VPN klient - Proxy server

[bebeno28]

Zdravím Dámy / Páni.

Chcel by som Vás poprosiť o radu.
Ak je moja predstava zlá tak ma opravte.
Mám vlastnú VPN siet kde všetci VPN klienti sú na Slovenksu.
Budem mať ale jedného nového v CZ. Preto ma napadlo že by sa dalo pre osobné účely využiť ceskú IP na spojazdneni proxy serveru ked chcem pozerať niečo je je blokované iba na CZ aj zo Slovneska.
VPN klient bude spojazdnený na routery s Fresh Tomato firmwarem.

Moja predstava je že na tomto routery by som cez IP tables spojazdnil redirect do internetu požiadaviek ktoré by na neho prišli cez nejaký port. Tá česká IP nebude verejná preto takto rozmýšlam.
čiže na Počítači na Slovensku by som v prehliadači nastavil ako proxy server ip adresu tohot routera ktorú má ako VPN klient a ten by potom celý trafffic len preposlal do internetu.
No ak je to takto možné tak potrebujem poradiť s iptables pravidlami ako to napísať.
Dúfam že som to dobre popísal aby st ema pochopili.

Ďakujem

[dudoo]

Mám dojem, že Vaša požiadavka nie je až tak dobre postavená na to, aby sa na ňu našla okamžitá odpoveď. Ja osobne som nepochopil prečo VPN a Proxy kvôli CZ dynamickej IP adrese? Akou metodikou viete, že "klient z CZ" dostal inú IP?
Hovorím len za seba - prečo neskúsiť radšej nejaké Linux fórum ohľadom IPtables?

[bebeno28]

Duddo ďakujem za reakciu.

Ano uznávam moj popis požiadavky je napísaný dosť chaoticky.

Skúsim to teda ešte raz a zrozumitelnejšie.

Mám VPN siet kde VPN server je na SLovensku. Na server sa pripájajú klienti ktorý sú všetci zo Slovenska a nastavený sú tak že osobne ako sdministrátor sa dokážem pripojiť na každého klienta a do jeho lokálnej siete ked sa nachádzam v mieste serveru. Každý klient je linuxový wifi router s firmware Frest Tomato.

Jeden klient sa bude nachádzať v čechách. Ak by v mieste inštalácie bola verejná IP adresa tak všetko by bolo ok. Spustil by som v tomto mieste ( v CZ ) další VPN server na ktoro by som nastavil internet trafic redirect a ak by som sa pripojil na neho zo Slovenska tak by som sa tváril v sieti internet že sa nachádzam v CZ.
Táto funkcia je dostupná cez web rozhranie ( vid foto v prílohe ) .
Ja ale potrebujem spraviť presný opak a to preto lebo na CZ neni verejná IP, čiže tam nedokážem spustit VPN server ale dokážem sa z CZ pripojiť na Slovenský server ako klient.

Klient bude mať ip adresu CZ.
Preto premýšlam ako spraviť to, že ked by som zo slovenska z nejakého počítača poslal dotaz na nejakú internotvú stránku celý traffic by išiel najskor cez VPN tunel na českého klienta a ten by to preposlal do siete internet. Tímto by sa pre internet tváril ako že sa nachádzam v CZ.
Ak dobre chápem problematiku internetu a ako fungujú proxy servery, tak by to bolo niečo ako proxy server čo by bolo na strane CZ klienta a preposielalo celý traffic.

Ak sa mýlim tak ma prosím opravte.

Ďakujem za ochotu a rady.

[budvar10]

Je v tom nejaký chaos. Nerozumiem, čo chceš vlastne docieliť. Prečo ďalší VPN server v CZ? Veď ak je SK prístupový bod dostupný na verejnej sieti, tak asi na celom svete, aj v CZ. Je predsa jedno, kde sa klient nachádza. Ak je pripojený do tvojej VPN, ako keby bol lokálne na SK. O to ide, či nie?

[bebeno28]

Sorry páni, asi to píšem fakt moc komplikovane kedže ma nechápete.

V jednoduchosti povedané, chcem mať na SK IP adresu ako keby som bol v CZ a to preto aby som mal prístup k veciam ktoré sú blokované mimo územia CZ. Dúfam že to už je zrozumitelné.

Na to chcem využiť nejak VPN klienta v CZ.
V CZ nedokážem spraviť další server pretože tem neni možnosť verejnej IP.
To som len poznamenal , že tak by sa to dalo spraviť ale je to pre mna nereálne. Tým som to asi ešte viacej zamotal.

Už ma chápete prosím ?

Ďakujem

[Andy99]

Už to tu bolo povedané, ale stále to nedáva zmysel. Spýtam sa teda inak... ten server, čo máš na SVK má nastavené routovanie ISP v lokálnej sieti? Teda ak sa pripojí nejaký klient používa ISP toho servera? Ak áno, problém je vyriešený. Ak nie, skús tam pridať jedno pravidlo:

Kód: Vybrať všetko

iptables -t nat -I POSTROUTING -s <YOURLOCALNETWORK> -o <YOURWANIF> -j Masquerade

Následne sa môžeš pripojiť aj Kuala Lumpur a IP bude použitá zo serveru.

[pocitujlasku]

ved to napisal dost jasne, on ma urobeny spoj cez vpn cz-sk. a chce si urobit sukromny exit node na tom ceskom routri.
s ip tables neporadim, ale ano, ak na tom ceskom rozbehas proxy server, a ten si zadas u seba, tak by ti mal presmerovat traffic na ten proxy (resp. len tie programy, kde im nastavis proxy.
cisto teoreticky by dalsie nastavovacky nemuseli byt, lebo za proxy by sa uz mal riadit pravidlami, ako keby si bol na vpn, resp. lokalnej sieti.

[bebeno28]

Andy99 - nie kazdy klient pouziva na internet svoje ISP. Vpn spojenie sluzi iba na zdielanie dat ktore su na servery.

pocitujlasku - dakujem za potvrdenie ze to bolo napisane zrozumitelne

Myslim si ze pridabim nejakych pravidiel do iptables na ceskom routery by som mohol docielit toho aby som z SK vedel pristupovat na internet ako keby som bol v CZ, cize by sa zariadenie tvarilo ako keby bolo fizycky v CZ.

Andy99 vedel by si poradit s iptables rules ?

Dakujem

[pocitujlasku]

mozno blbost, ale ak v cz mas cez vpn iba nejake adresy, a nie cely traffic, tak skus u seba nastavit branu ten cesky router. (asi jeho vpn adresu).

[Daevid]

Cez ten VPN server smeruješ iba privátnu sieť alebo cez server smeruješ aj internetový trafic z každého VPN klienta?

[Tms]

Tiež by som šiel cestou gateway na klienta CZ. U neho nastaviť pravidla a mohlo by to ísť.

[bebeno28]

Daevid - cez VPN smerujem iba privatnu siet server klient.
Kazdy klient vyuziva na internet traffic svoj ISP.


Dakujem

[Daevid]

Spraviť by sa to dalo ale možno si si odkusol priveľké sústo. Neporadím konkrétne, pretože ten router os mi nič nehovorí ale napadajú ma dve riešenia:

1. Jednoduchšie - Nainštalovať na CZ klienta proxy server, ideálne asi SOCKS5. Ten bude ako výstupný bod do internetu používať IP miestneho (CZ) ISP a ty sa naň pripojíš pomocou IP, ktorú bude mať jeho VPN klient. Potom napríklad v tvojom prehliadači nastavíš, že ma používať proxy s IP CZ VPN klienta a hotovo. Nepoznám ale ten router OS, tak netuším či sa tam dá proxy doinštalovať, ani aký a ako ho nakonfigurovať.

2. Zložitejšie - U teba musíš nastaviť VPN klienta aby posielal všetku (aj internetovú) komunikáciu cez VPN ale ako gateway mu musíš nastaviť IP CZ VPN klienta a nie VPN servera. Problém ale bude, že CZ klient zrejme nebude počítať s tým, že keď je v úlohe klienta, tak by mal komunikáciu routovať ďalej na lokálnu sieť a na lokálny gateway. Budeš si preto musieť zrejme vytvoriť nejaké forward pravidlá na preposielanie paketov z VPN do LAN a opačne. Nakoniec asi budeš musieť nastaviť MASQUERADE pre packety odchádzajúce z LAN rozhrania CZ klienta, pretože router by nevedel kam ma odpovede na packety potom vrátiť. Nakoniec ale môžeš skončiť tak, že budeš pomocou wiresharku a tcpdump hľadať kade sa ti packety túlajú a presedíš pri tom dva dni...

[bebeno28]

Daevid - Prepáč za neskorú odpoveď.

Ďakujem za rady.
Router bude ASUS RT-N18U . Je to linux s 256 Mb flash pamatou, čo mi umožnuje spojazdnenie Entware.
Bude tam spustený mqtt server a nejaké drobnosti ako smtp email klient a podobne.

Pozeral som si čo ponúka entware ohladne proxy serverov a SRELAY by asi mohla byť možnosť pre mna.
Zatial nemám router v ruke, bude asi koncom týždna ale toto by som mohol skúsiť.
Máš nejaké skúsenosti s daným programom ?

Prvotne som myslel že by to išlo nastaviť cez pridanie iptables pravidiel na strane CZ klienta, ale asi tá možnosť cez nejaký program bude lepšia. No uvidíme.

Chcel by som sa naučiť poriadne iptables a ich využívanie. Vieš ( alebo aj ostatný ) viete poradiť nejakú literatútu a postup ako si potom reálne skúšať napísané pravidlá ?

Ďakujem

[Daevid]

S proxy serverom nemám prakticky žiadne skúsenosti. Rozbehal som si jeden keď som tiež riešil smerovanie pripojenia ale moc mi to nesedelo, tak som to vyriešil cez iptables.

Druhé riešenie, ktoré som ponúkol sa realizuje práve pomocou iptables. Ale nie je to tak že by som ti napísal dve pravidlá a všetko pôjde podľa očakávania.

Ja som riešil presmerovanie portu z verejnej IP servera cez VPN na klienta bez verejnej IP, kde bežala služba, ktorá bola potom dostupná z internetu. O iptables som nevedel nič. Ale tutorialov je na internete veľa. Treba nájsť nejaký tutorial čo najviac pripomínajúci tvoje zadanie a nasledne si do hľadať čo ktorý parameter v danom príkaze znamená.

Odporúčam dať si pozor na tieto veci:
- treba zapnúť forward medzi rozhraniamy VPN a LAN
- pri testovaní treba vypnúť firewal, lebo môže blokovať komunikáciu aj keď je pravidlo v iptables správne
- pozor na situáciu, kedy pomocou pravidiel v iptables presmeruješ komunikáciu do VPN ale odpoveď nu túto komunikáciu na druhej strane tunela router miesto do VPN pošle na WAN port.
- wireshark a tcpdump sú nedocenitelný pomocníci, pretože vidíš odkiaľ kam packety tečú.

[bebeno28]

Deavid - Ďakujem za odpoveď.

V plnom rozsahu s tebou súhlasím.
Môj problém ale je že zatial neovládam dobre problematiku sieťovania a to ako presne tečú všetky požiadavky, kade idú pakety a čo sa s nimi robí. Toto je zatial pre mna jeden velký guláš

Wireshark som už raz mal nainštalovaný ale popravde absolútne netuší ako ho použiť, nastaviť a čo tie dáta hovoria .

Chcelo by to nejaký návod pre absolutného začiatočníka od ktorého by som sa odrazil.
Vážne ma to zaujíma a vždy ked mám chvílu čas tak sa snažím čo to si prečítať, jak o iptables a podobne ale stále sa motám v jednom kruhu. Zápis IPtables chápem ale je mi tažko niečo konštruktívne napísať kedže neviem zatial nič o tom kade a ako celá komunikácia ide.
Takže toto by mal byť môj začiatok a od tohoto by som sa mal odraziť.

Nejaké odporúčanie na literatúru ? Anglicky viem ale priznám sa že lepšie sa mi to číta a chápe ak je to v SK alebo CZ jazyku.

Ďakujem