Poorten externe pc door firewall heen tunnelen

Even de voetnoot dat ik adviseer wel eerst toestemming te vragen op je werk hiervoor:

Zijn meerdere opties mogelijk.
Via cloud diensten (Teamviewer) maar bijvoorbeeld ook iets als Tailscale.

Ik zoek eigenlijk een soort dienst die ik bijv. Op een Raspberry Pi kan draaien en dat mijn werk-pc daarmee verbind, en dat de Raspberry Pi op dezelfde poorten luistert en eigenlijk al het verkeer heen en weer doorstuurt.

Dat kan en is een VPN. Qua performance kun je dan beter kijken naar Wireguard ipv OpenVPN.
Als je de vpn server draait ope je eigen internet router dan gaat het direct goed, anders moet je even wat statiscihe routes aanleggen om ervoor te zorgen dat je bij de vpn client uitkomt.

Dit topic ter inspiratie
port forwarding voor remote webserver in VPN opstelling

Maar meest simpele oplossing is tailscale installeren op beide devices.

Het coole aan tailscale is dat die ook aan Hole punching kan doen.
Dan krijg je dus eigenlijk toch een port forward naar je machine (met dus directe connectiveit) terwijl die er eigenlijk niet is.

[ Voor 21% gewijzigd door laurens0619 op 24-01-2024 11:59 ]

@geerttttt
Als je VPN server je thuis router is dan ben je iig van het probleem af want dan gaat de routering automatisch goed. MRja moet je net maar zin hebben om dat a) te kopen en b) als internet routering in te zetten.

Met je Pi kan het ook lukken.
In dat topic wat ik linktte staat het ook uitgelegd, ik ga even uit van openvpn met volgende ip adressen als voorbeeld:
Internet router: 192.168.178.254
PC: 192.168.178.10
Pi: 192.168.178.11
VPN client: 10.10.10.100

- Standaard is een openvpn routed. Je vpn clients hebben een andere ip range en gaan via NAT je eigen netwerk op. Je kunt vanuit een vpn client dus alles benaderen maar andersom niet.
- Andersom werkt dit niet. Als jij terug wil verbinden met 10.10.10.100 vanuit je PC dan kent je PC dit ip niet. Hij gaat dan naar de default gateway (internet routeR) die hem ook niet kent.

Oplossing is:
- Zorgen dat je pc weet dat hij voor 10.10.10.100 naar de gateway 192.168.178.11 moet. Dan kom je er wel (mits de pi aan ip forwarding doet)
- Zorgen dat je OpenVPN setup niet routed is maar bridged. Dan krijg je client vanuit je werk gewoon een ip als 192.168.178.12 en kun je gewoon heen en weer verbinden.


Wat jij wil klinkt als bridged vpn Echter ik zou statische routes ook overwegen.

Wil je dit allemaal zonder encryptie (adviseer ik niet) dan kun je ook nadenken over een GRE tunnel.
Maar nogmaals, dan ga je dus unencrypted over het internet.
Van een pi naar windows zou ik niet weten. Ik heb GRE tunnels gebruikt icm goedkope mikrotik routers (Ethernet over IP)

[ Voor 9% gewijzigd door laurens0619 op 24-01-2024 14:03 ]

geerttttt schreef op woensdag 24 januari 2024 @ 13:10:
[...]

Toestemming is geen punt, ik mag doen met de machine wat ik wil, kan hem ook thuis neerzetten, maar constant energieverbruik terwijl het voor werk is zit ik niet zo op te wachten.
[...]
En liefst zonder al te veel encryptie tussenstappen.

geerttttt schreef op woensdag 24 januari 2024 @ 11:43:
Mag zonder encryptie of wat dan ook,
[...]
En vpn encapsulatie en encryptie helpt niet mee voor low-latency.

Ik zou toch nog eens goed aan je werkgever uitleggen wat je wilt gaan doen. Het is namelijk niet alleen toegang tot een machine met mogelijk data erop welke liever niet uitlekt of zelfs niet uit mag lekken, je opent daarmee ook een mogelijkheid om het bedrijfsnetwerk binnen te komen waarmee je alle huidige beveiligingsmaatregelen zoals firewalls omzeilt. Die staan er namelijk niet voor niets, anders hadden ze gewoon een poort voor je open gezet. En zo negatief als je over encryptie (en security) lijkt te zijn gaat dat betekenen dat dat voor het hele internet bijna triviaal open komt te staan. Combineer dat met bots die eigenlijk 24/7 het hele internet afscannen naar slecht beveiligde services en deze automatisch proberen binnen te komen en je hebt een goed recept voor een nieuw topic "Ontslag wegens nalatigheid, mag dit?"

geerttttt schreef op woensdag 24 januari 2024 @ 13:10:
Toestemming is geen punt, ik mag doen met de machine wat ik wil

Maar dat is geen toestemming om op het netwerk te doen wat je wilt. Dit is de manier om de beveiliging van jullie netwerk te omzeilen, in te breken en van alles te verkl***n.

Die firewall zijn er niet voor niks en jij wil ze even gaan omzeilen?
Wat denk je dat er gaat gebeuren als jouw bedrijf gehacked wordt en ze bij onderzoek jouw "slimme" achterdeur in het bedrijfsnetwerk ontdekken.

geerttttt schreef op woensdag 24 januari 2024 @ 13:10:
[...]

Toestemming is geen punt, ik mag doen met de machine wat ik wil, kan hem ook thuis neerzetten, maar constant energieverbruik terwijl het voor werk is zit ik niet zo op te wachten.

Je zegt waarschijnlijk niet helemaal logisch maar als jouw werkgever 'eist' dat jij die machine ook vanaf thuis moet kunnen benaderen en/of jouw functie is dusdanig bedrijfskritisch dat je 24/7/365 erbij moet, dan lijkt het me geen ondenkbare situatie dat jouw werkgever hier een oplossing voor gaat verzinnen.

Andersom, als je de machine thuis neer mag zetten, waarom niet? Ik neem aan dat je dan in functie bent, dat je de uren die je werkt gewoon betaalt krijgt en dat je, eventueel in overleg, aanspraak kan maken op een (extra) thuiswerkvergoeding die je dan inzet voor het stroomverbruik? En als het heel veel kWh is wat je extra verstookt, lijkt het me absoluut bespreekbaar dat met een Wattage-meter wordt aangetoond hoeveel de PC verbruikt en dat de werkgever daaraan gaat meebetalen.

Zoals anderen hier aangeven; waar een wil is, zal mogelijk ook een weg zijn. Echter, de manier waarop het topic start / aanvliegt, wij werken niet bij jou noch zijn we jouw leidinggevende. En daarmee is het zeer lastig om een idee te formuleren wat voor jou werkbaar is en wat binnen de grenzen van het ICT-gebruik bij de werkgever valt.

geerttttt schreef op donderdag 25 januari 2024 @ 00:37:
[...]

Een router is onoverkomelijk in elk netwerk, dat heeft niet zo veel te maken met specifiek ingestelde firewalls. Maar zoals net uitgelegd is het een "vieze lijn". Dus daar zit niks bedrijfsmatigs aan. En wat ik wil doen is geen backdoor. TeamViewer gebruik is ook prima en geen probleem, alleen voor mijn doel niet snel en low-latency genoeg. Dus loop ik tegen het port-forwarding probleem aan.

Als het allemaal zo is zoals jij zegt, is er geen port-forwarding probleem. Je vraagt gewoon de IT-afdeling om die poort voor je open te zetten en het is klaar. Als ze dat niet willen doen is er kennelijk toch een bepaalde reden voor. Maar ook hier wil je liefst een fatsoenlijke VPN zodat security/authenticatie in ieder geval geregeld is. Naast mogelijke toegang tot het bedrijfsnetwerk (wat er niet zou zijn) en de mogelijkheden daarop (malware verspreiden, verbinding/services aanvallen) kan de machine zelf natuurlijk wel deel gaan uitmaken van een botnet en dingen doen als spam versturen en meedoen aan DDoS-aanvallen. Allemaal zaken waar de provider niet blij van wordt en waarschijnlijk de verbinding afsluit.

Overigens ga je niet per se veel betere latency krijgen dan wat je nu met Teamviewer krijgt. Dat is eigenlijk gewoon inherent aan met GUI-dingen over het netwerk werken. Zelfs op lokale bedrade verbindingen merk je dit. Een VPN gaat hier geen noemenswaardige extra latency aan toevoegen, dat is allemaal zo snel tegenwoordig, tenzij je nog een machine van 15 jaar oud hebt of met een telefoon probeert te verbinden.

Eigenlijk alle opties naast een poort direct openzetten naar de gewenste service (afrader) zullen neerkomen op een VPN-achtig iets in een van de vele vormen dus veel keuze heb je in dat opzicht sowieso niet.

Teamviewer heeft ook een vpn. (Inbegrepen) Probeer dat eerst eens, ga daarna aan de slag met tailscale of zerotier.

geerttttt schreef op woensdag 24 januari 2024 @ 11:43:
Hallo,

Ik heb een pc in een bedrijfsnetwerk staan, die zit achter een firewall waar ik geen poorten open kan zetten.

Ik gebruik hierop grafische tools die ik ook graag wil gebruiken als ik er niet ben. De beste manier is via Moonlight, een variant van Nvidia gamestream.

Deze dienst zet een stel tcp en Udp poorten open waar je mee kunt verbinden en zo een low latency remote verbinding hebt. Normaliter moet je dus poorten open zetten om extern te verbinden, maar dat kan dus niet.

Op mijn thuisnetwerk kan ik dat wel. Ik zoek eigenlijk een soort dienst die ik bijv. Op een Raspberry Pi kan draaien en dat mijn werk-pc daarmee verbind, en dat de Raspberry Pi op dezelfde poorten luistert en eigenlijk al het verkeer heen en weer doorstuurt.

Mag zonder encryptie of wat dan ook, ik wil alleen bij de poorten komen zonder aan de werk kant iets open te moeten zetten

Bestaat dat? Ik heb meerdere vpn diensten geprobeerd , maar die zijn of erg ingewikkeld of niet geschikt. Dan is mijn werk pc wel bereikbaar, maar alleen vanaf de computer waar de vpn cliënt op draait, niet voor de rest van mijn thuisnetwerk. En vpn encapsulatie en encryptie helpt niet mee voor low-latency.

Ik hoop dat iemand een beter product kent!

WireGuard vpn server op de unifi router op je werk is er erg makkelijk op te zetten en heeft ook low-latency