Как пробросить порты системы за nat сетью?

Question

[mnnoee]

Чего хочется добиться: Нужно умудриться подключаться к удалённому хосту по одному порту ssh
Что есть в наличии:

1. Два хоста за серыми айпишниками + nat сетью
   •Первый хост на Archlinux (к чему подключится)
   •Второй хост Android/Archlinux (откуда подключаться)
   
2. Vps с белым айпишником на ubuntu 20.04
   
3. Keenetic с KeenDNS
   

Что важно: Потребление трафика, желательно очень очень минимальное
У обоих хостов мобильный оператор, ipv6 нативно не организовать

Answer 1

[AlexVWill]

Начал было писать вариант решения, но потом понял что много писанины получится, а варианты могут быть разные, и до меня уже писали. На Хабре лежит неплохая статья по этой теме, можно попробовать реализовать, особенно по варианту 4, только когда оба клиента подключаются к ssh, или вообще сделать ssh vpn туннель, короче, надо пробовать...

Answer 2

[ky0]

И в чём сложность настроить впн-туннель через VPS, выдать хосту статический адрес и пробросить нужный порт на него? Кинетик вообще необязательно использовать, если есть возможность поднять впн прямо с хоста.

Comments

[mnnoee]

Либо я не правильно понимаю как ограничить vpn, либо да
Я не хочу, чтобы весь трафик шел через vps :(

[Drno]

mnnoee, легко и просто. А том же опенВПН к примеру это делается 1 строчкой в конфиге

[Vindicar]

mnnoee, Если используешь OpenVPN, в конфиге есть директива redirect-gateway def1, которая и задаёт направление всего трафика в vpn-сеть. Достаточно её не указывать ни на сервере, ни на клиенте.
Правда, с OpenVPN сейчас проблемы, особенно на мобильных сетях...

[Valdemar Smörman]

Vindicar, у меня прекрасно работает.
Сам опен на серваке польском VPS с Ubuntu 22.04, а клиент конфиг через пакет networkmanager-openvpn прикручен к NM на компе в Arch Linux и всё арбайтан

[Vindicar]

Valdemar Smörman, это, как я понял, зависит от провайдера. Поэтому счёл необходимым предупредить.

[Valdemar Smörman]

Vindicar, да не в провайдере дело...
Главное порт по умолчанию в OpenVPN в конфиге поменять на любой другой и самого его на забугорном серваке установить и будет всё работать по барабану какой пров.
Я устанавливал на сервак скриптом и там всё в интерактиве сам выставляешь, порт и т.д...
Кстати по UDP настроил (WG по нему блочат и по порту по умолчанию), думал блоканут, ан нет, арбайтан!
Но, если что, на TCP переведу, пусть медленнее, но точно будет работать.

[Vindicar]

Valdemar Smörman, Я так и сделал на своём серваке. На йоте соединение устанавливается и сразу же рвётся. На домашнем прове норм. Если вместо опенвпн взять XRay+Reality - работает и на йоте.
ОпенВПН ловят не по порту, а по сигнатуре первых пакетов.

Answer 3

[rPman]

Либо гнать данные через vps-ку, используя ее как сервер посредник, либо настроить upnp и работать как обычно (upnp позволяет настраивать перенаправления портов на роутере автоматически).

Либо воспользоваться технологией STUN, в ней машины за NAT открывают udp соединения с третьей машиной (твоя vps) а затем, имея на руках порты на роутере, подключаться к ним напрямую минуя vps-ку (udp это позволяет)

Answer 4

[#]

ngrok? .. если нет требований по объему трафика и скорости..