Sign in to follow this  
Followers 0
дохтур

Ноутбук как раздатчик впн и прокси.

28 posts in this topic

Ноутбук как раздатчик впн и прокси. Имеется узбекская проблема с воспроизведением жутуб на смарт тв.  есть ли возможность раздавать с ноутбука проксированный ву-фу ?  

Безымянны1.jpg

0

Share this post


Link to post
Share on other sites

Один из вариантов:

модем => кабель => нубук => openVPN => виртуалка => раздача ву-фу => смарт тв 

1

Share this post


Link to post
Share on other sites
1 час назад, arniloz сказал:

Один из вариантов:

модем => кабель => нубук => openVPN => виртуалка => раздача ву-фу => смарт тв 

ставил гудбайдпи  и виртуал роутер, но не помогло.

0

Share this post


Link to post
Share on other sites
2 hours ago, arniloz said:

виртуалка

Виртуалка - в смысле virtualbox

0

Share this post


Link to post
Share on other sites
40 минут назад, дохтур сказал:

ставил гудбайдпи  и виртуал роутер, но не помогло.

Не будет работать, потому что NAT работает на уровне драйвера ядра системы, а goodbyedpi на юзерспейсе через драйвер виндиверт, который сидит как перехватчик пакетов верхнего уровня.

1

Share this post


Link to post
Share on other sites

Подскажите какую программу использовать.   

0

Share this post


Link to post
Share on other sites
1 час назад, Real Root сказал:

Не будет работать, потому что NAT работает на уровне драйвера ядра системы, а goodbyedpi на юзерспейсе через драйвер виндиверт, который сидит как перехватчик пакетов верхнего уровня.

nat тоже один из "верхних" уровней, ip4 или ipv6, автору нужно перебрать разные реализации nat и найти ту, которая корректно работает с сетевым стеком

0

Share this post


Link to post
Share on other sites
2 часа назад, МОРФЛОТ сказал:

nat тоже один из "верхних" уровней, ip4 или ipv6, автору нужно перебрать разные реализации nat и найти ту, которая корректно работает с сетевым стеком

Сам NAT работает на сетевом уровне. Виндиверт на транспортном. Т.е. NAT - это IP протокол, а goodbyedpi рпботает с windivert на уровне tcp протокола. 

Тут не прлучится найти разные реализации nat,  ибо все они используют родной виндовый драйвер, а для контроля несакционированного доступа рядом висит свой собственный драйвер который если что шлет drop.

Я давно очень не юзал на винде, но раньше свой нат был толкьо в юзергейте. Но это была жопа. В Traffic Inspector и Tmeter использовали виндовый драйвер.

И нат работает ну никак не высоко. Ниже него только физический и канальный уровни, притом что физический уровень - это среда передачи данных.

Edited by Real Root
0

Share this post


Link to post
Share on other sites
2 часа назад, Real Root сказал:

Сам NAT работает на сетевом уровне. Виндиверт на транспортном. Т.е. NAT - это IP протокол, а goodbyedpi рпботает с windivert на уровне tcp протокола.

nat это не ip протокол, это махинации с tcp/udp пакетами (адреса и номера портов), по уровню согласен, вставка между сетевым и транспортным уровнем

Цитата

The forward layer does not interact well with the Windows NAT: It is not possible to block packets pre-NAT with WinDivert. As a general principle, you should not try and mix WinDivert at the forward layer with the Windows NAT implementation.

походу windivert вообще не может работать с windows nat, т.е. форвардпакеты цепляются, но только если они родом не из nat

Edited by МОРФЛОТ
0

Share this post


Link to post
Share on other sites

А в чём проблемы? На ноут ставится впн, а ноут является шлюзом для других устройств

0

Share this post


Link to post
Share on other sites
9 минут назад, Korsar сказал:

А в чём проблемы? На ноут ставится впн, а ноут является шлюзом для других устройств

openvpn успешно блокируется провайдерами

0

Share this post


Link to post
Share on other sites
6 часов назад, arniloz сказал:

Виртуалка - в смысле virtualbox

virtualbox - это вообще эмулятор, позволяющий запустить из под оной ос, другую ос. К данному вопросу какое отношение имеет?

0

Share this post


Link to post
Share on other sites
3 минуты назад, МОРФЛОТ сказал:

openvpn успешно блокируется провайдерами

Бред.

Стандартный порт наверное да. Но как технология нет. Даже стандартный ppoe - таже виртуалка

2

Share this post


Link to post
Share on other sites
1 час назад, МОРФЛОТ сказал:

nat это не ip протокол, это махинации с tcp/udp пакетами (адреса и номера портов), по уровню согласен, вставка между сетевым и транспортным уровнем

Давай подумаем: в tcp протоколе есть IP адрес? Нету. Нат что делает? Подменяет ip адрес. Выполняет т.н. маскарадинг. Другое дело что со временем был придумал dnat для того чтобы можно было открыть порты в локалку, причем выборочно. Для этого драйвер в винде и нетфильтр в линухе научили заглядывать на транспортный уровень.

Но в классическом виде нат работает на сетевом уровне.

Edited by Real Root
0

Share this post


Link to post
Share on other sites
24 минуты назад, Korsar сказал:

Бред.

Стандартный порт наверное да. Но как технология нет. Даже стандартный ppoe - таже виртуалка

не бред. на саркоре успешно блочится openvpn на уровне dpi на любом порту

1

Share this post


Link to post
Share on other sites
10 минут назад, Real Root сказал:

Нат что делает? Подменяет ip адрес. Выполняет т.н. маскарадинг.

Но в классическом виде нат работает на сетевом уровне.

убедил, но все же одной подмены ip мало, даже классический nat лезет внутрь tcp/udp пакетов за исходящим номером порта, но не передает его дальше на транспортный уровень

p.s. драйвер windivert работает на сетевом уровне, т.е. можно реализовать свой собственный NAT/firewall на user-mode уровне

0

Share this post


Link to post
Share on other sites

Сейчас курю форум опенвпн,  если запустить на нубуке опенвпн, который подключен к по проводу к модему.  будет ли ноутбук раздавать вайфай уже без узбекского евдзора?

MyPublicWiFi   и Virtual_Router_Setup

0

Share this post


Link to post
Share on other sites
1 час назад, МОРФЛОТ сказал:

убедил, но все же одной подмены ip мало, даже классический nat лезет внутрь tcp/udp пакетов за исходящим номером порта, но не передает его дальше на транспортный уровень

p.s. драйвер windivert работает на сетевом уровне, т.е. можно реализовать свой собственный NAT/firewall на user-mode уровне

Зачем ему лезть и подменять что-то в исходящих и ответных запросах?  Это нат даже делать не умеет.

В linux есть маршрутизация по портам. Так вот даже там это делается не через нат совсем, а нетфильтром заглядываешь в tcp заголовок, смотришь порты, и если в match-set входит порт, то помечаешь его через set-mark. Затем создаешь свою prerouting в mangle и заворачиваешь через iptables весь помеченный тоафик туда. Затем, создаешь отдельную таблицу маршрутизации (в linux их доступно 65536, но по умолчанию используется только 3) и затем создаешь ip rule - from all conmark "метка" lookup table "table name". Т.е. натинг не заглядывает в дата сегмент ip пакета. То что внутри него - ему пофиг. Соответственно он даже не смотрит что там внутри него.

0

Share this post


Link to post
Share on other sites
6 минут назад, Real Root сказал:

Зачем ему лезть и подменять что-то в исходящих и ответных запросах?  Это нат даже делать не умеет.

я же написал зачем, без номера исходящего порта nat не сможет отправить пакеты в обратном направлении.

на исходящих портах построен механизм сессий в tcp/udp

0

Share this post


Link to post
Share on other sites
9 часов назад, МОРФЛОТ сказал:

я же написал зачем, без номера исходящего порта nat не сможет отправить пакеты в обратном направлении.

на исходящих портах построен механизм сессий в tcp/udp

Это частный случай одной из реализаций. В первых версиях, если порт был уже занят, то приходил reject, т.к. чем на более высокий уровень мы поднимаемся тем больше ресурсов роутера нужно. Помимо tcp/udp есть еще icmp, gre и целая куча что так же натится и не имеет портов на борту.

0

Share this post


Link to post
Share on other sites

извиняюсь что влезаю в ваши заумные(для меня) дебаты.  есть ли выход из создавшего положения?   подскажите.

1

Share this post


Link to post
Share on other sites
2 часа назад, Real Root сказал:

Это частный случай одной из реализаций. В первых версиях, если порт был уже занят, то приходил reject, т.к. чем на более высокий уровень мы поднимаемся тем больше ресурсов роутера нужно. Помимо tcp/udp есть еще icmp, gre и целая куча что так же натится и не имеет портов на борту.

это стандартная реализация, с которой сталкиваются все конечные пользователи (nat внутри wi-fi роутера, винда и т.п.)

в icmp вместо портов использует отдельное поле, nat парсит icmp пакет, запоминает это поле, сам пакет почти не меняется (вроде)

 

0

Share this post


Link to post
Share on other sites
14 часов назад, МОРФЛОТ сказал:

openvpn успешно блокируется провайдерами

шта?  семь лет пользуюсь для общей сетки с серверами

0

Share this post


Link to post
Share on other sites
7 часов назад, дохтур сказал:

извиняюсь что влезаю в ваши заумные(для меня) дебаты.  есть ли выход из создавшего положения?   подскажите.

Есть. Вай фай раутер вместо модема и HDMI кабель от ноута до телека.

0

Share this post


Link to post
Share on other sites
В 13.02.2019 в 22:27, МОРФЛОТ сказал:

убедил, но все же одной подмены ip мало, даже классический nat лезет внутрь tcp/udp пакетов за исходящим номером порта, но не передает его дальше на транспортный уровень

Не стал голословно спорить, и решил проверить на практике, все руки не доходили.

Для теста запускаем закачку по http в несколько потоков. Запускам 2 раза для чистоты эксперимента.

Итак что имеем:

TCPView с компа за NAT:

2RDhv.png

А это вывод NAT с роутера:

2RDhw.png

И второй раз:

2RDhx.png

2RDhy.png

Как видно в обоих случаях - порт после обработчика NAT не меняется, а остается тем же. И все это на не слабо нагруженном роутере с 1500 установленных соединений через NAT

0

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now
Sign in to follow this  
Followers 0