Имя: Пароль:
IT
Админ
Как пробросить порт из интернета на серый ИП?
0 Ислам
 
04.05.17
13:56
Есть "сервер" с белым ИПом, на нем фряха.
Есть "комп" с серым ИПом.
Нужно чтобы из внешнего мира можно было зайдя через ИП "сервера" на 3000 порт, попасть на 3000 порт "компа".

Туннель SSH между "сервером" и "компом" допустим я сделал, с "сервера" можно попасть в "комп" на нужный порт.

Но как теперь сделать чтобы внешний человек мог попадать на "комп"?
1 polosov
 
04.05.17
14:03
2 Ислам
 
04.05.17
14:09
+ (0) или ничего не нужно уже делать? Должно уже работать так как уже сделано?

Проверяем: на "сервере" делаю
telnet 127.0.0.1 3000
попадаю на "комп" как и аоложено.

Если сделать с стороннего компа:
telnet `ИП сервера` 3000
то должен ведь попасть на "комп"? Или не должен? Нужно что-то еще установить или если нчего не мешает то соединение должно произойти?
3 Garykom
 
гуру
04.05.17
14:11
Что такое "серый IP" в вашем случае? надеюсь не 192.168.X.Y и не 10.X.Y.Z
4 Garykom
 
гуру
04.05.17
14:20
И да "SSH туннель" это что? Обычно используют VPN в каком то виде и далее маршрутизацию на сервере.

Комп 1 <VPS> Сервер <VPS или интернет> Комп 2

чтобы попасть с компа 2 на комп 1 на сервере должна быть настроена проброска
5 Garykom
 
гуру
04.05.17
14:25
(4) * <VPN>
6 Ислам
 
04.05.17
14:33
(4) Ты мне помочь пытаешься? Если не знаешь что такое SSH туннель и серый IP, то не надо.
7 kolts23381
 
04.05.17
14:39
Обратный туннель в помощь.
ssh user@server -R 3000:localhost:3000 -N
Но туннели работают только для тсп хотя наверное вы знаете
8 Ислам
 
04.05.17
14:46
(7) Спасибо, разобрался, работает! Одного обратного туннеля оказалось достаточно, ничего дополнительно настраивать не пришлось.
9 kolts23381
 
04.05.17
15:03
Еще есть классная вещь autossh которая поднимает туннель если пропала связь. Можно в автозапуск поставить.
Пробовал на виндосе с помощью cgwyn создавать эту службу. Она запускалась, но работала не стабильно. Еще были способы для запуска службы, я их тоже пробовал, но ни один не работал стабильно
10 Garykom
 
гуру
04.05.17
15:42
(6) Что такое "ssh туннель" я в курсе, но использовать это для двойной проброски это полный изврат...

Но вот не знать что такого однозначного понятия как "серый ip" нету... Есть "фиксированный|статический белый ip", есть "динамический белый ip".

А есть https://ru.wikipedia.org/wiki/Частный_IP-адрес, и что ты обозвал "серым IP" я реально не понял...
11 Garykom
 
гуру
04.05.17
15:46
Когда такое требование возникло, обеспечить доступ к видеокамерам в отделах без белого ip, то решил через l2tp vpn сервер на vps хостинге куда роутеры подключались и стали доступны все устройства по любым портам.
12 kolts23381
 
04.05.17
15:52
Серый ип это который за натом. Вроде неоднозначности нет. Использовать впн в данном случае неудобно потому что его сложнее настроить. Потом надо пробросить порт из одной сети в впн. Это настраивать в 10 раз дольше чем.  Это не двойная проброска это просто обратный туннель.
"стали доступны все устройства по любым портам". Это как? У вас один внешний ип и куча устройств которые используют одинаковые порты.
13 Garykom
 
гуру
04.05.17
15:58
(12) ОК а как обзовешь ip который "за прокси" ?

>"стали доступны все устройства по любым портам". Это как? У вас один внешний ип и куча устройств которые используют одинаковые порты.

маршрутизация все устройства становятся доступны по уникальным ip адресам даже если эти ip адреса в отдельных подсетках разделенных совпадают

автоматическая трансляция адресов
подсеть1: 192.168.1.0 и подсеть2 тоже: 192.168.1.0

соединяем через vpn и все адреса подсети2 для доступа из 1-й (или любой иной) становятся вида 192.168.101.X
Т.е. сеть 1: был адрес железки внутри ее 192.168.1.2 192.168.101.2 и аналогично с прочими
14 Garykom
 
гуру
04.05.17
15:58
(13) * был 192.168.1.2, стал 192.168.101.2
15 Garykom
 
гуру
04.05.17
16:00
(14)+ в реальности эту "трансляцию ip адресов" можно как угодно настраивать, современные роутеры (обожаю openwrt) почти что угодно позволяют делать с ними
16 kolts23381
 
04.05.17
16:04
"маршрутизация все устройства становятся доступны по уникальным ip адресам даже если эти ip адреса в отдельных подсетках разделенных совпадают"
То есть нужно столько же уникальных белых ип сколько внутренних? Я правильно понял? Надеюсь речь идет о видеорегистраторах, а то для каждой камеры отдельный ип это странно.
//ОК а как обзовешь ip который "за прокси" ?
Он серый. С серого ип поднимаем туннель на белый ип. Зачем его еще как-то называть?
17 Garykom
 
гуру
04.05.17
16:10
(16) Не нужно никакой отдельный белый ip, он всего 1 достаточно на vpn сервере.
Далее просто роутер на каждую отдельную подсетку, обычно там где видеорегистратор (или несколько отдельных ip-камер) еще минимум 1 и более компов (или других девайсов типа МФУ, медиаплееров для проекторов рекламы и т.д.) есть в отделах

На роутерах настроена маршрутизация в результате откуда угодно можно куда угодно соединяться и не думать о проброске отдельных портов.
18 Garykom
 
гуру
04.05.17
16:12
(16) ip за прокси не обязательно серый, а может быть вполне белым
19 kolts23381
 
04.05.17
17:03
Вам надо получить доступ к такой то камере, которая за натом. Как это сделать из интернета, а не из внутренней сети, используя ваш способ? Как это сделать прописав маршруты?  
"ip за прокси не обязательно серый, а может быть вполне белым"
Я говорил что его не обязательно называть как-то особенно. То что он за прокси не значит что его надо как-то называть, я про это.
Опенврт кстати тоже уважаю, у самого установлена.
20 Ислам
 
04.05.17
22:14
(10) Да ладно, не обижайся ))) Нельзя же быть экспертов во всех вопросах. А ВПН тут как раз полный изврат.
Одну строчку в консоли написать гораздо проще чем ВПН настраивать.
21 Garykom
 
гуру
04.05.17
22:23
(20) тимвьювер или хамачи еще проще...
22 Ислам
 
05.05.17
21:18
(21) Проще чем ВПН. Но сложнее чем SSH
23 Jump
 
05.05.17
22:28
(13) Ну все правильно, насчет того что серый айпи это тот что за натом.
Просто за натом белого не может быть в принципе.
24 Jump
 
05.05.17
22:33
(0) Непонятно.
Что значит сделал SSH между "сервером" и "компом" ? Нафига?
У тебя комп за натом, нужно просто в настройках NAT пробросить порт.
25 Garykom
 
гуру
05.05.17
22:55
(23) >Просто за натом белого не может быть в принципе.

сфуяли? кто мешает делать подмену "белых ip" (и портов) шлюзу что и является основой https://ru.wikipedia.org/wiki/NAT

"Поэтому роутер «на лету» транслирует (подменяет) обратный IP-адрес пакета на свой внешний (видимый из интернета) IP-адрес и меняет номер порта (чтобы различать ответные пакеты, адресованные разным локальным компьютерам). "
26 Garykom
 
гуру
05.05.17
22:58
(25)+ при обычной маршрутизации пакеты пересылаются как есть (TTL не учитываем), при NAT происходит подмена IP:Port а затем в обратных пакетах обратная подмена
27 Ислам
 
08.05.17
12:57
(24) >> У тебя комп за натом, нужно просто в настройках NAT пробросить порт.

Че, правда? Спасибо, не знал! Тогда конечно проще "в настройках NAT пробросить порт." )))))))
28 kolts23381
 
08.05.17
13:44
Нат там может быть не доступен. Также если это дома то там может быть 2 ната, один за другим и ни к одному из них нет доступа. Вообще кто дружит с юниксами советую изучить ssh это очень крутая штука.
29 kolts23381
 
08.05.17
13:45
Не доступен для администрирования в смысле.
30 Ислам
 
08.05.17
19:39
(28) Спасибо, дружище. Сразу видно, понял вопрос правильно. А вообще см (8), уже все хорошо.
Требовать и эффективности, и гибкости от одной и той же программы — все равно, что искать очаровательную и скромную жену... по-видимому, нам следует остановиться на чем-то одном из двух. Фредерик Брукс-младший