Portforward eller annan routing

[peopersson]

Jag har satt upp ddns och portforward i en enkel D-linkrouter för att nå lite utrustning med egna webservrar på distans. Det fungerar normalt utmärkt. Jag har dock märkt att vissa nät, hos t ex hotell eller andra gästnät inte verkar släppa igenom anrop till portar. Däremot kommer jag åt själva routern när jag inte ställer in att den ska svara bara på viss port.

Någon som vet vad detta beror på och någon väg att komma runt? Finns det mera avancerade routrar som har annan teknik - mera "äkta" routing en bara portforward? Exempel http://www.nn1.dyndns.org/minserver?

[Cryptomaster]

Har för mig att det skall vara möjligt, med ex DD-WRT, att hänvisa t ex port 21 på LAN till port 2121 på WAN.

Alltså använda sig av dom portar som funkar på inkommande men sedan hänvisa trafiken till en annnan port.

[maDa]

Du kör på vanliga 80/tcp?

För många surfzoner har ganska hård stateful brandvägg, och släpper endast igenom på port 80 & 443.

[sodjan]

Cryptomaster, problemet var väl snarast tvärtom ?
Att (t.ex) hotellet inte tillåter att man kör *ut* från deras nät
på en o-standard port.

> ...inte verkar släppa igenom anrop till portar.

Du menar till *vissa* portar ? *Alla* anrop sker till portar...
Gäller det oavsett om man har valt en port under eller över 1023/1024 ?

> ...mera "äkta" routing en bara portforward?

Ska du köra NAT så blir det väl port-mapping/forwarding som gäller.
Det är lite oklart vad du menar med "äkta routing", men ska det vara utan
NAT så behöver du väl ett eget publikt/registrerat nät även internt.

> Exempel http://www.nn1.dyndns.org/minserver?

Oklart vad du menar. Domänen i sig måste ju peka mot något, och http i sig
ger alltid port 80. Menar du att du skulle kunna ha "/minserver1", "/minserver2"
o.s.v och komma till olika maskiner ?

[peopersson]

>Du menar till *vissa* portar ? *Alla* anrop sker till portar...

Jovisst, alla anrop går ju till portar och http är 80. Vad jag menar är alltså att gästnäten bara verkar tillåta just 80. Inte ens en vanlig e-postklient funkar (vilken port den nu använder).

> Gäller det oavsett om man har valt en port under eller över 1023/1024 ?

Jag använder port 8060 - 8063 men byte till 81, 82 mm hjälper inte. Det släpps inte igenom.

Jag tänkte mig - möjligen amatörmässigt - skulle kunna använda t ex "/minserver1", "/minserver2" på samma sätt som man på en vanlig webbplats direkt anropar underliggande sidor (isf olika portar) och på detta sätt bara använda port 80.

[Nerre]

Väldigt troligt att de kör med nån form av proxy (för att kunna bestämma vilka som får komma ut och inte) och då funkar kanske bara port 80. (Fast SSL borde väl funka också...?)

Är det bara du som ska komma åt grejerna så skulle nog jag fundera på att sätta upp en VPN-tunnel via port 80 (det GÅR att tunnla VPN via http så det går genom proxy också, det finns folk som satt upp tunnel över ping t.o.m.).

http://www.exiledmind.net/vpn-tunnel/
http://hackaday.com/2009/08/21/tunnelin ... over-icmp/


Vill du lösa det med http://adress/server1 etc så ta en titt på apache och reverse proxy. Då behöver du EN port forward till burken som kör apache och sen via den så ansluter du till de andra.

[Nerre]

Oklart vad du menar. Domänen i sig måste ju peka mot något, och http i sig
ger alltid port 80. Menar du att du skulle kunna ha "/minserver1", "/minserver2"
o.s.v och komma till olika maskiner ?

Http använder inte alltid port 80, den använder port 80 som default.

Men det går utmärkt att köra http://server:4711 för att köra mot en annan port.

[sodjan]

> Inte ens en vanlig e-postklient funkar (vilken port den nu använder).

Har aldrig varit med om ett "hotell-nät" där de enbart kör port 80 !
Ja, eller, det vet jag igentligen inte säkert, men jag har i alla fall
aldrig haft problem att köra det jag vill. Jo, förrutom nttp (news)
so har varit blockat någon gång. Min vanliga Thunderbird klient
har jag aldrig problem med.

> så ta en titt på ... reverse proxy.

Det var det jag tänkte på också. Man kan få de flesta web-servrar att
"routa" åt en. Jag har aldrig testat det, men det är möjligt att
det blir som du vill ha det.

[maDa]

Nej du försöker göra något som inte går, eller är praktiskt jobbigt. Skaffa en dyndns-address och peka mot din IP på din router/server bara helt enkelt och kör webservern på port 80. Så får du addressen:

http://dinserver.dyndns.org

[Nerre]

Men maDa, det gör han ju redan ju?

Grejen är att han har EN ip-adress, som pekar på hans router, men bakom den (bakom NAT) har han flera olika servrar han vill kunna nå.

Den enkla lösningen är ju att köra dem på olika portar, så att

dinserver.dyndns.org:80 pekar på server1 port 80
dinserver.dyndns.org:81 pekar på server2 port 80
dinserver.dyndns.org:82 pekar på server3 port 80

Men det fungerar ju inte om de portarna (81 och 82) blockeras nånstans på vägen. (Det KAN dessutom bli problem med redirects, helst ska port 81 forwardas till port 81 på server 2.)

Bättre då att sätta upp en Apache med reverse proxy. Då låter man

dinserver.dyndns.org peka på port 80 på den apachen

sen kan man konfigurera Apache så att
http://dinserver.dyndns.org/server1 pekar på http://server1
http://dinserver.dyndns.org/server2 pekar på http://server2
http://dinserver.dyndns.org/server3 pekar på http://server3

Det är inte särskilt svårt. Bara att installera ett par apachemoduler och peta in några rader i konfiggen för varje server man vill kunna nåt (vill minnas att det är 2-3 rader som behövs).

Fast även med reverse proxy kan det bli problem med redirects, eftersom maskinen bakom proxyn inte vet att den sitter bakom en proxy och apache klarar inte av att skriva om alla redirects korrekt.

[ToPNoTCH]

Att köra andra protokoll än HTTP på port 80 lär väl knappast vara någon framgång.
Inte heller att etablera VPN över denna port.

Om hotell etc. inte släpper annan trafik lär deras proxy kontrollera trafiktypen med (så brukar det vara).

Däremot låter det konstigt att dom inte skulle tillåta IP-Sec eller SSH, det är ju så företag oftast kommer åt sina "hemma nät" och
om detta inte tillåts skulle dom nog få massa kritik.

Satsa på att etablera VPN med något av ovanstående teknik.
Får jag föreslå App-Gate som är en gratis produkt upp till fem samtidiga användare.
Då får du en paketerad lösning.

[Nerre]

Grejen är att man tunnlar VPN via http på port 80, så det funkar genom proxy.

Men det är såklart en slags "fulhack" (sprecis som att tunnla via ICMP). Men det visar ju att hur mycket brandväggar och skit man än sätter upp så nog fan går det att ta sig igenom om man vill.

[sodjan]

> Grejen är att man tunnlar VPN via http på port 80, så det funkar genom proxy.

Men räcker det med att (t.ex) *hotellet* gör det ?
Behövs inte motsvarande tunnling i andra änden så att säga ?

Jag har hittills inte råkat på ett hotell där *enbart* port 80 fungerar.
Jag har kört SSH, Telnet, FTP och de vanliga portarna för krypt mail (449?).

[Nerre]

Alltså, du gör det på din dator, och det sitter en motsvarande server i andra änden.

Då tar du dig igenom hotellets proxy.

Så det kräver som sagt var att man har tillgång till en server nånstans som man kan koppla upp sig via. Men det gäller ju alla VPN-lösningar.

Jag var med i ABC-klubben förut och de hade en maskin som t.ex. körde ssh på port 80 har jag för mig, de körde även SMTP-servern på andra portar än 25 just för att klara sig förbi portspärrar. (Den var såklart inte öppen för relaying, det krävdes SMTP-AUTH för att använda den.)

[ristomemo]

Det finns ju diverse anonymiseringstjänster att abonnera på. Har aldrig provat de själv, men skulle någon sådan gå att använda för att ta sig förbi bla hotellens spärrar? För de som inte kan eller är intresserade att köra en egen server.