Jump to content
arne22

Global IP og servertjenester via 4G/5G

Recommended Posts

Jeg bruker Ice 4G og er stort sett meget godt fornøyd. Om internett kjører 4G eller 5G det synes jeg er uten betydning for mitt bruk.

Det som jeg der i mot kunne ha bruk for en gang i blant det er en global IP og muligheten til å kjøre serverfunksjoner på lan, som er tilgjengelig fra Internett.

Hadde dette tidligere for flere år siden med abonnement fra "Netcom" og det fungerte helt fint.

Er det noen som vet om en (helst rimelig) tjeneste som gir tilgang til global IP og mulighet for server funksjoner?  

Tenker på å beholde abonnementet fra Ice men kanskje legge til et annet lite abonnement som gir mulighet for global ip og serverfunksjoner. 

Share this post


Link to post

Hos Ice så er det vel kun mulig med mobilt bredbånd eller IPv6.

Det "enkleste" er vel å kjøre en VPN mot en server ikke så langt unna som kan gjøre nødvendig ruting og NAT for deg.
 

Share this post


Link to post
5 hours ago, Krokan said:

Tror dette fungerer fremdeles hos både Telenor og Telia hvis du bruker riktig APN

Jeg lurer på om jeg fant en brukbar oppskrift her. Vil forsøke å teste ut med Telenor.

https://www.telenor.no/kundeservice/internett/wifi/administrere-ruter-b818/endre-apn/

5 hours ago, Janvik said:

Det "enkleste" er vel å kjøre en VPN mot en server ikke så langt unna som kan gjøre nødvendig ruting og NAT for deg.

Er det noen som leverer en slik kommersiell tjeneste, med portforwarding inn til server via VPN? Det hadde vært en OK og interessant løsning, hvis man kan få kjøpt dette som ferdig løsning med enkelt oppsett. Har satt opp løsningen selv tidligere ved å kjøre OpenVPN server på ekstern Linux maskin og OpenVPN klient på PC, men det ble for komplisert til at jeg orker å sette det opp på nytt. Hadde man kunne få kjøpt det ferdig så ville det vært interessant. 

Share this post


Link to post

Hvilke "serverfunskjoner" er det du vil nå? Hvis det er noe som oppfører seg som en webserver så kan du jo sette opp en reverse proxy. Det blir jo mye enklere enn en VPN hvor du må ha en client på hver enkelt enhet. Med en reverse proxy kan du nå dine tjenester på navnpåtjeneste.mittdomene.com. Alt du trenger er et domene. Hvis du ikke vil kjøpe et kan du bruke noe gratis som f.eks duckdns. Hvis du ikke har vært borti reverse proxy før kan jeg annbefale Nginx Proxy Manager. Hvis du vil slippe å åpne porter også kan du kombinere reverse proxyen med cloudflare agro tunnel. Eller det heter kansje bare cloudflare tunnel nå. Da skjuler du også ip'en din og er beskyttet av cloudflare.

Edit: kom på en ting. Du kan til og med koble til serveren din remotely over https hvis du reverse proxyer f.eks Guacamole. Kjempenyttig, bare gå til webadressen og logge inn,vips så er du logget på servern hjemme. Trenger ikke teamviewer, anydesk,vpn eller lignende. Sitter du f.eks på jobb der du ikke kan installere ting er jo dette kjempenyttig. Du kan sette opp 2 faktor login også, slik at det er temmelig sikkert at ingen uvedkommende får tilgang. Jeg vil nesten si det er bedre enn VPN, ultra brukervennlig.

Edited by strike_

Share this post


Link to post
10 hours ago, strike_ said:

Det blir jo mye enklere enn en VPN hvor du må ha en client på hver enkelt enhet.

Når du setter opp nat via OpenVPN server og port forwarding gjennom tunellen, så behøver du bare en klient. Den kjører på den serveren som skal "eksponeres mot internett". Når man går inn på OPenVPN tunnelens globale ip så portforwardes man inn til den serverfunksjonen som man ønsker skal være "public på Internett".

Har brukt Cloudflare CDN tidligere, men kjente ikke til "Argo Tunnel".

Har inntrykk av at dette fungerer nokså likt (men ikke helt likt) med den måten som jeg tidligere bruket OpenVPN serveren. Noe dokumentasjon. (Vil forsøke å teste ut denne løsningen.)

https://blog.cloudflare.com/tunnel-for-everyone/

https://developers.cloudflare.com/cloudflare-one/tutorials/single-command

https://developers.cloudflare.com/cloudflare-one/tutorials/share-new-site

Ser veldig interessant ut.

Kjente heller ikke til Guacamole

Dette ser ut til å være en litt annen type funksjonalitet for "remote control" som må kjøre på en internettserver (??!)

Vil forsøke å teste ut denne også.

Mange takk for meget interessante tips!

Edit:

Testet akkurat denne løsning, sånn aller snarest. Ser også ut til å fungere.

https://www.telenor.no/kundeservice/internett/wifi/administrere-ruter-b818/endre-apn/

 

Edited by arne22

Share this post


Link to post
4 hours ago, arne22 said:

Når du setter opp nat via OpenVPN server og port forwarding gjennom tunellen, så behøver du bare en klient. Den kjører på den serveren som skal "eksponeres mot internett". Når man går inn på OPenVPN tunnelens globale ip så portforwardes man inn til den serverfunksjonen som man ønsker skal være "public på Internett".

Nå er det en stund siden jeg har brukt OpenVPN server, men hvis man bruker det så må man jo ha en OpenVPN klient på hver pc/enhet man skal koble til tunellen fra. Det var det jeg mente. Eller er det annen funksjonalitet der også som jeg ikke er klar over? Kan man koble til tunellen uten en klient? Med min løsning slipper du det, alt du trenger er en nettleser. Og man trenger ikke åpne porter engang. Derfor mente jeg det var mye mer brukervennlig enn en VPN hvor man er avhengig av en klient for å koble til tunnelen (slik jeg har brukt OpenVPN server hvertfall). Men mulig jeg ikke er klar over extra funksjonalitet.

4 hours ago, arne22 said:

Kjente heller ikke til Guacamole

Dette ser ut til å være en litt annen type funksjonalitet for "remote control" som må kjøre på en internettserver (??!)

Jepp, det er for remote control ja. Tenkte at hvis det f.eks er en applikasjon på serveren som ikke kan nås over reverse proxy så kan man bare bruke Guacamole til å remote inn og dermed nå tjenesten man ønsker. Alt via nettleseren. Du finner forresten flere tutorials på youtube hvordan du både setter opp både Argo tunnel,reverse proxy og Guacamole.

Share this post


Link to post
15 hours ago, strike_ said:

.. Alt du trenger er et domene ..

Dersom man via sin mobile enhet, kun har tilgang på en "local" ikke-routbar IP adresse, type 192.168.x.y eller 10.100.y.x, hvordan får du kontakt med en reverse proxy på innsiden av denne ?

Share this post


Link to post

Vet ikke helt om jeg skjønner spørsmålet ditt. Mobile enhet, hva vil det si? En mobil eller en laptop? Men jeg går utifra du referer til CGNAT? Isåfall var det der Argo tunnel (nå cloudflare tunnel) kommer inn. Du kan jo f.eks se denne, jeg har en Unraid server derfor linker jeg til denne. Men man kan jo overføre det til hvilken som helst server.

 

Share this post


Link to post
7 hours ago, strike_ said:

Nå er det en stund siden jeg har brukt OpenVPN server, men hvis man bruker det så må man jo ha en OpenVPN klient på hver pc/enhet man skal koble til tunellen fra. Det var det jeg mente. Eller er det annen funksjonalitet der også som jeg ikke er klar over? Kan man koble til tunellen uten en klient?

Jada, det kan man, men det tok timer å sette opp og det var litt plunder.

I utgangspunktet så setter man opp en OpenVPN server og en OpenVPN klient. På OpenVPN klient så kjører man en server funksjon, for eksempel en webserver.

Så setter man opp en portforwarding inn fra OpenVPN server og inn gjennom VPN tunellen og fram til den server funksjonen som kjører inne på OpenVPN klienten. 

Hvis OpenVPN server har ip 123.123.123.123 så kan man "ute på internett" så taste http://123.123.123.123 og komme inn på den webserveren som kjører inne på OpenVPN klienten og bak for eksempel en NAT Router. 

Mener jeg kjørte OpenVPN på Linux server og protokoll/port TCP/443 for å komme forbi/gjennom diverse firewalls og så mener jeg portforwarding ble satt opp vha Netfilter/IPTABLES på OpenVPN serveren. 

Edited by arne22

Share this post


Link to post

Hmm.. Jeg er fortsatt ikke helt med. Du nevner flere ganger OpenVPN klient i innlegget ditt. Hvis jeg tar bort den, hvordan du løser du dette da? Du har en OpenVPN server kjørende, men du har ikke mulighet til å installere en OpenVPN klient på maskinen du skal koble til fra. Hvordan kobler du til OpenVPN serveren da og i tilegg oppnår en kryptert kobling? Portforward og nå en webserver som du nevner er jo grei. Men skjønner bare ikke hvordan du kobler til OpenVPN serveren uten en klient som kan etablere en kryptert tunell. Men det er uansett ikke så viktig det. Funker det for deg så er jo det bra nok det. Men tror jeg holder meg til min løsning, hvertfall hvis det tar timer å sette opp og er plundrete. :)  

Share this post


Link to post
17 hours ago, strike_ said:

Vet ikke helt om jeg skjønner spørsmålet ditt. Mobile enhet, hva vil det si?

Basert på første post fra @arne22 benytter han Ice 4G (mobil router / mobiltelefon?) med dertilhørende APN, som diskutert her.

På mitt Telia abonnement, kunne jeg enkelt velge annen APN for å unngå både local IP og brannmur som sperret for ekstern tilgang, etter APN bytte fikk jeg en global IP hvor alle porter er åpne for ekstern tilgang.

Uten å ha sett hele videoen du linket til. *antar* jeg at du på lokal siden må initiere en tunnel ut mot en "public" server, for så å "piggybacke" på denne tunellen fra "public" til local? Dvs. at du er avhengig av 3. part?

Share this post


Link to post
13 hours ago, strike_ said:

Men skjønner bare ikke hvordan du kobler til OpenVPN serveren uten en klient som kan etablere en kryptert tunell.

Man må ha OpenVPN klient på den webserveren som ligger bak en NAT router og som skal være public tilgjegelig på fra OpenVPN serverens sin globale ip. (Tunellens endepunkt.)

Trafikk fra internett ankommer tunellens endepunkt og forwardes automatisk gjennom den etablerte tunellen og inn til Webserveren som egentlig kan kjøre hvor som helst i verden, for eksempel bak en eller to nat routere.

Man kan også reise rundt om i verden med webserveren og så hele tiden være tilgjegelig fra den samme globale ip'en. (Den som tilhører endepunktet for tunellen.)

3 hours ago, BearCat said:

På mitt Telia abonnement, kunne jeg enkelt velge annen APN for å unngå både local IP og brannmur som sperret for ekstern tilgang, etter APN bytte fikk jeg en global IP hvor alle porter er åpne for ekstern tilgang.

Testet dette nå på Talkmore (Telenor nett) og det ser ut til å fungere helt OK. Er rimelig sikker på at det ikke kan fungere på ICE+ (Her er det mange brukere som har den samme globale IP.)

Ved nærmere ettertanke .. Ice har jo også tilgang til Telia sitt nett. Mulig at det går ann å få til noe hvis man inne bruker Ice+ nettet, men Telia nettet. (Men da har man jo en mye mindre datakvote.) 

Share this post


Link to post
5 hours ago, BearCat said:

unngå både local IP og brannmur som sperret for ekstern tilgang

Carrier Grade NAT (CGNAT), kalles dette.

5 hours ago, BearCat said:

Uten å ha sett hele videoen du linket til. *antar* jeg at du på lokal siden må initiere en tunnel ut mot en "public" server, for så å "piggybacke" på denne tunellen fra "public" til local? Dvs. at du er avhengig av 3. part?

Det er riktig. Du etablerer en tunnel fra serveren til cloudflare sine servere. Så ja du er avhengig av en 3.part. Cloudflare har millioner av brukere og jeg ser ingen problemer med å bruke de som en 3-part. Poenget med det hele er jo at du ikke trenger å forwarde noen porter til serveren din, man trenger ingen setup på den maskinen man skal nå serveren fra. Og ikke minst går alt via cloucflare, din globale Ip (jeg liker heller terminoligen public IP eller offentlig IP på norsk, faktisk første gang på mange år jeg hører ordet global IP), blir skjult. Slik at ingen kan angripe din server direkte. All trafikk går via cloudflare via den kryptrte tunnelen til serveren din.

Åpner du porter til serveren din er du åpen for angipere fra hele verden. De som kjører webservere på egne servere kan jo enkelt se på access loggen sin hvor mange som faktisk prøver å angripe deg og finne svakheter. Det skjer hver dag, hele dagen, 365 dager i året. Med cloudflare kan du også sette opp regler som validerer hver enkelt forespørsel om du vil for enda bedre sikkerhet. 

1 hour ago, arne22 said:

Man må ha OpenVPN klient på den webserveren som ligger bak en NAT router og som skal være public tilgjegelig på fra OpenVPN serverens sin globale ip. (Tunellens endepunkt.)

Det var dette som var spørsmålet mitt over. Kan man koble til OpenVPN serveren uten en klient? Hvorpå du svarte jada, det kan man. Derfor skjønte jeg ikke hvordan du gjorde det, men det kan man da altså ikke sier du nå. Hele poenget med mitt forslag er minimal setup på serveren og ingen setup på andre maskiner annet enn en nettleser, bedre sikkerhet.

Share this post


Link to post
52 minutes ago, strike_ said:

Kan man koble til OpenVPN serveren uten en klient?

Man behøver en server og en klient, så kan de 10.000 andre klientene ute på internett gå inn på serveren "pakke for pakke" og uten VPN klient. Da har man også en mer eller mindre "direkte adgang" til serveren slik at man også har mulighet til å vacke den via tunnellen. Dog barer via de portene som er forwardet gjennom tunellen.

Share this post


Link to post
48 minutes ago, arne22 said:

Man behøver en server og en klient, så kan de 10.000 andre klientene ute på internett gå inn på serveren "pakke for pakke" og uten VPN klient.

Jeg går utifra du mener de kan nå webserveren som du nevnte tidligere? Hvis hvem som helst kan nå OpenVPN serveren din uten en klient så ville jo dette være et mega sikkerhetshull så jeg antar at det ikke er det du mener. Men jeg skal ikke påstå jeg skjønner 100% av hvordan denne løsningen fungerer. Ikke at det er så viktig heller da jeg skjønner såpass at det ikke er noe for meg. :)

Share this post


Link to post
2 hours ago, strike_ said:

OpenVPN serveren

Nei, ingen når OpenVPN serveren direkte. De pakkene som skal sendes til webserver fanges opp av Netfilter modulen i Linux kjernen på host maskinen for OpenVPN server. Netfilter sender så pakkene inn gjennom den krypterte tunellen som så leder fram til webserveren, so kan kjøre bak en NAT router og fra vikårlig IP.

Webserveren som kjører inne på lan kan ha vilkårlige "gjester" eller brukere fra hele internett.

Det er jo en teoretisk sikkerhetsrisiko at "Internett" har tilgang, "pakke for pakke" til den serveren som kjører inne bak NAT routeren. (Men bare for akkurat de portnumrene som er forwardet via Netfilter og gjennom tunellen.)

Ingen andre enn den som skal kjøre klienten behøver å ha tilgang til OpenVPN serveren.

Brukte tidligeren løsning der jeg brukte flere IP på den samme server, slik at jeg kunne kjøre både SSH, OPenVPN og HTTPS på samme portnummer men med forskjellig IP. Da kan man for eksempel bruke SSH på port 443 som eneste åpne inngang, og så kan man åpne andre ipadresser/porter og "source ip" etter behov. Med dette oppsettet så var det 0 hackerforsøk i loggen over ganske lang tid.

Hadde ingen tekniske problemer med denne løsningen. Hadde man latt den interne webserveren stå oppkoblet over tid, så hadde nok det blitt oppdaget, slik at den ville bli angrepet gjennom den ene porten som var åpen. (Er ikke sikker på om mn ville få https til å fungere gjennom en slik tunell. Kan tenke meg at det kanskje ikke ville fungere.)

Brukte i utgangspunktet så mange timer på å få dette til å fungere at jeg ikke tror at det er noe for meg heller. 😀

 

  

Edited by arne22

Share this post


Link to post
On 10/12/2021 at 1:52 PM, strike_ said:

faktisk første gang på mange år jeg hører ordet global IP)

Velkommen til https://www.myglobalip.com/ 🙂

Ikke et helt uvanlig brukt ord, selv i disse dager. Kan godt være at jeg brukte det ubevisst, enten pga. trådstarter brukte det, eller etter mye samarbeid med GlobalConnect de siste årene, hvor de står for den globale og vi for den lokale IP'n i nettene vi setter opp 😉

Edited by BearCat

Share this post


Link to post
2 hours ago, BearCat said:

Ikke et helt uvanlig brukt ord, selv i disse dager.

For 20 år siden så sa man at nå var det like før man gikk vekk fra IPV4 og globale og lokale IP'er og at alle enheter ville være direkte tilkoblet Internett vha IPv6. De eller fleste er imidleritd fortsatt koblet opp mot internett via globale IPv4 adresser og man sier vel noe av det samme: Snart kommer IPv6.

Jeg har ikke lagt så mye arbeide i å opdatere med på IPv6, på grunn av at utviklingen har gått nokså sakte, men noe av det jeg leste nå nylig det var vel at man fortsatt ville beholde løsningen med globale og lokale IP adresser, også ved bruk av IPv6. Kan det stemme?

(Jeg vet ikke sikkert om det er tilfellet, men jeg kan jo tenke meg at dette har noe med sikkerhet å gjøre.) 

Uten ordet "global IP" så kan man i alle fall ikke forklare hvordan dagens Internett fungerer. Det fungerer jo ved hjelp av en "sammenrouted kjede" av "globale IP adresser".

Edited by arne22
  • Like 1

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...