koppla upp mot lan från wan specialare...

Frågor kring allt som rör systemadministration.
Post Reply
lihapall
Posts: 4
Joined: 27 December 2009, 21:33

koppla upp mot lan från wan specialare...

Post by lihapall » 27 December 2009, 21:43

Hej

Känner mig lite vilsen (och ny) i forumet, men hoppas jag postat min frågeställning hyfsat rätt.

Jag har ett nätverk på jobbet som jag behöver koppla upp mot nätet. Hela företaget delar på en IP-adress, så ingen dator i mitt nätverk har en WAN-adress.

Min tanke är att koppla upp mitt nätverks gateway (en Ubuntu Server 9.10) med VPN till en anonymiseringstjänst av det enkla skälet att få ett IP som WAN kan komma åt.

Finns det nu något sätt att göra min nya IP-adress publikt när en (behöring) användare efterfrågar det, utan att användaren har tillgång till IP-adressen?
Jag tänker mig något i stil med att min gateway kopplar upp sig på MSN och ger IP-adressen som autoresponse eller dylikt.

Sedan kan användaren koppla upp sig med VPN mot IP-Adressen på anonymiseringstjänsten för att bli en del av nätverket. En slags dubbel tunnel :)
Kanske finns invändningar mot att en sådan manöver kommer funka?

Två saker allstå:
1. Finns det något smidigt sätt för min server att annonsera ut sitt IP utan att IP:t från början är känt?
2. Är det OK att köra dubbla tunnlar med VPN. Tunnel ut från min gateway och sedan tunnel in genom den första tunneln för att bli del av mitt LAN?

//lihapall

Fader_Berg
Posts: 180
Joined: 2 September 2009, 09:31

Re: koppla upp mot lan från wan specialare...

Post by Fader_Berg » 28 December 2009, 15:39

Är Ubuntun bara en GW i ett större företagsnät? I såfall är du ute på hal is. Annars har du ju redan ett publikt ip, så varför krångla till det med anonymiseringstjänsten?

lihapall
Posts: 4
Joined: 27 December 2009, 21:33

Re: koppla upp mot lan från wan specialare...

Post by lihapall » 30 December 2009, 22:48

Inget publikt IP finns, då hade jag inte haft något problem - utan jag skall skapa en väg in genom anon-tjänsten, skitsamma om det är anon - det är för det publika IPt allena.

Menar du att den hala isen jag eventuellt är ute på är "företagets säkerhetspolicy" eller "rent tekniskt vpn-lösningen"?
Det förstnämnda är jag medveten om, så ge mig lite godis på det sistnämda så blir jag glad.

Fader_Berg
Posts: 180
Joined: 2 September 2009, 09:31

Re: koppla upp mot lan från wan specialare...

Post by Fader_Berg » 30 December 2009, 23:08

Du blir tvungen att sätta upp en egen VPN-server med publikt-ip. Anonymiseringstjänsterna delar inte ut publika ip-adresser utan låter fler användare dela på samma. Så anonymiseringstjänsterna kan inte routa trafiken i den riktning du vill. Om du inte lyckas hitta något specialpaket d.v.s.. Det finns ju det mesta nu för tiden. Sedan finns det ju en uppsjö av, mer eller mindre kassa, garagelösningar som kan lyckas.

Mer björntjänster än så vill jag nog inte ge, så det blir till att RTFM.

asphp
Posts: 21
Joined: 23 December 2009, 23:13

Re: koppla upp mot lan från wan specialare...

Post by asphp » 30 December 2009, 23:09

Du kan inte komma åt något utanför ditt nätverk utan en publik ip-address. Om du ska koppla ett nätverk mot nätet skulle det kunna seut så här:

INTERNET <=Publik address, t.ex. 217.209.240.210=> Brandvägg <=Privat address, t.ex. 192.168.0.XXX=> Datorer i nätverkat, t.ex. servrar eller persondatorer.
wget -q -O - checkip.dyndns.org|sed -e 's/.*Current IP Address: //' -e 's/<.*$//'
För att se din publika address
ifconfig
För att se din privata address

Fader_Berg
Posts: 180
Joined: 2 September 2009, 09:31

Re: koppla upp mot lan från wan specialare...

Post by Fader_Berg » 30 December 2009, 23:47

Han menar att hans router inte har en publik ip. Han kan inte kontrollera den inkommande trafiken som han vill och det är lite där som problemet ligger.

asphp
Posts: 21
Joined: 23 December 2009, 23:13

Re: koppla upp mot lan från wan specialare...

Post by asphp » 31 December 2009, 00:24

Utan en publik ip så kan väl det inte komma någon trafik utifrån? Eller jag har kanske helt fel?

Fader_Berg
Posts: 180
Joined: 2 September 2009, 09:31

Re: koppla upp mot lan från wan specialare...

Post by Fader_Berg » 31 December 2009, 01:58

Delvis... Du har inte greppat problemet.

Han administrerar en GW som inte har en publik ip-adress utan befinner sig inom ett större företagsnät.

INTERNET <=> (217.209.240.210) FÖRETAGSFW (10.1.0.0) <=> Ubuntu GW (10.1.1.0) <=> LAN

lihapall
Posts: 4
Joined: 27 December 2009, 21:33

Re: koppla upp mot lan från wan specialare...

Post by lihapall » 31 December 2009, 10:04

Precis.
INTERNET <=> (217.209.240.210) FÖRETAGSFW (10.1.0.0) <=> Ubuntu GW (10.1.1.0) <=> LAN

Tack för den infon Fader Berg ang. VPN.
Så skall jag tolka det som att flera användare får dela IP-adress samtidigt (d.v.s. det är inte bara dynamiskt tilldelat, utan jag får endast tillgång till ett fåtal
"portar" på IP-adressen och en annan användare får andra "portar"?

Om det är så faller det ju tyvärr. Är det ett vanligt dynamiskt är det inget problem, eftersom min ursprungliga tanke är att ubuntu-gatewayen skulle kunna t.ex. lägga upp sin dynamiska publika ipadress på en hemsida (på en 24/7-server fristående från sig själv) efter att ny ip-adress tilldelats.

På så vis kan en användare utifrån kolla hemsidan för det tillfälliga publika IPt och ansluta sig med VPN (åt andra hållet) - d.v.s. jag behöver både VPN-server och VPN-klient på min ubuntugateway.

Fader_Berg
Posts: 180
Joined: 2 September 2009, 09:31

Re: koppla upp mot lan från wan specialare...

Post by Fader_Berg » 31 December 2009, 11:49

lihapall wrote:...utan jag får endast tillgång till ett fåtal "portar" på IP-adressen och en annan användare får andra "portar"?
Nej. Inte riktigt så... Du kan ansluta utåt och få svar, men inte tvärtom.

User avatar
li
Posts: 1124
Joined: 17 April 2003, 13:38
Location: Stockholm

Re: koppla upp mot lan från wan specialare...

Post by li » 31 December 2009, 14:53

wget -q -O - checkip.dyndns.org|sed -e 's/.*Current IP Address: //' -e 's/<.*$//'
För att se din publika address

Det var ett snyggt kommando för att få egna ip-adressen, vilket annars verkar knivigt. :D
gentoo 3.0
arch 3.0
freeBSD 8.2
qemu/minix3
win/xp

lihapall
Posts: 4
Joined: 27 December 2009, 21:33

Re: koppla upp mot lan från wan specialare...

Post by lihapall » 1 January 2010, 16:05

tack för svaren iallafall, trots att det hela failar på att anon-tjänsterna inte släpper in trafik till den anonyma (vilket jag borde räknat ut med tårna) :)

erik_persson
Posts: 1474
Joined: 29 August 2002, 15:19

Re: koppla upp mot lan från wan specialare...

Post by erik_persson » 9 January 2010, 19:49

Ska man vara riktigt noga så har tcp/ip stöd för source routing, vilket i princip gör att datorer med privata ip-adresser skulle kunna vara tillgängligt för utomstående.

De flesta routers förbjuder dock paket som kör med source-routing.

Så, det hjälper inte OP :-)

/ep

Se tex:
http://www.iss.net/security_center/advi ... efault.htm
http://en.wikipedia.org/wiki/Source_routing
http://www.ietf.org/rfc/rfc0791.txt

Fader_Berg
Posts: 180
Joined: 2 September 2009, 09:31

Re: koppla upp mot lan från wan specialare...

Post by Fader_Berg » 9 January 2010, 20:40

;) nice one!

Post Reply