Proxy lub VPN dla statycznego adresu IP

0

Cześć,
mam taki przypadek, że potrzebuję łączyć się do zdalnego serwera SFTP ze stałym adresem IP. Jak to najlepiej rozwiązać? Takie coś potrzebne byłoby dla 4-5 osób jednocześnie. Wszystkie z założenia miałyby ten sam adres IP. Na myśl przychodzą mi dwa rozwiązania:

  1. VPN z dedykowanym adresem IP. Trochę nadmiarowe bo tutaj potrzebujemy de facto tylko IP.
  2. Jakiś serwer proxy (socks? http? coś innego?). I tutaj, czy są jakieś gotowe usługi, które będą takie coś umożliwiały? O ile łatwo można znaleźć takie rozwiązania VPN o tyle trudniej znaleźć coś gotowego. Istnieje coś takiego czy lepiej już samemu stawiać jakiś serwer PROXY?
1

Hmm, skoro serwer już ma stały adres, a SFTP obsługuje sensowne szyfrowania oraz uwierzytelnianie, to w czym tak właściwie rzecz?

0

@watek: Jeśli ten stały adres IP ma być po stronie klienta, to użyłbym własnego VPN (z publicznymi mam niestety złe doświadczenia). Serwer VPN można postawić np. na VPSie lub na tym serwerze SFTP.

Klienta VPN uruchomiłbym na routerze opartym na OpenBSD, ale w ostateczności mógłby być też np. Mikrotik.

Jeśli nie chciałbym pchać całego ruchu przez VPN, dodałbym na routerze trasę statyczną przez VPN do serwera SFTP lub skonfigurowałbym split tunneling

EDIT: Z tym Mikrotikiem, to unikałbym wersji ROS 7.x.

0

Chodzi o to, że serwer SFTP ma whitelistowanie adresów IP. I dlatego potrzebuję statycznego adresu IP po stronie klienta. I zastanawiam się jak to ograć. Bo zazwyczaj klienci SFTP mają możliwość ustawienia połączenia przez proxy. I w tym sensie najlepiej byłoby mieć jakiś serwer proxy, bo jest to wystarczające tutaj - konfigurejemy klienta i na tym kończy się cała zabawa. A przy VPN, to trzeba instalować jakichś klientów na komputerach ludzi (Ci ludzie pracują na swoich komputerach zdalnie, są zupełnie w różnych sieciach, nie łączą się do żadnego VPN itd. itd.). Dlatego raczej szukam serwera proxy jako SAS. Jest coś takiego w miarę taniego? To będzie ruch rzędu 512 MB na miesiąc.

0

VPN z dedykowanym adresem IP. Trochę nadmiarowe bo tutaj potrzebujemy de facto tylko IP.

Być może postrzegasz VPN zbyt ogólnie - VPN wcale nie musi służyć do przepychania przez niego całego ruchu sieciowego danego komputera - konfiguracją nie tylko całkowicie zwyczajną, ale i na ogół dużo prostszą w obsłudze, jest VPN w formie "przez tunel mają iść wyłącznie połączenia pod ten konkretny adres IP:

                                  klient 1 (o zmiennym IP)
--------     --------------     /
| SFTP | --- | serwer VPN | --- - klient 2 (o zmiennym IP)
--------     --------------     \
             (o stałym IP)        klient 3 (o zmiennym IP)

W takiej konfiguracji klienci są podpięci i na co dzień wykorzystują swój "normalny" internet, a jedynie połączenia pod niepubliczny IP VPNa (w stylu 10.10.1.1) lecą przez serwer VPN i są forwardowane do SFTP.

Utworzenie czegoś takiego w WireGuardzie + nftables/iptables to będzie może kilkadziesiąt linijek - o ile masz pod ręką jakiś serwer który mógłby służyć za VPNa.

0

No tak, tylko po stronie klientów trzeba instalować dodatkowego klienta VPN. Czyli mamy konfigurację: Klient VPN + Klient SFTP.
W przypadku proxy wystarczy tylko konfiguracja klienta SFTP, który i tak trzeba konfigurować.
Dlaczego więc robić coś dwa razy bardziej skomplikowanym niż to potrzebne?

0

Jasne, można też pozbyć się middleman'a :-)

Skoro masz SFTP, które leci po SSH (w porównaniu do FTPS, które brzmi podobnie, ale działa inaczej), to szedłbym w stronę SSH tunnelling - topologia bardzo podobna do tej z prywatnym VPNem, jedynie z wykorzystaniem tunelu przez SSH, a nie WireGuarda.

0

Jasne, można też pozbyć się middleman'a :-)
Co masz na myśli?

SSH tunnelling
Skąd klienci wtedy "nabiorą" statyczny adres IP?

0

Ale masz stały publiczny adres na jakimś swoim łączu w firmie czy domu czy chcesz to na jakimś VPSie stawiać?

0

Ci użytkownicy są w lokalizacji, gdzie kontrolujesz sieć, np. w biurze?

0

Nie, nie kontroluję tej sieci. Chcę to postawić na jakimś VPS albo skorzystać z jakiejś dedykowanej usługi

0

Skąd klienci wtedy "nabiorą" statyczny adres IP?

W takim scenariuszu klienci (o zmiennych IP) łączą się do znanego wcześniej serwera SSH (o stałym IP), który to dopiero łączy się z SFTP; ofc. w pierwszym miejscu potrzebujesz do tego mieć już taki serwer gdzieś skonfigurowany, ale jeśli nie masz sprzętu / internetu o stałym IP, no to taki VPS w OVH to koszt kilku złotych.

0

Czyli lepiej konfigurować klientom tunel SSH zamiast skonfigurować po prostu klienta SFTP?

1

Co to znaczy skonfigurować klienta SFTP?

Klient SFTP to klient SSH, a każdy/większość klientów SSH ma wbudowane tunelowanie, więc tunelowanie powinieneś być w stanie skonfigurować z klienta SFTP.

0

@watek: Jeśli nie kontrolujesz tej sieci, to ja bym po prostu podłączył do niej router z odpowiednio skonfigurowanym klientem VPN i poinstruował użytkowników, żeby podłączali się do tego nowego routera.

1

Dzięki @Patryk27,
w sumie to klienci SFTP wspierają zazwyczaj i tunelowanie i proxy, ale z proxy jest więcej roboty. Tutaj tylko sshd i wszystko. Dzięki :)

1 użytkowników online, w tym zalogowanych: 0, gości: 1