web-dev-qa-db-fra.com

Accéder à un périphérique depuis mon réseau local depuis Internet

J'ai un appareil intégré que je peux programmer via Ethernet IP lorsqu'il est connecté au même routeur que le PC, comme suit:

 enter image description here

Est-il possible d'envoyer tout le trafic via Internet et de pouvoir le programmer? Pour le rendre un peu plus clair, quelque chose comme:

 enter image description here

18
Engine

La seule réponse correcte peut être "VPN".

Utiliser simplement IPv6 "fonctionnerait" (en supposant que le routeur ne soit pas configuré pour pare-feu contre le périphérique et que tous les fournisseurs de services Internet, périphériques et ordinateurs portables prennent en charge IPv6), mais c'est une idée terrible pour la même raison que la redirection de port.

Hormis ceux promus par la célèbre propagande IPv6, vous ne voulez pas {jamais _ aucun des périphériques de votre réseau local ne soit identifiable de manière unique ni même accessible depuis Internet. Non, c'est pas une bonne chose.

La redirection de port "fonctionnerait" avec le bon vieil IPv4, mais rend le périphérique accessible non seulement à vous mais à tout le monde. Personne ne sait, alors ce n'est pas un problème, non?
Il existe une multitude de scanners de ports automatisés fonctionnant 24 heures sur 24, 7 jours sur 7, et balayant des adresses/ports aléatoires dans l’espoir que tout, n'importe où, puisse éventuellement répondre, si bien que généralement, tout périphérique répond à un demande externe en ligne n'est pas optimale. Si un appareil veut bien se faire programmé en fonction de ce qui arrive via le réseau, c'est la recette du désastre.
Ce qui est dit en principe s’applique également au VPN, mais c’est aussi bon que possible, si vous voulez un accès. La seule chose vraiment sûre est l'absence de connexion Internet, ce qui n'est pas une option pratique pour des raisons évidentes. La prochaine chose la plus sûre à "pas Internet" est VPN. Exactement un port sur exactement un périphérique (enfin, cela dépend, jusqu'à trois ports), exposant le VPN et rien d'autre, transféré sur Internet.

VPN vous permet - mais personne d’autre - d’accéder à un périphérique de votre réseau local via Internet comme si vous étiez sur le même réseau local (bien qu’un peu plus lent). Il empêche les accès non autorisés, assure la confidentialité et l'intégrité des données.

Pratiquement chaque routeur no-shit prend en charge au moins un type de VPN prêt à l'emploi. Malheureusement, selon le modèle de routeur que vous possédez, il peut s’agir d’un type de VPN médiocre ou de la documentation insuffisante pour savoir comment configurer l’ordinateur distant. Malgré tout, il est difficile de savoir comment le configurer - si vous n’avez rien de mieux, c’est de loin la meilleure option!
Les boîtes les plus courantes NAS prennent en charge deux ou trois méthodes de VPN sans sucer, et chaque ordinateur de 3 watts de la taille d'une carte de crédit d'une valeur de 20 USD peut exécuter un serveur VPN, sans problème. Même de nombreux téléphones mobiles modernes prennent en charge le VPN sans avoir à installer de logiciel supplémentaire. Vous pouvez même accéder à votre réseau domestique lorsque vous utilisez l'Internet mobile de votre téléphone (via un point d'accès privé, même).

Par exemple, L2TP/IPSec n'est peut-être pas le choix le plus impressionnant, mais il est bon à 99% et prend une minute à configurer sur mon Disk Station et sur mon téléphone Samsung. Une autre minute si mon ordinateur portable Windows doit également l’utiliser (indépendamment du téléphone). Aucun logiciel supplémentaire nécessaire.
OpenVPN nécessite environ 3 à 5 minutes d’installation, car vous devrez télécharger, installer le logiciel client sur votre ordinateur portable. Mais dans l’ensemble, une installation de 5 minutes compte pour «zéro», alors qu’elle est complètement dangereuse.

10
Damon

Hébergez un VPN, soit dans une appliance de routeur/passerelle de sécurité, soit dans une autre boîte avec un transfert de port vers cette boîte. Chaque fois que vous souhaitez travailler à distance, connectez-vous au VPN et vous verrez le périphérique intégré comme s'il se trouvait sur un réseau local. Ce serait probablement une bonne idée de placer le périphérique intégré dans un sous-réseau isolé, pour aider / empêcher les attaques sur votre réseau principal si le VPN ou le périphérique intégré est compromis.

2
Michael P

Créez un PC Windows sans IDE dans un PC Linux avec une configuration relativement sécurisée avec sshd en cours d'exécution. Transfert de port de votre routeur vers le port SSH de la machine Linux. Utilisez les tunnels SSH pour vous connecter à l'IP du périphérique intégré. Ensuite, lors de la programmation sur votre machine distante avec un IDE, vous vous connecterez à localhost au lieu de l'adresse IP du réseau local.

Écouter sur Internet avec un service durci comme SSH est relativement sûr. Écouter directement sur Internet avec le développement n'importe quoi est une très mauvaise idée. SSH est un portier. Si vous vous assurez de vérifier la clé de l'hôte, elle protège absolument contre MITM. Il utilise une bonne cryptographie. La configuration du tunneling n'implique pas de routage ni de pontage, mais donne l'impression que vous vous connectez directement à partir de la machine SSHD. C’est beaucoup plus simple à installer correctement.

1
trognanders