Ein Gerät in meinem LAN über das Internet erreichen

Die einfache (und unsichere) Methode

Was Sie suchen, heißt Portweiterleitung ^{[ 1 ]. [ 2 ] bezeichnet} .

Nehmen wir zum Beispiel Folgendes an:

• Ihr programmierbares Gerät arbeitet an einem Port 22 und hat die IP-Adresse192.168.1.5

• Ihre öffentliche IP lautet 122.176.11.55

Dann können Sie in die Einstellungen Ihres Routers gehen und einen WAN-Port weiterleiten (z. B. 8022 ) an192.168.1.5:22 .

Jetzt können Sie von überall aus über das Internet per Fernzugriff auf das Gerät zugreifen 122.176.11.55:8022 statt 192.168.1.5:22auf Ihre IDE .

Denken Sie daran, dass sich Ihre öffentliche IP-Adresse jederzeit ändern kann, wenn Sie keine statische IP-Adresse haben. In diesem Fall sollten Sie auschecken Adresse haben . dynamischen DNS-Dienste .

HINWEIS : Wenn Ihr Gerät nicht über eine Authentifizierungsmethode verfügt, kann jemand mit böswilliger Absicht im offenen Web fast sicher darauf zugreifen. Siehe unten für eine sichere Alternative.

Die sichere (und ehrlich nicht viel kompliziertere) Methode

Hinterlassen Sie einen PC (oder Raspberry Pi oder ähnliches), die mit Ihrem Netzwerk und den Zugriff, die fern anstatt durch etwas sicher wie SSH, und dann durch sie über LAN programmieren Sie Ihr Gerät.
Dies hat auch den zusätzlichen Vorteil, dass es funktioniert, auch wenn Ihr Gerät kein TCP oder UDP verwendet :)

Ein bisschen langweilig, ja. Aber sicher.

Die einzig richtige Antwort kann "VPN" sein.

Die Verwendung von IPv6 würde "funktionieren" (vorausgesetzt, der Router ist nicht so konfiguriert, dass eine Firewall vom Gerät abgeschaltet wird, und alle ISPs, Geräte und Laptops unterstützen IPv6), aber es ist eine schreckliche Idee aus demselben Grund, aus der die Portweiterleitung besteht.

Abgesehen von der bekannten IPv6-Propaganda möchten Sie eigentlich nicht , dass eines der Geräte in Ihrem LAN eindeutig identifizierbar oder sogar über das Internet erreichbar ist. Nein, das ist keine gute Sache.

Portweiterleitung würde mit gutem alten IPv4 funktionieren, aber das Gerät ist nicht nur für Sie, sondern für jeden zugänglich. Niemand weiß es, also ist das kein Problem, oder?
Nun, es gibt eine Vielzahl automatisierter Port-Scanner, die rund um die Uhr laufen und zufällige Adressen / Ports scannen, in der Hoffnung, dass irgendwo irgendwo eine Antwort möglich ist. Es ist also nicht optimal, ein Gerät zu haben, das online auf eine externe Anfrage reagiert. Wenn sich ein Gerät glücklich über das programmieren lässt, was über das Netzwerk eingeht, ist dies ein Desaster-Rezept.
Das oben Gesagte gilt prinzipiell auch für VPN, aber es ist so gut wie möglich, wenn Sie Zugriff haben möchten. Das einzig wirklich sichere ist, dass es überhaupt keine Internetverbindung gibt, was aus naheliegenden Gründen keine praktische Option ist. Die nächste sichere Sache für "kein Internet" ist VPN. Genau ein Port auf genau einem Gerät (naja, es hängt davon ab, bis zu drei Ports), was VPN und nichts anderes preisgibt, portiert an das Internet.

Mit VPN können Sie - aber niemand anderes - über das Internet auf ein Gerät in Ihrem LAN zugreifen, als wären Sie im selben LAN (obwohl etwas langsamer). Es verhindert unbefugten Zugriff, bietet Vertraulichkeit und Datenintegrität.

Praktisch jeder No-Shit-Router unterstützt mindestens eine VPN-Variante. Unglücklicherweise kann es je nach Router-Modell eine schlechte VPN-Variante sein oder die Konfiguration des Remote-Computers ist schlecht dokumentiert. Trotz der möglichen Schwierigkeiten, herauszufinden, wie man es konfiguriert - wenn Sie nichts Besseres haben, ist dies bei weitem die beste Option!
Die meisten gängigen NAS-Boxen unterstützen zwei oder drei No-Suck-Methoden für VPN, und jeder 3-Watt-Computer im Kreditkartenformat von $ 20 kann einen VPN-Server ausführen, kein Problem. Selbst viele moderne Mobiltelefone unterstützen VPN, ohne zusätzliche Software installieren zu müssen, sodass Sie sogar auf Ihr Heimnetzwerk zugreifen können, wenn Sie das mobile Internet Ihres Telefons nutzen (sogar über einen privaten Hotspot).

Zum Beispiel ist L2TP / IPSec nicht die beste Wahl, aber es ist zu 99% gut und dauert eine Minute, um es auf meiner Disk Station und auf meinem Samsung-Handy einzurichten. Noch eine Minute, wenn mein Windows-Laptop es auch benutzen soll (unabhängig vom Telefon). Keine zusätzliche Software erforderlich.
Die Installation von OpenVPN dauert etwa 3-5 Minuten, da Sie die Client-Software auf dem Laptop installieren müssen. Im Großen und Ganzen zählt ein 5-Minuten-Setup jedoch als "Null", im Vergleich dazu, dass es völlig unsicher ist.

Hosten Sie ein VPN, entweder in einem Router / Security Gateway-Gerät oder in einer anderen Box mit Portweiterleitung zu dieser Box. Wenn Sie remote arbeiten möchten, stellen Sie eine Verbindung zum VPN her, und Sie sehen das eingebettete Gerät wie in einem lokalen Netzwerk. Es ist wahrscheinlich eine gute Idee, das eingebettete Gerät in einem isolierten Subnetz zu platzieren , um Angriffe auf das Hauptnetzwerk zu verhindern, wenn das VPN oder das eingebettete Gerät gefährdet ist.

Machen Sie Windows-PC ohne IDE zu einem Linux-PC in einer relativ sicheren Konfiguration, während sshd ausgeführt wird. Portweiterleitung von Ihrem Router zum SSH-Port der Linux-Maschine. Verwenden Sie SSH-Tunnel, um eine Verbindung mit der IP des eingebetteten Geräts herzustellen. Wenn Sie dann auf Ihrem Remote-Computer mit einer IDE programmieren, stellen Sie eine Verbindung zu localhost anstelle der LAN-IP her.

Mit einem gehärteten Dienst wie SSH im Internet zuzuhören, ist ziemlich sicher. Mit Entwicklung alles direkt im Internet zu hören , ist eine unglaublich schlechte Idee. SSH ist ein Gatekeeper. Wenn Sie sich vergewissern, dass der Host-Schlüssel überprüft wird, schützt er absolut vor MITM. Es verwendet eine gute Kryptographie. Das Tunneling-Setup beinhaltet kein Routing oder Bridging, sondern es sieht so aus, als würden Sie direkt von der SSHD-Maschine aus eine Verbindung herstellen. Dies ist erheblich einfacher zu installieren.

Ich habe kürzlich eine bessere Lösung für den persönlichen Fernzugriff gefunden. Lassen Sie uns zunächst den Umfang des Problems besprechen. Es gibt drei Punkte, die ins Spiel kommen: das Nat, die IP-Adresse und die Sicherheit. In den üblichen Fällen, in denen Sie einen SSH- oder Webserver in einem Heimnetzwerk ausführen möchten, ist der traditionelle Ansatz die Portweiterleitung und dynamische DNS sowie branchenübliche Best Practices für die Sicherheit. Dies hat Nachteile für Ihren Fall, da Ihr Gerät nicht über Standardsicherheit verfügt. Dies kann durch die Verwendung der ssh-Portweiterleitung gemindert werden, anstatt das Gerät für das Internet zu öffnen.

Es gibt jedoch eine einfachere Lösung, und glauben Sie, dass dies versteckte Dienste sind oder nicht. Die verborgenen Dienste fungieren im Allgemeinen als Portweiterleitung. Sie werden jedoch automatisch für das Durchqueren von NAT verwendet. Die Adresse ist nicht geändert, sodass keine dynamischen DNS-Adressen erforderlich sind. Es gibt natürlich Probleme, dass die Zwiebeladresse schwer zu merken ist, aber wenn Sie der einzige Benutzer sind, können Sie ihn in einer Ihrer Projektdateien aufschreiben. Ich würde empfehlen, dies weiterhin mit einem SSH-Server zu vergleichen, um die Authentifizierung bereitzustellen, aber Sie können entscheiden, dass die lange Zwiebeladresse ausreichend ist. Versteckte Dienste bieten auch die Verschlüsselung der gesamten Verbindung mit Ausnahme des letzten Hops. Die einzige Möglichkeit, die Verschlüsselung zu verbessern, ist die Ende-zu-Ende-Verschlüsselung. Dies hängt jedoch von dem zu programmierenden Gerät ab.