Připojení z internetu k zařízení v LAN síti přes neveřejnou IP adresu (double NAT)
Připojení z internetu k zařízení v LAN síti přes neveřejnou IP adresu (double NAT)
Zdravím všechny, chtěl bych se zeptat zkušených na způsob, jakým probíhá přenos dat přes VPN.
Zadání je následující. Mám nějaké zařízení v místní LAN sítí (192.168.X.Y), v mém nakresleném příkladu Synology NAS, ale třeba i Raspberry Pi apod., ke kterému chci přistupovat z vnějšku (z internetu).
Jako nejlepší řešení se nabízí v mé místní síti (třeba na Synology, QNAP…) spustit VPN server, přesměrovat port a na ten server se přímo připojit z jakéhokoli klienta, ze kterého potřebuji. Ovšem máme problém s tzv. double NAT (snad to nazývám správně), situaci, kdy ISP neposkytuje (ani za příplatek) veřejnou adresu. Nemyslím, že nenabízí statickou, to by šlo řešit přes DDNS, ale že adresa je navíc neveřejná, takže dochází k více násobnému „překladu“ adres přímo u ISP a přesměrování portů na routeru je tudíž zbytečné a nefunkční.
Po Googlení jsem našel několik řešení, z něhož jedno bylo (za mě skvělý nápad) využít služeb VPS např. od Amazonu na hosting VPN serveru. Když bude zařízení připojeno skrze bezpečnou VPN k mému VPS poskytovateli a zároveň se k němu připojím i já odkudkoliv jinde, půjde směřovat požadavky a připojit se k zařízení v místní síti i za double NAT. Tuším, že se to jmenuje „hole punching“ nebo taky „reverse VPN“.
K popisu viz. výše už nemám dotaz (tak třeba to poslouží někdy i někomu jinému jako inspirace)
…ale mám dotaz k tomu, jak funguje VPN, konkrétně OpenVPN nebo i jiný VPN protokol?
Nákres jako v zadání zůstává ↑ a mě by, prosím, pokud někdo ví, zajímalo, jak při takovémto připojení data tečou?
za A) což tipuji, ale jen podle logiky, protože toto nevím a zajímalo by mě to prosím. Myslím si, že už z povahy, jak funguje VPN, tak dojde k zašifrování dat, které putují šifrovaným tunelem na VPN server, kde jsou dešifrovaná. Posléze jsou opět zašifrována, aby mohly VPN tunelem putovat na koncové zařízení, kde jsou data opět dešifrována.
Což by ale znamenalo, že poskytovatel VPS (jakýkoli), v případě že by se chtěl z nějakého důvodu chovat nekale, nebo byl hacknut, nebo jeden nečestný zaměstnanec VPS, nebo na příkaz policie, nebo na příkaz vlády (např. viz aktuální téma, třeba poskytovatel VPS z Ruska a jak se všichni obávají např. antiviru Kasperskyho) atd. atd. atd., by mohl VPS provider v podstatě sledovat veškerý provoz mezi klientem a moji LAN sítí, protože VPN tunel by byl porušen tím, že by si dal „mezizastávku“.
nebo za B) se stane to, že když jsou k jednomu OpenVPN serveru připojené šifrovaným tunelem 2 a více klientu a cesta paketu je z jednoho klienta na druhý, tak by k dešifrování na serveru nedoházelo, ale až v cílové destinaci paketu, tzn. až u druhého klienta?
To by pak znamenalo soukromí, a že by se nemuselo důvěřovat externímu VPS poskytovateli, který by sice předpokládám mohl trackovat a logovat aktivitu, kdy k ní dochází, přibližné objemy dat. Mohl by udělat to, že mi VPS může vypnout/smazat, ale neměl by možnost přenášená data čist, protože by se jednalo o nesmyslné jedničky a nuly (=šifrovaný provoz).
Jak to tedy je? Platí scénář A nebo B nebo zcela nějaký jiný? Děkuji za případnou pomoc, nápady, pomoc ve vzdělání i případné další tipy na články, co by mi pomohly pochopit problematiku.
Nebo i další tipy, jak by problematika připojení do sítě za neveřejnou adresou šlo nějak bezpečně vyřešit.
Děkuji za Váš čas a přeji hezký den!
- Microsheep
- Level 4.5
- Příspěvky: 1656
- Registrován: leden 10
- Pohlaví:
- Stav:
Offline
Re: Připojení z internetu k zařízení v LAN síti přes neveřejnou IP adresu (double NAT)
Pokud by se to nechalo bezeslov, tak A) je v podstatě správně, ale ne tak docela. Dejme tomu, že máš dle obrázku OpenVPN nastavené na obou stranách jako klient-server. Příklad si řekneme třeba nejjednodušeji na HTTP/HTTPS provozu. Vynecháme ověření atd. tunely už máme vytočené a zařízení spolu komunikují.
Nejprve pošlu HTTP na Synology z notebooku např. z webového prohlížeče http://192.168.10.5:5000
OpenVPN tento provoz celý zašifruje a celou cestu až k VPN serveru bude zašifrovaný (tedy přes moji lokální síť, ISP, až do Amazonu). VPN server mi provoz dešifruje a opět zašifruje a celou cestu k Synology bude zase šifrovaný. Kdybych si tedy dal čichat na OpenVPN serveru provoz, budu ho vidět tak jak je (jak například vidí můj ISP). OpenVPN se stará pouze o šifrované doručení k němu. Pokud, ale stejně udělám s https://192.168.10.5:5001, je to stejné, ale provoz bude šifrovaný samotným TLS v HTTPS - a zase ne všechno se dá v HTTPS ukrýt, domain name atd. no prostě nekonečný boj, to je na déle, pointa je snad jasná, vzhledem k tomu, že by to bylo to tvé sítě pouze, tak je tohle nepodstatné. Pokud by chtěl tento provoz někdo rozšifrovat, musel by ještě využít nějakého MITM. Proto jsou třeba fajn HTTPS certifikáty ověřené CA, které zase dodávají o něco více zabezpečení.
Nejprve pošlu HTTP na Synology z notebooku např. z webového prohlížeče http://192.168.10.5:5000
OpenVPN tento provoz celý zašifruje a celou cestu až k VPN serveru bude zašifrovaný (tedy přes moji lokální síť, ISP, až do Amazonu). VPN server mi provoz dešifruje a opět zašifruje a celou cestu k Synology bude zase šifrovaný. Kdybych si tedy dal čichat na OpenVPN serveru provoz, budu ho vidět tak jak je (jak například vidí můj ISP). OpenVPN se stará pouze o šifrované doručení k němu. Pokud, ale stejně udělám s https://192.168.10.5:5001, je to stejné, ale provoz bude šifrovaný samotným TLS v HTTPS - a zase ne všechno se dá v HTTPS ukrýt, domain name atd. no prostě nekonečný boj, to je na déle, pointa je snad jasná, vzhledem k tomu, že by to bylo to tvé sítě pouze, tak je tohle nepodstatné. Pokud by chtěl tento provoz někdo rozšifrovat, musel by ještě využít nějakého MITM. Proto jsou třeba fajn HTTPS certifikáty ověřené CA, které zase dodávají o něco více zabezpečení.
Re: Připojení z internetu k zařízení v LAN síti přes neveřejnou IP adresu (double NAT)
Děkuju moc za skvělou odpověď a dobré vysvětlení! Já si to taky říkal, že asi A. Mě zmátla služba zvaná ZeroTier, kdy na webu mají, že šifrují end to end a našel jsem příspěvek na Redditu od člena jejich týmu, kde píše toto.
Defacto popisuje můj nakreslený scénář B, kdy data proudí přes jejich službu, ale nemají k nim údajně přístup. Takže nejspíše to asi tak není a mystifikují.
► Zobrazit spoiler
Defacto popisuje můj nakreslený scénář B, kdy data proudí přes jejich službu, ale nemají k nim údajně přístup. Takže nejspíše to asi tak není a mystifikují.
- Microsheep
- Level 4.5
- Příspěvky: 1656
- Registrován: leden 10
- Pohlaví:
- Stav:
Offline
Re: Připojení z internetu k zařízení v LAN síti přes neveřejnou IP adresu (double NAT)
Výše jsem popisoval pouze chování OpenVPN client-server. To není universální chování každé aplikace, která se stará o nějaký privátní tunneling/peering apod.. Službu ZeroTier neznám, takže nemůžu říct.
Re: Připojení z internetu k zařízení v LAN síti přes neveřejnou IP adresu (double NAT)
Chápu, děkuju za dovysvětlení.
Původně jsem si myslel, že když si to budu hostovat „sám“ u providera VPS, že to bude o kapku bezpečnější a soukromější… a jak to tak zatím chápu, tak zatím lépe z toho vychází poskytovatelé typu ZeroTier a Tailscale, které to různě údajně zatunelují a nevím co všechno.
Jen BTW, neexistuje nějaký lehce až středně náročný způsob, jak dosáhnout obrázku B vlastními silami skrze VPS providera? Nabízí se, jak si psal, používat jen šifrované protokoly jako HTTPS, ale přes to neprocpu vše, že? Třeba nějaké VPN ve VPN, nebo jiná forma tunelu ve VPN k VPS atd… Teď jen plácám do větru. Už mě pálí mozek
Původně jsem si myslel, že když si to budu hostovat „sám“ u providera VPS, že to bude o kapku bezpečnější a soukromější… a jak to tak zatím chápu, tak zatím lépe z toho vychází poskytovatelé typu ZeroTier a Tailscale, které to různě údajně zatunelují a nevím co všechno.
Jen BTW, neexistuje nějaký lehce až středně náročný způsob, jak dosáhnout obrázku B vlastními silami skrze VPS providera? Nabízí se, jak si psal, používat jen šifrované protokoly jako HTTPS, ale přes to neprocpu vše, že? Třeba nějaké VPN ve VPN, nebo jiná forma tunelu ve VPN k VPS atd… Teď jen plácám do větru. Už mě pálí mozek
- Microsheep
- Level 4.5
- Příspěvky: 1656
- Registrován: leden 10
- Pohlaví:
- Stav:
Offline
Re: Připojení z internetu k zařízení v LAN síti přes neveřejnou IP adresu (double NAT)
Všechno co si necháváš hostovat jinde a nemáš fyzicky/sw pod svojí kontrolou nemůže být bezpečnější než to mít u sebe. Pokud teda trochu člověk ví, co dělá a používá akuální SW atd. Jednoduše pod ruce nikomu nevidíš a běžný člověk si nezjišťuje nějakou reputaci firmy, odkud je a tak. A i kdyby byli nějaké úniky, tak se nikdo nepřizná. Můžeš použít např. způsob výše - HTTPS přes Synology by neměl být problém udělat vše potřebné. Pokud jsi paranoidní na odposlech a chceš jistotu - data můžeš mít NASu zašifrované lokálně, poté co si soubory přeáhnešpřes VPN k sobě na počítač silným heslem/certifikátem/šifrou si data odšifruješ. Máš jistotu, že klíč od dat máš pouze ty, nejsi odkázán na služby nikoho jiného.
-
- Mohlo by vás zajímat
- Odpovědi
- Zobrazení
- Poslední příspěvek
-
- 1
- 1290
-
od meda2016
Zobrazit poslední příspěvek
24 kvě 2023 08:40
-
- 6
- 1958
-
od ITCrowd
Zobrazit poslední příspěvek
18 čer 2023 20:35
-
-
Druhý router nemá v administraci připojení k internetu
od nydrleon » 18 dub 2023 16:52 » v Sítě - hardware - 9
- 1289
-
od ITCrowd
Zobrazit poslední příspěvek
19 dub 2023 18:43
-
-
-
Koupě venkovní kamery, připojení přes wifi a ukládání záznamu
od Clorky » 09 črc 2023 09:57 » v Administrace sítě - 5
- 2635
-
od X
Zobrazit poslední příspěvek
16 črc 2023 09:31
-
-
- 25
- 2147
-
od petr22
Zobrazit poslední příspěvek
29 úno 2024 18:34
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 3 hosti