CGN und interner Server

Herrmann

Well-Known Member
Hi zusammen, vermutlich habe ich demnächst Internet mit Carrier-grade NAT. Ich möchte natürlich meinen Server zu Hause weiterhin von außen erreichen können. Ich habe auch einen externen root-Server in einem Rechenzentrum. Daher dachte ich an folgende Lösung.
Mein Server zu Hause verbindet sich zu dem externen Server und hält die Verbindung offen. Nun verbinde ich mich von außen zu dem externen Server. Dieser sendet nun alles über die offen gehaltene Verbindung zum internen Server. Gibt es für so einen Fall bereits fertige Software?

Danke schonmal im Voraus.
 
Du koenntest ein VPN zwischen beiden aufbauen (z.B. OpenVPN), und dich dann ins VPN auf dem Root-Server einwaehlen und dadurch Zugriff zu dem Heim-Server erhalten.

Das VPN wird vom Heim-Server initiert und offen gehalten. VPN-Server also aufm Root-Server laufen lassen; auch wg. der Einwahl.

Bedenke allerdings: Wie sicher ist der Root-Server und wie hoch das Risiko das du dir dadurch evtl. eine Sicherheitsluecke schaffst (Root-Server gehackt und damit leichter Zugriff zu weiteren Rechnern innerhalb des VPNs.
 
Also fuer einzelne Dinge bietet sich schonmal "ssh -R" an (das R steht hier auch fuer "Risk" ;) ).
Dann waere da noch IPsec mit NAT-T.

Was soll eigentlich das "carrier grade" auszeichenen? *rolleyes*
 
Du kannst auch einen einfachen Socks Proxy verwenden mit SSH:
Code:
ssh -D 9090 -Nf <ROOT-SERVER>
Dann z.B. unter Firefox "Foxy Proxy" installieren und den Proxy einrichten. (SOCKS v5).

Gruss
 
Er braucht's ja "andersrum"

ION: s/foxyproxy/privoxy/ - der kann inzwischen auch socks5 und man spart sich die Klickorgien zum Konfigurieren.
 
Bedenke allerdings: Wie sicher ist der Root-Server und wie hoch das Risiko das du dir dadurch evtl. eine Sicherheitsluecke schaffst (Root-Server gehackt und damit leichter Zugriff zu weiteren Rechnern innerhalb des VPNs.

Es soll ja auch keiner das VPN direkt aus dem allerheiligsten LAN aufbauen, und einem Root-Server mit VPN-Endpunkt vertraut man lokal natürlich nicht einfach so. Es ist kein Problem, ein VPN lokal auf dem Router einfach wie einen weiteren ISP zu behandeln, der natürlich - wie der normale Zugang auch - nicht einfach ins LAN darf.

Wenn ein gehackter Root-Server mit VPN ein Problem für das lokale Netz ist, macht man es falsch[tm].
 
Hi Leute, danke für die Vorschläge. Mit VPN und dessen Absicherung werde ich mich mal etwas belesen.

... es ist kein Problem, ein VPN lokal auf dem Router einfach wie einen weiteren ISP zu behandeln, der natürlich - wie der normale Zugang auch - nicht einfach ins LAN darf.

Wenn ich dich richtig verstanden habe, würde das so ablaufen: Mein Mikrotik-Router zu Hause (der kann glaube ich OpenVPN) baut ein VPN mit dem externen Server auf. Nun verbinde ich mich mit meinem Notebook von Außerhalb zu dem externen Server und bin nun Teil des VPNs und kann damit meinen Router zu Hause erreichen. Jetzt kann ich mich wie bisher über den Router zu meinem jeweiligen Server durchtunneln, richtig?

Jetzt muss ich nur noch einen Weg finden, damit ich auch via Handy meinen IMAP-Mailsammler zu Hause erreichen kann.

Danke.
 
Auf dem Router wird natürlich die VPN-Verbindung dann - wie ein stinknormaler Uplink zum ISP auch - zum LAN hin gefiltert, es werden nur Sachen durchgelassen, die eben über die Verbindung erreichbar sein sollen und anwendungsseitige Verschlüsselung über TLS sowie entsprechende Zugangskontrollen in der Anwendung werden natürlich nicht abgestellt, nur weil der Client über ein VPN kommt.
 
Ein Layer 2 oder Layer 3 VPN wäre die universelle Lösung um IP basierte Dienste auf deinem Server hinter dem CGN anzubieten. Solltest du nur einzelne Dienste anbieten wollen bietet sich ein TCP (oder UDP) reverse Proxy an für HTTP gibt es noch mal extra Proxies, die genug HTTP verstehen um die im Proxy verlorenen Metadaten z.B. die Absenderadresse als HTTP Header einzufügen. Für TCP (und HTTP) bietet sich der OpenBSD relayd an. Die Software ist unter FreeBSD auch als Port verfügbar.
 
... Solltest du nur einzelne Dienste anbieten wollen bietet sich ein TCP (oder UDP) reverse Proxy an für HTTP gibt es noch mal extra Proxies, die genug HTTP verstehen um die im Proxy verlorenen Metadaten z.B. die Absenderadresse als HTTP Header einzufügen. Für TCP (und HTTP) bietet sich der OpenBSD relayd an ...

Das klingt sehr interessant. Werde ich ausprobieren. Danke :)
 
Zurück
Oben