Winseven5 янв 2020 в 14:25

Запуск VPN-сервера за провайдерским NAT'ом

5 мин

48K

Сетевые технологии * Интернет вещей

+12

Комментарии 25

krylov_sn 5 янв 2020 в 17:01

на роутере Keenetic развернул L2TP VPN. Белого IP нет — использую DDNS. все работает — но, как было написано в статье, зависит от провайдера.

Winseven 5 янв 2020 в 17:08

Да, такое возможно, работает принцип UDP hole punching, при условии, что провайдер NAT'ит порт-в-порт, то есть внутренний порт сопоставлен с внешним, но увы, как показывает практика не все провайдеры одинаково полезны)

krylov_sn 5 янв 2020 в 17:09

Убедился в этом на собственном опыте. На одном роутере у другого провайдера никак не работало. Заработало только когда провайдер сменил оборудование

Winseven 5 янв 2020 в 17:24

Некоторые провайдеры специально блокирую такую возможность, например провайдеры мобильного интернета.

krylov_sn 5 янв 2020 в 17:29

Проводной, но, думаю, за белый ip хотели денег

Winseven 5 янв 2020 в 17:33

Да, это очевидно, на фоне дефицита IPv4, почему-то провайдеры не особо торопятся на IPv6, потому что с приходом IPv6 в каждый дом, многие сервисы (Хостинг, VPN-сервисы и т.п.) просто станут не нужными…

nevzorofff 5 янв 2020 в 18:52

Ага, именно поэтому статические адреса некоторые за полтос в месяц раздают

НЛО прилетело и опубликовало эту надпись здесь

TerekhinNI 6 янв 2020 в 19:09

Кек, Монтон телеком (уже Ростелеком, но тарифы старые) — Москва — 500р в месяц.

Winseven 7 янв 2020 в 19:54

С такой ценой

500р в месяц

можно VPS (4 vCPU процессор /4 ГБпамять / 60 ГБ SSDдиск / безлимитный трафик / KVM виртуализация) с белым IP-арендовать)))

lubezniy 5 янв 2020 в 21:49

С чего бы вдруг станут не нужными? В частности, тот же хостинг — сайты хостить перестанут, все серверы развезут по домам и офисам?

Winseven 5 янв 2020 в 22:04

В контексте «многие сервисы (Хостинг, VPN-сервисы и т.п.)» имелось ввиду те, что используются для организации VPN-соединений.

lubezniy 6 янв 2020 в 07:12

Сомневаюсь, если честно. Считаю, что для связи локальных подсетей VPN всё равно останутся. Может быть, даже будет гонять внутри VPN IPv4 для старых устройств вроде принтеров или какого-то производственного оборудования, менять которое на новое (с поддержкой IPv6) будет дорого.

Winseven 6 янв 2020 в 19:17

VPN останется и будет всегда, я имел ввиду, что с приходом IPv6 отпадет потребность в аренде VPS/VDS для организации VPN между сетями находящимися за NAT, не будет понятия серый/белый IP-адрес. Можно будет соединять сети напрямую без VPS/VDS. Существуют разные протоколы типа IPv4 over IPv6…

NeoBeZ 5 янв 2020 в 21:46

Странно, имею две сим:
мтс
мегафон

И там и там белая динамика

Dimasmir0 6 янв 2020 в 08:39

Уверены?
Белый ipv4 дадут юридическому лицу за доп плату. Мне кажется физические лица не могут получить.

lv333 7 янв 2020 в 13:59

Динамический белый IP… да большинство так и делают, причем он имеет очень длительное время аренды у проводных провайдеров, фактически почти фиксированный белый IP если не менять мак адрес устройства с которого устанавливается подключение. С мобильными не все так радужно, но тем не менее динамический белый IP тоже как правило дают.

Winseven 7 янв 2020 в 20:33

Интересно, попробую узнать у своего сотового оператора…

lubezniy 7 янв 2020 в 16:32

Могут (есть, и даже постоянный белый). Только сейчас провайдеры не очень-то охотно их выдают.

NeoBeZ 8 янв 2020 в 08:51

мега

мтс

мтс только по ipv6 правда внешний даёт (ipv4 серый), а вот мега без проблем по ipv4.

maledog 7 янв 2020 в 15:18

Что-то мне подсказывает, что владельцы скоро прикроют свои stun серверы, если такое использование стает массовым. Наверняка в лицензионном соглашении где-то есть пункт, о вариантах возможного использования.

Winseven 7 янв 2020 в 18:43

Думаю будут доступны до тех, пор пока нагрузка на STUN не станет ощутима для хозяина сервера… Хотя для тех у кого есть возможность/потребность, белый IP и сервер ничего не стоит его поднять:

# apt install stun-server
# nano /etc/default/stun

START_DAEMON=true

DAEMON_OPTS=""

PRIMARY_IP="Первый внешний IP"

SECONDARY_IP="Второй внешний IP"

PRIMARY_PORT=3478

SECONDARY_PORT=3479

DAEMON_USER=nobody

# systemctl restart stun.service

maledog 7 янв 2020 в 19:31

Тогда уже логично будет разместить в этой точке vpn-сервер и весь смысл в сложных решениях со stun пропадает.
ИМХО в этом плане tinc несколько удобнее openvpn, хоть и менее функционален и безопасен, он позволяет держать несколько нод с белым ip объединяющих все подключенные устройства в единую L2 — сеть. Таким образом при пропадание одной серверной ноды клиенты легко переподключатся ко второй.

Winseven 7 янв 2020 в 19:39

К примеру: у меня есть служебный STUN-сервер (на работе), но это не дает возможности поднимать VPN-сервер и передавать через него личные данные. С точки зрения моей паранойи соединение точка — точка более безопасно, по сравнению с точка — сервер (VPS) — точка, также без сервера сложнее произвести атаку на сервер (касаемо моей прошлой статьи)))), более надежно с точки зрения уменьшения количества возможных точек отказа.
Я противник «в единую L2 — сеть» с точки зрения лишней нагрузки на сети (трансляция кадров в замен пакетов), предпочитаю динамическую маршрутизацию, чем Spanning Tree Protocol. Хотя L2 полезен и необходим в некоторых случая, например при передачи тегированного трафика.
К сожалению, не знал о Tinc и его функционале, до момента написания второй статьи…

maledog 7 янв 2020 в 20:01

С чем-то согласен. Но адрес и порт сервера известен yandex. Кроме того, есть еще одно место TLS. Если на клиенте сильно сбилось время, то связь с сервером не будет установлена, еще DPI могут повлиять на установку соединения пытаясь вмешаться в TLS.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий