Comments 31
Только для Linux или поддерживаются и другие ОС?
Есть еще один метод — Hole Punching (в частности — UDP Hole Punching). Преимущество его в том, что трафик не гоняется через третьи сервера, а идет наиболее коротким путем. Сейчас нет сил писать подробную статью про это дело, поэтому я просто оставлю здесь некоторые ссылки. Если читателям хабра тема покажется интересной, но не раскрытой, то в будущем и полноценную статью оформлю.
Раз: en.wikipedia.org/wiki/UDP_hole_punching
Два: campagnol.sourceforge.net/
Раз: en.wikipedia.org/wiki/UDP_hole_punching
Два: campagnol.sourceforge.net/
три: samy.pl/pwnat/ (мощная штука)
В случае teredo-клиентов с обоих сторон трафик как раз идёт напрямую. Под капотом как раз hole punching, но установка-настройка-подключение проще.
Четыре: Hamachi (так же использует UDP hole punching).
Спасибо, не знал про такое.
А полную статью, где расписано, как и что настраивать было бы интересно почитать.
А полную статью, где расписано, как и что настраивать было бы интересно почитать.
А чем переадресация портов на роуторе не подходит? Я просто в последнее время много разных предложений читаю по данному вопросу, но все никак не могу понять, чем они лучше переадресации…
А если нет доступа к роутеру? Или в роутере нет такой фичи? И данный метод универсален и быстр.
А если у провайдера нат?
Провайдеры обычно не дают доступа к своим роутерам :)
не всегда имеется возможность пробрасывать порты (NAT может пренадлежать провайдеру, использоватся в офисе, в т.ч. в гостевом, и т.п.)
Автор забыл один довольно существенный момент, упоминая Hurricane Electric: HE работает поверх ipv6ip туннелирования (протокол 41), потому через NAT/PAT он действовать не может в принципе. Но автор задействовал не HE, а Freenet6, способный работать и поверх UDP/TCP, так что такая схема действительно будет работать. С одним недостатком — на роутере такой туннель терминировать не удастся (хотя не исключаю, что кому-то удалось прикрутить клиент к хомячковым роутерам).
Ну и недостаток американских туннельных брокеров: трафик из России в Россию ходит через США. Вот пинг первого хопа:
#ping 2001:470:1F0A:3B5::1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:470:1F0A:3B5::1, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/50/60 ms
Ну и недостаток американских туннельных брокеров: трафик из России в Россию ходит через США. Вот пинг первого хопа:
#ping 2001:470:1F0A:3B5::1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:470:1F0A:3B5::1, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/50/60 ms
Хомячковые роутеры в лучшем случае 6rd поддерживают, и с ним тоже без поддержки у ISP никак. Но с dd-wrt и прочими альтернативными прошивками возможны варианты.
«Хомячковые роутеры» как раз приводились как пример железок, к которым народные умельцы что угодно могут прикрутить вплоть до кофеварки…
Сильно удивлюсь, если какой-нибудь dd-wrt не держит вполне себе стандартный ipv6ip. Ну а любые более приличные роутеры прямо-таки обязаны с ним дружить.
Про 6rd впервые слышу, почитал, не понял, какая там требуется поддержка от CE помимо базового знания про IPv6…
Сильно удивлюсь, если какой-нибудь dd-wrt не держит вполне себе стандартный ipv6ip. Ну а любые более приличные роутеры прямо-таки обязаны с ним дружить.
Про 6rd впервые слышу, почитал, не понял, какая там требуется поддержка от CE помимо базового знания про IPv6…
Я так торренты пробовал раздавать через IPv6 (в обход NAT), правда, подключенных пиров очень мало.
rutracker.org/forum/viewtopic.php?t=1963378
rutracker.org/forum/viewtopic.php?t=1963378
1. если нет уже своего VPS, покупаем новый — например, на www.buildyourvps.com/ минимальная конфигурация стоит около $35 в год.
2. компьютер за натом устанавливает SSH соединения на ваш VPS, и при этом пробрасывает туннель с порта, например, 2101 на VPS на свой порт 22
3. направив ssh-клиента на VPS порт 2101, вы приземляетесь на тот компьютер, который за натом.
вот тут я описал в подробностях, так как использую это в работе.
2. компьютер за натом устанавливает SSH соединения на ваш VPS, и при этом пробрасывает туннель с порта, например, 2101 на VPS на свой порт 22
3. направив ssh-клиента на VPS порт 2101, вы приземляетесь на тот компьютер, который за натом.
вот тут я описал в подробностях, так как использую это в работе.
Если использовать VPS — то, как мне кажется, лучше для тунелей OpenVPN использовать, а не ssh.
у исходящего трафика ssh, как правило, меньше препятствий через корпоративные фаерволлы :)
Ничто не мешает пустить OpenVPN по тому же 22-му порту.
У меня правда на 443-м…
У меня правда на 443-м…
можно, но это требует нестандартных манипуляций на сервере. У меня VPS в стандартной конфигурации, со стандартным ssh демоном. Опять же, 443-й порт тоже занят обычной своей работой :)
вот тут я расписал в деталях на хабре habrahabr.ru/post/147347/
Спасибо за ещё один способ, но чуда не произошло: если оба компьютера за натом, то нужен третий.
Я пользуюсь другим способом — отдельная машинка с рельным IP, на нее ssh з реверсивным ssh-тунелем, с другой машынки за NAT — прямой тунель
Мне больше всего метод 6to4 пока нравится.
Из плюсов — низкий пинг до ближайшего anycast-гейта — 192.88.99.1
Из минусов — нужно поднимать на машине с белым ip или хотя бы DMZ.
В dd-wrt можно настроить.
Из плюсов — низкий пинг до ближайшего anycast-гейта — 192.88.99.1
Из минусов — нужно поднимать на машине с белым ip или хотя бы DMZ.
В dd-wrt можно настроить.
Интересно ведь узнать, возможен ли туннель, в случае если кроме NAT используется еще и прокси-сервер?
Sign up to leave a comment.
Если оба компьютера за натом