OpenWRT - Netwerk verkeer 'omleiden' vereist SSH Tunnel? - Netwerken

donderdag 29 november 2012 10:47

Acties:

0 Henk 'm!

Carpe diem!

Topicstarter

De juiste benaming van wat ik zoek heb ik niet direct gevonden maar ik gok dat ik een soort van 'relay' configuratie wens op te zetten op mijn OpenWRT router. De situatie die ik heb ik dat ik toegang heb tot een internet dienst maar enkel via mijn extern IP adres. Om ook vanop een andere locatie toegang te krijgen tot dezelfde dienst, zou het netwerk verkeer via mijn dynip adres moeten lopen, als volgt:

code:

1	PC1 <-A-> router1 <-B-> internet <-C-> router2 (OpenWRT - dyndns) <-D-> internet dienst

De betreffende internet dienst is één specifieke hostname / port en switch2 heeft voldoende upload / download capaciteit. Op welke manier is dit mogelijk? Wat ik al begrepen had van een SSH tunnel, dat is dat je hiermee PC1 volledig in het netwerk zet dat achter switch2 hangt. Dit lijkt me echter meer dan wat noodzakelijk is. Het is voldoende dat enkel verkeer naar xyz.dyndns.org:10002 vanaf PC1 naar de internet dienst wordt geroutereerd.

donderdag 29 november 2012 11:02

Acties:

0 Henk 'm!

Paul

Je hebt iets op internet dat alleen toegang toestaat vanaf IP-adres A, en jij zit nu op adres B begrijp ik?

Met een VPN (dus niet een SSH-tunnel) zet je jouw PC inderdaad in het LAN-netwerk achter de router, met een SSH-tunnel alleen dat wat jij opgeeft

Je zet SSH open op OpenWRT, zorgt dat je het goed beveiligd hebt (bij voorkeur wachtwoorden niet toestaan en een key met leuke lengte gebruiken) en maakt een SSH-tunnel:

Local port: (mag je zelf kiezen)
Remote host: (internetdienst)
Remote port: (poort van internetdienst)

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

donderdag 29 november 2012 11:05

Acties:

0 Henk 'm!

Ravefiend

Carpe diem!

Topicstarter

Paul schreef op donderdag 29 november 2012 @ 11:02:
Je hebt iets op internet dat alleen toegang toestaat vanaf IP-adres A, en jij zit nu op adres B begrijp ik?

Correctie: toegang is enkel mogelijk via het externe IP adres van router2 (D). Deze is mijn 'thuis' router, terwijl PC1 in het schema een PC / laptop bv. bij de buren staat.

Even een aanpassing:

code:

1
2
3

       PC1 <--A--> router1 <--B--> internet <--C--------------------\
                                                                    |
internet dienst <--E--> internet <--D--> router2 (OpenWRT - dyndns) /

[ Voor 24% gewijzigd door Ravefiend op 29-11-2012 11:13 ]

donderdag 29 november 2012 11:14

Acties:

0 Henk 'm!

Paul

Ravefiend schreef op donderdag 29 november 2012 @ 11:05:
toegang is enkel mogelijk via adres A terwijl PC1 in het schema [..]adres B heeft.

Dat zeg ik toch?

of je nu 'xyz.dyndns.org' of A zegt, en 'az-54733.dynamic.ziggo.nl' of B maakt voor het verhaal niet uit.

Edit: Ah, je hebt in je verhaal ook allemaal A, B, C, whatever dingen

Dat zijn zo te zien echter netwerken, geen ip-adressen...

[ Voor 13% gewijzigd door Paul op 29-11-2012 11:15 ]

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 30 november 2012 09:45

Acties:

0 Henk 'm!

Ravefiend

Carpe diem!

Topicstarter

Ja, ik geraak er zelf niet helemaal wijs uit wat nu de beste manier is: een soort van proxy oftewel gewoon traffic routing, zodat xyz.dyndns.org:801 naar internet.dienst.org:10035 gaat via mijn OpenWRT router die thuis staat.

vrijdag 30 november 2012 09:55

Acties:

0 Henk 'm!

Paul

Ravefiend schreef op vrijdag 30 november 2012 @ 09:45:
zodat xyz.dyndns.org:801 naar internet.dienst.org:10035 gaat via mijn OpenWRT router die thuis staat.

Als OpenWRT dat kan zou ik dat doen; het is mij echter nog nooit gelukt een 'port forward' de maken waarbij de destination op dezelfde interface zit als waar het verzoek op binnenkomt.

SSH-tunnel gaat sowieso werken

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

dinsdag 4 december 2012 11:39

Acties:

0 Henk 'm!

Ravefiend

Carpe diem!

Topicstarter

Paul schreef op vrijdag 30 november 2012 @ 09:55:
[...]
Als OpenWRT dat kan zou ik dat doen; het is mij echter nog nooit gelukt een 'port forward' de maken waarbij de destination op dezelfde interface zit als waar het verzoek op binnenkomt.

SSH-tunnel gaat sowieso werken

Wat ik nog vond op het DD-WRT forum was deze optie om WAN IP:port te routen naar external IP:port:

code:

iptables --insert PREROUTING 1 -t nat -i ppp_1_32_1 -p tcp -d $wanip --destination-port 8080 -j DNAT --to-destination $ip_to_redirect_to:80
iptables -t nat --insert POSTROUTING 1 -p tcp --dst $ip_to_redirect_to --dport 80 -j SNAT --to-source $wanip
iptables --insert FORWARD 1 -p tcp -j ACCEPT
iptables --insert INPUT 1 -p tcp -j ACCEPT

Lijkt me misschien een beetje tricky omdat je dan geen controle hebt over wie nu precies gebruik gaat maken van deze 'redirect'.

[ Voor 7% gewijzigd door Ravefiend op 04-12-2012 11:49 ]

dinsdag 4 december 2012 12:08

Acties:

0 Henk 'm!

laurens0619

Indien het om gebruik gaat via je computer (je moet bijvoorbeeld bij server X kunnen met je laptop) zou ik gewoon gebruik maken van VPN. Installeer vpn op de router en you are good to go

Een iptables redirect is idd wat link. Je kan dan beter via ssh de tunnel opzetten zoals eerder beschreven in dit topic

CISSP! Drop your encryption keys!

dinsdag 4 december 2012 16:20

Acties:

0 Henk 'm!

Ravefiend

Carpe diem!

Topicstarter

Misschien dat het nog wel ietwat veilig te maken is door de -s optie te gebruiken, en daar bv. een dyndns hostname in te zetten ipv een IP adres. Vervolgens OpenWRT nog een wat fine tunen met bv. deze instructies:
http://diginc.us/linux/20...ostnames-like-dyndns-org/

OpenWRT - Netwerk verkeer 'omleiden' vereist SSH Tunnel?

Onderwerpen