NOWY TEMAT
elektroda NewsGroups Forum Index - Elektronika Polska - CGNAT a dostęp do usług bankowych, Netflixa i gier online moje do¶wiadczenia
Goto page Previous 1, 2, 3, 4, 5, 6
Mirek
Guest
Guest
Wed Jun 25, 2025 11:08 pm
W dniu 24.06.2025 o 15:57, x pisze:
Quote:
Kurwa. NIE. Milion klientów może być podł±czonych do jednego serwera na
jednym IP i mog± tworzyć milion VPN z tego serwera. Poj±łe¶ w końcu?
jednym IP i mog± tworzyć milion VPN z tego serwera. Poj±łe¶ w końcu?
NIE. Milion jednocze¶nie nie może.
--
Mirek
cezar
Guest
Guest
Thu Jun 26, 2025 12:32 am
On 6/25/25 21:31, Mirek wrote:
Quote:
W dniu 25.06.2025 o 09:52, J.F pisze:
Pewnie można zaryzykować. albo sprawdzic kilka kolejnych, na wypadek,
gdyby ktos się wci±ł.
Ale trafi na "dobry" router, co wylosuje, i d* :-)
No to się inicjuje więcej poł±czeń z jednej strony i wielokrotnie trafić
z drugiej strony. Na tej publikacji co podał kolega Cezar jest przykład:
256 zainicjowane poł±czenia i 1024 próby daje paradoksalnie 98% szans na
powodzenie.
Ciekawa sprawa jest z "simultaneous transmission trick" - nie wiem o co
chodzi, ale chyba nie o adresy multicastowe, bo to raczej też nie realne.
Teoretycznie gdyby wysłać pakiet do serwera uzgadniaj±cego p2p i
następnie zmusić jako¶ system, żeby użył tego samego socketu - czyli de
facto zmusić do przydzielenia takiego samego portu wyj¶ciowego i
następnie wysłać do docelowego peera to byliby¶my w domu.
Ale nie wiem czy tędy droga - może kolega Cezar nam wyja¶ni skoro
twierdzi że w tym siedzi.
Pewnie można zaryzykować. albo sprawdzic kilka kolejnych, na wypadek,
gdyby ktos się wci±ł.
Ale trafi na "dobry" router, co wylosuje, i d* :-)
No to się inicjuje więcej poł±czeń z jednej strony i wielokrotnie trafić
z drugiej strony. Na tej publikacji co podał kolega Cezar jest przykład:
256 zainicjowane poł±czenia i 1024 próby daje paradoksalnie 98% szans na
powodzenie.
Ciekawa sprawa jest z "simultaneous transmission trick" - nie wiem o co
chodzi, ale chyba nie o adresy multicastowe, bo to raczej też nie realne.
Teoretycznie gdyby wysłać pakiet do serwera uzgadniaj±cego p2p i
następnie zmusić jako¶ system, żeby użył tego samego socketu - czyli de
facto zmusić do przydzielenia takiego samego portu wyj¶ciowego i
następnie wysłać do docelowego peera to byliby¶my w domu.
Ale nie wiem czy tędy droga - może kolega Cezar nam wyja¶ni skoro
twierdzi że w tym siedzi.
to jest typowe "hole punching"
Peery wysyłaj± do siebie pakiety po UDP w tym samym czasie (a raczej w
małych odstępach czasowych), maj±c nadzieje że firewalle zakwalifikuj±
ję jako odpowiedzi na wysłane pakiety i otworz± kanał do transmisji po UDP.
Problem jest oczywi¶cie z tym że nie wiadomo jaki src port da firewall
pakietowi wychodz±cemu, dlatego zestawia się N poł±czeń żeby zwiększyć
szanse na trafienie.
Oczywi¶cie do tego potrzebny jest jaki¶ koordynator - NP poł±czenie po
TCP do jakiego¶ serwera, które wymienia informację pomiędzy peerami. To
poł±czenie nie jest używane póĽniej do przekazywania wła¶ciwych danych.
Tutaj na prędce napisałem klienta
https://smalldev.tools/share-bin/v1ZAJVmQ
i serwer do wymiany IP
https://smalldev.tools/share-bin/hTCznAFu
U mnie nawi±zuje otwiera firewalle po kilku sekundach ale s± raczej
głupawe, bo przydzielaj± porty Ľródłowe sekwencyjnie
c.
J.F
Guest
Guest
Thu Jun 26, 2025 10:12 am
On Wed, 25 Jun 2025 23:08:47 +0200, Mirek wrote:
Quote:
W dniu 24.06.2025 o 15:57, …Çťxá´‰“’Âí íí í pisze:
Kurwa. NIE. Milion klientw moe być pod‚Ä…czonych do jednego serwera na
jednym IP i mogÄ… tworzyć milion VPN z tego serwera. PojÄ…‚e› w ko„cu?
NIE. Milion jednocze›nie nie moe.
Kurwa. NIE. Milion klientw moe być pod‚Ä…czonych do jednego serwera na
jednym IP i mogÄ… tworzyć milion VPN z tego serwera. PojÄ…‚e› w ko„cu?
NIE. Milion jednocze›nie nie moe.
Chyba moe.
J.
J.F
Guest
Guest
Thu Jun 26, 2025 10:14 am
On Wed, 25 Jun 2025 23:00:20 +0200, Mirek wrote:
Quote:
W dniu 25.06.2025 o 17:55, cezar pisze:
On 6/25/25 01:12, …Çťxá´‰“’Âí íí í wrote:
W dniu 25.06.2025 o 01:53, …Çťxá´‰“’Âí íí í pisze:
https://imgur.com/GFxLWsXÂ Spjrz na adres w przeglÄ…darce :)
No cudownie... postawi‚e› sobie po ›rodku SERWER, ktry jest de facto
VPNem i on to zestawi‚ "p2p"
bana‚:
ssh -L 31761:<adres-kamery>:80 <user>@<adres-do-czego-mam-dostęp
On 6/25/25 01:12, …Çťxá´‰“’Âí íí í wrote:
W dniu 25.06.2025 o 01:53, …Çťxá´‰“’Âí íí í pisze:
https://imgur.com/GFxLWsXÂ Spjrz na adres w przeglÄ…darce :)
No cudownie... postawi‚e› sobie po ›rodku SERWER, ktry jest de facto
VPNem i on to zestawi‚ "p2p"
bana‚:
ssh -L 31761:<adres-kamery>:80 <user>@<adres-do-czego-mam-dostęp
Moment moment ... gdzies tu musi być "publiczny" adres IP.
J.
J.F
Guest
Guest
Thu Jun 26, 2025 10:17 am
On Wed, 25 Jun 2025 16:55:22 +0100, cezar wrote:
Quote:
On 6/25/25 01:12, …Çťxá´‰“’Âí íí í wrote:
W dniu 25.06.2025 o 01:53, …Çťxá´‰“’Âí íí í pisze:
Z przeglÄ…darkÄ… tak nie pjdzie.
Nie, nie pjdzie ale je›li pomiÄ™dzy przeglÄ…darkÄ… postawisz SERWER
(aplikacja), ktry zestawi to po‚Ä…czenie, to przeglÄ…darka bez problemu
to obs‚uy z adresu localhost
...wystawionego na odpowiednim porcie
dla przeglÄ…darki na danym kompie. Tak to dzia‚a. Wiem doskonale, e
tego nie robi‚e›, to skÄ…d masz mieć wiedzÄ™?
Masz prtscr
https://imgur.com/GFxLWsXÂ Spjrz na adres w przeglÄ…darce :)
No cudownie... postawi‚e› sobie po ›rodku SERWER, ktry jest de facto
VPNem i on to zestawi‚ "p2p"
Hole punching jest mi doskonale znany ale to nie wystarcza. Po to
powsta‚y te takie technologie jak ICE(+STUN) no i TURN bo nie zawsze
się da się przedostać przez fierewalle.
W przypadku symmetric NAT (czyli taki jak prawie kady router SOHO robi)
szansa wytworzenia dziury w dwch NATach jest ma‚a (ale jest)
Dok‚adnie w tym temacie siedzÄ™ zawodowo od 25 lat wiec mi nie pierdol e
wynalaz‚e› jaki› chi„ski cudowny patent, ktry rozwiÄ…zuje wszystkie
problemy NATw.
W dniu 25.06.2025 o 01:53, …Çťxá´‰“’Âí íí í pisze:
Z przeglÄ…darkÄ… tak nie pjdzie.
Nie, nie pjdzie ale je›li pomiÄ™dzy przeglÄ…darkÄ… postawisz SERWER
(aplikacja), ktry zestawi to po‚Ä…czenie, to przeglÄ…darka bez problemu
to obs‚uy z adresu localhost
...wystawionego na odpowiednim porcie
dla przeglÄ…darki
na danym kompie. Tak to dzia‚a. Wiem doskonale, e
tego nie robi‚e›, to skÄ…d masz mieć wiedzÄ™?
Masz prtscr
https://imgur.com/GFxLWsXÂ Spjrz na adres w przeglÄ…darce :)
No cudownie... postawi‚e› sobie po ›rodku SERWER, ktry jest de facto
VPNem i on to zestawi‚ "p2p"
Hole punching jest mi doskonale znany ale to nie wystarcza. Po to
powsta‚y te takie technologie jak ICE(+STUN) no i TURN bo nie zawsze
się da się przedostać przez fierewalle.
W przypadku symmetric NAT (czyli taki jak prawie kady router SOHO robi)
szansa wytworzenia dziury w dwch NATach jest ma‚a (ale jest)
Dok‚adnie w tym temacie siedzÄ™ zawodowo od 25 lat wiec mi nie pierdol e
wynalaz‚e› jaki› chi„ski cudowny patent, ktry rozwiÄ…zuje wszystkie
problemy NATw.
Hi hi - chinski patent moe ›wietnie dzia‚ać z routerkami TP-Link i
innymi chinskimi
A kto se kupi‚ lepszy ... to niech teraz molestuje support, e mu
kamery nie dzia‚ajÄ….
Moe siÄ™ sko„czyć tak, e chinczycy sprzedadzÄ… tym "lepszym" swj
patent :-)
J.
Mirek
Guest
Guest
Thu Jun 26, 2025 7:59 pm
W dniu 26.06.2025 o 10:14, J.F pisze:
Quote:
On Wed, 25 Jun 2025 23:00:20 +0200, Mirek wrote:
banał:
ssh -L 31761:<adres-kamery>:80 <user>@<adres-do-czego-mam-dostęp
Moment moment ... gdzies tu musi być "publiczny" adres IP.
banał:
ssh -L 31761:<adres-kamery>:80 <user>@<adres-do-czego-mam-dostęp
Moment moment ... gdzies tu musi być "publiczny" adres IP.
A czy ja napisałem, że nie musi? Ważniejsze jest, że to do czego się
chcesz przetunelować nie musi mieć dostępu do internetu, wpisanej bramy
czy dns, może mieć nawet Ľle wpisany adres ip (w innej sieci) i też się
da.
--
Mirek
Mirek
Guest
Guest
Thu Jun 26, 2025 8:36 pm
W dniu 26.06.2025 o 10:12, J.F pisze:
Quote:
On Wed, 25 Jun 2025 23:08:47 +0200, Mirek wrote:
W dniu 24.06.2025 o 15:57, x pisze:
Kurwa. NIE. Milion klientów może być podł±czonych do jednego serwera na
jednym IP i mog± tworzyć milion VPN z tego serwera. Poj±łe¶ w końcu?
NIE. Milion jednocze¶nie nie może.
Chyba może.
W dniu 24.06.2025 o 15:57, x pisze:
Kurwa. NIE. Milion klientów może być podł±czonych do jednego serwera na
jednym IP i mog± tworzyć milion VPN z tego serwera. Poj±łe¶ w końcu?
NIE. Milion jednocze¶nie nie może.
Chyba może.
AAA pewnie że może.
Pochrzaniło mi się, że milion za jednym natem (już problematyczne) do
jednego IP serwera VPN - to już na pewno się nie uda.
--
Mirek
J.F
Guest
Guest
Thu Jun 26, 2025 9:41 pm
On Thu, 26 Jun 2025 20:36:43 +0200, Mirek wrote:
Quote:
W dniu 26.06.2025 o 10:12, J.F pisze:
On Wed, 25 Jun 2025 23:08:47 +0200, Mirek wrote:
W dniu 24.06.2025 o 15:57, x pisze:
Kurwa. NIE. Milion klientów może być podł±czonych do jednego serwera na
jednym IP i mog± tworzyć milion VPN z tego serwera. Poj±łe¶ w końcu?
NIE. Milion jednocze¶nie nie może.
Chyba może.
AAA pewnie że może.
Pochrzaniło mi się, że milion za jednym natem (już problematyczne) do
jednego IP serwera VPN - to już na pewno się nie uda.
On Wed, 25 Jun 2025 23:08:47 +0200, Mirek wrote:
W dniu 24.06.2025 o 15:57, x pisze:
Kurwa. NIE. Milion klientów może być podł±czonych do jednego serwera na
jednym IP i mog± tworzyć milion VPN z tego serwera. Poj±łe¶ w końcu?
NIE. Milion jednocze¶nie nie może.
Chyba może.
AAA pewnie że może.
Pochrzaniło mi się, że milion za jednym natem (już problematyczne) do
jednego IP serwera VPN - to już na pewno się nie uda.
Za zwykłym, prostym NAT - nie może, bo choćby nr portów zabraknie
(16 bit - ciekawe sk±d w chinskim patencie nr portu 80000).
Ale przecież NAT może miec więcej wychodz±cych adresów IP,
albo liczyc, że nie wszyscy będ± naraz jakie¶ sesje mieli.
Ale do jednego serwera VPN to chyba mog±, bo port przychodz±cy jeden.
J.
Mirek
Guest
Guest
Thu Jun 26, 2025 10:20 pm
W dniu 26.06.2025 o 21:41, J.F pisze:
Quote:
Za zwykłym, prostym NAT - nie może, bo choćby nr portów zabraknie
(16 bit - ciekawe sk±d w chinskim patencie nr portu 80000).
(16 bit - ciekawe sk±d w chinskim patencie nr portu 80000).
Też to zauważyłem i w tym momencie odechciało mi się czytać.
Quote:
Ale przecież NAT może miec więcej wychodz±cych adresów IP,
albo liczyc, że nie wszyscy będ± naraz jakie¶ sesje mieli.
Teoretycznie może, praktycznie rutery maj± dużo mniejsze limity.
Quote:
Ale do jednego serwera VPN to chyba mog±, bo port przychodz±cy jeden.
Ale nie VPN za natem tylko klienci. Pakiety będ± wracały z tym samym
adresem Ľródłowym, porcie Ľródowym, adresem docelowym i zostaje 2^16
portów docelowych.
--
Mirek
Mateusz Viste
Guest
Guest
Fri Jun 27, 2025 8:56 am
On Thu, 26 Jun 2025 22:20:47 Mirek <mirek@null.dev> wrote:
Quote:
Ale nie VPN za natem tylko klienci. Pakiety będ± wracały z tym samym
adresem Ľródłowym, porcie Ľródowym, adresem docelowym i zostaje 2^16
portów docelowych.
adresem Ľródłowym, porcie Ľródowym, adresem docelowym i zostaje 2^16
portów docelowych.
Minus jeden, bo port zerowy taki trochę mało użyteczny.
A w praktyce mniej, bo wysyłanie klienckich pakietów w ¶wiat z portem
Ľródłowym < 1024 może być niemile widziane.
No i ten VPN musi latać po UDP albo TCP. Z takim np. GRE albo
niekapsułkowanym ESP już tylko jeden klient może być w stanie się
poł±czyć w danej chwili.
Mateusz
Mirek
Guest
Guest
Fri Jun 27, 2025 6:04 pm
W dniu 26.06.2025 o 00:32, cezar pisze:
Quote:
Peery wysyłaj± do siebie pakiety po UDP w tym samym czasie (a raczej w
małych odstępach czasowych), maj±c nadzieje że firewalle zakwalifikuj±
ję jako odpowiedzi na wysłane pakiety i otworz± kanał do transmisji po UDP.
małych odstępach czasowych), maj±c nadzieje że firewalle zakwalifikuj±
ję jako odpowiedzi na wysłane pakiety i otworz± kanał do transmisji po UDP.
A nie da się przej¶ć po tym samym na TCP?
W ogóle taki NAT odróżnia TCP od UDP?
Ja w sumie to jestem zdziwiony, że do UDP tworzy się kanał zwrotny...
--
Mirek
cezar
Guest
Guest
Fri Jun 27, 2025 11:37 pm
On 6/27/25 17:04, Mirek wrote:
Quote:
W dniu 26.06.2025 o 00:32, cezar pisze:
Peery wysyłaj± do siebie pakiety po UDP w tym samym czasie (a raczej w
małych odstępach czasowych), maj±c nadzieje że firewalle zakwalifikuj±
ję jako odpowiedzi na wysłane pakiety i otworz± kanał do transmisji po
UDP.
A nie da się przej¶ć po tym samym na TCP?
Nie ma szans. Można oczywi¶cie "encapsułować" TCP w UDP (nie wiem czy
Peery wysyłaj± do siebie pakiety po UDP w tym samym czasie (a raczej w
małych odstępach czasowych), maj±c nadzieje że firewalle zakwalifikuj±
ję jako odpowiedzi na wysłane pakiety i otworz± kanał do transmisji po
UDP.
A nie da się przej¶ć po tym samym na TCP?
Nie ma szans. Można oczywi¶cie "encapsułować" TCP w UDP (nie wiem czy
jest jaki¶ polski odpowiednik encapsulate - słownik podaje kapsułkować
ale dziwnie brzmi)
Ale UWAGA-UWAGA ... nadchodzi QUIC to takie TCP over UDP
HTTP/3 na tym stoi.
Quote:
W ogóle taki NAT odróżnia TCP od UDP?
Jak najbardziej
Jak najbardziej
popatrz sobie w /proc/sys/net/netfilter/nf_conntrack_* (lub
ip_conntrack_*)
Quote:
Ja w sumie to jestem zdziwiony, że do UDP tworzy się kanał zwrotny...
bez 3-way handshake to najlepsza metoda na uzyskanie 2-kierunkowej
komunikacji.
elektroda NewsGroups Forum Index - Elektronika Polska - CGNAT a dostęp do usług bankowych, Netflixa i gier online moje do¶wiadczenia