openrouter.info
http://openrouter.info/forum/

Active Port Forwarder - bezpieczne tunelowanie
http://openrouter.info/forum/viewtopic.php?f=30&t=800
Strona 1 z 1

Autor:  obsy [ 17 kwie 2011, 17:38 ]
Tytuł:  Active Port Forwarder - bezpieczne tunelowanie

Strona projektu: GRAY-WORLD.NET

Na forum często pada pytania - jak dostać się do serwisu czy generalnie routera postawionego zza firewallem, natem, bez publicznego adresu IP. Zasada działania w takich przypadkach jest w sumie zawsze taka sama - musimy znaleźć w internecie host z publicznym adresem IP, uruchamiamy na nim "coś", co pozwoli wszystkie połączenia przekazywać dalej do docelowego hosta. A nasz komputera zza firewallem musi samodzielnie nawiązać połączenie z takim hostem w sieci.

Active Port Forwarder służy właśnie do takiego celu - na komputerze zza firewallem uruchamiamy program który łączy się do innego komputera w internecie. Na tym innym uruchomiony jest program, który pozwala na przekierowanie wszystkich pakietów do schowanego komputera. Sprawdza się to np. przy połączenia komórkowych, przy firewallach gdzie nie ma możliwości otworzenia i przekierowania portu czy zza natem bez publicznego adresu IP.

Na serwerze należy uruchomić cześć "serwerową" projektu, afserver. Plik konfiguracyjny umieszczony może zostać w pliku /etc/afserver.conf; jego domyślna zawartość jest wystarczająca:
cerfile   server-cert.pem
keyfile      server.rsa
log         file,logfile,LOG_T_ALL,LOG_I_CRIT,LOG_I_ERR,LOG_I_WARNING
realm my realm
listenport    50127
manageport    50126

listenport to numer portu na którym serwer nasłuchuje na połączenia przychodzące.
manageport to numer portu do którego część "kliencka" apf musi zostać podłączona.

Uruchomienie to po prostu
# afserver

Na komputerze/routerze zza firewallem uruchamiamy część "kliencką". Plik konfiguracyjny musi zostać umieszczony w /etc/afclient.conf, parametry można także podać z linii poleceń, np.
# afclient -n publiczna_nazwa_hosta_w_sieci -m 50126 -p 80

I teraz: na serwerze z publicznym adresem IP uruchomiony został proces. Na komputerze zza firewallem uruchamiamy klienta, który podłączy się do serwera na port 50126 i wszystko co odbierze przekieruje na swój port 80.

Łącząc się teraz do serwera na port 50127 automatycznie pakiety zostaną przekierowane do ukrytego komputera na port 80.

Mamy wiec zapewniony zdalny dostęp do zasobów komputera czy routera, nawet jeżeli nie mamy adresu publicznego i jest on dobrze zabezpieczony. Wadą takiego rozwiązania jest konieczność znalezienia dostępnego komputera w sieci na którym zostanie uruchomiony proces afp.

Należy pamiętać o odblokowaniu na firewallu serwera portów (w tym przypadku: 50126 oraz 50127). Możliwości pakietu są większe - połączenia klienta do serwera można zabezpieczać hasłem, certyfikatem itd. Polecam zapoznanie się z dokumentacją projektu.

Sam pakiet dla platformy ar71xx można pobrać ode mnie z repo: http://ecco.selfip.net/backfire/packages/

Autor:  bander [ 17 kwie 2011, 21:07 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

Podziekowal :)
Widze ze dla niektorych moje problemy sa ostatnio natchnieniem :)

Autor:  obsy [ 19 kwie 2011, 18:03 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

Soft został dodany także do repo openwrt.

Autor:  rekin [ 4 lut 2012, 14:55 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

Witam
Próbuje, próbuje i poległem na serverku z uruchomionym afserver w jego logach przy próbie połączenia przez klienta

SSL_accept has failed (-1): w_read

i połączenie nie zestawione

Proszę o pomoc.

Autor:  obsy [ 4 lut 2012, 15:12 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

A próbowałeś zwykłą transmisję, nie ssl?

Autor:  rekin [ 4 lut 2012, 16:42 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

w zasadzie ssl jest mi zbędne nie wiem jednak jak go wyłączyć plik konfiguracyjny serwera przerabiałem na chyba wszystkie sposoby teraz jest tak:

realm my realm
listenport 50127
manageport 50126

i nadal lipa.

Ps. Próbowałem na różnych dystrybucjach stawiać serwer począwszy od openwrt na debianie kończąc (ponieważ właśnie tam docelowo ma stać). Próbowałem z pakietów ze źródełek i nic, ciągle to samo.
Po 4 dniach brakuje mi pomysłu.

Jeszcze jedna sprawa bo może to ważne.
Klient łączy się poprzez iPlus na kartę. Do serwera można się z klienta zalogować poprzez -r
a rshow o ssl zwraca
ssl: no, zlib: yes, mode: tcp

Dlatego zastanawiam się czy gdzie indziej nie leży problem. Pomijając fakt o którym pisałem, przy próbie dostania się do klienta na ssh
krzyczy.
ssh_exchange_identification: Connection closed by remote host

Autor:  azumi [ 8 gru 2012, 03:56 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

Witam
U mnie problem wygląda następująco -mieszkamy na stancji i właściciel mieszkania udostępnia nam internet, niestety z zablokowanymi portami. Konfiguracja wygląda następująco:
Obrazek

Nie ma możliwości podciągnięcia naszego własnego internetu bo właściciel się nie zgadza, więc musimy sobie jakoś poradzić. Czy w związku z tym powyższa metoda się sprawdzi? Co powinienem ustawić jako klient a co jako serwer? Mam dostęp do komputera który znajduje się w zupełnie innym miejscu i ma stały dostęp do sieci więc mógłbym go użyć jako "przekaźnika" portów, tylko jak ustawić aby cały ruch był tunelowany z mojego openwrt przez zewnętrzną maszynę na świat? czy to w ogóle możliwe?

Pozdrawiam

Autor:  obsy [ 8 gru 2012, 08:14 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

Zadałeś dość ogólne pytanie. Skoro jesteś za firewallem to po prostu od siebie musisz tunel zainicjować. A czy to będzie APF czy coś inne - wszystko jedno, po prostu wykorzystaj jedną z dostępnych metod tunelowania.

Autor:  sdsi [ 13 sty 2014, 00:04 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

Dzień dobry,

Mam jedno pytanie - jak zrobić forward wielu portów? Na stronie jest napisane:

Since version 0.8  it's  possible  to  transfer  multiple  tunnels  in  the  one
afclient <-> afserver connection.

On the afserver we have to specify multiple listen ports with  the  same  manage
port.

When we set several '-p' options on the afclient, the new user connections  will
be distributed according  to  the  sequence  of  the  options,  i.e.   new  user
connecting to the second UsrCli pair  (with  the  same  manage  ports)  will  be
transferred to the destination pointed by the second '-p' option.


Niestety, nie umiem sobie z tym poradzić. Dla jednego portu wszystko działa jak należy.

Proszę o pomoc.

Autor:  obsy [ 13 sty 2014, 07:43 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

-p 80 -p 81 -p 82 wg tego opisu.

Autor:  sdsi [ 13 sty 2014, 09:43 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

obsy pisze:
-p 80 -p 81 -p 82 wg tego opisu.


ale muszę ustawić także serwer wg opisu

Cytuj:
On the afserver we have to specify multiple listen ports with the same manage
port.


afserver niestety nie daje się ustawić z parametrami np. -l 80 -l 81 -l 82 (-l to listen port, wg opisu).

proszę o dalsze sugestie.

Autor:  obsy [ 13 sty 2014, 09:50 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

Nie za wiele jest tego w helpie, ale wynika że wiele listenport można ustawić. Sprawdź.

Autor:  sdsi [ 13 sty 2014, 10:16 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

Sprawdzałem:

afserver -l 50127 -l 50128


albo:

afserver -l 50127-50128


Albo uruchamia się nasłuchiwanie wyłącznie na jednym poracie, albo - w drugim przykładzie - serwer nie uruchamia się w ogóle.

Jak sobie z tym poradzić? Jeden port działa bez problemu żadnego (sprawdzałem port 22, później 80). Ale razem ich odpalić nie mogę....

Autor:  Camis [ 1 gru 2016, 14:35 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

Potrzebuję odpalić to APF na CHAOS CALMER (15.05.1) @ MR3420.


Czy ten stary pakiet ruszy na tym Openwrt?. Czy jest może dostępna jakaś nowa wersja ?.

Autor:  obsy [ 1 gru 2016, 14:44 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

Powinien jeszcze ruszyć.

Autor:  Camis [ 6 gru 2016, 01:29 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

obsy pisze:
Powinien jeszcze ruszyć.


A czy mógłbyś podać mi linka gdzie ten pakiet teraz się znajduje ?.

Autor:  obsy [ 6 gru 2016, 07:45 ]
Tytuł:  Re: Active Port Forwarder - bezpieczne tunelowanie

W repozytoriach BB: http://downloads.openwrt.org/barrier_br ... dpackages/

Strona 1 z 1 Strefa czasowa UTC+1godz. [letni]
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/