On 06/08/2024 23:32, Pixel(R)?? wrote:
> "chmura" nie bierze udziału w transmisji.

Co oznacza zazwyczaj, że co najmniej jeden z hostów jest dostępny przez
internet, choć niekoniecznie dla wszystkich.

Istnieją skomplikowane obejścia tego problemu, jak Hamachi, ale one nie
działają poprawnie w wielu typowych sytuacjach, bo bazują na
specyficznych zachowaniach stacku TCP w danym urządzeniu. I z uwagi na
brak wsparcia dla wszystkich współczesnych rozwiazań, Hamachi czasy
poprawnego działania ma za sobą. Wszystkie programy tego typu bazują na
technice hole-punching [1], która silnie zależy od implementacji NATów i
jest bardzo często niemożliwa do implementacji z powodu paranoi
współczesnych routerów. Ostatnio, na kilka podejść z hole-punching,
udało mi się uzyskać stabilne połaczenie między dwoma sieciami tylko
raz. Głównie dlatego, że były tam stare routery.

Jeśli chcesz aby komputer A i komputer B, umieszczone w sieciach
lokalnych, bez dostępu do zewnętrznych numerów IP albo portów, potrafiły
*bezpośrednio* się skomunikować, nawet zakładając "zestawienie"
połaczenia przez komputer trzeci, to:
1) Albo komputer trzeci działa jako punkt przelotowy
2) Albo jeden z A lub B jednak wystawił się do internetu, stosujac
jakieś techniki UPnP.
3) Stosowane jest magia a-la hole-punching, która nie działa w każdej
sytuacji i jest już źle a problem narasta w miarę narastania paranoi
producentów routerów.

W przypadku 1) mamy do czynienia z rozwiązaniem NIE P2P, w przypadku 2)
mamy do czynienia z duża dozą szczęścia, bo nie zawsze i wszędzie masz
dostęp do UPnP lub z ingerencją użytkownika w przekierowanie portów.
UPnP jest na wielu routerach wyłączone domyślnie.

Jeśli chcesz mieć połaczenie w dowolnym momencie, z dowolnej sieci, to
zmartwię Cię: samo setup.exe nie wystarczy. Będzie trzeba instalować te
pedalskie VPNy, przekierowywać porty i ogólnie zajmować się całym tym
zagadnieniem którym tak straszliwie gardzisz, jako prawilny fanboy windowsa.

> Ona tylko zestawia połączenie,
> budując "tunel"

Wyjaśnij, na poziomie protokołu ip/tcp/udp, jak ten tunel działa.

>...czyli takie automagiczne VPN...bez pierdolenia się w
> szczegóły.

W szczegółach problem.

> Tak, tak, podsłuchują i nagrywają :D.

Wątpię. Ale nie do końca rozumiesz problem: ponieważ komunikacja między
A i B bezpośrednio, czyli P2P, jest procesem bardzo trudnym do
osiągnięcia w sposób powtarzalny w każdej sytuacji, zazwyczaj dane lecą
gdzieś do chmury i wracają do drugiego urządzenia. To oznacza problemy z
wydajnością, duża infrastrukturę po stronie dostarczyciela chmury,
awaryjność, problemy z pracą w krajach, gdzie są stosowane
ogólnopaństwowe ograniczenia na internet itd itp. portmap.io ma podobne
problemy, ale prawda taka, że jak na razie nie jest jakoś specjalnie
blokowany. I jest wiele alternatyw:

https://gist.github.com/SomajitDey/efd8f449a349bcd91
8c120f37e67ac00

> Sreże. Nawet nie masz bladego/zielonego pojęcia, że obecni ISP (nie
> wszyscy oczywiście) dają dedykowane routery, do których nie masz żadnego
> dostępu, żeby sobie zmienić adresację sieci lokalnej, że o dalszych nie
> wspomnę. Nie, nie można podmienić na "swój", jakbyś pytał :)

Dlatego dostałeś rozwiazanie portmap.io, którego nie zrozumiałeś. Aby
skompensować dowolne problemy z siecią lokalną, możesz użyć jednej z
publicznych metod przekierowania portów.

Dam Ci też drugą darmową radę: adresację sieci lokalnej masz zawsze pod
kontrolą. Nie ma ograniczenia we wstawieniu drugiego routera nad którym
masz kontrolę. portmap.io będzie dalej działał z wnetrza sieci za dwoma
routerami. Za 100 też. hole punching zazwyczaj nie da rady.

> Ta ignorancja wyłazi za każdym razem, jak próbujesz być mądrzejszy od
> faktów :) Próbuj dalej. Każdy chce się pośmiać :D

Na razie machasz intensywnie rękami, bez większego pojmowania tematu.

Zauważę też, że domowy internet bez możliwosci przekierowania choć portu
na zewnętrzny IP, to ciągle jakieś dziwadło. Wiele ostatnio widziałem
tego typu kablowych bądź światłowodowych rozwiazań i w kazdym dalo się
dogadać z dostawcą aby przekieroać port, abo wręcz przełaczyć router w
tryb media konwertera i samodzielnie ogarniać. No, ale to się nie da
przez setup.exe.

Sieci GSM to inna sprawa, tam faktycznie często nie masz wyboru bo
routery są skrajnie głupie, siec nadaje dziwaczne numeracji i inne
problemy. Ale po pierwsze jest portmap.io a po drugie czas kupić światełko.

[1] https://en.wikipedia.org/wiki/Hole_punching_(network
ing)

do góry

Ostatnio było o linuksie czy pomyliłem wątki?


-----
> A tu ciągle mowa o kamerze z kartą SIM ?

do góry

On 2024-08-07, heby <h...@p...onet.pl> wrote:
> 3) Stosowane jest magia a-la hole-punching, która nie działa w każdej
> sytuacji i jest już źle a problem narasta w miarę narastania paranoi
> producentów routerów.

H-p to jest dla omawianej klasy zastosowań MZ tak na granicy lekkiej
paranoi, szczególnie jeśli mówimy o sieciach na chińskich, randomowych
urządzeniach - tu trzeba raczej zadbać, że by się to właśnie nie mogło
łączyć z jakimiś swoimi chmurami. Do dostępu z zewnątrz, wystarczająco
bezpiecznie jest wystawić jakiś niestandardowy port pod sshd i
forwardować do hostów w sieci cctv.

--
Marcin

do góry

On 07/08/2024 11:21, Marcin Debowski wrote:
> Do dostępu z zewnątrz, wystarczająco
> bezpiecznie jest wystawić jakiś niestandardowy port pod sshd i
> forwardować do hostów w sieci cctv.

Wyjaśnij to komuś od setup.exe.

do góry

On 2024-08-07, heby <h...@p...onet.pl> wrote:
> On 07/08/2024 11:21, Marcin Debowski wrote:
>> Do dostępu z zewnątrz, wystarczająco
>> bezpiecznie jest wystawić jakiś niestandardowy port pod sshd i
>> forwardować do hostów w sieci cctv.
>
> Wyjaśnij to komuś od setup.exe.

W tej całej dyskusji gdzie się tak ładnie okładacie to dużo bliżej mi do
Twojego zdania, przy czym nie wnikając w szczegóły, największym MZ
nieporozumieniem jest rejestrator na maszynie do użytku ogólnego i to
jeszcze pod mswindows. Nie, że wątpię w jakąś wyjątkową funkcjonalność
tych wszystkich wymienionych programów, ale sam koncept aby wrażliwe
dane były na tego typu maszynie, gdzie jak rozumiem są poinstalowane
różne mniej lub bardziej losowe programy, to jest jakiś koszmar. Na
szczęście ja również się tym nie znam, i już mi się robi odrobinę lżej.

--
Marcin

do góry

W dniu 07.08.2024 o 12:22, Marcin Debowski pisze:
> On 2024-08-07, heby <h...@p...onet.pl> wrote:
>> On 07/08/2024 11:21, Marcin Debowski wrote:
>>> Do dostępu z zewnątrz, wystarczająco
>>> bezpiecznie jest wystawić jakiś niestandardowy port pod sshd i
>>> forwardować do hostów w sieci cctv.
>>
>> Wyjaśnij to komuś od setup.exe.
>
> W tej całej dyskusji gdzie się tak ładnie okładacie to dużo bliżej mi do
> Twojego zdania, przy czym nie wnikając w szczegóły, największym MZ
> nieporozumieniem jest rejestrator na maszynie do użytku ogólnego i to
> jeszcze pod mswindows. Nie, że wątpię w jakąś wyjątkową funkcjonalność
> tych wszystkich wymienionych programów, ale sam koncept aby wrażliwe
> dane były na tego typu maszynie, gdzie jak rozumiem są poinstalowane
> różne mniej lub bardziej losowe programy, to jest jakiś koszmar. Na
> szczęście ja również się tym nie znam, i już mi się robi odrobinę lżej.
>

To przecież nikt nie każe Ci instalować na maszynie ogólnego użytku z
losowymi programami. Możesz dedykowaną postawić. Nie ma większego
znaczenia jaki system operacyjny tam będzie poza tym, że konkretne
oprogramowanie zwykle jest pod konkretny system i może właśnie o to
konkretne oprogramowanie chodzi więc i system odpowiedni musi być.

do góry

W dniu 07.08.2024 o 10:35, heby pisze:

>> "chmura" nie bierze udziału w transmisji.
>
> Co oznacza zazwyczaj, że co najmniej jeden z hostów jest dostępny przez
> internet, choć niekoniecznie dla wszystkich.
>
> Istnieją skomplikowane obejścia tego problemu, jak Hamachi,

I jak takie Hahachi wepchniesz do kamery z kartą SIM lub do
rejestratora, który jest jedynym urządzeniem podpiętym do routera...,
gdzie ISP zablokował dostęp do konfiguracji (światłowód) bez publicznego
IP...gdzieś w małym zakładzie stolarskim/sklepie Żabka a szef chce sobie
to oglądać w domu na dużym ekranie? Nie może do Ciebie dotrzeć, że
aplikacje pod Windows (setup.exe) potrafią zestawiać połączenia P2P i
mając taką możliwość, można sobie powielać bez żadnych dodatkowych
serwisów, sprzętu, oglądanie kamer?...a na Linuksa nie ma? Wiem, że nie
rozumiesz też tego, że są osoby gapiące się w kamery na dużym ekranie,
tak samo jak gapienie się w program telewizyjny. Nie, nie tyle że siedzą
i mają wytrzeszcz oczu. Traktują to jak spoglądanie przez okno co jakiś
czas, co się tam odjaniepawla, np na ulicy. To nie Janusze biznesu,
zwykli ludzie, którzy mają taką potrzebę. Mam znajomego, którego babcia
cały dzień patrzy się w 40''TV z 4 kamerami siedząc w kuchni...bo na
jego posesji jest sprzedaż warzyw i biegają kury, kaczki, ludzie łażą.
Babcia chwali sobie to jak cholera, bo dotąd musiała łazić po podwórku i
doglądać czy ktoś jej ziemniaków nie podpierdala :D W swoim pokoju ma
laptopa z SETUP.EXE podpiętego do innego TV i też sobie patrzy.

>> Ona tylko zestawia połączenie, budując "tunel"
>
> Wyjaśnij, na poziomie protokołu ip/tcp/udp, jak ten tunel działa.

To znaczy że nie wiesz? Pisałem to na początku, że nie masz tej wiedzy a
jest dostępna bez problemu. Gdzieś sobie ubzdurałeś, że serwery np Dahua
przepuszczają przez siebie (chmurę) te kilkaset milionów kamer ze
strumieniami 4k i to ma działać. Śmieszne nawet :) Technologia P2P
jednak działa i jest coraz częściej używana, bo się sprawdziła.
Skończyły się włamania, zawirusowania, problemy z routerami, ISP...pyk i
śmiga. Wątkotwórca właśnie sobie taki zestaw odpalił na P2P i spróbuj mu
wytłumaczyć, gdzie ma tam zmieścić Hamaczi czy portmap :) 2 kamerki i
router na GSM. Śmiga jak złoto przez P2P.
>
>> ...czyli takie automagiczne VPN...bez pierdolenia się w szczegóły.
>
> W szczegółach problem.

No właśnie nie musi. Rozwiązanie jest proste i znane od dawna a przede
wszystkim bezpieczne. Ktoś tutaj pisał o wystawianiu portu na publiczny
IP :D Nawet nie wiesz co odpierdalają boty w sieci. Potrafią znaleźć na
obojętnie jakim porcie usługę, która tam siedzi, i tak długo atakować,
zmieniając nawet swoje adresy IP codziennie/kilkaset zmian, że nawet
próba blokowania nie wystarcza...a potem, cyk/pyk i mamy następny botnet
zamiast rejestratora czy kamery :)

> Dlatego dostałeś rozwiazanie portmap.io, którego nie zrozumiałeś.

No OK, wepchnij mi ten portmap do w/w instalacji. Ojej, niedasię? Jaka
szkoda.

>
>> Ta ignorancja wyłazi za każdym razem, jak próbujesz być mądrzejszy od
>> faktów :) Próbuj dalej. Każdy chce się pośmiać :D
>
> Na razie machasz intensywnie rękami, bez większego pojmowania tematu.

Nie misiu, to Ty siedzisz gdzieś 20 lat za murzynami...a rozwiązania są
megaproste.
>
> Zauważę też, że domowy internet bez możliwosci przekierowania choć portu
> na zewnętrzny IP, to ciągle jakieś dziwadło. Wiele ostatnio widziałem
> tego typu kablowych bądź światłowodowych rozwiazań i w kazdym dalo się
> dogadać z dostawcą aby przekieroać port, abo wręcz przełaczyć router w
> tryb media konwertera i samodzielnie ogarniać. No, ale to się nie da
> przez setup.exe.

Oh, oh, to spróbuj się dogadać z INEA w Poznaniu, żeby bez dodatkowej
opłaty otworzyli Ci jakieś porty, siedząc za NAT na routerze w którym
możesz sobie zmienić tylko hasło do WiFi. W przypadku światłowodu od
T-Mobile, nawet tego nie można...taki teraz klimat mamy :)
...ale, bo nadal nie rozumiesz. Skoro ISP wstawia Ci router, gdzie masz
192.168.1.1 w LAN (nie możesz tego zmienić) a Ty chcesz zrobić sobie
jakiś VPN do innej sieci, gdzie w LAN też jest ta sama adresacja, to
nawet 5 innych routerów Ci nie pomoże :D bo odpytywana jest pierwsza
sieć z tą adresacją.
>
> Sieci GSM to inna sprawa, tam faktycznie często nie masz wyboru bo
> routery są skrajnie głupie, siec nadaje dziwaczne numeracji i inne
> problemy. Ale po pierwsze jest portmap.io a po drugie czas kupić światełko.
>
Tutaj akurat się mylisz bardzo. W przypadku GSM jest bardzo dużo
routerów, które mają megafajne opcje a co najważniejsze to nie ma tutaj
wymagań ze strony ISP, że tylko ich dedykowany sprzęt będzie działał.
Jedną z opcji routera GSM jest możliwość połączenia VPN z jakimś swoim
drugim VPN bo ma klienta wbudowanego, który ma już publiczny IP...i w
ten sposób masz bezpieczny tunelik na GSM


--
Pixel(R)??

do góry

W dniu 07.08.2024 o 11:21, Marcin Debowski pisze:

> H-p to jest dla omawianej klasy zastosowań MZ tak na granicy lekkiej
> paranoi, szczególnie jeśli mówimy o sieciach na chińskich, randomowych
> urządzeniach - tu trzeba raczej zadbać, że by się to właśnie nie mogło
> łączyć z jakimiś swoimi chmurami. Do dostępu z zewnątrz, wystarczająco
> bezpiecznie jest wystawić jakiś niestandardowy port pod sshd i
> forwardować do hostów w sieci cctv.
>
LOL, dawno się tak nie uśmiałem :D

Taki przykład (nie profesjonalny). Kupujesz chińczyka/noname, blokujesz
mu port na routerze dla twojej "wyimaginowanej" chmury (bo w menu nie ma
on/off) i instalujesz dedykowaną apkę, bo inna nie działa...i nie działa
:D Portu w kamerce też nie zmienisz ale ok, możesz sobie przemapować na
routerze.Kurtyna. Nie działa.

Bardziej profesjonalny. Kupujesz "markową/chińską" kamerę i robisz P2P.
Nie masz, żadnego "niestandardowego portu" który zwyczajowo jest
oblepiony botami (wiem, bo ciągle to obserwuję)...ale uśmiałem się z
tego wcześniej. Masz zatem P2P działające z palca. Odpalasz SETUP.EXE na
laptopie i działa, odpalasz app na telefonie i działa. Nachuj kombinować?

Przy okazji wyjaśnij mi, dlaczego masz takie "mylne" pojęcie o "chmurze"
i dlaczego dotąd, nie wiedziałeś o P2P które z "chmurą" ma niewiele
wspólnego?

--
Pixel(R)??

do góry

W dniu 07.08.2024 o 10:35, heby pisze:

>
> Wyjaśnij, na poziomie protokołu ip/tcp/udp, jak ten tunel działa.
>
>> ...czyli takie automagiczne VPN...bez pierdolenia się w szczegóły.
>
> W szczegółach problem.

No dopsze. Piłem ale jeszcze mi się nie chce spać :)

Kamera czy rejestrator do P2P ma wbudowaną usługę klienta i swój
unikalny numer seryjny, jako ID. Włączając tą opcję (nie musisz) łączy
się z serwerem producenta na jednym z portów i za pomocą ICMP podaje
swoje parametry dla swojego slotu. Urządzenie chronione jest również
poświadczeniami...czyli sobie "wykukuje" na świat w jednym konkretnym
kierunku, jest bezpieczne i zabezpieczone, otwierając sobie
dowolne/randomowe porty do wyjścia na świat.

Teraz Ty. Odpalasz SETUP.EXE i podajesz numer seryjny jako unikalne ID w
tym setup.exe (przeglądarka nie umie/może)...który łączy się z serwerem
producenta. Tam dostajesz "ticket" i zostaje zestawione połączenie P2P
(tunelik) pomiędzy SETUP.EXE a rejestratorem, podobnie jak połączenie w
sieci Torrent, Emule/innych pomiędzy hostami. App na telefonach działają
podobnie.
Teraz czaisz?
--
Pixel(R)??

do góry

W dniu 07.08.2024 o 08:56, Marek pisze:

>> "chmura" nie bierze udziału w transmisji. Ona tylko zestawia
>> połączenie, budując "tunel"...czyli takie automagiczne VPN...bez
>> pierdolenia się w szczegóły. Tak, tak, podsłuchują i nagrywają :D.
>> Potem znikną na zawsze
>
> O nowy sposób "zestawiania" połączenia TCP między peerami za natem bez
> portfw i bez stałego udziału pośrednika, czego to Chińczyk nie wymyśli....
>
No, masz obrazek...podobno pismo obrazkowe, jest lepsze od słowa pisanego...
https://upload.wikimedia.org/wikipedia/commons/thumb
/f/fb/Server-based-network.svg/800px-Server-based-ne
twork.svg.png

Tu sobie doczytaj:
https://pl.wikipedia.org/wiki/Peer-to-peer

A tu Ci cytnę:
"W sieciach P2P każdy węzeł sieci zwany hostem, czyli komputer
użytkownika, może jednocześnie pełnić rolę klienta i serwera. W
najpopularniejszej implementacji modelu P2P, jaką są programy do wymiany
plików w Internecie, każdy host spełnia rolę serwera, przyjmując
połączenia od innych użytkowników sieci, oraz klienta, łącząc się i
wysyłając i/lub pobierając pliki z innych hostów działających w tej
samej sieci P2P. Wymiana plików jest prowadzona bezpośrednio pomiędzy
hostami. Sieć P2P charakteryzuje się zmiennością struktury węzłów sieci,
spowodowaną zmiennością liczby i lokalizacji sieciowej aktualnie
aktywnych hostów.

W tym przypadku mamy do czynienia z łączeniem się na dany "slot/ID" bez
możliwości wyszukiwania. Po prostu, jest tam Twoje miejsce okupione ID,
zabezpieczone poświadczeniami i tylko tyle. Skomplikowane?
--
Pixel(R)??

do góry