web-dev-qa-db-ja.com

インターネットからLAN内のデバイスにアクセスする

私はそれが次のようにPCと同じルータに接続されているとき私はイーサネットIPを介してプログラムすることができる組み込み機器を持っています。

enter image description here

インターネット全体でトラフィック全体を送信しても、それをプログラムすることは可能ですか?もう少し明確にすると、次のようになります。

enter image description here

18
Engine

簡単な(そして安全でない)方法

あなたが探しているものはポート転送と呼ばれます [ 1 ][ 2 ]

たとえば、次のように仮定しましょう。

  • プログラマブルデバイスはポート22上で動作し、IP 192.168.1.5を持ちます。

  • あなたの公開IPは122.176.11.55です

それからルーターの設定に入り、WANポート(例えば8022)を192.168.1.5:22に転送します。

これで、IDEの122.176.11.55:8022の代わりに192.168.1.5:22にアクセスして、インターネットを介してどこからでもデバイスにリモートアクセスできます。

あなたが静的IPを持っていない限り、あなたのパブリックIPはいつでも変わる可能性があることを覚えておいてください、その場合あなたは 動的DNSサービス をチェックするべきです。

NOTE:デバイスに認証方法がない限り、悪意のある意図により、ほぼ確実にそれが開かれているウェブ上にアクセスされるでしょう。安全な代替案については下記を参照してください。

安全な(そして正直なところそれほど複雑ではない)方法

PC(またはRaspberry Piなど)をネットワークに接続したままにし、代わりにSSHなどの安全な方法でthatにアクセスし、LAN経由でデバイスをプログラムします。 。
これは、あなたのデバイスがTCPやUDP :)を使わなくても動作するという追加の利点があります。

ちょっと退屈な、そうです。しかし安全です。

50
rahuldottech

唯一の正解は「VPN」です。

IPv6を使用するだけで「動作」しますが(ルータがデバイスからファイアウォールで保護されるように設定されておらず、ISP、デバイス、ラップトップのすべてがIPv6をサポートしていると仮定します)、それはポート転送と同じ理由でひどい考えです。

よく知られているIPv6の宣伝によって宣伝されている以外に、あなたは実際にeverあなたのLAN上のデバイスのどれもが一意的に識別可能であること、あるいはインターネットからアクセスできることさえ望まない。いいえ、それはnot良いことです。

ポートフォワーディングは古き良きIPv4で「機能する」でしょうが、それはデバイスをあなただけでなく誰にでもアクセス可能にします。誰も知らないので、それは問題ない、そうでしょ?
24時間365日稼働し、ランダムなアドレス/ポートをスキャンし、どこにでも答えられる可能性があるので、一般的にanydeviceを使用する自動ポートスキャナーの軍隊があります。オンラインで外部の要求に答えるのは最適ではありません。ネットワーク経由で入ってきたものに従って、デバイスがプログラムされたを喜んで持っている場合、それは惨状のレシピです。
上記はVPNにも原則として当てはまりますが、アクセスが必要な場合は、得られるものとほとんど同じです。唯一の本当に安全なことはまったくインターネットに接続できないことです。これは明白な理由から実用的な選択肢ではありません。 「インターネットなし」に次に安全なものはVPNです。ちょうど1つのデバイス上の厳密に1つのポート(まあ、それは最大3つのポートに依存します)、VPNおよび他に何も公開していない、インターネットへのポート転送。

VPNを使えば、インターネット上の経由でLAN上のデバイスにアクセスできます(同じLAN上にいるかのようになります)。不正アクセスを防ぎ、機密性とデータの完全性を提供します。

ほとんどすべての簡単なルーターは、箱から出してすぐに少なくとも1種類のVPNをサポートします。不幸なことに、あなたが持っているルーターモデルによっては、これはVPNの風味が悪いか、リモートコンピュータの設定方法についての文書化が不十分な場合があります。それでも、それを設定する方法を考え出すのに可能な面倒にもかかわらず - あなたにもっと良いものがなければ、それははるかに最良の選択肢です!
最も一般的なNASボックスでは、2つか3つのVPNの吸い込まない方法をサポートしており、20ドルのクレジットカードサイズの3ワットコンピュータごとにVPNサーバーを実行できます。最近の携帯電話の多くでも、追加のソフトウェアをインストールすることなくVPNをサポートしているため、携帯電話のモバイルインターネットを使用しているときでも(プライベートホットスポット経由でも)ホームネットワークにアクセスできます。

たとえば、L2TP/IPSecは最も優れた選択肢ではないかもしれませんが、99%の品質で、Disk StationとSamsungの携帯電話をセットアップするのに1分かかります。私のWindowsラップトップが(電話とは無関係に)同様にそれを使うことになっているならばもう1分。追加のソフトウェアは必要ありません。
ラップトップにクライアントソフトウェアをダウンロードインストールする必要があるため、OpenVPNのセットアップには3〜5分かかります。しかし、全体像では、5分の設定は完全に安全ではないのに対し、「ゼロ」と見なされます。

10
Damon

ルーター/セキュリティゲートウェイアプライアンス、またはそのボックスへのポート転送機能を備えた別のボックスでVPNをホストします。リモートで作業したいときはいつでもVPNに接続すると、組み込みデバイスがローカルネットワーク上にあるかのように見えます。 VPNまたは組み込み機器が危険にさらされている場合、メイン機器への攻撃を防ぐために、組み込み機器を独立したサブネットに配置することをお勧めします。help.

2
Michael P

Sshdを実行しながら、合理的に安全な構成で、IDEのないWindows PCをLinux PCにします。ルーターからLinuxマシンのSSHポートにポートフォワードします。 SSHトンネルを使用して組み込み機器のIPに接続します。 IDEを使ってリモートマシンでプログラミングするときは、LAN IPではなくlocalhostに接続します。

SSHのような強化されたサービスでインターネットを聴くのはかなり安全です。開発何かを使ってインターネットで直接聴くのは、とても悪い考えです。 SSHはゲートキーパーです。ホストキーを確実に確認すると、MITMから完全に保護されます。それは良い暗号を使います。トンネリング設定にはルーティングやブリッジングは含まれませんが、代わりにSSHDマシンから直接接続しているように見えます。これは正しくセットアップするのが非常に簡単です。

1
trognanders