Maszyna za NATem i ssh

[heby]

Cześć.

Jakie mam obecnie opcje gdybym chciał maszynę, będącą za NATem, nad
którym nie mam żadnej kontroli, mieć dostępną zdalnie po ssh?

Kiedyś było hamachi. Chyba martwe.

Hackerzy przeciez jakoś się łaczą na maszyny w środku koropo ;)

Być może mam do dyspozycji uPnP, z tego bodaj można jakoś prosić o
przekierowanie portów (mylę się?). Ale nie wiem tego na pewno.
Zakładajmy najgorsze: mam NAT i tyle.

Chwilowo przychodzi mi do głowy tylko:
1) wykupić tani serwer za kilka zł/miesiąc.
2) z komputera za NATem łaczyćsię po VPNie ze mną lub z komputerem z 1)
3) ipv6, ale dostawca go nie dostarcza

Jakieś inne opcje?

Fajna była by jakaś usługa internetowa typu: klient na ukrytej maszynie
i mogę się "zalogować" do tej usługi i mam dostep do TCP/IP z ta
maszyną. Takie troche VPN ;)

[heby]

On 07/10/2020 19:45, heby wrote:
> Jakieś inne opcje?

AAAa i jeszcze "ukryte usługi" w TOR. Da się to łatwo postawić na
pierwszym z brzegu stockowym linuxie?

[Kamil Jońca]

heby <he...@poczta.onet.pl> writes:

[...]

>
> Chwilowo przychodzi mi do głowy tylko:
> 1) wykupić tani serwer za kilka zł/miesiąc.
> 2) z komputera za NATem łaczyćsię po VPNie ze mną lub z komputerem z 1)
> 3) ipv6, ale dostawca go nie dostarcza
>
> Jakieś inne opcje?
>

Ja nie znam. Hamachi ZTCP to działało jako 1+2

> Fajna była by jakaś usługa internetowa typu: klient na ukrytej
> maszynie i mogę się "zalogować" do tej usługi i mam dostep do TCP/IP z
> ta maszyną. Takie troche VPN ;)
>

A tego nie rozumiem. Możesz przybliżyć?
KJ

--
http://wolnelektury.pl/wesprzyj/teraz/

[heby]

On 07/10/2020 20:39, Kamil Jońca wrote:
>> Fajna była by jakaś usługa internetowa typu: klient na ukrytej
>> maszynie i mogę się "zalogować" do tej usługi i mam dostep do TCP/IP z
>> ta maszyną. Takie troche VPN ;)
> A tego nie rozumiem. Możesz przybliżyć?

Taki man-in-the-middle. Ukryta maszyna łaczy się z jakąs usługą
internetową. I od teraz ktoś inny łaczy się z taką usługą i widzi ten
ukryty komputer.

[Kamil Jońca]

Dalej nie rozumiem.
KJ

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html

[Mateusz Viste]

2020-10-07 o 19:45 +0200, heby napisał:
> Jakie mam obecnie opcje gdybym chciał maszynę, będącą za NATem, nad
> którym nie mam żadnej kontroli, mieć dostępną zdalnie po ssh?

Kilka lat temu na tę dokładnie okoliczność popełniłem to:
http://backconn.sourceforge.net/

Oczywiście ty ze swojej strony musisz mieć jakieś IP publiczne, gdzieś.
No i samego "backdoora" musisz uprzednio zainstalować na tej maszynie
za NATem.

Mateusz

[heby]

On 07/10/2020 19:46, heby wrote:
>> Jakieś inne opcje?
> AAAa i jeszcze "ukryte usługi" w TOR. Da się to łatwo postawić na
> pierwszym z brzegu stockowym linuxie?

No więc sprawdziłem i to jest relatywnie trywialne. Działa.

Dwie wady:
1) skrajnie upierdliwe socks proxy. Mało który software potrafiłby z
tego korzystać, na szczęscie klient ssh potrafi.

2) bardzo duży lag, prawie uniemozliwia pracę po ssh.

Jak by się dało "stworzyć" wirtualną kartę sieciową tą metodą to było by
uzyteczne bardziej, teraz to jest rękodzieło.

Ciekawe kiedy będa wsadzać prewencyjnie za uzywanie tora ;)

[heby]

On 07/10/2020 23:37, Kamil Jońca wrote:
>> Taki man-in-the-middle. Ukryta maszyna łaczy się z jakąs usługą
>> internetową. I od teraz ktoś inny łaczy się z taką usługą i widzi ten
>> ukryty komputer.
> Dalej nie rozumiem.

Jedyną mozliwoścą obejścia 2 nieznanych natów, aby podpiąć dwa schowane
komputery w miarę bezpośrednio, jest uzycie pośrednika. To może być
jakiś tor, jakaś duza chmura, ale może też być dedykowany komputer w
internecie który "sprytnie" przekieruje swoje porty TCP. Wada tego
polega na tym że muszę z wnętrza NATa zainicjować połączenia, oraz
pośredni widzi ruch i musze płacić za pasmo.

hamachi zestawiało tą metodą połaczenie, ale potem już ruch odbywał się
poza centralnym serwerem, bezpośrednio między klientami.

Ale hamachi najpier wypieło d... na lixua a potem gdzieś to wcieło.

[heby]

On 08/10/2020 09:29, Mateusz Viste wrote:
> Kilka lat temu na tę dokładnie okoliczność popełniłem to:
> http://backconn.sourceforge.net/
> Oczywiście ty ze swojej strony musisz mieć jakieś IP publiczne, gdzieś.

Dzieki zerknę. Wlasnie chce uniknąc utrzymywania dodatkowej maszyny w
sieci, bo tanie rozwiązania zawsze wiążą się z mikroskopijnymi limitami
na dane.

[Mateusz Viste]

Z tego co pisałeś, masz jakiś domowy router na Linuksie - takie cudo
może działać na nim. Można np. ustawić tak, że port 2222 na interfejsie
LAN routera kieruje połączenia do portu 22 na 127.0.0.1 u klienta za
NATem (pod warunkiem, że ten jest akurat włączony).

Mateusz

[heby]

On 08/10/2020 10:08, Mateusz Viste wrote:
> Z tego co pisałeś, masz jakiś domowy router na Linuksie

Ja tak. Ale ukryty komputer będzie w innej sieci, router jest raczej
nieniegocjowalny i nie mogę go ani zmienić ani skonfigurować po swojemu.
Nawet nie wiem czy za routerem jest normalny IP, bo może być następna
wartwa prywatna ...

[Mateusz Viste]

2020-10-08 o 10:19 +0200, heby napisał:
> On 08/10/2020 10:08, Mateusz Viste wrote:
> > Z tego co pisałeś, masz jakiś domowy router na Linuksie
>
> Ja tak. Ale ukryty komputer będzie w innej sieci, router jest raczej
> nieniegocjowalny i nie mogę go ani zmienić ani skonfigurować po
> swojemu.

Ale to chyba o różnych rzeczach piszemy/myślimy. Router za którym
ukrywa się klient nie ma znaczenia, istotne jest tylko, aby klient miał
dostęp do internetu. "gdzieś w internecie" musi być coś (np. jakiś
router domowy gdzieś na Śląsku) do czego klient może się połączyć.

Z mojego wynalazku korzystałem m.in. aby wykonać kilka drobnych
akcji serwisowych na laptopie siostry, która intensywnie
wówczas podróżowała po świecie. Niezależnie od tego, gdzie była i w
jaki sposób łączyła się z internetem, ja mogłem wstukać się do jej
komputera via adres IP mojego domowego RPi.

Mateusz

[heby]

On 08/10/2020 10:24, Mateusz Viste wrote:
> Ale to chyba o różnych rzeczach piszemy/myślimy. Router za którym
> ukrywa się klient nie ma znaczenia, istotne jest tylko, aby klient miał
> dostęp do internetu. "gdzieś w internecie" musi być coś (np. jakiś
> router domowy gdzieś na Śląsku) do czego klient może się połączyć.

Gdybym robił to na chwilę to ok. Ale czasami muszę takie połaczenie
zrobic nie z domu (gdzie mam przekierowane porty) ale np. okazyjnie z
modemu gsm. Tam nie mam już dostepu do publicznej strony mojego IP.

Dlatego była mowa że obie strony są za NATem. Ogólnie niekontrolowanym.
Jedyne co wiadomo to że działa "internet" cokolwiek to znaczy.

> jaki sposób łączyła się z internetem, ja mogłem wstukać się do jej
> komputera via adres IP mojego domowego RPi.

Mniej więcej mam tek teraz, używajac VPN + dynamicdns. Klient łaczy się
po VNP z moim domowym routerem. I ja mogę się z nim połaczyć jeśli
akurat gdzieś jestem poza domem. Działa to jako tako, ale mam tak
kieskie łacze że nie jest wiele lepiej niż tor.

Mogę ten VPN wyprowadzić poza moje łacze, ale wtedy dostanę jakiś
prymitywny serwer ze śladowym limitem danych, lub muszę płacić duże
pieniądze.

Miałem nadzieje na to że np. można by zrobić tunel ipv6 dostając
normalny IP od brokera. Ale kilka ich ostatnio wyłączyli, nie wiem czy
coś jeszcze zostało. No i podobnie jak z torem: zaskakująco mało softu
potrafi pracować na ipv6.

W zasadzie potrzebuje tora bez szyfrowania i biliona stacji
przekaźnikowych pomiedzy...

[Mateusz Viste]

2020-10-08 o 10:37 +0200, heby napisał:
> Gdybym robił to na chwilę to ok. Ale czasami muszę takie połaczenie
> zrobic nie z domu (gdzie mam przekierowane porty) ale np. okazyjnie z
> modemu gsm. Tam nie mam już dostepu do publicznej strony mojego IP.

Masz VPN do siebie do domu. Ew. "proxy" do ssh klienta-za-NATem wystaw
publicznie - pod warunkiem oczywiście, że konfiguracja ssh tego klienta
jest sensowna. No ale z tego co piszesz to podobne rozwiązanie już
masz, na podstawie VPN klienckiego - zasada działania ta sama co mój
backconn, więc w tej sytuacji moje rozwiązanie nie wnosi żadnej
wartości dodanej.

> Mogę ten VPN wyprowadzić poza moje łacze, ale wtedy dostanę jakiś
> prymitywny serwer ze śladowym limitem danych, lub muszę płacić duże
> pieniądze. Miałem nadzieje na to że np. można by zrobić tunel ipv6

> dostając normalny IP od brokera. (...)

> W zasadzie potrzebuje tora bez szyfrowania i biliona stacji
> przekaźnikowych pomiedzy...

Czyli potrzebujesz, żeby ci ktoś za darmo dał używać serwer z
publicznym IP, szybkim łączem i bez limitów pasma. No to nie mam
pomysłu.

VPS w OVH kosztuje 5 € miesięcznie. 2 GiB RAM, 40 GiB storage i
przepustowość 250 Mbps. Żadnych limitów przesyłu.

Mateusz

[heby]

On 08/10/2020 11:05, Mateusz Viste wrote:

> Czyli potrzebujesz, żeby ci ktoś za darmo dał używać serwer z
> publicznym IP, szybkim łączem i bez limitów pasma. No to nie mam
> pomysłu.

Nie. hamachi pokazało że uczestniczy tylko w zestawieniu połaczenia,
dane biegają już P2P, mimo tego że oba hosty za NATem.

> VPS w OVH kosztuje 5 € miesięcznie. 2 GiB RAM, 40 GiB storage i
> przepustowość 250 Mbps. Żadnych limitów przesyłu.

Jeszcze sobie to obejrzę. Dzięki.

[Marcin Debowski]

On 2020-10-07, heby <he...@poczta.onet.pl> wrote:
> Jakie mam obecnie opcje gdybym chciał maszynę, będącą za NATem, nad
> którym nie mam żadnej kontroli, mieć dostępną zdalnie po ssh?

Mam takie coś zrealizowane zwykłym powłokowym skryptem, który chodzi w
loopie, tworzy tunel po ssh i sprawdza co pewien czas czy połączenie
żyje. Stosuję na rożnej maści malinach i bananach. Jak komuś (teść,
szwagier, matka) coś się gdzieś spierniczy, bierze tę malinę, odpala w
swojej sieci lokalnej a ja uzyskuje dostęp. Oczywiście trzeba mieć
zewnętrzny IP czyli w praktyce przynajmniej jeden router nad który ma
się kontrolę.

--
Marcin

[heby]

On 08/10/2020 14:32, Marcin Debowski wrote:
> Mam takie coś zrealizowane zwykłym powłokowym skryptem, który chodzi w
> loopie, tworzy tunel po ssh i sprawdza co pewien czas czy połączenie
> żyje.

No własnie to jest rękodzieło. Miałem nadzieje na gotowiec który działa
w trudnych warunkach.

tor spełnia założenie, tylko te lagi...

[gosc]

heby wrote:
> tor spełnia założenie, tylko te lagi...

Sprawdź w torze
HiddenServiceSingleHopMode

Może takie coś zadziała
https://samy.pl/chownat/
https://samy.pl/pwnat/
lub
https://github.com/ipfs/go-ipfs/blob/master/docs/experimental-features.md#ipfs-p2p

Ewentualnie szukaj dawców bez lagów
https://alternativeto.net/software/ngrok/

[heby]

On 08/10/2020 21:37, gosc wrote:
>> tor spełnia założenie, tylko te lagi...
> Sprawdź w torze
> HiddenServiceSingleHopMode

Sprawdzę.

> Może takie coś zadziała
> https://samy.pl/chownat/
> https://samy.pl/pwnat/

Znakomite. Pobawie się, niestety na chwile obecną oba komputery są u
mnie w LANie i nie mam jak sprawdzić skuteczności docelowej.

Dzięki.

[heby]

On 08/10/2020 12:09, heby wrote:
>> VPS w OVH kosztuje 5 € miesięcznie. 2 GiB RAM, 40 GiB storage i
>> przepustowość 250 Mbps. Żadnych limitów przesyłu.
> Jeszcze sobie to obejrzę. Dzięki.

Zawsze jest jakaś gwiazdka.

* W przypadku VPS hostowanych w Sydney i Singapurze: transfer 1TB/m-c
dla VPS z gamy „Starter” i „Value”, 2TB/m-c dla VPS z gamy „Essential”,
3TB/m-c dla VPS z gamy „Comfort” i 4TB/m-c dla VPS z gamy „Elite”. Po
przekroczeniu miesięcznego limitu przepustowość zostaje ograniczona do
10 Mbps.

Nie jest źle, ale bez wątpienia to nie jest "żadnych".

[Mateusz Viste]

yyy, potrzebujesz żeby VPS znajdował się na drugim końcu świata? No to
jest bardzo szczególna potrzeba, za to się płaci. Domyślnie dostajesz
VPS w datacenter w Gravelines.

Mateusz

[Marcin Debowski]

1TB/m-c Ci nie starczy? Nb. jak masz sporego węża w kieszeni to zobacz
też Digitalocean. Cenowo zbliżony do OVH, funkcjonalną maszynę można
postawić w kilkanaście minut, a poźniej ją zlikwidować jak już
niepotrzebna. Byłoby to straszne dziadowanie, ale co do zasady będziesz
płacił proporcjonalnie za czas istnienia tej maszyny przy 5 USD/miesiąc.
Gorzej jak się DNS nie rozpropaguje do klientów w jakimś rozsądnym (<1h)
czasie, ale to raczej rzadkie MZ przypadki.

--
Marcin

[heby]

On 08/10/2020 21:37, gosc wrote:

> Sprawdź w torze

Zapytam jeszcze, bo jakoś nie mogę odszukać jasnej odpowiedzi w necie:
czy stawiając hidden service staje się automatycznie relay/node, tzn
uczestnicze w przekazywaniu cudzego ruchu dalej?

[gosc]

heby wrote:
> Zapytam jeszcze, bo jakoś nie mogę odszukać jasnej odpowiedzi w necie:
> czy stawiając hidden service staje się automatycznie relay/node, tzn
> uczestnicze w przekazywaniu cudzego ruchu dalej?

Nie przekazujesz cudzego ruchu.

[from]

posmaruj iodyną
--
Nigdy nie zamykaj mojego terminala