[請教] OpenVPN 能否做到…… [論壇 - 伺服器架設]


正在瀏覽:   1 名遊客


 到底部   前一個主題   下一個主題  [無發表權] 請登錄或者註冊



[請教] OpenVPN 能否做到……
會員三級
註冊日期:
2008/12/10 7:19
來自 好像有兩千三百萬人的島
所屬群組:
已註冊使用者
等級: 15
HP : 0 / 368
MP : 94 / 10343
EXP: 73
離線
也許是越常識性的問題越難查,怎麼都查不到 囧rz
向各位有經驗者求教。



想解決的問題:

我想從不特定外部位址,來存取公司內網中不特定的任意資源,如同我人就在內網中。

但在這同時,我 不 希望麻煩公司網管替我設置路由器 / 在 nat 上打洞。我的目標是他們完全不用知道我在處理這種問題,靠我一個人就搞定全部。(但也不需要刻意隱藏流量,著眼點是不騷擾到同事)

這有可能嗎?



我能投入的資源有:

1. 公司內網中的某台機器(如一台自費的樹莓派),以及一個被公司路由器隨機分配的內網 IP(IP 可能不時改變)。
2. 一個具有公網 IP 的獨立服務器(如果有必要的話)



其他相關:

1. 並不能變動公司任何現有的基礎建設,如 router 的設定值。
2. 前述由我個人管理的機器(包括 Client 機)全是 Linux,不會有其他作業系統。



個人之前也組合使用過 ssh 正 / 反向 port forwarding 搭配跳板解決類似問題,但這種方法只能預先提供某些特定的 port 連線,如 ssh port。每次想要連接新服務就要先通過跳板 ssh 連進去再開新 port,非常麻煩。

我想,如果要認真搞定這問題,可能需要自行建立 VPN 服務,於是就在搜索如 OpenVPN 之類的資料?但個人對這塊完全陌生。搜網路只找到成堆指令,但難見觀念與適用範圍的說明。無法確定下面問題:

1. openvpn 軟體有分伺服器與客戶端兩種嗎?
2. openvpn 服務端(指被連線端)程式是要裝在 router 上?還是說可以裝在內網的機器上?
3. 如果前項問題的答案是後者,需要一台具有公網 IP 的外部機器(跳板機)進行橋接嗎?



無法確定研究方向是否有根本錯誤,又或是我的需求其實是不可能達成的?希望能在正式跳坑——看起來相當繁瑣——前先確認一下是否跑偏了。



問題不急,但盼望解答。
感謝關注囉。



PS: 當然,也歡迎任何其他更優的替代方案。希望是 Freedom 的就好。

2/1 12:20:47
「這社會上最讓人傷腦筋的事,恐怕是智者總在懷疑自己,而笨蛋們對自己卻從不懷疑。」
                    (伯特蘭‧羅素 1872年5月18日-1970年2月2日)
應用擴展 工具箱
回覆: [請教] OpenVPN 能否做到……
會員三級
註冊日期:
2016/4/18 12:29
所屬群組:
已註冊使用者
等級: 9
HP : 0 / 206
MP : 35 / 1357
EXP: 25
離線
我想從不特定外部位址,來存取公司內網中不特定的任意資源,如同我人就在內網中

抱歉沒看清楚,刪掉之前訊息,當我沒說...冏rz

2/1 14:20:32
應用擴展 工具箱
回覆: [請教] OpenVPN 能否做到……
會員三級
註冊日期:
2008/12/10 7:19
來自 好像有兩千三百萬人的島
所屬群組:
已註冊使用者
等級: 15
HP : 0 / 368
MP : 94 / 10343
EXP: 73
離線
XD 回文有點太快,我也修改一下。總之感謝分享想法。

這邊沒有對網管藏起連線的必要,不用擔心。現狀反而是沒人知道當初 router 怎麼設定、密碼為何、現在是誰在管……不是網管管太嚴,而是沒網管沒文件無人負責也無人可問,弄壞了就完蛋的狀態。

請當作所有基礎建設都不能碰,也沒人能回應任何問題就可以了。

2/1 19:02:10
「這社會上最讓人傷腦筋的事,恐怕是智者總在懷疑自己,而笨蛋們對自己卻從不懷疑。」
                    (伯特蘭‧羅素 1872年5月18日-1970年2月2日)
應用擴展 工具箱
回覆: [請教] OpenVPN 能否做到……
會員四級
註冊日期:
2010/8/12 15:54
所屬群組:
已註冊使用者
等級: 18
HP : 0 / 442
MP : 134 / 10249
EXP: 68
離線
1. Openvpn 程式本身沒分server端及client端,看設定檔怎麼設

2. Server 要裝在client 連得到的設備上,client是不特定的public ip 的話,server 就得有一個public ip

3. 那個不叫橋接,不過是需要一個外部ip

2/1 19:11:12
應用擴展 工具箱
回覆: [請教] OpenVPN 能否做到……
會員三級
註冊日期:
2008/12/10 7:19
來自 好像有兩千三百萬人的島
所屬群組:
已註冊使用者
等級: 15
HP : 0 / 368
MP : 94 / 10343
EXP: 73
離線
多謝!很多啟發,非常有用。

2/1 20:14:49
「這社會上最讓人傷腦筋的事,恐怕是智者總在懷疑自己,而笨蛋們對自己卻從不懷疑。」
                    (伯特蘭‧羅素 1872年5月18日-1970年2月2日)
應用擴展 工具箱
回覆: [請教] OpenVPN 能否做到……
會員三級
註冊日期:
2008/12/10 7:19
來自 好像有兩千三百萬人的島
所屬群組:
已註冊使用者
等級: 15
HP : 0 / 368
MP : 94 / 10343
EXP: 73
離線

2/9 18:14:06
「這社會上最讓人傷腦筋的事,恐怕是智者總在懷疑自己,而笨蛋們對自己卻從不懷疑。」
                    (伯特蘭‧羅素 1872年5月18日-1970年2月2日)
應用擴展 工具箱
回覆: [請教] OpenVPN 能否做到……
版主
註冊日期:
2008/7/14 0:03
來自 螢幕的另一端
所屬群組:
網站管理員
已註冊使用者
討論區管理群
等級: 32
HP : 0 / 797
MP : 495 / 23349
EXP: 91
離線
哈~ 你的需求不用另外架openVPN,用ssh就可以完全搞定了!
因為 ssh 也是 vpn 的一種。

ssh 好用的地方太多了,只是你不熟,所以覺得它不好用。
windows 之前都沒有內建 ssh 後來 win10 內建了,但它的 ssh 有點跛腳。

不多廢話了,你的需求就是 ssh tunnel 就可搞定了,我就是這樣用的。

你可參考我的筆記,看ssh tunnel 那部份,使用 socks5 設定
http://note.zn2.us/ssh.htm
部份內容來源也是本站....

需求:你在公司的server(就叫跳板1好了)最好要有public IP.....(也許nat後面的也可以沒試過)

你在公司內的網段若有很多的話(如:30個網段),那你的跳板1本身就要能連這些網段。
若跳板1本身只能連少數幾個網段,那你就再增加跳板2、3好了。

你在外面的client可以是浮動IP,但你連公司server最好用 key login 不要用密碼,安全性才有保障。
你先看我的筆記試試看吧,有問題再提出來討論。

我的用法很簡便:
1.設定好 ~/.ssh/config 此檔的連線方式
2.ssh -ND 1234 server1
3.firefox 裡設定 proxy socks 主機 127.0.0.1:1234
這樣就可連公司內網其它機器了,很方便的,不用另外架openVPN


~/.ssh/config 此設定檔,很多程式、指令都可直接調用,如 rsync , scp ....

還有 caja or nautilus 可直接輸入 sftp://server1/root/ 這樣的格式就能直接存取另一台 linux 上面的目錄

2/12 18:20:23
應用擴展 工具箱
回覆: [請教] OpenVPN 能否做到……
會員三級
註冊日期:
2008/12/10 7:19
來自 好像有兩千三百萬人的島
所屬群組:
已註冊使用者
等級: 15
HP : 0 / 368
MP : 94 / 10343
EXP: 73
離線
還沒親手試,不過看懂了。太棒了!也就是說把 socks5 與 ssh 通道合併起來吧。很有意思,從沒往這方向想過。ssh 選項也太多了吧(稱讚的意思)。

socks5 貌似無法導穿所有流量,只限於 TCP 和 UDP,比方說 icmp (ping) 封包就穿不過去的樣子。不過雖非完美方案,但這下大部份應用多半都有解了,又簡單易用。

再來就是研究 tsocks 與 proxychains 來嘗試導流各種各樣的東西,不過這兩個都無法導流 UDP 流量。這方面雖然暫無急用,有好物也請留言推薦一下。

感謝囉。讚啦。

3/4 9:38:17
「這社會上最讓人傷腦筋的事,恐怕是智者總在懷疑自己,而笨蛋們對自己卻從不懷疑。」
                    (伯特蘭‧羅素 1872年5月18日-1970年2月2日)
應用擴展 工具箱


 [無發表權] 請登錄或者註冊


可以查看帖子.
不可發帖.
不可回覆.
不可編輯自己的帖子.
不可刪除自己的帖子.
不可發起投票調查.
不可在投票調查中投票.
不可上傳附件.
不可不經審核直接發帖.