我计划部署一个远程设备网络,每个设备都通过 4G 调制解调器连接到互联网。这些设备既需要与基于云的服务器建立出站连接,也需要偶尔建立入站 SSH 连接以进行故障排除/维护。
覆盖范围最广的提供商提供 3 种基本选择:
- 不可路由的动态 IP 地址。(默认)
- “私有”静态 IP 地址。
- “公共”静态 IP 地址。
据我所知,“私有”和“公共”地址都是可路由的,但私有地址位于防火墙后面,防火墙会阻止所有入站连接。这样做的好处是我们不必为不断发生的随机端口扫描和入侵尝试(并被我们自己的防火墙阻止)的数据使用付费。缺点是它会阻止我们按需通过 SSH 进入设备的尝试。
是否有一种机制可以允许 ssh 按需连接到设备,但不会违反入站连接阻止?也许是在远程系统启动时运行的某种机制?理想情况下,它不会消耗大量数据来保持 24/7 的连接处于活动状态。
答案1
由于您身处不受您控制的防火墙后面,因此唯一能通过防火墙的方法是从内向外。最简单的解决方案是让防火墙内部创建一个通向已知点的 VPN 隧道,然后您就可以直接访问防火墙内的系统。
答案2
您也可以使用 TOR 隐藏服务来访问它。如上所述,由于数据包要传遍全球,因此延迟会比使用 VPN 连接更高。从管理的角度来看,VPN 会好得多,因为使用 TOR,您的设备将受制于独立的 TOR 中继。