17 votos

Llegar a un dispositivo en mi LAN desde Internet

Tengo un dispositivo incorporado que me puede programar a través de Ethernet IP cuando se conecta en el mismo router con el PC de la siguiente manera:

enter image description here

Es posible enviar todo el tráfico a través de Internet y aún así ser capaz de programar? Para hacerlo un poco más claro, algo así como:

enter image description here

50voto

Rahul Basu Puntos 556

La simple (y peligroso) método de

Lo que buscas se llama port forwarding [1][2].

Por ejemplo, supongamos la siguiente:

  • Su dispositivo programable que funciona en el puerto 22 y tiene la IP 192.168.1.5

  • Tu IP pública es 122.176.11.55

Entonces usted puede ir a su router en la configuración de un puerto WAN (por ejemplo, 8022) a 192.168.1.5:22.

Ahora, usted puede acceder de manera remota al dispositivo desde cualquier lugar a través de internet accediendo 122.176.11.55:8022 en lugar de 192.168.1.5:22 en el IDE.

Tenga en cuenta que, a menos que usted tiene una dirección IP estática, su dirección IP pública puede cambiar en cualquier momento, en cuyo caso usted debe comprobar fuera de servicios de DNS dinámico.

NOTA: a menos que el dispositivo tiene algún método de autenticación, alguien con malas intenciones es casi seguro encontrar el acceso en la web abierta. Véase más abajo para una alternativa segura.

El seguro (y honestamente no se mucho más complicado) método de

Dejar un PC (o raspberry pi, o similar) conectado a su red, y el acceso que de forma remota a través de algo seguro como SSH, y, a continuación, el programa de su dispositivo a través de ella a través de LAN.
Esto también tiene la ventaja añadida de trabajo, incluso si su dispositivo no se utiliza TCP o UDP :)

Un poco tedioso, sí. Pero seguro.

10voto

Damon Puntos 661

La sola y única respuesta correcta puede ser "VPN".

Simplemente utilizando IPv6 "funcionaría" (suponiendo que el router no está configurado para firewall desactivado el dispositivo, y todos los de la ISP, el dispositivo y el ordenador portátil soporte de IPv6), pero es una idea terrible por la misma razón de reenvío de puerto.

Que no sea promovido por el conocido IPv6 propaganda, en realidad no siempre desea cualquiera de los dispositivos de la red LAN de ser identificada de forma única, o incluso se puede acceder desde internet. No, eso no es una buena cosa.

El reenvío de puertos "funcionaría" con buen viejo IPv4, pero esto hace que el dispositivo accesible no sólo a usted, sino a todo el mundo. Nadie lo sabe, así que no hay ningún problema, ¿verdad?
Bueno, hay un ejército de automatizado de puerto escáneres de funcionamiento 24/7 y escaneo de azar y las direcciones de los puertos en la esperanza de cualquier cosa, en cualquier lugar pudiera responder, por lo general, tener cualquier dispositivo que dará respuesta a una solicitud externa en línea no es óptima. Si un dispositivo estará feliz de tener en sí programado de acuerdo a lo que viene en a través de la red, que es una receta para la desaster.
El de arriba es en principio verdadero de VPN así, pero es casi tan bueno como usted puede conseguir, si desea tener acceso. Realmente la única cosa segura es que no hay conexión a internet, lo cual no es una opción práctica, por razones obvias. La siguiente cosa más segura que "no hay internet" es una VPN. Exactamente un puerto en un solo dispositivo (bueno, depende, hasta tres puertos), la exposición de VPN y nada más, port-reenvía a internet.

VPN le permite-pero nadie más -- acceso a un dispositivo en la LAN a través de internet como si estuviera en la misma LAN (aunque un poco más lento). Evita el acceso no autorizado, que proporciona confidencialidad y la integridad de los datos.

Prácticamente todos los no-mierda router es compatible con al menos un tipo de VPN fuera de la caja. Por desgracia, dependiendo de qué modelo de router tienes, puede ser un mal sabor de VPN o puede ser mal documentada de cómo configurar el equipo remoto. Todavía, a pesar de la posible molestia de averiguar cómo configurar es, si no tienes nada mejor, que es por lejos la mejor opción!
Más común NAS cajas apoyo de dos o tres sin chupar métodos de VPN, y cada $20 de crédito del tamaño de una tarjeta de 3 Vatios equipo puede ejecutar un servidor VPN, no hay problema. Incluso muchos de los teléfonos móviles modernos soporte VPN sin tener que instalar software adicional, por lo que incluso se puede acceder a la red de su casa cuando usted está utilizando su teléfono móvil a internet (a través de privado hotspot, incluso).

Por ejemplo, L2TP/IPSec puede no ser el más impresionante de la elección, pero el 99% de buena y tiene un minuto para configurar en mi Disco de la Estación y en mi teléfono de Samsung. Otro minuto si mi portátil con Windows es usarlo como bien (independientemente de que el teléfono). Ningún software adicional necesario.
OpenVPN toma como 3 a 5 minutos de la instalación debido a que usted tendrá que descargar e instalar el cliente de software en la computadora portátil. Pero en la imagen mayor, a 5 min de configuración de cuenta como "cero", en comparación a ser completamente seguro.

2voto

Michael P Puntos 21

Aloje una VPN, ya sea en un enrutador / dispositivo de puerta de enlace de seguridad, u otra caja con reenvío de puertos a esa caja. Cuando quiera trabajar de forma remota, conéctese a la VPN y verá el dispositivo integrado como si estuviera en una red local. Probablemente sería una buena idea colocar el dispositivo integrado en una subred aislada, para ayudar a prevenir ataques en su red principal si la VPN o el dispositivo incorporado están comprometidos.

1voto

Bailey S Puntos 111

Hacer que Windows PC sin IDE en Linux PC de una manera razonablemente segura de configuración de sshd ejecución. El reenvío de puertos del router para el puerto SSH en la máquina Linux. El uso de túneles SSH para conectar con el dispositivo incorporado de IP. Luego, cuando la programación en la máquina remota con un IDE, deberá conectar a localhost en lugar de la IP de la LAN.

Escucha en internet con un templado de servicios como SSH es razonablemente seguro. Escucha directamente en internet con el desarrollo de cualquier cosa es una muy mala idea. SSH es un portero. Si usted asegúrese de verificar la clave de host, protege contra el MITM absolutamente. Utiliza criptografía. El túnel de la instalación no implican el enrutamiento o de puente, pero en su lugar se ve como si se conecta directamente desde el SSHD de la máquina. Esto es muy sencillo de configurar correctamente.

-1voto

hildred Puntos 325

He llegado recientemente a través de una mejor solución para personal sólo de acceso remoto. Primero vamos a discutir el alcance del problema. Hay tres aspectos que entran en juego: la nat, la dirección ip, y la seguridad. Por ejemplo, en el común de los casos donde se desea ejecutar un ssh del servidor web o en una red doméstica el enfoque tradicional es el reenvío de puertos y de dns dinámico y estándar de la industria las mejores prácticas para la seguridad. Esto tiene desventajas para su caso, como su dispositivo no dispone de seguridad estándar. Esto puede ser mitigado mediante el uso de ssh de reenvío de puerto en lugar de abrir el dispositivo a internet, pero usted todavía tiene que lidiar con nat traversal desde su dispositivo y el servidor de ssh en tu raspberry pi está a punto de configurar) no tiene un públicamente accesible dirección IP y la dirección IP de su router está sujeta a cambios (suponiendo que sólo hay una nat entre usted y el internet), usted debe configurar el reenvío de puerto (o en el caso de varios routers, múltiples reenvío de puertos) y dns dinámico por lo que aún puede llegar a su servidor ssh.

Sin embargo, hay una solución más simple, y lo creas o no que es tor servicios ocultos. servicios ocultos de tor, básicamente, actúan como un puerto hacia adelante, pero automáticamente se encarga de nat traversal, y no tiene un cambio de dirección para dns dinámico no es necesario. Por supuesto, hay cuestiones de la cebolla dirección de ser difíciles de recordar, pero Si eres el único usuario, usted puede escribir en uno de los archivos del proyecto. Yo recomendaría todavía de la vinculación del este con un servidor ssh para proporcionar autenticación, pero usted puede decidir que el largo de cebolla dirección es suficiente. También servicios ocultos de tor proporciona cifrado de todo el enlace, excepto para el último salto por lo que la única manera de mejorar es de extremo a extremo de cifrado, sino que dependerá de que el dispositivo de programación.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: