>> |
№179578
>>179534 > Что именно не так? Использование чужих вспомогательных сервисов для своих нужд. > К ним подключаешься и они координируют процесс пробивания, чтобы построить туннель. Якобы. Так оно так и будет, вот только в пределах самого протокола i2p скорее всего. Как и в других случаях с другими протоколами, так то и сетевые игры умеют простреливать nat, и всякие вайберы и тому подобное. Беда в том, что для использования чужих спец.нод придется у себя что на клиенте, что на сервере, припиливать часть их протокола.
Для openvpn это совсем неестественный сценарий, так как подразумевается что сервер всегда способен принять входящее подключение. А чтобы завести его за nat, придется как минимум что-то сильно в нем сломать или завернуть весь трафик к vpn серверу через самокодное порно, которое будет постоянно долбить тот же stun и постоянно держать соединение к заранее заданному turn серверу, клиенту тоже нужна будет эта обертка, чтобы достучаться до сервера, надо будет на лету подменять в пакетах порты, ведь ни клиент, ни сервер не знает, с каким исходящим портом пакеты из провайдерских маршуртизаторов вышли, и соответственно на какие порты трафик на самом деле нужно гнать, и еще надо придумать как прозрачно для сервера провернуть бэкконнект, ведь твой сервер может попасть за непробиваемый nat, и соединение можно будет поднять только в случае, если nat прострелился с клиентской стороны. Еще есть гаденький нюанс, когда на удаленной стороне пакеты, которые непонятно куда слать не выбрасываются молча, а железяка шлет на них rst в ответ, и надо сделать как-то так, чтобы эти пакеты до плохого маршрутизатора не доходили, но оборудование за ним знало, что эти пакеты к нему шли, и такие трюки уже просто так не провернуть.
> в VPN из внешних интернетов домой будет неудобно ходить через такие дырки? Напрямую через такие дырки даже и пытаться ходить не стоит, а что можно и нужно в таких случаях, так это поднять hidden service на сервере, выставить на этот скрытосервис свой vpn, и через скрытосеть ходить в свою сеть, это вполне ходовой и рабочий способ, так и rdp пробрасывали, и ssh, и много чего.
Самый главный нюанс в том, что с nat тебе никто ничего не гарантирует, завтра провайдер установит какой-то очень крутой и дорогой маршрутизатор, а там nat злючий, и лафа закончилась.
>>179566 > Что ему вообще нужно кроме одного порта и пары IP? Технически, ничего кроме них, фактически, при любом чихе или глюке в сети придется снова пересоединяться через промежуточный сервер. Самый гадкий в подобном плане мобильный интернет.
>>179564 > в том, что все inbound режется на корню Так nat иначе и не работает, если прямо не настроен форвардинг. Если в сторону маршрутизатора прилетел непонятный пакет, от ip и с порта, на который никто из его внутренней сети ничего не слал, то куда это ему отправить дальше? В мусор разве что...
Для начала просто поспамить бы на какую-то удаленную машину netcat ом, задавая себе вручную исходящий порт, а на удаленной машине глянуть с каких портов трафик прилетал, чтобы понять можно ли со стороны подключениия сервера nat прострелить. Проще всего соседа с укртелекомом найти, у них всегда публичный ip, и настроить на роутере dmz в сторону тестовой машины.
>>179540 > он очень плохо работает Он пытается как может. Лучше всего эффект заметен при скачке какого-то торрента, который качает очень много народу. Игры в основном. Пока в твоем клиенте идет скачка, и он очень бодро сорит исходящими пакетами, при правильном nat со стороны провайдера, как только у тебя закончилась закачка, отдача будет очень бодренько идти, не сказать что прямо как на соединении с открытым портом, но с десятками качающих в клиенте. Стоит только перезапустить компьютер, или неважно что еще сделать, лишь бы соединения оборвались и поотваливались по таймауту - сюрпрайз, количество качающих сваливается до чисел меньше 10. Правда когда раздача немного пораздается, праздник начинается снова, и иногда даже можно на какой-то 2ip сходить, вбить входящий порт своего торрент-клиента, и узреть что порт открыт, но обычно такого не бывает, а просто идет обмен между двумя компами за провайдерскими natами.
>>179540 > Воле или Киевстаре нужно что-то изобретать в обход CG-NAT и тупорылого саппорта На Киевстаре оно не настолько ужасное, если говорить о домашнем интернете, им тупо надо наврать что ты пообщался с их представителем в магазине киевстар, и тебе сказали на 466 позвонить, подключить услугу "публічна ip адреса", а дальше по ситуации, обычно вопросов они не задают.
|