Kirjoittaja Aihe: Operaattorin ei-julkinen IP ei toimi [RATKAISTU: Ei toimikaan, osta julkinen]  (Luettu 4948 kertaa)

Jagster

  • Käyttäjä
  • Viestejä: 90
    • Profiili
Kysäisenpä täältäkin, kun osaajia löytyy. On tämä Ubuntu-asiaa, koska yritän saada Ubuntusta yhteyttä Ubuntuun... okei, ei ole distroriippuvainen asia.

Joku aika sitten kun ostin Raspberryn ja aloin rakentamaan siitä SSH-serveriä, niin sekoilin urakalla. Aiheesta löytyy pari säälittävää ketjua. Mutta ihan alussa, kun en saanut millään yhteyttä SSH:lla Raspiin, niin avasin Elisalta julkisen IP:n tietämättä edes mitä se tarkoittaa. Ei se auttanut, koska en ollut tajunnut aukaista routerin palomuurista aukkoa Raspirukalle.

Homma lähti aikanaan toimimaan ja opin jopa, että julkinen IP tarkoittaa sitä, että julkisesti näkyvä IP on sama routerille asti. Normaali ei-julkinen muuttaa operaattorin NAT:ssa sen sisäverkon IP:ksi.

Päivittelin aikani, että mihin moista tarvitaan, kun kyllä meillä konsolit ja riistakamerat toimivat. Tuomitsin sen rahastukseksi ja katkaisin sopparin. Palasin ei-julkiseen IP-maailmaan.

Hetu kun olin sanonut, että koskaan ei ole julkista IP:tä tarvittu ja lopetin sen, niin heilahti samantien vastapalloon. Ei-julkisella en pääse enää virtuaaliservereiltä SSH:lla kotiverkon routerissa SSH-serverin tointa hoitavaan tietotekniseen saippukoteloon eli Raspberry Pi'hin. Ulos sisäverkosta kyllä pääsee.

Hyviä arvauksia? Johtuuko tuo siitä, että ulosnäkyvä IP ei ole sama kuin minkä sisäverkon SSH-serveri näkee eli Elisan NAT:n antama 100.90.jotain, mutta yhteys virtuaaliserveriltä tehdään julkisesti näkyvään 84.jotain osoitteeseen? Tämä nimittäin hajotti myös dynaamisen DNS:n toimivuuden tietysti myös.

sshd_config ei sisällä mitään IP-osoitteeseen liittyviä rajoitteita, ei myöskään UFW/iptables ja Fail2ban on pois päältä. Samaten hosts.deny kumisee tyhjyyttään. Ideoita mikä muu saattaisi blokata sisääntulevan, jos se ei johdu Elisan julkisen IP:n puuttumisesta?

Tuntuu ihmeelliseltä, koska tiedän, että jengi käyttää vastaavaa setupia ilman ostettua julkista IP:tä.
« Viimeksi muokattu: 08.08.20 - klo:00.06 kirjoittanut Jagster »

nm

  • Käyttäjä
  • Viestejä: 16245
    • Profiili
Vs: Operaattorin ei-julkinen IP ei toimi
« Vastaus #1 : 07.08.20 - klo:23.52 »
Julkinen IP-osoite tarvitaan aina, kun haluat avata netistä yhteyden kotiverkkoosi (jos ei nyt puhuta VPN:stä tai vastaavista tunneleista). Ei-julkinen natattu osoite ei riitä, koska yhteydenottoyritykset törmäävät operaattorin palomuuriin, jossa ei luonnollisesti ole mitään porttiohjauksia verkkoosi.

Jagster

  • Käyttäjä
  • Viestejä: 90
    • Profiili
Vs: Operaattorin ei-julkinen IP ei toimi
« Vastaus #2 : 08.08.20 - klo:00.05 »
Yksinkertainen selitys. Lopetan ongelman etsimisen omasta järjestelmästä.

Nyt, useamman tunnin täysin turhan riitelyn jälkeen toivoisi, että joku olisi kirjoittanut tuon noinkin simppelisti. Vaikka siihen Elisan mainostekstiin.

jekku

  • Käyttäjä
  • Viestejä: 2624
    • Profiili
Vs: Operaattorin ei-julkinen IP ei toimi
« Vastaus #3 : 08.08.20 - klo:06.34 »
Yksinkertainen selitys. Lopetan ongelman etsimisen omasta järjestelmästä.

Nyt, useamman tunnin täysin turhan riitelyn jälkeen toivoisi, että joku olisi kirjoittanut tuon noinkin simppelisti. Vaikka siihen Elisan mainostekstiin.

Joskus kokeilin Elisan yhteyttä, niin ihan selkokielellä asiakaspalvelu (chatissa) antoi URL:in mistä voi (lisämaksulla, olikohan luokkaa 24€/vuosi) tilata julkisen osoitteen.
Joillakin operaattoreilla se sisältyy hintaan.

Illu

  • Käyttäjä
  • Viestejä: 1061
    • Profiili
Pelkkä julkinen IP on sitten vielä vaihtuva, ei kiinteä.

Efraiminpoika

  • Käyttäjä
  • Viestejä: 135
    • Profiili
Koska virtuaalipalvelimia saa muutamalla eurolla kuukaudessa Hetzneriltä, OVH:lta, ja mitä kaikkia niitä onkaan, niin yksi vaihtoehto on hankkia sellainen ja asentaa VPS:lle VPN-palvelin, OpenVPN tai Wireguard. Koneille ei-julkisilla IP:eillä ja miksei myös muuttuvilla julkisilla IP:eillä asennetaan VPN-asiakkaat jonka jälkeen kaikki omat laitttet mukaan lukien puhelimet saa omaan virtuaaliseen yksityiseen verkkoon.
Vaatii jonkinverran osaamista, mutta kun saa palomuurit ja reititykset kuntoon on kaikilta sallituilta laitteilta pääsy omaan virtuaaliseen sisäverkkoon, jonka laitteet voi fyysisesti olla missä vain mistä saa yhteyden VPS:lle (Virtual Private Server).
Jos VPS:llä ei ole estetty portteja (VPS:n tarjoajan toimesta) niin kaikki palvelimet ovat mahdollisia ja Web-palvelin voi olla kotikoneella, kun VPS:llä on reverse proxy esimerkiksi HAProxyllä tai NGINX:llä.
Osaamista pitää hankkia vain ensin, että onnistuu...

PS. VPS:llä saat kiinteän julkisen IP:n, etkä muuttuvaa julkista IP:tä...
« Viimeksi muokattu: 08.08.20 - klo:09.16 kirjoittanut Efraiminpoika »
tietoliikenneinsinööri vm.1981
current title: senile design engineer (suom. eläkeläisäijä)
previously: senior design engineer
A. Hellaakoski: Tien kulkija tien on vanki. Vapaa on vain umpihanki.

Jagster

  • Käyttäjä
  • Viestejä: 90
    • Profiili
IP:n vaihtuvuus ei ole tässä ongelma. VPN on asennettuna, mutta ulkoiseen serveriin ns. normaalimpaa käyttöä varten.

Mutta jaksaisitteko selittää miten se muuttaa ongelmaa sisääntulevassa liikenteessä? Jos minulla on routerin korvaajana VPN, niin miten ulkoa tuleva liikenne saa ELisan NAT:sta yhtään paremmin toimivan osoitteen, koska VPN olisi silloin NAT:n takana?

Efraiminpoika

  • Käyttäjä
  • Viestejä: 135
    • Profiili
IP:n vaihtuvuus ei ole tässä ongelma. VPN on asennettuna, mutta ulkoiseen serveriin ns. normaalimpaa käyttöä varten.

Mutta jaksaisitteko selittää miten se muuttaa ongelmaa sisääntulevassa liikenteessä? Jos minulla on routerin korvaajana VPN, niin miten ulkoa tuleva liikenne saa ELisan NAT:sta yhtään paremmin toimivan osoitteen, koska VPN olisi silloin NAT:n takana?
Jos sinulla on oma VPN julkisessa kiinteässä IP:ssä ja sen VPN:n yksityiset IP:t on esim. 10.8.0.x niin jos Elisan NAT:n takaa otat VPN yhteyden palvelimellesi niiin saat "virtuaalisen" IP:n ko koneelle, esim. 10.8.0.5 ja toiselta koneelta joka on saman VPN:n takana esim. IP:llä 10.8.0.3 voit ottaa yhteyden ko toiselle koneelle käyttäen osoitetta 10.8.0.5. Jollet ole asentanut virtuaaliverkkon omaa nimipalvelinta on toimittava IP-osoitteilla. Tämä on siis 1. taso ja jos haluat toimia nimillä  tarvitaan nimipalvelin joka muutta nimet IP-osoitteiksi.
Edellä kuvattu on virtualisen yksityisen verkon (VPN) normaali käyttöä, siis alkuperäiskäyttöa, jota varten ne on keksitty. Oman yksityisyyden suojaaminen julkisessa verkossa ei ole normaalikäyttöä vaan "normaalikäyttöä", johon VPN:ää voi myös toki käyttää.
Mitä termien IP-osoite, reititys ja nimipalvelu takana on pitää ymmärtää, jolloin ymmärtää mitä on tekemässä. Asiat voi tehdä monella tapaa ja jos yhdistää eri tapojen ohjeita niin tulos ei valitettavasti toimi...
Koneelta 10.8.0.3 voit ping komennolla tarkistaa onko yhteys koneelle 10.8.0.5. Korvaat osoitteet tietenkin omilla todellisilla osoitteillasi.
Myös ip a ja traceroute ovat hyödyllisiä kun yrität selvittää yhteyksien toimivuutta. Myös Windowsissa on vastaavat komennot.

Koska Elisan NAT:n takana on yksityinen verkko ja jos olet routerilla, etkö suoraan koneilla yhteydessä VPN:ääsi tarvitaan reititystä, että toisesta yksityisestä verkosta pääsee toiseen.
Sekä kyseleminen että neuvominen on vaikeaa, jos molemmilla osapuolilla ei ole varmasti sama käsitys siitä mitä oiken yritetään tehdä...
 
Saatko ip a komenolla molemmissa koneissa VPN:n ip-osoitteet?

tietoliikenneinsinööri vm.1981
current title: senile design engineer (suom. eläkeläisäijä)
previously: senior design engineer
A. Hellaakoski: Tien kulkija tien on vanki. Vapaa on vain umpihanki.

_Pete_

  • Käyttäjä
  • Viestejä: 1836
  • Fufufuuffuuu
    • Profiili
IP:n vaihtuvuus ei ole tässä ongelma. VPN on asennettuna, mutta ulkoiseen serveriin ns. normaalimpaa käyttöä varten.

Mutta jaksaisitteko selittää miten se muuttaa ongelmaa sisääntulevassa liikenteessä? Jos minulla on routerin korvaajana VPN, niin miten ulkoa tuleva liikenne saa ELisan NAT:sta yhtään paremmin toimivan osoitteen, koska VPN olisi silloin NAT:n takana?

Esimerkiksi sen omassa blogissasi olevan proxyjump ohjeella.

 

Efraiminpoika

  • Käyttäjä
  • Viestejä: 135
    • Profiili
VPN-palvelimella on toivottavasti julkinen IP-osoite ja silloin VPN-asiakkaat saavat yhteyden toisiinsa VPN-palvelimen kautta. VPN-asiakkat saavat yhteyden julkisessa verkossa olevaan VPN-palvelimeen vaikka kaikki VPN-asiakkaat olisivat yksityisessä verkossa, kunhan sieltä on sallittu yhteys julkiseen IP-verkkoon ja porttiin, jossa VPN-palvelin on. Tämän VPN-palvelimen kautta ne saavat yhteyden myös toisiinsa.
Tämä on siis VPN-palvelimen alkuperäiskäyttö. Google VPN haulla, vaikka lisäisi server tulee tietoa ensin vain tästä uudesta "normaali käytöstä", jossa mennään "piilosille" markkinoitavien VPN-palveluiden taakse.
Nämä kaksi normaalikäyttöä eivät ole sama asia, vaan hyvin eri asia, vaikka molemmissa käytetään ihan samoja palvelimia, mutta reititykset/palomuurit ovat ihan erilaiset. Toisessa käytössä toisiin VPN-verkon yksityisiin IP-osoitteisiin ei saa päästä, mutta toisessa juuri niihin toisiin VPN:n yksityisiin osoitteisiin on tarkoituskin päästä.
tietoliikenneinsinööri vm.1981
current title: senile design engineer (suom. eläkeläisäijä)
previously: senior design engineer
A. Hellaakoski: Tien kulkija tien on vanki. Vapaa on vain umpihanki.

Jiku

  • Käyttäjä
  • Viestejä: 248
    • Profiili
niin yksi vaihtoehto on hankkia sellainen ja asentaa VPS:lle VPN-palvelin, OpenVPN tai Wireguard.

Ja yksi keino on reverse-ssh, jolla yhdellä simppelillä komennolla luo useampiakin tunneleita.
Koodia: [Valitse]
sudo ssh -t -t -R 80:localhost:80 -R 2222:localhost:22 -R 1280:192.168.1.12:80 kayttaja@etä_ssh_palvelimen_ip -keli tuossa esimerkissä etäpalvelimen portti 80 ohjataan pyynnön tekevän koneen porttiin 80, etäpalvelimen portti 2222 pyynnön tekevän koneen porttiin 22 ja vielä etäpalvelimen portti 1280 lähiverkon koneen 192.168.1.12 porttiin 80.
ssh-copy-id kannattaa käyttää että saa avaimella kirjauduttua salasanan lisäksi ettei skripti turhaan salasanaa kysele.
https://www.howtogeek.com/428413/what-is-reverse-ssh-tunneling-and-how-to-use-it/
Puoliksi suunniteltu on hyvin tehty

Efraiminpoika

  • Käyttäjä
  • Viestejä: 135
    • Profiili
niin yksi vaihtoehto on hankkia sellainen ja asentaa VPS:lle VPN-palvelin, OpenVPN tai Wireguard.

Ja yksi keino on reverse-ssh, jolla yhdellä simppelillä komennolla luo useampiakin tunneleita.
Koodia: [Valitse]
sudo ssh -t -t -R 80:localhost:80 -R 2222:localhost:22 -R 1280:192.168.1.12:80 kayttaja@etä_ssh_palvelimen_ip -keli tuossa esimerkissä etäpalvelimen portti 80 ohjataan pyynnön tekevän koneen porttiin 80, etäpalvelimen portti 2222 pyynnön tekevän koneen porttiin 22 ja vielä etäpalvelimen portti 1280 lähiverkon koneen 192.168.1.12 porttiin 80.
ssh-copy-id kannattaa käyttää että saa avaimella kirjauduttua salasanan lisäksi ettei skripti turhaan salasanaa kysele.
https://www.howtogeek.com/428413/what-is-reverse-ssh-tunneling-and-how-to-use-it/
Tässäkin siis vaaditaan yksi kone, jolla julkinen IP. Jos siis halutaan päästä julkisesta verkosta tai toisesta yksityisestä verkosta yksityiseen verkkoon.
Kun siis on yksi julkinen IP, sen kautta päästään melkein minne vain, kunhan kaikki yhteydet otetaan yksityisestä IP:stä julkiseen IP:hen päin, vaikka julkisesta verkosta yksityiseen päin ei pääse millään vaan vaaditaan erilaisia virityksiä, että onnistuu.
VPN ja reverse SSH ovat yleisesti käytettyjä esimerkkejä näistä 'virityksistä", mutta kannattaa käyttää vain yhtä viritystä, jonka osaa kunnolla, ettei sekoa omaan nokkeluuteensa.
Sekä VPN reverse SSH on tehtävä automaattisesti koneen käynnistyessä, ettei niinkin yksinkertainen juttu kuin sähkökatkos saa yhteyttä katkeamaan sähkökatkoa pitemmäksi aikaa.
 
tietoliikenneinsinööri vm.1981
current title: senile design engineer (suom. eläkeläisäijä)
previously: senior design engineer
A. Hellaakoski: Tien kulkija tien on vanki. Vapaa on vain umpihanki.

Jagster

  • Käyttäjä
  • Viestejä: 90
    • Profiili
Yritän hahmottaa ketjun selityksiä. Äkkinäiseltään näyttäisi siltä, että pääosin puhutaan omasta sisäverkosta maailmalle pääsystä. Ei se ollut missään vaiheessa ongelma. Maailmalta pääsy sisäverkkoon sen sijaan oli isokin ongelma ei-julkisella IP:llä.

En tiedä millä kaikilla tavoilla tämän aloituksessa olleen voi ymmärtää:

Lainaus
Ei-julkisella en pääse enää virtuaaliservereiltä SSH:lla kotiverkon routerissa SSH-serverin tointa hoitavaan tietotekniseen saippukoteloon eli Raspberry Pi'hin. Ulos sisäverkosta kyllä pääsee.

Mutta se tarkoittaa ihan sitä, että pääsen sisäverkossa olevasta omasta koneestani ihan minne vaan. Myös VPN:ni kautta. Mutta en saa muualta, vieraasta koneesta, kuten virtuaaliserveriltä, yhteyttä omaan Elisan NAT:n ja viimeiseksi oman routerin takana olevaan koneeseen, kun käytössä on ei-julkinen IP. En VPN:llä (joka olisikin outoa), en ProxyJumpeilla, enkä millään muullakaan.

Komento ssh jakke@84.231.jotain - jolla pitäisi päästä edes routerin takana olevaan SSH-serveriin, ei näyttäisi etenevän Elisan NAT:n läpi. jossa IP muuttuu muotoon 100.90.jotain. Ainakaan mikään logi ei kerro minkäänlaisesta saapuvasta liikenteestä. Sen sijaan julkinen IP, joka pysyy samana läpi ELisan NAT:n aina routerille saakka, toimii.

Efariminpojan ensimmäinen vinkki hankkia virtuaaliselverin siivu Hetzneriltä jne. ei auta tässä ja sellainen on jo käytössä - DigitalOceanilla. Se vaikuttaa vain omasta sisäverkosta lähtevään liikenteeseen. Mutta ei kykene yhdistämään takaisin edes routeriin asti, jos yritän käyttää vaikka iPadiäni VPN:n kautta, kun olen vieraassa verkossa.

Jikun tunneliesimerkki törmää samaan ongelmaan. Tunneli romahtaa Elisan NAT:n kohdalla, kun yritän rakentaa sen vaikka virtuaaliserveriltä oman sisäverkon suuntaan. Eframininpojan kommentti pohjaa samaan - on pakko olla julkinen IP (joka on tietysti aivan eri asia kuin julkisesti näkyvä osoite, jonka puuttumattomuus tarkoittaisi, ettei olla poistuttu sisäverkosta. Tietenkin).

Nyt saa kaivaa ratakiskoa esille. Mitä olen ymmärtänyt väärin?

« Viimeksi muokattu: 08.08.20 - klo:20.00 kirjoittanut Jagster »

Efraiminpoika

  • Käyttäjä
  • Viestejä: 135
    • Profiili
Efariminpojan ensimmäinen vinkki hankkia virtuaaliselverin siivu Hetzneriltä jne. ei auta tässä ja sellainen on jo käytössä - DigitalOceanilla. Se vaikuttaa vain omasta sisäverkosta lähtevään liikenteeseen. Mutta ei kykene yhdistämään takaisin edes routeriin asti, jos yritän käyttää vaikka iPadiäni VPN:n kautta, kun olen vieraassa verkossa.

Nyt saa kaivaa ratakiskoa esille. Mitä olen ymmärtänyt väärin?
Sinulla on siis VPS Hetzneriltä jne, koska kyllä DigitalOcean kuuluu näihin jne VPS:iin  ;)

Sinulla on myös VPN-palvelin, oletettavasti OpenVPN, asennettuna DIgitalOceanin VPS:llä?
Pääset clientiltä serverille, mutta et clientilta clientille, jos ymmärsin oikein.
Onkos OpenVPN-palvelimen server.conf-tiedostossa rivi
client-to-client
Jos ei ole tai jos se on kommenttina niin lisää rivi tai poista kommentti merkki ; rivin alusta
Käynnistä OpenVPN uudelleen komennolla service openvpn restart
Odota hetki, että yhteydet palautuu ja kokeile joko pääsisit clientilta clientille
Jos ei onnistu vieläkään jatketaan ihmettelemistä ja yritetään selvittää missä mättää...

Jos minulla toimii Hetznerillä niin kai sinullakin saadaa toimimaan DigitalOceanilla.
tietoliikenneinsinööri vm.1981
current title: senile design engineer (suom. eläkeläisäijä)
previously: senior design engineer
A. Hellaakoski: Tien kulkija tien on vanki. Vapaa on vain umpihanki.

Efraiminpoika

  • Käyttäjä
  • Viestejä: 135
    • Profiili
Onkos OpenVPN-palvelimen server.conf-tiedostossa rivi
client-to-client
Jos ei halua kaikkien clientien voivan keskustella vapaasti keskenään niin vaihtoehto on käyttää ip-tables, jolla voi määrittää kuka voi kenen kanssa olla yhteydessä ja kuka saa aloittaa ks. https://backreference.org/2010/05/02/controlling-client-to-client-connections-in-openvpn/
tietoliikenneinsinööri vm.1981
current title: senile design engineer (suom. eläkeläisäijä)
previously: senior design engineer
A. Hellaakoski: Tien kulkija tien on vanki. Vapaa on vain umpihanki.

Jiku

  • Käyttäjä
  • Viestejä: 248
    • Profiili
Jikun tunneliesimerkki törmää samaan ongelmaan. Tunneli romahtaa Elisan NAT:n kohdalla, kun yritän rakentaa sen vaikka virtuaaliserveriltä oman sisäverkon suuntaan

Tuon reverse-ssh:n idea onkin, että se rakennetaan nimenomaan sieltä sisäverkosta NATin  takaa sinne virtuaaliserverille. Ja silloin sitä tunnelia pääsee kulkemaan takaisin sillä virtuaaliserverin ip:llä ja portilla.

edit ja siellä virtuaaliserverin päässä taisi vaatia ainakin /etc/ssh/sshd_config rivin:
Koodia: [Valitse]
PermitTunnel yesmutta kannattaa nuo ohjeet googletella, josko se muitakin asetuksia vaati

edit2: pistän tähän vielä mun VPS-palvelimen konffit linkkinä kun en viitsi tänne spammia suoraan:
https://pastebin.com/8rSASBfJ
ilmeisestikin
Koodia: [Valitse]
GatewayPorts yes
AllowTCPForwarding yes
myös oli oleellinen

« Viimeksi muokattu: 09.08.20 - klo:11.08 kirjoittanut Jiku »
Puoliksi suunniteltu on hyvin tehty

Jagster

  • Käyttäjä
  • Viestejä: 90
    • Profiili
OpenVPN:stä: Minä en pääse siltä serveriltä, jossa OpenVPN-serveri pyörii, oman kotiverkon koneelle. Toisinpäin toimii. Tietysti, koska pääsen sisäverkosta ulos. Eli minun pitäisi käyttää DO:n serverillä omaa tunnustasi VPN-clienttinä, jos oikein ymmärsin? Kokeilen, mutta silloin kysymys kuuluu, että miksi siinä vaiheessa osattaisiin mennä Elisan NAT:n läpi sisälle päin, kun se ei muuten toimi?

Tunnelista - se edellyttäisi, että tunneli on ensin tehty sisältä ulos ja sen täytyisi olla koko ajan auki? Juu, en todellakaan ole sisäistänyt koko tunneloinnin ideaa, koska en ole sitä ikinä eläessäni joutunut käyttämään. Mutta noin se täytyy mennä, koska en pääse Elisan julkisesti näkyvällä IP:llä omaan sisäverkkoon normisti SSH:lla, kun käytössä on ei-julkinen, ja minulle on vaikea ymmärtää miten asia voisi olla toinen ilman, että yhteys tehdään ensin sisäverkosta. Joka vaatii joko jatkuvasti auki olevaa tunnelia tai että itse on fyysisesti sisäverkon koneella.

Tiedän, että tämä on osaltaan tekemällä tehty ongelma, koska noin 99 prosenttisesti teen töitä omalta koneeltasi ja on periaatteessa ihan se ja sama vaikka hyppäisinkin välillä toiseen terminaaliin. Mutta se ei ole joustavaa työntekoa. Plus minulla on henkinen ongelma asioiden kanssa, jotka eivät toimi. Mutta aika ajoin minun täytyy päästä maailmalla ollessa iPadin shellistä omaan sisäverkkoon ja se on nyt rikki.

Ei minulla ole taloudellista ongelmaa maksaa Elisalle julkisesta IP:stä. En vaan halua maksaa sitä, jos ei ole pakko. Ja sitä pakollisuutta yritän nyt hahmottaa.

Kyllä. Olen tuskallisen tietoinen, että tämä(kin) on eräänlainen välipostaus, koska en ole vielä ehtinyt vilkaisemaan noita viimeisiä vinkkejä.

Jiku

  • Käyttäjä
  • Viestejä: 248
    • Profiili
Tunnelista - se edellyttäisi, että tunneli on ensin tehty sisältä ulos ja sen täytyisi olla koko ajan auki?

Kyllä se sitä tosiaan vaatii. Itsellä on Raspberry hoitamassa tunnelia (ja muita hommia). Se samalla valvoo että jos tunneli katkeaa, tehdään uudestaan. Ilmeisesti ohjelma autossh olisi ollut suoraan ratkaisu tähän, mutta ehdin jo skriptit väsäämään ennen manuaalien lukemista :D
Puoliksi suunniteltu on hyvin tehty

pata

  • Käyttäjä
  • Viestejä: 50
    • Profiili
Vs: Operaattorin ei-julkinen IP ei toimi
« Vastaus #18 : 11.08.20 - klo:16.31 »
Julkinen IP-osoite tarvitaan aina, kun haluat avata netistä yhteyden kotiverkkoosi (jos ei nyt puhuta VPN:stä tai vastaavista tunneleista). Ei-julkinen natattu osoite ei riitä, koska yhteydenottoyritykset törmäävät operaattorin palomuuriin, jossa ei luonnollisesti ole mitään porttiohjauksia verkkoosi.
Vaikuttaakohan tähän liittymnä tyyppi: mobiili, kuitu tms? Nimittäin pääsen ulkoa kotikoneelle ssh:lla kun vain teen porttiohjauksen omaan reitittimeeni. Tavallinen kuituliittymä jonka ip osoite on pitkään sama jos ei häiriötä satu. Operaattorin puolella ei kai ole NAT:ia.

nm

  • Käyttäjä
  • Viestejä: 16245
    • Profiili
Vs: Operaattorin ei-julkinen IP ei toimi
« Vastaus #19 : 11.08.20 - klo:17.38 »
Vaikuttaakohan tähän liittymnä tyyppi: mobiili, kuitu tms? Nimittäin pääsen ulkoa kotikoneelle ssh:lla kun vain teen porttiohjauksen omaan reitittimeeni. Tavallinen kuituliittymä jonka ip osoite on pitkään sama jos ei häiriötä satu. Operaattorin puolella ei kai ole NAT:ia.

Kiinteissä laajakaistaliittymissä, kuten kuidussa, kaapelissa ja ADSL:ssä on yleensä vakiona julkinen (mutta vaihtuva) IPv4-osoite. Mobiililiittymiin sen saa lisäpalveluna tai IPv6-puolella, jossa ei yleensäkään olla NAT:n takana.