/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
VPN gennem meget restriktiv firewall
Fra : RpR


Dato : 25-04-05 08:19

Hep hey

Lad os sige jeg sidder bag en meget restriktiv firewall, der ikke tillader
nogen form for indgående forbindelse, og kun udgående på port 21 & 80.

Kan jeg i teorien ikke køre en VPN server af en art på en maskine hjemmefra
på port 21 eller port 80, og så forbinde til den, og derved få frit adgang
til internettet som sad jeg på min egen hjemmeforbindelse?

Jeg har en maskine stående derhjemme der kører WinXP Pro SP1 med de gængse
updates og patches. Hvilket software ville være brugbart til den VPN løsning
jeg har i tankerne?

- RpR



 
 
Asbjorn Hojmark (25-04-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 25-04-05 08:23

On Mon, 25 Apr 2005 09:18:43 +0200, "RpR" <rpr@mopedgallery.dk> wrote:

> Lad os sige jeg sidder bag en meget restriktiv firewall, der ikke
> tillader nogen form for indgående forbindelse, og kun udgående på
> port 21 & 80.
>
> Kan jeg i teorien ikke køre en VPN server af en art på en maskine
> hjemmefra på port 21 eller port 80, og så forbinde til den, og
> derved få frit adgang til internettet som sad jeg på min egen
> hjemmeforbindelse?

Det afhænger af firewall'en. Hvis den kan inspicerer trafikken (og
smide den del væk, der ikke er ren 'http' eller ftp), så kan du ikke.
I mange firewalls laver man dog ikke meget andet end portfiltrering,
og så kan man godt.

Du skal dog overveje en gang til, om du vil det... Hvis du sidder bag
sådan en firewall, så er der en grund til at den er konfigureret sådan
og der er en administrator, der har taget stilling til, hvad der skal
være muligt ud fra en udstukket politik. Det kan være en rigtig skidt
idé at bryde den slags regler.

-A

RpR (25-04-2005)
Kommentar
Fra : RpR


Dato : 25-04-05 08:35

> Det afhænger af firewall'en. Hvis den kan inspicerer trafikken (og
> smide den del væk, der ikke er ren 'http' eller ftp), så kan du ikke.
> I mange firewalls laver man dog ikke meget andet end portfiltrering,
> og så kan man godt.

Den er sat op til kun at filtrere på portene

> Du skal dog overveje en gang til, om du vil det... Hvis du sidder bag
> sådan en firewall, så er der en grund til at den er konfigureret sådan
> og der er en administrator, der har taget stilling til, hvad der skal
> være muligt ud fra en udstukket politik. Det kan være en rigtig skidt
> idé at bryde den slags regler.

Ja, det er fordi vi sidder på samme forbindelse som handelsskoleeleverne, og
de kan jo hitte på at have alt muligt skravl kørende der på det nærmeste
ødelægger den bitte 2mbit forbindelse vi deler med dem. Jeg sidder på
datamatiker uddannelsen, og vi må mere eller mindre gøre hvad vi vil

Har luret lidt på WinGate, men er det NTLM kompatibelt?

- RpR



Niels Dybdahl (25-04-2005)
Kommentar
Fra : Niels Dybdahl


Dato : 25-04-05 09:47

> Lad os sige jeg sidder bag en meget restriktiv firewall, der ikke tillader
> nogen form for indgående forbindelse, og kun udgående på port 21 & 80.
>
> Kan jeg i teorien ikke køre en VPN server af en art på en maskine
hjemmefra
> på port 21 eller port 80, og så forbinde til den, og derved få frit adgang
> til internettet som sad jeg på min egen hjemmeforbindelse?
>
> Jeg har en maskine stående derhjemme der kører WinXP Pro SP1 med de gængse
> updates og patches. Hvilket software ville være brugbart til den VPN
løsning
> jeg har i tankerne?

En mulighed er at installere en SSH server hjemme. Via den kan du lave
tunneller til det meste. Du kan sætte den til at lytte på port 21 eller 80
eller få din router til at route traffikken fra en extern port 21 til
SSH-serverens normale port 22.
På Windows er det nok nemmest at få en SSH server op at køre via cygwin.

Niels Dybdahl



RpR (25-04-2005)
Kommentar
Fra : RpR


Dato : 25-04-05 10:56

> En mulighed er at installere en SSH server hjemme. Via den kan du lave
> tunneller til det meste.

Nytter vel intet hvis det program jeg vil bruge via mit eget internet ikke
kan sættes op til at køre gennem en SSH proxy eller lign?
Det går bare ud fra der er hul igennem.

- RpR



Madhatter@dk.invalid (25-04-2005)
Kommentar
Fra : Madhatter@dk.invalid


Dato : 25-04-05 11:42

On Mon, 25 Apr 2005 11:56:08 +0200, "RpR" <rpr@mopedgallery.dk> wrote:

>Nytter vel intet hvis det program jeg vil bruge via mit eget internet ikke
>kan sættes op til at køre gennem en SSH proxy eller lign?
>Det går bare ud fra der er hul igennem.

Som andre skriver: SSH må være den optimale løsning på dit problem med
at komme gennem firewall'en.

Hvilket program er det du vil køre ?

<mlr>

Niels Dybdahl (25-04-2005)
Kommentar
Fra : Niels Dybdahl


Dato : 25-04-05 12:24

> > En mulighed er at installere en SSH server hjemme. Via den kan du lave
> > tunneller til det meste.
>
> Nytter vel intet hvis det program jeg vil bruge via mit eget internet ikke
> kan sættes op til at køre gennem en SSH proxy eller lign?
> Det går bare ud fra der er hul igennem.

Jo. F.ex kan jeg køre news/USENET via en SSH tunnel. Tunnellen gør at en
port på min PC på arbejdet bliver routet gennem SSH og via min server hjemme
til den newsserver som jeg gerne vil på. Jeg sætter så min newsreader op til
at køre mod min PC.

Det kræver dog at man kender portnumrene som er relevante for det program
man gerne vil køre. En fuld VPN løsning kan gøre det nemmere, men jeg har
ingen erfaring med disse og SSH er god nok til mig.

Niels Dybdahl



RpR (25-04-2005)
Kommentar
Fra : RpR


Dato : 25-04-05 23:18

> Jeg sætter så min newsreader op til
> at køre mod min PC.

Det er helt 100% umuligt at pille i hvilken host der blir koblet op imod
her, så VPN er så vidt jeg kan se eneste løsning

--

- RpR
~=[ www.MopedGallery.dk ]=~
~=[ www.PhotoBlog.dk ]=~
--



Niels Dybdahl (26-04-2005)
Kommentar
Fra : Niels Dybdahl


Dato : 26-04-05 09:02

> > Jeg sætter så min newsreader op til
> > at køre mod min PC.
>
> Det er helt 100% umuligt at pille i hvilken host der blir koblet op imod
> her, så VPN er så vidt jeg kan se eneste løsning

Hvis det er et konkret hostnavn, så skriver man bare 127.0.0.1 hostnavn i
sin hosts fil.

Niels Dybdahl



RpR (27-04-2005)
Kommentar
Fra : RpR


Dato : 27-04-05 08:08

> Hvis det er et konkret hostnavn, så skriver man bare 127.0.0.1 hostnavn i
> sin hosts fil.

Det var self' en mulighed. Er det via SSH muligt at forwarde en hostrange,
både TCP og UDP?

- RpR



RpR (27-04-2005)
Kommentar
Fra : RpR


Dato : 27-04-05 09:18

> Det var self' en mulighed. Er det via SSH muligt at forwarde en hostrange,
> både TCP og UDP?

Endnu et spørgsmål til eksperterne:
Programmet skal ha' fat i to forskellige servere, som begge to kører på
samme port. Hvordan skal jeg lige håndtere den?

- RpR



Niels Dybdahl (27-04-2005)
Kommentar
Fra : Niels Dybdahl


Dato : 27-04-05 13:20

> > Det var self' en mulighed. Er det via SSH muligt at forwarde en
hostrange,
> > både TCP og UDP?
>
> Endnu et spørgsmål til eksperterne:
> Programmet skal ha' fat i to forskellige servere, som begge to kører på
> samme port. Hvordan skal jeg lige håndtere den?

Hvis du ikke kan ændre portnumrene, så kræver det 2 PCere som begge
forwarder videre eller noget "rigtigt" VPN-software som jeg som nævnt ikke
har erfaring med.

Hilsen Niels



RpR (28-04-2005)
Kommentar
Fra : RpR


Dato : 28-04-05 07:34

> Hvis du ikke kan ændre portnumrene, så kræver det 2 PCere som begge
> forwarder videre eller noget "rigtigt" VPN-software som jeg som nævnt ikke
> har erfaring med.

Hvordan får jeg så PC1 til at sende alle packets til PC2 istedet for den IP
som er hardcoded i programmet?

Jeg har prøvet med hosts filen uden held. En statisk ARP til PC2's MAC
adresse virker heller ikke.

- RpR



RpR (28-04-2005)
Kommentar
Fra : RpR


Dato : 28-04-05 07:49

> Hvordan får jeg så PC1 til at sende alle packets til PC2 istedet for den
IP
> som er hardcoded i programmet?
>
> Jeg har prøvet med hosts filen uden held. En statisk ARP til PC2's MAC
> adresse virker heller ikke.

Altså PC1 prøver at kontakte IP x, hvilket den ikke kan. Den skal så istedet
kontakte PC2, som har adgang til IP x.

PC2 er sat op via putty til at forwarde den port der skal bruges, så det er
sådan set kun forward fra PC1 til PC2 jeg mangler.

- RpR



Niels Dybdahl (28-04-2005)
Kommentar
Fra : Niels Dybdahl


Dato : 28-04-05 08:26

> > Hvis du ikke kan ændre portnumrene, så kræver det 2 PCere som begge
> > forwarder videre eller noget "rigtigt" VPN-software som jeg som nævnt
ikke
> > har erfaring med.
>
> Hvordan får jeg så PC1 til at sende alle packets til PC2 istedet for den
IP
> som er hardcoded i programmet?
>
> Jeg har prøvet med hosts filen uden held. En statisk ARP til PC2's MAC
> adresse virker heller ikke.

Hvis programmet bruger en fast IP, så har jeg ingen ide til hvad man kan
gøre, men hvis det bruger et hostnavn, så burde det kunne klares med hosts
filen: pc2sIPadresse hostnavn.

Der er forresten noget med at man kan vælge om andre PCere må bruge en
tunnel eller ej. I putty hedder det "Local ports accept connections from
other hosts". Er den valgt hos dig ?

Hilsen Niels



RpR (28-04-2005)
Kommentar
Fra : RpR


Dato : 28-04-05 09:44

> Hvis programmet bruger en fast IP, så har jeg ingen ide til hvad man kan
> gøre, men hvis det bruger et hostnavn, så burde det kunne klares med hosts
> filen: pc2sIPadresse hostnavn.

Den bruger en fast IP, ikke en hostname

> Der er forresten noget med at man kan vælge om andre PCere må bruge en
> tunnel eller ej. I putty hedder det "Local ports accept connections from
> other hosts". Er den valgt hos dig ?

Det er den

- RpR



Niels Dybdahl (27-04-2005)
Kommentar
Fra : Niels Dybdahl


Dato : 27-04-05 13:23

> > Hvis det er et konkret hostnavn, så skriver man bare 127.0.0.1 hostnavn
i
> > sin hosts fil.
>
> Det var self' en mulighed. Er det via SSH muligt at forwarde en hostrange,
> både TCP og UDP?

Med de SSH-programmer jeg kender til (putty) skal man sætte hver port op
explicit. Så det er ret besværligt hvis der er mange porte.

Der er også den mulighed at du kører dit program på din PC hjemme og
fjernstyrer den PC via VNC eller lignende over SSH. Så er der kun en port at
holde styr på.

Niels Dybdahl



RpR (27-04-2005)
Kommentar
Fra : RpR


Dato : 27-04-05 21:29

> Der er også den mulighed at du kører dit program på din PC hjemme og
> fjernstyrer den PC via VNC eller lignende over SSH. Så er der kun en port
at
> holde styr på.

Både VNC og TS er meget båndbredde krævende hvis der er bare en lille smule
grafik involveret desværre :-/

--

- RpR
~=[ www.MopedGallery.dk ]=~
~=[ www.PhotoBlog.dk ]=~
--



Niels Dybdahl (28-04-2005)
Kommentar
Fra : Niels Dybdahl


Dato : 28-04-05 08:28

> > Der er også den mulighed at du kører dit program på din PC hjemme og
> > fjernstyrer den PC via VNC eller lignende over SSH. Så er der kun en
port
> at
> > holde styr på.
>
> Både VNC og TS er meget båndbredde krævende hvis der er bare en lille
smule
> grafik involveret desværre :-/

Har du prøvet de nyere VNC protokoller (RealVNC 3.37 eller senere og
UltraVNC). De har rigtig gode komprimeringsmetoder og detekterer selv
båndbredden og vælger farvedybde og kompression derefter. Men hvis man har
brug for 24/32 bit farvedybde, så er det for langsomt...

Niels Dybdahl



RpR (28-04-2005)
Kommentar
Fra : RpR


Dato : 28-04-05 14:51

Så har jeg selv løst problemet

Løsningen blev en kombination af www.openvpn.net 's VPN software, der er
ganske gratis og virker meget godt, selvom vejledningerne på deres side
måske ikke er noget at skrive hjem om.

Selve vejen ud af firewallen er blevet klaret ved hjælp af et lille Python
program skrevet af en russer, som kan findes her:
http://www.geocities.com/rozmanov/ntlm/

Det er en HTTP proxy som kan snakke med den NTLM proxy der fungerer som
firewall her.
Så en SSL VPN forbindelse via port 443, gennem HTTP proxyen, gennem NTLM
proxyen og så hjem til min OpenVPN windows server derhjemme

Så nu kan jeg, uanset hvor jeg er (medmindre det net jeg sidder på kører
samme IP på deres gateway som jeg gør derhjemme, det sker nok ikke tit)
komme på nettet som sad jeg ved min egen maskine
Hastigheden er max. for min linie derhjemme, og ping er ~100.

Hvis andre har samme problem så er i velkomne til at spørge om hjælp

Takker stadigvæk for jeres indsats !

- RpR



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste