Estoy planeando implementar una red de dispositivos remotos, cada uno conectado a Internet a través de un módem 4G. Los dispositivos necesitan conectividad saliente a nuestros servidores basados en la nube y conectividad SSH entrante ocasional para la resolución de problemas / mantenimiento.
El proveedor con la cobertura más amplia ofrece 3 opciones básicas:
- Una dirección IP dinámica no enrutable. (defecto)
- Una dirección IP estática "privada".
- Una dirección IP estática "pública".
Según tengo entendido, las direcciones "privadas" y "públicas" son enrutables, pero las privadas están detrás de un firewall que bloquea todas las conexiones entrantes. La ventaja es que no pagaríamos por el uso de datos del escaneo de puertos aleatorio constante y los intentos de intrusión que ocurren (y son bloqueados por nuestro propio firewall). La desventaja es que bloquea nuestros intentos de SSH en el dispositivo bajo demanda.
¿Existe algún mecanismo que pueda permitir ssh a pedido para el dispositivo, pero que no obstaculice el bloqueo de la conexión entrante? ¿Quizás algo que se ejecuta en el arranque del sistema remoto? Idealmente, no absorbería grandes cantidades de datos manteniendo una conexión viva las 24 horas, los 7 días de la semana.
Respuestas:
Como estás detrás de un firewall que no controlas, la única forma de atravesarlo es de adentro hacia afuera. La solución más simple es hacer que su firewall dentro de él cree un túnel VPN a un punto conocido, donde luego pueda acceder a los sistemas dentro de su firewall directamente.
fuente
También puede utilizar un servicio oculto TOR para acceder a él. La latencia sería mayor que hacer una conexión vpn, como se indicó anteriormente, debido a que el paquete está dando la vuelta al mundo. El vpn sería mucho mejor desde el punto de vista de la administración, ya que con TOR su dispositivo estaría a merced de los relés TOR independientes.
fuente