Vzdialena sprava rpi za fw u klienta

Sekcia: Ostatné 23.04.2015 | 10:30
mmarco   Návštevník

Ahojte, 

potrebujem poradit. Ide o to, ze chcem kvoli jednemu projektu distribuovat rpi krabicky, ako ovladanie k jednemu zariadeniu, k zakaznikom. Lenze vznika otazka, ako sa kvoli sprave na krabicky pripojit. Chcem to bez toho, aby klient musel zlozito nastavovat svoj router a firewall. Napadlo ma reverzne ssh, ale pri nom je problem, ze by spojenie muselo byt neustale, pricom by som ho pouzival len obcas. Budem vdacny za akekolvek nasmerovanie.

Vdaka.

    • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 10:39
      Avatar borg Fedora  Administrátor

      forward, dnat.

    • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 10:41
      Avatar Andrej Lacho Debian, CentOS ...  Administrátor

      NAT na FW do RPI

      • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 10:44
        Avatar mmarco   Návštevník

        Vdaka, ale predpokladam, ze myslite na routry klienta a tomu som sa chcel vyhnut.

        • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 10:49
          Avatar Andrej Lacho Debian, CentOS ...  Administrátor

          V popise píšeš že "fw". Ide o server alebo o klasický router?

          Prečo vyhnúť? Ako by si to chcel jednoduchšie spraviť. Pokial ide o router tak to máš klikačku na 2 min.

          • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 10:56
            Avatar mmarco   Návštevník

            Klasicke routre. Rpi krabicka bude u roznych klientov za roznymi routrami/fw, a nie kazdy klient si bude vediet na routry nastavit dnat a fw. Preto hladam inu cestu.

            • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 11:04
              Avatar Andrej Lacho Debian, CentOS ...  Administrátor

              Však mu to nastav ty pri odovzdávaní RPi.

              • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 11:08
                Avatar mmarco   Návštevník

                Jasne, ak sa nebude dat inak, budem musiet takto, ale chcel som sa tomu vyhnut, aj voli tomu, ze klienti mozu byt rozne po svete.

              • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 13:07
                Avatar LUcoRP Debian, *Ubuntu, Android  Administrátor

                no ono je to niekedy pri odovzdavani zariadenia problem. Specialne vo vacsich firmach, alebo pri zapajani u neznalych BFU, ktorym zapojil internet z telecomu 15 rocny synovec ani netusia ze nejaky router maju, nevravac o pristupovym udajom k nemu. Vo vseobecnosti spoliehanie sa na uzavrete riesenie tretej strany pri takejto implementacii, kde nemas komplexnu kontrolu nad celou sietou je velmi nebezpecne. Nikdy nevies kedy pridu technici od ich poskytovatela a vymenia im router, kedy sa budu stahovat a menit pri stahovani poskytovatela a aj router. Fun fact: napr telekom lubi vzdialene aktualizovat ich routre, raz za cas sa stane ze mi aktualizaciou odpalia vsetky nastavenia a musim sa cez teamviewer nalogovat na comp za routrom ktory mam tiez v sprave a znova ho nastavit takto, k comu asi OP nebude mat takyto pristup. OP pisal, ze je moznost mplementacie aj v zahranici, co by bol celkom pruser, cestovat kvoli tomu hoc len po celej europe.

                git blame | Muj Desvorc je vetsi nez tvuj!
                • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 13:22
                  Avatar Andrej Lacho Debian, CentOS ...  Administrátor

                  Nepovedal čo presne zamýšla a pokiaľ to bude mať pre firemných zákazníkov tak tý majú zvyčajne nejaký FW. Keď to bude pre malých/domácich tak vravíš dobre ale nemusí nič nastavovať, stačí si urobiť zálohu (ROM-ko) a potom to tam len nahrať.

                  To je ale všetko už na zákazníkovi, či si dovolí šmátrať po routroch atď. Po nástupe zákaznikovi, odstrániť vzdialené ovládanie do routra, zmeniť heslo urobiť nejaké bečzpečnostné opatrenia a zazálohovať. Oboznámiť zákazníka a spokojno odísť. Keď sa niečo zosere tak pozisťovať a poprípade sa vykričať na ISP a obnoviť pôvodný config. Ver či never pokiaľ sa nejedná o telekom tak väčšinu to pomôže.

                  • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 13:44
                    Avatar LUcoRP Debian, *Ubuntu, Android  Administrátor

                    a ty ako zakaznik by si dovolil cudziemu cloveku smatrat ti do routra, menit hesla a bezpecnostne nastavenia? Pretoze ja urcite nie, ak by sa jednalo o firemnu siet tak by som bol o to viac obozretnejsi. Firmy maju vacsinou svojich, ci uz externych alebo internych adminov, a tym v realite vacsinou trva nastavenie aj takej banality ako je forwardnutie portu od tyzdna hore (teda specialne pri outsorcovanych adminoch). Stale si myslim ze je rozumnejsie spolahnut sa cisto iba na svoje riesenie, nez byt odkazany na naladu a blahosklonnost cudzej firmy, ktora ma spolahlivost tvojho riesenia tam kde ani slnko nesvieti :)

                    git blame | Muj Desvorc je vetsi nez tvuj!
                    • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 14:05
                      Avatar Andrej Lacho Debian, CentOS ...  Administrátor

                      K tomuto sa asi vyjadrovať nebudem lebo pracujem v outsourcing firme a taketo veci aj nastavujem :)

                      A môžem ti povedať že presne takéto veci sa menia v podstate okamžite s tým že tá firma sa snami skontaktuje a zákaznik iba platí :)

                      • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 15:26
                        Avatar LUcoRP Debian, *Ubuntu, Android  Administrátor

                        V tom pripade patrite k tym slusnym IT firmam a ak by boli vsetky firmy taketo, tak by som nemal problem ani s forwardovanim. Bohuzial moje skusenosti su, ze az prilis casto veci troskotaju prave na neschopnosti tretej strany - a mam pocit ze niektore slovenske firmy dotiahli takyto mamfpicizmus do uplnej dokonalosti :)

                        git blame | Muj Desvorc je vetsi nez tvuj!
                        • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 15:53
                          Avatar Andrej Lacho Debian, CentOS ...  Administrátor

                          No taký sú telekomáci.. toľko k dokonalosti :)

                          • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 16:22
                            Avatar LUcoRP Debian, *Ubuntu, Android  Administrátor

                            bohuzial sa to netyka iba telekomu, je to cca tretina firiem s ktorymi musim nieco riesit. Neviem, mozno mam iba smolu :(

                            git blame | Muj Desvorc je vetsi nez tvuj!
    • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 12:44
      Avatar LUcoRP Debian, *Ubuntu, Android  Administrátor

      ked mas na krabickach aj GUI, tak je podla mna najjednoduchsie a najrychlejsie riesenie je cez teamviewer. Ak sa ti s tym chce trochu vyhrat tak potom cez reverzne ssh ako pises, alebo cez centralny vpn server, pri obidvoch by vsak muselo byt stale nadviazane pripojenie na hlavny server.

      git blame | Muj Desvorc je vetsi nez tvuj!
    • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 14:52
      Avatar WlaSaTy   Návštevník

      Daj si do služieb na RPi aj pripájanie sa na Tvoj VPN server ktorý budeš mať na Tvojej verejnej IP adrese a nech klient zabezpečí aby RPi videlo na tinternet (hoci aj iba na IP toho VPN servra). Firewall typu aby sa RPi navzájom nevideli už asi doladíš ľavou zadnou.

      Zvyšné návrhy ako DNAT (skôr PAT) ktorý ovšem vyžaduje aby mal klient u ktorého to RPi neží vonkajšiu IP adresu alebo, teamviewer ktorý neviem či utiahne RPi alebo či je vôbec podporovaný na ARMe nerozoberám. VPN je na takéto veci určená.

      • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 16:24
        Avatar LUcoRP Debian, *Ubuntu, Android  Administrátor

        Ano, s teamviewerom mas pravdu, mea culpa, neuvedomil som si inu platformu. Idem sa hanbit do kuta :)

        git blame | Muj Desvorc je vetsi nez tvuj!
    • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 21:20
      Avatar mmarco   Návštevník

      Vdaka za vsetky komentare, asi to nakoniec spravim bud cez reverzne ssh, alebo cez VPN, s tym ze spojenie pojde od rpi u zakaznika, co by malo byt bez problemov. Este rozmyslam, ako to spojenie iniciovat, ci tak ze na rpi pride email, mozno gpg sifrovany, alebo 3g usb modem a nejaka sms. Ale skor tie emaily, teda ak to bude chodive.

      • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 23:09
        Avatar stalin   Návštevník
        • Príspevok bol vymazaný.
      • RE: Vzdialena sprava rpi za fw u klienta 23.04.2015 | 23:44
        Avatar borg Fedora  Administrátor

        posledny komentar od stalina zmazany z dovodu nedodrzania etiky.

        • RE: Vzdialena sprava rpi za fw u klienta 24.04.2015 | 04:35
          Avatar stalin   Návštevník
          • Príspevok bol vymazaný.
          • RE: Vzdialena sprava rpi za fw u klienta 24.04.2015 | 12:17
            Avatar stalin   Návštevník

            prosim, uviest dovod, preco bol predchadzajuci prispevok zmazany. nebodaj porusil koooodex?

            • RE: Vzdialena sprava rpi za fw u klienta 24.04.2015 | 12:43
              Avatar Milan Dvorský debian,mint kde,android  Administrátor

              povazovalo sa to za urcitu formu provokacie. Opat sme zacali dbat na kodex na portali, nakolko sa uz podaktori nevedeli vpratat do koze.

              • RE: Vzdialena sprava rpi za fw u klienta 24.04.2015 | 15:04
                Avatar stalin   Návštevník

                provokacia?! :DDD sice na urovni materskej skolko mozno aj hej...

                • RE: Vzdialena sprava rpi za fw u klienta 24.04.2015 | 15:36
                  Avatar borg Fedora  Administrátor

                  ide ti karta

      • RE: Vzdialena sprava rpi za fw u klienta 24.04.2015 | 10:25
        Avatar WlaSaTy   Návštevník

        Nepredpokladám, že by tie RPi boli samostatné mail servre. Takže tak či tak by museli mať prístup von cez POP3 alebo IMAP poštové protokoly na email server aby vedeli či sa majú (znova) prihlásiť na VPN server.

        To je už naozaj jednoduchšie nehať ich natvrdo pripojených cez VPN, a ošetriť FW na VPN servri aby sa navzájom nevideli. Ten FW odporúčam už len kôli tomu, že si niekto u zákazníka v pohode vyklonuje SD kartu, pozrie vlastnosti pripojenia a môže potom loziť po iných RPi. VPN si môžeš vybaviť ako si správne podotkol cez SSH (port forwarding, alebo celý VPN), poprípade cez OpenVPN.

        PS: Ideálne by bolo mať dokonca kľúče pre každý RPi generované zvlášť. Ale to už prediskutuj s firemným IT bezpečákom.