Tengo un servidor al que quiero que puedan acceder los estudiantes de mi universidad. Sin embargo, por alguna razón, la red de la universidad interrumpe la conexión y, dado que se trata de un servicio de entretenimiento, aunque no está prohibido, los administradores no invertirán tiempo en resolverlo.
Lo hice funcionar con hamachi y openvpn (de manera segura con iptables, por lo que solo se puede acceder al puerto de Minecraft y solo se enruta la IP del servidor a través de la vpn), sin embargo, ambos requieren que los usuarios instalen software adicional y coloquen una carga adicional en mi servidor cifrando todo...
Así que estoy buscando una opción que no requiera software adicional e idealmente coloque una carga adicional mínima en el servidor.
Puedo reenviar puertos en el enrutador nat para mi servidor Linux y puedo instalar software en el servidor. Quiero asegurarme de que los usuarios no tengan acceso a mi LAN y que solo puedan conectarse a un único puerto en el servidor. También me gustaría evitar cualquier conexión desde el servidor a un cliente.
Definitivamente no quiero que mi servidor sea un proxy para nada más, como otros servidores de Minecraft, actualizaciones de Minecraft, etc.
He visto cosas sobre proxies calcetines/ssh, pero parecen intentar canalizar todo lo que hace un usuario, y no veo forma de protegerlo en mi servidor (por ejemplo, no crea una interfaz como ham0 o tun0).
Respuesta1
Los usuarios no pueden evitar tener que instalar una aplicación en sus PC como clientes para conectarse al túnel.
lo se conGratisSSHd(en Windows) podría controlar casi todo lo que desea que sus usuarios tengan acceso en su servidor, tal vez podría agregar un servidor de Windows para que sea el intermediario en la infraestructura de red que tiene, pero yo no. Estoy seguro de qué impacto tendrá esto en su desempeño.
No conozco ninguna herramienta que te permita hacer eso en Linux todavía, pero tampoco soy más que un usuario ocasional de Linux.
Respuesta2
Suponiendo que su servicio esté fuera de la red de la Universidad, el problema es que el puerto de Minecraft no está abierto a través de los firewalls de la Universidad.
Por lo tanto, no es necesario meterse con las VPN, siempre y cuando la red de la Universidad no bloquee a las personas examinando los paquetes reales y bloqueando los de juegos.
Todo lo que necesita hacer es configurar su enrutador en NAT (estrictamente hablando, es PAT, traducción de direcciones de puerto). Desde el lado de Internet, debes permitir un puerto conocido. 8080 puede funcionar, aunque en redes realmente estrictas es posible que solo se le permitan 80 y 443. En el lado de la red local, debe configurar la dirección IP de la PC y el puerto de Minecraft. Ahora tiene un vínculo entre su dirección IP pública y el puerto elegido y la dirección IP privada y un puerto diferente. El enrutador se encarga de todo.
Los usuarios de la red universitaria deben configurar Minecraft para conectarse a su dirección IP pública con el puerto público, por ejemplo,
publicaddress:8080
Aquí estoy pasando los puertos estándar directamente, pero usted querrá cambiar el primer número de puerto, el "Puerto Externo", para que sea 8080 o lo que necesite.
ACTUALIZAR:
A partir de sus comentarios, ha aclarado que los usuarios de la universidad PUEDEN conectarse a su servidor, pero luego sus sesiones caen un tiempo después. Esto no sucede cuando se conecta a través de una VPN. Esto indicaría que el servicio de filtrado de la universidad está etiquetando el tráfico y haciendo algo con las conexiones.
Entonces una VPN es la mejor alternativa. Consulte la documentación de su enrutador para ver si actuará como punto final de VPN. Si admite algo como PPTP, entonces puede configurarlo y darles instrucciones a las personas sobre cómo configurar una VPN PPTP desde sus máquinas.
Si su enrutador no puede hacer esto, no tiene muchas opciones. Ya sea un servicio VPN externo (probablemente de pago) o una máquina en su red local que actúa como servidor VPN. @safjrz mencionó FreeSSHd, también existe WinSSHd que he usado mucho en el pasado para propósitos similares. Los usuarios pueden ejecutar WinSSHd para crear VPN salientes basadas en SSH; se conectan a un servidor SSH en su red, que también puede ser de WinSSHd si usa una PC con Windows o directamente a través de SSH si usa Linux.