Exponha uma máquina do outro lado de uma VPN

Navegue suas respostas
1

Estamos usando uma VPN para conectar um escritório remoto ao nosso escritório principal e uma máquina no escritório remoto precisa expor a porta 22 para a Internet externa.

Complicações:

  • O escritório principal tem um endereço IP fixo.
  • O escritório remoto tem um endereço IP flutuante.
  • O escritório remoto fica atrás de um roteador que não controlamos.
  • Todo o tráfego do escritório remoto precisa passar pela VPN da matriz.

O escritório principal e o escritório remoto têm roteadores da série DrayTek Vigor2925, com o firmware mais recente. O roteador imediatamente a montante do Draytek do escritório remoto é uma caixa preta barata, sem capacidade DDNS ou VPN, ou qualquer coisa que pareça útil.

Coisas que funcionam:

  • Conseguimos conectar o escritório remoto à nossa rede com uma VPN de discagem. Quando estiver pronto, podemos nos conectar à máquina de destino no escritório principal.
  • Podemos encaminhar conexões para o endereço IP fixo para uma máquina no escritório principal, usando as configurações de encaminhamento de porta do roteador.
  • Podemos encaminhar do endereço IP fixo para uma máquina no escritório remoto.

Meu entendimento, da documentação do DrayTek e em outros lugares, é que NAT é incompatível com encapsulamento IPSec, particularmente o Cabeçalho de Autenticação, mas deve ser possível estabelecer uma VPN usando L2TP e Encapsulamento IPSec, se ambos os dispositivos suportarem NAT-T, que os roteadores reivindique para apoiar .

Portanto: configuramos o escritório remoto para discar, usando "L2TP com diretiva IPsec", desativamos o cabeçalho de autenticação, definimos o roteador do escritório principal para encaminhar as portas para a máquina de destino e usamos a interface de telnet para verifique se o vpn-passthrough foi desativado e ainda não conseguimos conectar-nos.

Como alternativa, poderíamos usar uma solução de DNS dinâmico, se pudéssemos ler o endereço IP flutuante do escritório remoto. No entanto, não controlamos o upstream do roteador do escritório remoto, e estamos encaminhando todo o tráfego pela VPN do escritório: todas as máquinas no escritório remoto pensam que o endereço IP voltado para o público é o endereço fixo pertencente ao escritório principal. .

Estamos quase no ponto de comprar um Raspberry Pi para conectá-lo ao roteador upstream e usá-lo para executar uma tarefa do cron que wget s icanhazip.com.

Então ... há um passo que eu perdi na configuração do meu roteador? Ou há uma maneira menos agressiva de ler o endereço IP de dentro de uma VPN?

    
por Sean C. 15.12.2014 / 09:32

1 resposta

0

Todo o tráfego do escritório remoto passa pela VPN, por exemplo, é o vpn o gateway padrão? Se não, então você pode precisar SNAT todas as conexões da Internet indo para a porta 22 na máquina remota. Caso contrário, as conexões retornarão pela sua conexão à Internet no escritório remoto.

Outra possibilidade é fazer o encaminhamento de porta remota via SSH, fazendo ssh -R 22:127.0.0.1:22 <main gateway> por exemplo.

    
por 15.12.2014 / 09:56

Tags

Não é possível montar iSCSI de leitura / gravação com MTU = 9000 Regra de reconfiguração de localização Nginx que corresponde ao valor do cabeçalho GeoIP