Dzisiaj jest 21 lis 2017, 12:06

Strefa czasowa UTC+1godz. [letni]




Nowy temat Odpowiedz w temacie  [ Posty: 17 ] 
Autor Wiadomość
 Tytuł: Active Port Forwarder - bezpieczne tunelowanie
Post: 17 kwie 2011, 17:38 
Offline
Administrator
Awatar użytkownika

Rejestracja: 10 kwie 2010, 00:28
Posty: 12975
Lokalizacja: Warszawa
Strona projektu: GRAY-WORLD.NET

Na forum często pada pytania - jak dostać się do serwisu czy generalnie routera postawionego zza firewallem, natem, bez publicznego adresu IP. Zasada działania w takich przypadkach jest w sumie zawsze taka sama - musimy znaleźć w internecie host z publicznym adresem IP, uruchamiamy na nim "coś", co pozwoli wszystkie połączenia przekazywać dalej do docelowego hosta. A nasz komputera zza firewallem musi samodzielnie nawiązać połączenie z takim hostem w sieci.

Active Port Forwarder służy właśnie do takiego celu - na komputerze zza firewallem uruchamiamy program który łączy się do innego komputera w internecie. Na tym innym uruchomiony jest program, który pozwala na przekierowanie wszystkich pakietów do schowanego komputera. Sprawdza się to np. przy połączenia komórkowych, przy firewallach gdzie nie ma możliwości otworzenia i przekierowania portu czy zza natem bez publicznego adresu IP.

Na serwerze należy uruchomić cześć "serwerową" projektu, afserver. Plik konfiguracyjny umieszczony może zostać w pliku /etc/afserver.conf; jego domyślna zawartość jest wystarczająca:
cerfile   server-cert.pem
keyfile      server.rsa
log         file,logfile,LOG_T_ALL,LOG_I_CRIT,LOG_I_ERR,LOG_I_WARNING
realm my realm
listenport    50127
manageport    50126

listenport to numer portu na którym serwer nasłuchuje na połączenia przychodzące.
manageport to numer portu do którego część "kliencka" apf musi zostać podłączona.

Uruchomienie to po prostu
# afserver

Na komputerze/routerze zza firewallem uruchamiamy część "kliencką". Plik konfiguracyjny musi zostać umieszczony w /etc/afclient.conf, parametry można także podać z linii poleceń, np.
# afclient -n publiczna_nazwa_hosta_w_sieci -m 50126 -p 80

I teraz: na serwerze z publicznym adresem IP uruchomiony został proces. Na komputerze zza firewallem uruchamiamy klienta, który podłączy się do serwera na port 50126 i wszystko co odbierze przekieruje na swój port 80.

Łącząc się teraz do serwera na port 50127 automatycznie pakiety zostaną przekierowane do ukrytego komputera na port 80.

Mamy wiec zapewniony zdalny dostęp do zasobów komputera czy routera, nawet jeżeli nie mamy adresu publicznego i jest on dobrze zabezpieczony. Wadą takiego rozwiązania jest konieczność znalezienia dostępnego komputera w sieci na którym zostanie uruchomiony proces afp.

Należy pamiętać o odblokowaniu na firewallu serwera portów (w tym przypadku: 50126 oraz 50127). Możliwości pakietu są większe - połączenia klienta do serwera można zabezpieczać hasłem, certyfikatem itd. Polecam zapoznanie się z dokumentacją projektu.

Sam pakiet dla platformy ar71xx można pobrać ode mnie z repo: http://ecco.selfip.net/backfire/packages/

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 17 kwie 2011, 21:07 
Offline
Użytkownik
Awatar użytkownika

Rejestracja: 10 kwie 2010, 22:31
Posty: 225
Lokalizacja: Wrocław
Podziekowal :)
Widze ze dla niektorych moje problemy sa ostatnio natchnieniem :)

_________________
Gdy trwoga to do LOG'a
TP-Link TL-WDR3600 OpenWrt/TP-Link W8970/


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 19 kwie 2011, 18:03 
Offline
Administrator
Awatar użytkownika

Rejestracja: 10 kwie 2010, 00:28
Posty: 12975
Lokalizacja: Warszawa
Soft został dodany także do repo openwrt.

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 4 lut 2012, 14:55 
Offline
Użytkownik

Rejestracja: 4 lut 2012, 14:47
Posty: 2
Witam
Próbuje, próbuje i poległem na serverku z uruchomionym afserver w jego logach przy próbie połączenia przez klienta

SSL_accept has failed (-1): w_read

i połączenie nie zestawione

Proszę o pomoc.


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 4 lut 2012, 15:12 
Offline
Administrator
Awatar użytkownika

Rejestracja: 10 kwie 2010, 00:28
Posty: 12975
Lokalizacja: Warszawa
A próbowałeś zwykłą transmisję, nie ssl?

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 4 lut 2012, 16:42 
Offline
Użytkownik

Rejestracja: 4 lut 2012, 14:47
Posty: 2
w zasadzie ssl jest mi zbędne nie wiem jednak jak go wyłączyć plik konfiguracyjny serwera przerabiałem na chyba wszystkie sposoby teraz jest tak:

realm my realm
listenport 50127
manageport 50126

i nadal lipa.

Ps. Próbowałem na różnych dystrybucjach stawiać serwer począwszy od openwrt na debianie kończąc (ponieważ właśnie tam docelowo ma stać). Próbowałem z pakietów ze źródełek i nic, ciągle to samo.
Po 4 dniach brakuje mi pomysłu.

Jeszcze jedna sprawa bo może to ważne.
Klient łączy się poprzez iPlus na kartę. Do serwera można się z klienta zalogować poprzez -r
a rshow o ssl zwraca
ssl: no, zlib: yes, mode: tcp

Dlatego zastanawiam się czy gdzie indziej nie leży problem. Pomijając fakt o którym pisałem, przy próbie dostania się do klienta na ssh
krzyczy.
ssh_exchange_identification: Connection closed by remote host


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 8 gru 2012, 03:56 
Offline
Użytkownik

Rejestracja: 26 gru 2011, 06:19
Posty: 36
Witam
U mnie problem wygląda następująco -mieszkamy na stancji i właściciel mieszkania udostępnia nam internet, niestety z zablokowanymi portami. Konfiguracja wygląda następująco:
Obrazek

Nie ma możliwości podciągnięcia naszego własnego internetu bo właściciel się nie zgadza, więc musimy sobie jakoś poradzić. Czy w związku z tym powyższa metoda się sprawdzi? Co powinienem ustawić jako klient a co jako serwer? Mam dostęp do komputera który znajduje się w zupełnie innym miejscu i ma stały dostęp do sieci więc mógłbym go użyć jako "przekaźnika" portów, tylko jak ustawić aby cały ruch był tunelowany z mojego openwrt przez zewnętrzną maszynę na świat? czy to w ogóle możliwe?

Pozdrawiam


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 8 gru 2012, 08:14 
Offline
Administrator
Awatar użytkownika

Rejestracja: 10 kwie 2010, 00:28
Posty: 12975
Lokalizacja: Warszawa
Zadałeś dość ogólne pytanie. Skoro jesteś za firewallem to po prostu od siebie musisz tunel zainicjować. A czy to będzie APF czy coś inne - wszystko jedno, po prostu wykorzystaj jedną z dostępnych metod tunelowania.

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 13 sty 2014, 00:04 
Offline
Użytkownik

Rejestracja: 13 sty 2014, 00:01
Posty: 3
Dzień dobry,

Mam jedno pytanie - jak zrobić forward wielu portów? Na stronie jest napisane:

Since version 0.8  it's  possible  to  transfer  multiple  tunnels  in  the  one
afclient <-> afserver connection.

On the afserver we have to specify multiple listen ports with  the  same  manage
port.

When we set several '-p' options on the afclient, the new user connections  will
be distributed according  to  the  sequence  of  the  options,  i.e.   new  user
connecting to the second UsrCli pair  (with  the  same  manage  ports)  will  be
transferred to the destination pointed by the second '-p' option.


Niestety, nie umiem sobie z tym poradzić. Dla jednego portu wszystko działa jak należy.

Proszę o pomoc.


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 13 sty 2014, 07:43 
Offline
Administrator
Awatar użytkownika

Rejestracja: 10 kwie 2010, 00:28
Posty: 12975
Lokalizacja: Warszawa
-p 80 -p 81 -p 82 wg tego opisu.

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 13 sty 2014, 09:43 
Offline
Użytkownik

Rejestracja: 13 sty 2014, 00:01
Posty: 3
obsy pisze:
-p 80 -p 81 -p 82 wg tego opisu.


ale muszę ustawić także serwer wg opisu

Cytuj:
On the afserver we have to specify multiple listen ports with the same manage
port.


afserver niestety nie daje się ustawić z parametrami np. -l 80 -l 81 -l 82 (-l to listen port, wg opisu).

proszę o dalsze sugestie.


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 13 sty 2014, 09:50 
Offline
Administrator
Awatar użytkownika

Rejestracja: 10 kwie 2010, 00:28
Posty: 12975
Lokalizacja: Warszawa
Nie za wiele jest tego w helpie, ale wynika że wiele listenport można ustawić. Sprawdź.

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 13 sty 2014, 10:16 
Offline
Użytkownik

Rejestracja: 13 sty 2014, 00:01
Posty: 3
Sprawdzałem:

afserver -l 50127 -l 50128


albo:

afserver -l 50127-50128


Albo uruchamia się nasłuchiwanie wyłącznie na jednym poracie, albo - w drugim przykładzie - serwer nie uruchamia się w ogóle.

Jak sobie z tym poradzić? Jeden port działa bez problemu żadnego (sprawdzałem port 22, później 80). Ale razem ich odpalić nie mogę....


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 1 gru 2016, 14:35 
Offline
Użytkownik

Rejestracja: 6 lis 2012, 20:40
Posty: 10
Potrzebuję odpalić to APF na CHAOS CALMER (15.05.1) @ MR3420.


Czy ten stary pakiet ruszy na tym Openwrt?. Czy jest może dostępna jakaś nowa wersja ?.


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 1 gru 2016, 14:44 
Offline
Administrator
Awatar użytkownika

Rejestracja: 10 kwie 2010, 00:28
Posty: 12975
Lokalizacja: Warszawa
Powinien jeszcze ruszyć.

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 6 gru 2016, 01:29 
Offline
Użytkownik

Rejestracja: 6 lis 2012, 20:40
Posty: 10
obsy pisze:
Powinien jeszcze ruszyć.


A czy mógłbyś podać mi linka gdzie ten pakiet teraz się znajduje ?.


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
 Tytuł: Re: Active Port Forwarder - bezpieczne tunelowanie
Post: 6 gru 2016, 07:45 
Offline
Administrator
Awatar użytkownika

Rejestracja: 10 kwie 2010, 00:28
Posty: 12975
Lokalizacja: Warszawa
W repozytoriach BB: http://downloads.openwrt.org/barrier_br ... dpackages/

_________________
http://eko.one.pl - prawie wszystko o OpenWrt


Na górę
 Wyświetl profil  
Odpowiedz z cytatem  
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 17 ] 

Strefa czasowa UTC+1godz. [letni]


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów

Szukaj:
Przejdź do:  
designed by digi-led.pl
...Copyright © 2010-2013, Ekipa openrouter.info