Selbst gehostete LAN-über-Internet-Lösung wie Hamachi

3608
Trevor Rudolph

Ich möchte ein VPN einrichten, das LAN über Internet bietet, ähnlich wie ein Hamachi-Mesh-Server, der es Peers im Netzwerk ermöglicht, direkt über IPs auf der Schnittstelle zu kommunizieren, während der reguläre Datenverkehr zum Hauptnetzwerkadapter geleitet wird (beispielsweise eth0 oder wlan0) ).

Ich habe viele Ressourcen, aber ich finde anscheinend kein passendes Setup. Ich habe in SoftEther nachgesehen, aber es scheint, als ob es meine Bedürfnisse nicht erfüllt.

Mein Bedürfnis ist es, einen Mesh-VPN-Server auf meinem Heimserver (der eine öffentliche IP-Adresse besitzt) zu erstellen und manuell eine Verbindung herzustellen (ähnlich wie bei Hamachi), damit meine Kollegen mit meinem Heimcomputer als zentraler Server interagieren können. Ich benötige dies, um einige meiner Arbeitscomputer anzuschließen, wenn ich nicht in Betrieb bin. Mein Hauptanliegen ist das Tunneling von UDP-Verkehr.

Gibt es eine selbst gehostete Hamachi-ähnliche Lösung, die nicht als Gateway, sondern als LAN über das Internet fungiert?

1

1 Antwort auf die Frage

5
grawity

das fungiert nicht als Gateway sondern als LAN über Internet?

Nahezu jede VPN-Software kann sich so verhalten. In der Tat ist dies normalerweise die Standardeinstellung. Konfigurieren Sie den Server einfach nicht so, dass er eine Standardroute bereitstellt, und das ist es - Sie erhalten ein VPN, das nur für sein bestimmtes Subnetz funktioniert.

Das heißt, wenn Sie ein Mesh wollen:

Die übliche Empfehlung ist Tinc (möglicherweise sogar der 1.1-Zweig). Es scheint in der Lage zu sein, beliebige Mesh-Topologien mit Weiterleitung auf IP- oder Ethernet-Ebene (Switch-Modus) einzurichten. Broadcast wird unterstützt (Multicast-Pakete werden als Broadcast behandelt).

ZeroTier befindet sich irgendwo in der Mitte: Es versucht, möglichst direkte Verbindungen zu verwenden (sogar das Durchstoßen von NATs), greift ansonsten aber auf das Übermitteln von Superknoten zurück. Es ist möglich, einen eigenen Controller und Superknoten zu hosten, dies ist jedoch selten erforderlich. Multicast und Broadcast werden unterstützt (mit Einschränkungen).

Dann gibt es OpenVPN, das eher auf Client-Server basiert. (Es hat ein Client-zu-Client-Flag, aber keine NAT-Holepunching-Funktionen.) Ein normaler OpenVPN-Server klingt so, als würde er für Sie funktionieren, wenn Sie ihn jedoch im Tap- Modus einrichten (im Gegensatz zum Standard) tun ), dann wird beliebiger Ethernet-Verkehr weitergeleitet, anstatt auf IP beschränkt zu sein.

(Alle oben genannten Funktionen funktionieren unter Linux, FreeBSD und Windows.)

Schließlich gibt es je nach Betriebssystem viele leichtgewichtige, manuell konfigurierte Tunneltypen - beispielsweise GRE oder L2TP. Sie werden etwas unhandlich, wenn das Netzwerk wächst, da Sie jeden Punkt-zu-Punkt-Link von Hand einrichten müssen (kein Lochen, keine Verschlüsselung, wenn Sie nicht IPsec hinzufügen), aber ... sie sind im Grunde das Klebeband des Netzwerks .

Beachten Sie, dass es wahrscheinlich keine Software gibt, die alle Plattformen unterstützt. In einigen Fällen müssen Sie Pakete nur zwischen zwei oder drei Netzwerken routen. Beispielsweise möchten Sie Tinc auf PCs ausführen, aber die Verbindung über OpenVPN von einem iPhone aus herstellen. Das ist in Ordnung, solange der OpenVPN-Server über eine Route für das Tinc-Subnetz verfügt und umgekehrt. (Dasselbe gilt für das Routing zwischen dem "LAN über Internet" und Ihrem regulären LAN.)

Also versucht ZeroTier als Broker beständiges NAT-Lochen mit dem Server durchzuführen, hat aber einen VPN-Fallback? Trevor Rudolph vor 7 Jahren 0
@ TrevorRudolph: Ja - und es ist immer noch ein VPN. "VPN" impliziert keinerlei zentrales Relaying. grawity vor 7 Jahren 2
Ja, verstanden. Ich muss etwas über die verschiedenen Netzwerkebenen nachforschen (2 vs 3) Trevor Rudolph vor 7 Jahren 0
Kurz gesagt: Sie benötigen ein L2-VPN für Protokolle, die nicht über IP laufen. (Zum Beispiel MPLS; IPX oder AppleTalk (für alte Spiele); IS-IS; ...) Die reine IP-basierte Kommunikation funktioniert mit beiden Arten, obwohl L3 etwas weniger Overhead hat (kein Ethernet-Header im Tunnel). grawity vor 7 Jahren 0
Ja, ich würde lieber den Aufwand reduzieren. Ich werde für L3 schießen. Ich kann OpenVPN wahrscheinlich im TUN-Modus einrichten, da meine Kommunikationswege <100 MBit / s sind. Ich bezweifle, dass ich ein Mesh-Netzwerk benötige, wenn mein Datenfluss wie Travel Location -> Server -> Arbeitsgeräte hinter Office NAT aussieht. Normalerweise würde ich einen SSH-Tunnel verwenden, aber das Programm, an dem ich arbeite, hat seine eigene Portauswahl. Trevor Rudolph vor 7 Jahren 0
Sie benötigen kein Mesh, aber es kann sicherlich die Latenz reduzieren, wenn die Software eine direkte Verbindung herstellt. Das heißt, es sei denn, Ihr VPN-Server wird auch bei der Arbeit gehostet. Dennoch ist OpenVPN im Modus "Topologie-Subnetz; tls-server" ein guter Anfang. grawity vor 7 Jahren 1

Verwandte Probleme