Организовать proxy-server на железном сохо-роутере

[metrim]

Ситуаия:
На работе у предоставлен доступ к онлайновым научным ресурсам.
Там у меня стоит роутер, который раздает интернет по комнате. Роутер D-link DI-524. Висит он на "белом" айпишнике, так что могу подключаться к нему "извне".
Мне бы хотелось юзать иногда предоставленные ресурсы и из дома.
Как я понимаю, вариант - поставить компьютер, подключенный к роутеру, что бы он как бы "подменял" мой ИП. По различным приинам вешать там компьютер и держать его включенным 24/7 - не вариант.
Вероятно можно было бы попытаться поставить на сам роутер какую нить альт прошивку, которые судя по описаниям - обладаютт морем возможностей, но кажется данная машинка - очень стара и просто ничего подобного не поддерживает.
Как вариант, в дополнение есть не нудный саренький 808-ой Д-линковский роутер.

Подскажите, как из всего этого собрать то что мне хочется

[Plague]

нихрена не понял

изучайте проброс портов (port mapping) на всякий случай..

[metrim]

Цитата:

Сообщение от Plague

нихрена не понял :цонфусед:

Ну есть на работе доступ к онлайновым научным библиотекам и базам данных. Типа по ИП-адресу.
Дома у меня ентого доступа - нема. Иногда срочно - надо иметь.
Вариант я вижу "заходить из под ИП роутера на работе".
Для этого (как я понимаю) к нему нужно подключиться (благо ИП у него белый) и пропустить трафик запросов к библиотекам со своего домашнего компа - через роутер.

Разве не так ?

[Plague]

А, теперь дошло. Думал сперва что до рабочих машин нужно доступ извне иметь.
Железяка имхо действительно дюже старая чтоб чего-то вырулить. Первый приходящий в голову вариант - поискать в ней или к ней какой нить wol (wake on lan) чтоб можно было бы будить машину в сети, а потом уже с нее переваливаться в нужный ресурс.

ps. посмотрел паршиву разработчика, которую юзаю сам (dd-wrt) - нет поддержки DI-524

[Borland]

Единственно, что приходит в голову - это поднять VPN-туннель между домашней машиной и одной из рабочих и прописать маршрут на домашней машине к "интересным" сайтам через этот туннель. На рабочей машине при этом д.б. включён роутинг и в файрволле (если есть такой) разрешены транзитные пакеты. На 524-м соответственно прописан маршрут в домашнюю сетку (дабы он знал, через какую машинку отправлять пакеты тебе). Проброс портов делается на роутере со стороны сервера OpenVPN.
Геморроя с настройками было бы сильно меньше при наличии возможности установки сервера на 524, но насколь я вижу это нереально. Разве что вы решитесь поменять его на что-то с поддержкой "альтернативных" прошивок (см. списки поддерживаемых устройств dd-wrt и OpenWRT)

Цитата:

Сообщение от Plague

(dd-wrt) - нет поддержки DI-524

К этому дивайсу вообще нет "альтернативок". Списки оборудования под альтернативные DD-WRT и OpenWRT практически совпадают, а используемая мной прошивка вообще исключительно под асусы...

P.S. Организовать прокси как таковой на сохо-роутере нереально в принципе. Разве что на машине за ним с пробросом порта прокси. Но решение с VPN мне лично больше импонирует.

[metrim]

Ну "проброс портов" и пр. на 524ом вроде как вполне решается просто вкючением DMZ на "интересующую машинку".
Менять 524ый на какое то другое устройство - пока как то влом.
Ставить отдельную машину для организвции сабжевого редиректа трафика - это на мой неопытный взгляд кажется монструозным. Это же кажись какая то простенькая, нересурсоемкая задача о_0

А вот наличествующий ненужный 808ой роутер - тут никак не употребить ? Портов то мне не жалко. У него же есть NAT, какая то маршрутизация, типа как через него редирект трафика организовать не получится ?

[Borland]

Цитата:

Сообщение от metrim

ненужный 808ой роутер - тут никак не употребить ?

Какое-то туннелирование он умеет. Соответственно теоретически для организации туннелирования траффика через ipsec пригоден. Но вот разбираться с настройками придётся точно без меня...

Цитата:

Сообщение от metrim

отдельную машину для организвции сабжевого редиректа трафика

Отдельную необязательно. OpenVPN большой мощности не требует (ибо вполне может работать на многих SOHO-роутерах), достаточно практически любой машинки с Win2000+, лишь бы была постоянно включена...
С OpenVPN мы с Plague чего-то посоветовать можем...

[SinClaus]

Присоединяюсь к мнению консультантов, от себя могу сказать, что если оставлять комп включенным по какой-то причине низзя, остаётся только поменять рутер. Вообще DLink-и имеют привычку дохнуть без всякой причины, так что всяко придётся. Если поискать, можно думаю найти Asus WL-500Gp, даже V2 - на нём можно поднять что угодно на базе отлаженной прошивки DD-WRT. Особенно если добавить небольшую флешку как диск для утилит.

[Borland]

Цитата:

Сообщение от SinClaus

поднять что угодно на базе отлаженной прошивки DD-WRT.

Насколь я видел DD-WRT (в онлайновом эмуляторе) - OpenVPN там уже встроенный, нужно только настроить и включить.
А прокси-сервер один фиг слишком ресурсоёмок для SOHO-роутера (хотя кое-кто и DebWrt с "полным фаршем" на них громоздит ).

[SinClaus]

Да не нужен там прокся! Либо pptp сервер с рутингом в сеть, либо OpenVPN с тем же рутингом.
Или как вариант - ЗАРАЗа прокси на виндовой машине за рутером, там можно быстро слепить какой угодно прокси.

[metrim]

а вот кстати:
Если я настрою принимать роутеру 524 соединения с какого то порта и роутить их на адрес его же шлюза (т.е. WAN порт принимает что то и тут же через самого себя пропускает "обратно") - это не будет типа того что мне нужно?
Я во всей этой лабуде очень мало разбираюсь, потому и спрашиваю.

Цитата:

Сообщение от Borland

А прокси-сервер один фиг слишком ресурсоёмок для SOHO-роутера

Ну это же будет не торрент-трафик. Речь идет о доступе к библиотечным научным базам данных, pdf файлах и пр.

[SinClaus]

Цитата:

Сообщение от metrim

Если я настрою принимать роутеру 524 соединения с какого то порта и роутить их на адрес его же шлюза (т.е. WAN порт принимает что то и тут же через самого себя пропускает "обратно") - это не будет типа того что мне нужно?

Нет, запрос к прокси на самом проксе распаковывается, оттуда вытаскивается адрес и порт назначения, запоминается куда отправить ответ и т.д.

[Plague]

SinClaus, тут он не про прокси говорит. Принцип того же самого проброса порта, только не дальше, в физический офис (скажем, 192.168.1.2-192.168.1.255) а петлёй на самого себя, т.е. 192.168.1.1.
Фик знает, я пока что не вижу причин почему это не сработает, хотя не удивлюсь если они окажутся
Попробовать можно, вдруг прокатит.
Хотя дырка это та ещё будет.
Возможно это и станет той самой причиной по которой подобный финт окажется заблокированным производителем.

Развивая мысль, можно пробросить порт на DLINK-808, а на нем уже (тоже пробросив порт) - вернуть запрос на 524й, уже из области LAN. Опять же: я пока что не вижу причин почему это не сработает, хотя не удивлюсь если они окажутся

[SinClaus]

Проброс порта - это именно проброс порта. Т.е. если заворачиваем внешний-адрес:80 на 127.0.0.1:80, то это воспримется рутером как запрос к его внутреннему веб-серверу. Правильно?
Теоретически можно завернуть обращение к некоему внешнему порту на адрес конкретного сайта (одного), на восьмидесятый. Если где-то идёт ссылка на другой IP или порт - запрос в пустоту. К тому же в веб-форме обычно сильно ограничено количество вводимых правил (8 - 10), а примитивные рутеры только так и управляются.

[Plague]

Цитата:

Сообщение от SinClaus

это воспримется рутером как запрос к его внутреннему веб-серверу. Правильно?

а, ну да, согласен. чего-то я про это подзабыл

[Borland]

SinClaus,
Plague,
Не сработает.
Проброс портов идёт с WAN на LAN и никак иначе. А пакет с внутреннего интерфейса для внешнего IP уйдёт в /dev/null
P.S. Даже проверил на всякий случай.

[SinClaus]

На другой рутер - та же засада: либо нужно обращаться на конкретный порт, который в конце концов будет переадресован куда-то опять же на определённый порт, либо прописать адрес рутера как прокси, но тогда нужен именно прокси.

[metrim]

Именно типа петли - я и размышлял "вдруг прокатит"
Но похоже - фигвам )

Ставить спецом компьютер "вместо прокси" - мне кажется малоактуально.
Как я смотрю, для Роутер ASUS WL-520GC dd-wrt подходит. Может быть сделаю замену на него.
Есть ли какие то пошаговые инструкции: как на его базе мне сделать желаемый прокси ?

[Borland]

Цитата:

Сообщение от metrim

ASUS WL-520GC .... как на его базе мне сделать желаемый прокси ?

Всё-таки прокси? Тогда ничего посоветовать не могу...

Для OpenVPN:
Про DD-WRT: вследствие малого объёма флеш-памяти (всего 2Мб) на 520GC можно взгромоздить исключительно "micro-generic build ", в котором OpenVPN отсутствует как класс. Прошивка с OpenVPN требует устройства с как минимум 4Мб Flash.
Из поддерживаемых асусов подойдут любые, кроме 520GC и 700gE. Собирать custom прошивку (выкинув всё лишнее и добавив нужный OpenVPN - под 2Мб вряд ли возможно, да и сомнительно чтобы кто из нас за такой геморрой взялся...
Так что 520GC отпадает, нужно что-то посерьёзнее...

Дальше всё "просто": здесь выбираем прошивку с OpenVPN под свой девайс и скачиваем, прошиваем её на роутер (метод уже зависит от модели), на клиентской машине генерируем ключи (или просим кого-нибудь помочь с генерацией ), заливаем ключи и конфиг на роутер и перезагружаем его. Роутер готов.
На клиенте - ответный конфиг и запустить "OpenVPN GUI" (если нужно постоянное соединение - то включить сервис OpenVPN). И добавляем в таблицу маршрутизации клиента маршруты к целевым сайтам через OpenVPN.

Собственно, инструкция на английском по настройке VPN на DD-WRT.

[metrim]

Цитата:

Сообщение от Borland

Всё-таки прокси? Тогда ничего посоветовать не могу...

Ну я это так понубски именую. Что должно делать - описано, как будет итог называться - фиолетово )

Цитата:

Сообщение от Borland

Так что 520GC отпадает, нужно что-то посерьёзнее...

чьерт , а я на Молотке уж и варианты присмотрел....