-live

С VPN не знаком, а Yggdrasil позиционируется как решение, не требующее конфигурирования. Вот и смотрю на него.

fingolfin
() автор топика
Ответ на: комментарий от fingolfin

Ставь wireguard: он куда больше подходит для этой задачи, раз не хочешь светить порты в интернет. Да и его поддержка в опенврт есть, можно на роутерах настроить.

manntes-live ★★★
()
Ответ на: комментарий от manntes-live

Долго досконально разбираться в его устройстве, а вы не могли бы подсказать, возможна ли приватность в отношении сервера с белым адресом, или этот сервер будет видеть данные в нешифрованном виде?

fingolfin
() автор топика

Да, если в пирах какого-либо клиента появится публичный пир (что может происходить не только при явном прописывании, но и при обнаружении в локальном сегменте узла) - твой сегмент соединится с глобальной сетью yggdrasil и твои сервисы станут доступны для всех в сети yggdrasil.

Yggdrasil спроектирован всё-таки для построения глобальной сети, а не для автономных фрагментов.

При этом, поскольку адреса в сети yggdrasil связаны с ключами шифрования - ты можешь ограничить доступ по IP к своим сервисам и это будет достаточно безопасно.

Scondo
()
Ответ на: комментарий от fingolfin

Да. Ну или средства контроля в твоём приложении…

Scondo
()
Ответ на: комментарий от anc

Подскажи пожалуйста, если не затруднит, в этой статье описывается именно такой туннель (когда единственный сервер с белым адресом не может расшифровать данные)?

https://vc.ru/dev/155768-stroim-vpn-tunnel-v-lokalnuyu-set-s-pomoshchyu-wireguard

fingolfin
() автор топика
Ответ на: комментарий от fingolfin

Понятия не имею. Никогда не изучал работу wiregurd. Но если у вас паранойя, ничего не мешает надеть презевратив, смазать эпоксидкой, ещё один презерватив... поднять ещё один шифрованный туннель внутри установленного.

anc ★★★★★
()
Ответ на: комментарий от anc

Вот потому мне нравятся маргинальные технологии! По игдрасилю сразу всё нашлось, с подробным устройством, и консультацию удалось получить. А по, вроде бы, мейнстримному вайргуарду ничего толком не понять. Ну и ладно :)

fingolfin
() автор топика
Ответ на: комментарий от fingolfin

Так в любом случае, чем бы оно не было, нужно как минимум самому посмотреть как оно робит.

anc ★★★★★
()

yggdrasil умеет туннелировать — можешь сделать аналог vpn http://[222:a8e4:50cd:55c:788e:b0a5:4e2f:a92c]/doku.php?id=yggdrasil:tunnels - тут инструкция

anonymous
()
Ответ на: комментарий от anonymous

Таки всё, 0.4 релизнулась, туннели похоронили.

С добрым утром!

Scondo
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Поднять OpenVPN
Admin
Не может подключится сервер к openVPN серверу