Etäkäyttö internjietin yli (CGNAT & VPN) tai jotain muuta?

Terveex,

Minulla oli toimiva kokoonpano jossa pystyin etäkäyttämään Xubuntu-purkkia VPN:n kautta, liittymänä Telian laitenetti.
Elämä oli auvoisaa vaikkakin liikenne hidasta. Sitten menin muuttamaan liittymän MOI:lle ja VPN lakkasi toimimasta.
Hullua kyllä, VPN-yhteys muodostuu ja voin jopa kirjautua SSH:lla järjestelmään mutta yhteys “jäätyy” jossakin vaiheessa. Wireshark kertoo “TCP Previous segment not captured” eli jotakin kaiketi katoaa matkalla… HTTP ei tule ollenkaan läpi.
Pystyn käyttämään Teamvieweriä etäkäyttöön mikäli VPN-asiakas on pois päältä. Jos VPN on asiakkaassa (Xubuntu purkki) päällä, myöskään Teamviewer ei toimi (ei yhteyttä -herja). Jos kytken ko. Xubuntu purkin vaikkapa Elisan laajakaistaan niin kaikki pelaa taas hienosti. Vika on siis siinä että MOI:n laitenetti on jollakin tapaa erilainen kuin Telian vastaava.

Ai niin. VPN on openVPN serveri, joka toimii Ubiquiti Edgerouter X purkissa ja etäpäässä Asus 4G reititin jossa (tällä erää) MOI:n laitenetti.

Voin tietenkin käyttää systeemiä Teamvieverin kanssa, mutta ratkaisu on kökkö ja hidas.

Minulle ideaali olisi jos saisin (taas) näkyviin Xubuntu purkin HTTP:n suoraan selaimessa ja voisin hoitaa ylläpidon (päivitykset yms) ssh:n kautta jolloin voisin mieluiten luopua koko graafisesta ympäristöstä, joka on pelkästään Teamviewerin vuoksi.

Koska VPN on mobiilinettien laitenetissä (CGNAT liittymät) ilmeisesti hyvin vaikea tai mahdoton saada toimimaan, olisin kiinnostunut kuulemaan mahdollisista muista ratkaisuista. Itse olen miettinyt:

  1. ngrok: toimiiko tässä tapauksessa? Onko oikeastaan turvallinen? Häiritsee ajatus että verkkosivu olisi kaikkien nähtävillä jos joku osaa arvata linkin. Sivu on toki suojattu salasanalla mutta kuitenkin.

  2. Nebula: kuulostaa suurelta ja monimutkaiselta, toimiakseen luotettavasti vaatii “majakan” jolla kiinteä IP => lisää kustannuksia.

  3. Koettaa vaihtaa takaisin Telian laitenettiin tai ottaa kalliimpi liittymä jossa VPN yms toimii.

Olisiko vielä joku toimiva ja luotettava tapa toteuttaa po. toiminto? Kuten rivien välistä voi arvata, taho jolle tätä teen ei ole valmis maksamaan kuin sen laitenetin hinnan / kk (vähävarainen vanhus, jonka kotia valvon etänä).

Kiitokset vihjeistä!

Moikka,

VPN:ää minulla ei ole, mutta DNA:n mobiililaajakaistaliittymän kanssa (APN:llä ‘julkinen’) olen pitänyt kotipalvelinta jo useamman vuoden hyvällä menestyksellä. Tavalisimmat palvelinportit on estetty yleisen palvelinkäytön rajoittamiseksi, mutta sinunkin sovellukseesi tämä kai taipuisi aivan hyvin.

Liittymään kajoamatta, olisikohan OpenVPN-tunnelin säädöissä jotain mahdollisuuksia parantaa toimintaa. Tyyliin pienempi MTU, tiheämmät keepalive-paketit tai jotain sellaista?

Kiitos vastauksesta. Kunhan ennätän, kurkkaan Ubiquiti purkin asetuksiin. Niissä vehkeissähän on likimain kaikki säädettävää jos vain henkiset kyvyt riittää. Niiden riittävyyttä tässä hiukan epäilen.

Tämän Carrier-Grade NAT problem: How to access my IP cameras? VPN? | IP Cam Talk ongelma on melko samanlainen kuin minulla. Siis se julkisen IP:n puute (?!).

Tässä onkin kovasti läksyä tehtäväksi jos yritän syvällisemmin ymmärtää mistä on kysymys.

Jos kerran pystyt muodostamaan sen VPN-yhteyden mutta se katkeaa, niin jotain muuta on pielessä. Onko sinulla siis se VPN-serveri omassa paikassasi ja tuolla asiakkaalla on sitten VPN-asiakas? Siihen tapaukseen ei pitäisi (CG)NATin vaikuttaa millään tavalla.

Kiitos. Tämän oikeastaan halusinkin kuulla!
Tosiaan:
Paikka A, jossa asun. Minulla on 10M Elisa taloyhtiölaajakaista. Reitittimenä edella mainittu Ubiquiti Edgerouter X, johon on konffattu OpenVPN serveri. Konffaus tehty Ubiquitin sivujen ohjeen mukaan.

Paikka B, jota valvon. Liittymänä MOI laitenetti 512k/5M down/up joka on se CGNAT liittymä. Reitittimenä ASUS 4G reititin. OpenVPN asiakas pyörii tämän reitittimen takana olevassa Xubuntu linux PC:ssä.

Alunperin kun tämän virityksen rakensin, oli Telian laitenetti. Sain Xubuntu purkissa olevan verkkosivun (Zoneminder) näkymään selaimessa ongelmitta. Samoin toimi Teamviewer.

Nyt kun Telia ilmoitti hintojen korotuksista, vaihdoin liittymä(t) MOI:lle.

Asiakaskone ilmoittaa että VPN-yhteys on onnistuneesti luotu. Voin pingata asiakaskonetta. Voin kirjautua asiakaskoneeseen SSH:lla. Saatoin jopa ajaa päivitykset komentoriviltä. Yhteys on sillä tavalla vakaa. Sitten kun komennan vaikka htop niin muutama rivi tulostuu ja yhteys jäätyy. Wiresharkissa näkyy virhe: “TCP Previous segment not captured”.

Sama virhe syntyy jos koetan selaimella saada yhteyttä asiakkaan (Xubuntu purkki) webbipalvelimeen. ja selain kertoo: " Sivustoon ei saada yhteyttä"

Siis oikeastaan VPN-yhteys ei edes katkea. Se ei vain toimi oikein. Esim. kun ssh istunto jumittuu, voin silti pingata asiakaskonetta. Yhteys on siis olevinaan kunnossa. Jännä on myös että jos olen luonut Teamviever istunnon asiakaskoneeseen, samalla hetkellä kun laitan päälle VPN:n, Teamviewer yhteys katkeaa.

Jos kerran CGNATin ei pitäisi vaikuttaa mitenkään VPN-yhteyteen, mikä voisi olla pielessä? Yhteyshän toimi täydellisesti Telian liittymässä ja myös kytkettynä Elisa laajakaistaan toisessa asunnossa (meidän kerrostalossa).
Voisiko vika olla kuitenkin MOIn liittymässä? Moin tekninen tuki kehotti laittamaan manuaalisesti reitittimeen APN data.moimobile.fi, mutta tällä ei ole mitään vaikutusta.

Tämä näkyy varmaan ihan Wireshark-kaappauksen alkupäässä? Epäilisin että tämä ei ole todellinen virhe, vaan tarkoittaa sitä, että ko. TCP-yhteyden alku edeltää kaappauksesi alkua, jolloin kaappaukseen tulee muu kuin yhteyden ensimmäinen TCP-segmentti (paketti).

Vilkaisepa OpenVPN:n asiakaspuolen konfiguraatiota, esimerkiksi parametrilla mssfix voisi rajoittaa tunnelissa kulkevien TCP-pakettien kokoa ja siten VPN-liikenteen UDP-pakettien kokoa. Kokeile laittaa arvoksi vaikka 1000 ja muodostaa VPN-yhteys uusiksi.

2 tykkäystä

Tosiaan mssfix 1000 auttoi. Piti jonkun aikaa pähkäillä että missä on openvpn konffitiedostot kun /etc/openvpn/clien olikin tyhjä. Lisäsin sen sitten client.ovpn tiedostoon ja importoin nmcli:llä ja taas pelittää! Hienoa! En taida viitsiä etsiä optimaalisempia arvoja MTUlle. Tämä toimii riittävän hyvin. Suuret kiitokset!

Silvo

2 tykkäystä

Minulla on tullut tavaksi käyttää Yggdrasilia CGN:n läpäisemiseen, yksinkertaistettuna julkinen VPN omalla IPv6-osoitealueellaan minne kaikki pääsevät (halutessaan sovelluksen asentaessaan) sisälle, liikenne solmujen välillä on päästä-päähän salattu, joten muut eivät sen sisältöä näe ja palomuurilla voi rajata pääsyä tarkemmin.

Ohoh, enpäs ollut kuullutkaan. Vaikuttaa mielenkiintoiselta. Näyttää vielä olevan alfa vaiheessa mutta kaiketi jo toimii… Tutustumisen arvoinen jos jäisi luppoaikaa. Kiitos tiedosta!

1 tykkäys

No sehän mukava kuulla. Jos suorituskyky jättää toivomisen varaa niin voit kokeilla lisätä tuota arvoa vaikka sata tavua kerrallaan ja kokeilla missä vaiheessa lakkaa toimimasta.