[Berlin-wireless] tunnel

[Sven-Ola Tuecke]

Tobias,

was'n das fuer eine ulkige Software? Von Anfaengern gemacht? So etwa stimmts:
eine *Server*-Software hat einen festen Port. Darum kann man nur eine 
Server-Instanz betreiben, z.B. genau einen http-Server auf einem Rechner mit 
dem einem Port 80. Ein *Client* waehlt aber immer einen zufaelligen Port als 
Quell-Port fuer seine Anfrage an den Server. Darum kann man mehrere 
Client-Programme starten. Macht jeder Web-Browser: Einfach gleichzeitig ein 
paar Bilder ziehen waehrend die HTML-Seite laedt. Dann klappts auch mit dem 
NAT.

Es gibt Sonderdroesel, die sind gleichzeitig Server+Client. Da nuetzt 
allerdings auch kein Tunnel, denn man kann (mit oder ohne Tunnel) nur einmal 
auf einem Rechner auf einem Port lauschen.

Und es gibt Protokolle, die nicht ueber NAT laufen. Weil sie waehrend der 
Arbeit dynamisch neue Verbindungen aufbauen oder weil interne IP-Adressen 
irgendwo im Protokoll mittransportiert werden. ActiveFTP ist so eins. Du 
kontaktest einen Server und forderst den auf, dir eine Datei zu senden. Dazu 
will der Server jetzt eine Verbindung in *Deine Richtung* aufbauen. Ein 
NAT-Gateway weiss allerdings zu diesem Zeitpunkt nichts von einer neuen 
Verbindung und kann es nicht bis zu dir durchschalten (selbst wenn der 
Firewall tolerant ist und einen hereinkommende Verbindung zulaesst). Fuer 
ActiveFTP gibts eine Loesung: Der NAT-Server "belauscht" die 
FTP-Kommunikation und kann erahnen "jetzt muss eine Verbindung kommen, die 
gehoert zu der-und-der FTP-Sitzung" und kanns dann durchschalten. Dieser 
"Trick" Ist aber haeufig nicht eingerichtet.

Richtig: Mit einer Tunnel-Software kann man das alles umgehen. Geht aber nicht 
mit SSH/PuTTY, weil da nur ein einziger Port uebertragen wird. Unter OpenVpn 
klappts mit dem "tun"-Device. Brauchst du auch noch Broadcasts (z.B. fuer 
Windows-Netzwerklaufwerke) dann geht das nur ueber das "tap"-Device. Sowohl 
bei tun als auch bei tap kommunzieren Server+Client ueber interne IP-Adressen 
(benutzen das dazwischenliegende Zeugs also als Transportmedium). Tunneln ist 
immer eine Antwort, wenn man mit bestimmten Eigenschaften des Transportnetzes 
nicht einverstanden ist (maximale Paketgroesze, IP-Adress-Mogeleien, 
Verschluesselungen etc).

Von Freifunk zu Freifunk kann man IPIP-Tunnel bauen. Das ist ganz billig. Fuer 
alles anderen nimmst du am besten OpenVpn. Das geht auch ueber NAT oder wenn 
eine Zwischenstation nur eine MTU von 250 hat. Unverschluesseltes OpenVpn ist 
recht einfach eingerichtet. Mit Schluesseln isses etwas heftiger - guck ins 
"easy-ca"-Verzeichnis im Quelltext von OpenVpn...

(Jetzt kommt bestimmt wieder der Spruch mit dem "Ich will doch nur...". 
Antwort: Es gibt Dienstleister fuer sowas.)

Grusz, Sven-Ola

Am Samstag 07 Januar 2006 23:55 schrieb Tobias Strauß:
> Hi,
>
> für folgende Fragestellung suche ich ein Lösung:
>
> Software X auf A kommuniziert über feste Ports mit einem Server B.
> Dazwischen hängt ein Nat-Gateway. Kein Problem. Funktioniert. Aber
> Leider nur einmal. Ein zweite Instanz von X schießt mir die erste ab.
> Logisch.
>
> Mein erster Gedanke: tcp-ip Tunnel. Glücklicherweise habe ich einen
> Rechner im Netz zur Verfügung (Linux 2.6), welcher direkt mit einer
> festen IP angebunden ist.
>
> A (1) TUNNEL_START----> NAT-GATEWAY-----> TUNNEL_ENDE,TUN-SERVER
> -------> B
>
>
> A (2) -----> NAT-GATEWAY-------> B
>
> A und TUN-SERVER kann ich manipulieren.
>
> Folgende Seite fand ich schon hilfreich. Doch reicht mein Englisch
> nicht, um die Szenarien zu verstehen.
> http://www.linux.org/docs/ldp/howto/NET3-4-HOWTO-6.html
>
> Gruss
>
> Tobias

-------------- nächster Teil --------------
_______________________________________________
Berlin mailing list
Berlin at olsrexperiment.de
https://olsrexperiment.de/cgi-bin/mailman/listinfo/berlin