VNC через порт 80 - есть идеи, почему это не работает?

Question

Использовал это руководство для настройки SSH через HTTPS для моего raspPi.

Сработало хорошо, я думал, что смогу нагло использовать решение для туннелирования VNC более 80.

Учебное пособие в основном разбито на 3 простых шага (и я думаю, что я правильно понимаю, но я не специалист по сетевой инженерии).

1) Этот учебник хочет избежать переадресации портов.

2) Wetty используется для запуска «веб-сервера» на случайном порте, который обслуживает терминал SSH.

3) Beame используется для эффективного предоставления поведения типа «DynamicDNS» с SSL бесплатно. (Я полагаю, что это достигается путем запуска приложения beame-insta-ssl на Raspbian, которое, как я полагаю, подключается к Beame с созданным сертификатом и сообщает ваш IP-адрес ... затем, когда любые данные попадают в URL-адрес Beame, они перенаправляются на IP-адрес мой Raspberry Pi, где приложение beame-insta-ssl прослушивает 80 и перенаправляет на любой порт, на котором работает Wetty, думаю, 80 всегда открыт ??)

Во всяком случае, это работает! Затем я захотел «обновить» старый добрый SSH до VNC, поэтому я подумал ...

1) VNC-сервер работает на порту 5901 (функционально аналогичен Wetty, только служба на порту).

2) Перенаправить трафик, полученный на 80-5901 с помощью Beame (а не на порт Wetty).

3) При попытке использовать решение направьте мой удаленный VNC-клиент на имя хоста Beame на порту 80, надеясь, что волшебство произойдет и все будет работать!

К сожалению, это просто тайм-аут, что я тут делаю не так? Я думал о переадресации портов, но мне не нужно было это подключать к Wetty, работающему на случайном порте, ничем не отличается от того, как VNC-сервер работает в качестве службы на произвольном порте, поэтому мне не нужно было этого делать.

Я также удостоверился, что VNC к порту 80 (понимание перенаправления будет там), все еще не работает.

Если вам интересно, почему мне нужно делать все это более 80, потому что я нахожусь за очень ограниченной сетью относительно исходящих портов.

Есть идеи? Спасибо

Вудсток

Answer 1

Что делает beame-insta-ssl, так это устанавливает «обратный» туннель. Он подключается (исходящий) к туннельному брокеру. Это соединение затем используется для передачи всех данных. Это очень похоже на SSH RemoteForward . Он также сильно отличается от службы DDNS, поскольку не требует изменения настроек маршрутизатора или (входящего) брандмауэра.

Затем, к самому важному моменту: туннельный брокер будет прослушивать только порт 443. Следующий важный момент: он предназначен исключительно для HTTP(S). Он использует модуль узла http-proxy. Это не касается общих TCP-соединений или чего-либо еще.

tl; dr: не сработает.

Учебное пособие не устанавливает «SSH через HTTPS». Вы говорите не с SSH (напрямую), а с wetty , который поставляется со встроенным HTTP-сервером. Вот почему это работает.

Однако вы можете использовать реальную службу DDNS, stunnel (как на сервере, так и на клиенте) и соответствующую переадресацию портов для создания защищенного TLS-сервера VNC. Он также может прослушивать порт 443, что позволяет подключаться через HTTP-прокси и / или через ограниченные брандмауэры.

Кроме того, вы можете посмотреть на гуакамоле, который предоставляет «HTML5 SSH/VNC». Это очень похоже на wetty но также делает VNC и передачу файлов по SFTP. Хостинг очень прост с помощью Docker. Это также потребовало бы DDNS и переадресации портов.

Если вы не можете настроить переадресацию портов, хост-сервисы или не имеете публичный IPv4-адрес (из-за CGNAT, DS-Lite и т.д.), Вы можете обратиться к сервису VPN, который позволяет хостинг-сервисам или арендовать VPS для игры в туннельном брокере. сам.