Připojení z internetu k zařízení v LAN síti přes neveřejnou IP adresu (double NAT)

Problematika administrace LAN či WIFI sítí

Moderátor: Mods_senior

Fanda_
nováček
Příspěvky: 17
Registrován: srpen 20
Pohlaví: Muž
Stav:
Offline

Připojení z internetu k zařízení v LAN síti přes neveřejnou IP adresu (double NAT)

Příspěvekod Fanda_ » 27 bře 2022 13:15

 
Zdravím všechny, chtěl bych se zeptat zkušených na způsob, jakým probíhá přenos dat přes VPN.
Obrázek

Zadání je následující. Mám nějaké zařízení v místní LAN sítí (192.168.X.Y), v mém nakresleném příkladu Synology NAS, ale třeba i Raspberry Pi apod., ke kterému chci přistupovat z vnějšku (z internetu).

Jako nejlepší řešení se nabízí v mé místní síti (třeba na Synology, QNAP…) spustit VPN server, přesměrovat port a na ten server se přímo připojit z jakéhokoli klienta, ze kterého potřebuji. Ovšem máme problém s tzv. double NAT (snad to nazývám správně), situaci, kdy ISP neposkytuje (ani za příplatek) veřejnou adresu. Nemyslím, že nenabízí statickou, to by šlo řešit přes DDNS, ale že adresa je navíc neveřejná, takže dochází k více násobnému „překladu“ adres přímo u ISP a přesměrování portů na routeru je tudíž zbytečné a nefunkční.

Po Googlení jsem našel několik řešení, z něhož jedno bylo (za mě skvělý nápad) využít služeb VPS např. od Amazonu na hosting VPN serveru. Když bude zařízení připojeno skrze bezpečnou VPN k mému VPS poskytovateli a zároveň se k němu připojím i já odkudkoliv jinde, půjde směřovat požadavky a připojit se k zařízení v místní síti i za double NAT. Tuším, že se to jmenuje „hole punching“ nebo taky „reverse VPN“.


K popisu viz. výše už nemám dotaz (tak třeba to poslouží někdy i někomu jinému jako inspirace)
…ale mám dotaz k tomu, jak funguje VPN, konkrétně OpenVPN nebo i jiný VPN protokol?

Nákres jako v zadání zůstává a mě by, prosím, pokud někdo ví, zajímalo, jak při takovémto připojení data tečou?


Obrázek

Obrázek

za A) což tipuji, ale jen podle logiky, protože toto nevím a zajímalo by mě to prosím. Myslím si, že už z povahy, jak funguje VPN, tak dojde k zašifrování dat, které putují šifrovaným tunelem na VPN server, kde jsou dešifrovaná. Posléze jsou opět zašifrována, aby mohly VPN tunelem putovat na koncové zařízení, kde jsou data opět dešifrována.

Což by ale znamenalo, že poskytovatel VPS (jakýkoli), v případě že by se chtěl z nějakého důvodu chovat nekale, nebo byl hacknut, nebo jeden nečestný zaměstnanec VPS, nebo na příkaz policie, nebo na příkaz vlády (např. viz aktuální téma, třeba poskytovatel VPS z Ruska a jak se všichni obávají např. antiviru Kasperskyho) atd. atd. atd., by mohl VPS provider v podstatě sledovat veškerý provoz mezi klientem a moji LAN sítí, protože VPN tunel by byl porušen tím, že by si dal „mezizastávku“.

nebo za B) se stane to, že když jsou k jednomu OpenVPN serveru připojené šifrovaným tunelem 2 a více klientu a cesta paketu je z jednoho klienta na druhý, tak by k dešifrování na serveru nedoházelo, ale až v cílové destinaci paketu, tzn. až u druhého klienta?

To by pak znamenalo soukromí, a že by se nemuselo důvěřovat externímu VPS poskytovateli, který by sice předpokládám mohl trackovat a logovat aktivitu, kdy k ní dochází, přibližné objemy dat. Mohl by udělat to, že mi VPS může vypnout/smazat, ale neměl by možnost přenášená data čist, protože by se jednalo o nesmyslné jedničky a nuly (=šifrovaný provoz).



Jak to tedy je? Platí scénář A nebo B nebo zcela nějaký jiný? Děkuji za případnou pomoc, nápady, pomoc ve vzdělání i případné další tipy na články, co by mi pomohly pochopit problematiku.
Nebo i další tipy, jak by problematika připojení do sítě za neveřejnou adresou šlo nějak bezpečně vyřešit.

Děkuji za Váš čas a přeji hezký den!

Reklama
Uživatelský avatar
Microsheep
Level 4.5
Level 4.5
Příspěvky: 1656
Registrován: leden 10
Pohlaví: Muž
Stav:
Offline

Re: Připojení z internetu k zařízení v LAN síti přes neveřejnou IP adresu (double NAT)

Příspěvekod Microsheep » 27 bře 2022 14:38

Pokud by se to nechalo bezeslov, tak A) je v podstatě správně, ale ne tak docela. Dejme tomu, že máš dle obrázku OpenVPN nastavené na obou stranách jako klient-server. Příklad si řekneme třeba nejjednodušeji na HTTP/HTTPS provozu. Vynecháme ověření atd. tunely už máme vytočené a zařízení spolu komunikují.
Nejprve pošlu HTTP na Synology z notebooku např. z webového prohlížeče http://192.168.10.5:5000
OpenVPN tento provoz celý zašifruje a celou cestu až k VPN serveru bude zašifrovaný (tedy přes moji lokální síť, ISP, až do Amazonu). VPN server mi provoz dešifruje a opět zašifruje a celou cestu k Synology bude zase šifrovaný. Kdybych si tedy dal čichat na OpenVPN serveru provoz, budu ho vidět tak jak je (jak například vidí můj ISP). OpenVPN se stará pouze o šifrované doručení k němu. Pokud, ale stejně udělám s https://192.168.10.5:5001, je to stejné, ale provoz bude šifrovaný samotným TLS v HTTPS - a zase ne všechno se dá v HTTPS ukrýt, domain name atd. no prostě nekonečný boj, to je na déle, pointa je snad jasná, vzhledem k tomu, že by to bylo to tvé sítě pouze, tak je tohle nepodstatné. Pokud by chtěl tento provoz někdo rozšifrovat, musel by ještě využít nějakého MITM. Proto jsou třeba fajn HTTPS certifikáty ověřené CA, které zase dodávají o něco více zabezpečení.

Fanda_
nováček
Příspěvky: 17
Registrován: srpen 20
Pohlaví: Muž
Stav:
Offline

Re: Připojení z internetu k zařízení v LAN síti přes neveřejnou IP adresu (double NAT)

Příspěvekod Fanda_ » 27 bře 2022 15:18

Děkuju moc za skvělou odpověď a dobré vysvětlení! Já si to taky říkal, že asi A. Mě zmátla služba zvaná ZeroTier, kdy na webu mají, že šifrují end to end a našel jsem příspěvek na Redditu od člena jejich týmu, kde píše toto.

► Zobrazit spoiler

Defacto popisuje můj nakreslený scénář B, kdy data proudí přes jejich službu, ale nemají k nim údajně přístup. Takže nejspíše to asi tak není a mystifikují. :cry:

Uživatelský avatar
Microsheep
Level 4.5
Level 4.5
Příspěvky: 1656
Registrován: leden 10
Pohlaví: Muž
Stav:
Offline

Re: Připojení z internetu k zařízení v LAN síti přes neveřejnou IP adresu (double NAT)

Příspěvekod Microsheep » 27 bře 2022 15:32

Výše jsem popisoval pouze chování OpenVPN client-server. To není universální chování každé aplikace, která se stará o nějaký privátní tunneling/peering apod.. Službu ZeroTier neznám, takže nemůžu říct.

Fanda_
nováček
Příspěvky: 17
Registrován: srpen 20
Pohlaví: Muž
Stav:
Offline

Re: Připojení z internetu k zařízení v LAN síti přes neveřejnou IP adresu (double NAT)

Příspěvekod Fanda_ » 27 bře 2022 15:52

Chápu, děkuju za dovysvětlení.

Původně jsem si myslel, že když si to budu hostovat „sám“ u providera VPS, že to bude o kapku bezpečnější a soukromější… a jak to tak zatím chápu, tak zatím lépe z toho vychází poskytovatelé typu ZeroTier a Tailscale, které to různě údajně zatunelují a nevím co všechno.

Jen BTW, neexistuje nějaký lehce až středně náročný způsob, jak dosáhnout obrázku B vlastními silami skrze VPS providera? Nabízí se, jak si psal, používat jen šifrované protokoly jako HTTPS, ale přes to neprocpu vše, že? Třeba nějaké VPN ve VPN, nebo jiná forma tunelu ve VPN k VPS atd… Teď jen plácám do větru. Už mě pálí mozek :D :D :D

Uživatelský avatar
Microsheep
Level 4.5
Level 4.5
Příspěvky: 1656
Registrován: leden 10
Pohlaví: Muž
Stav:
Offline

Re: Připojení z internetu k zařízení v LAN síti přes neveřejnou IP adresu (double NAT)

Příspěvekod Microsheep » 27 bře 2022 16:12

Všechno co si necháváš hostovat jinde a nemáš fyzicky/sw pod svojí kontrolou nemůže být bezpečnější než to mít u sebe. Pokud teda trochu člověk ví, co dělá a používá akuální SW atd. Jednoduše pod ruce nikomu nevidíš a běžný člověk si nezjišťuje nějakou reputaci firmy, odkud je a tak. A i kdyby byli nějaké úniky, tak se nikdo nepřizná. Můžeš použít např. způsob výše - HTTPS přes Synology by neměl být problém udělat vše potřebné. Pokud jsi paranoidní na odposlech a chceš jistotu - data můžeš mít NASu zašifrované lokálně, poté co si soubory přeáhnešpřes VPN k sobě na počítač silným heslem/certifikátem/šifrou si data odšifruješ. Máš jistotu, že klíč od dat máš pouze ty, nejsi odkázán na služby nikoho jiného.


  • Mohlo by vás zajímat
    Odpovědi
    Zobrazení
    Poslední příspěvek
  • Připojení k síti Eduroam
    od adobereader » 23 kvě 2023 22:30 » v Vše ostatní (sw)
    1
    1290
    od meda2016 Zobrazit poslední příspěvek
    24 kvě 2023 08:40
  • zpomalování internetu přes LAN
    od jobboj » 18 čer 2023 16:39 » v Internet a internetové prohlížeče
    6
    1958
    od ITCrowd Zobrazit poslední příspěvek
    18 čer 2023 20:35
  • Druhý router nemá v administraci připojení k internetu
    od nydrleon » 18 dub 2023 16:52 » v Sítě - hardware
    9
    1289
    od ITCrowd Zobrazit poslední příspěvek
    19 dub 2023 18:43
  • Koupě venkovní kamery, připojení přes wifi a ukládání záznamu
    od Clorky » 09 črc 2023 09:57 » v Administrace sítě
    5
    2635
    od X Zobrazit poslední příspěvek
    16 črc 2023 09:31
  • odpojují se USB zařízení Příloha(y)
    od yaa » 22 úno 2024 16:24 » v Problémy s hardwarem
    25
    2147
    od petr22 Zobrazit poslední příspěvek
    29 úno 2024 18:34

Zpět na “Administrace sítě”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 3 hosti