Truy cập SSH vào máy chủ văn phòng phía sau bộ định tuyến NAT

Tôi muốn truy cập cổng ssh của máy chủ linux văn phòng của tôi từ nhà. Thật không may, máy chủ được đặt phía sau một bộ định tuyến NAT. Vì vậy, địa chỉ IP không có sẵn công khai. Tuy nhiên, có quyền truy cập vào một máy chủ internet khác (Máy chủ) không may chỉ truy cập không root. Sau một thời gian tìm kiếm tôi không tìm thấy giải pháp phù hợp.

Thiết lập sau:

• Office PC (linux, truy cập root) phía sau NAT (IP không công khai) nhưng truy cập Internet đầy đủ.
• Máy chủ PC (linux, không có quyền truy cập root) IP tĩnh và công cộng và truy cập Internet đầy đủ.
• PC tại nhà (linux, truy cập root) phía sau NAT (IP không công khai) nhưng truy cập Internet đầy đủ.

Các kết nối có thể có: PC Office -> Máy chủ <- PC tại nhà

Không thể: PC Office <-X- Server -X-> PC tại nhà

Cả PC gia đình lẫn máy chủ đều không thể bắt đầu truy cập vào PC Office. Nhưng cả PC Office và PC gia đình đều có thể khởi tạo kết nối với Máy chủ.

Không thể đảo ngược đường hầm SSH: Tôi đã thử một phương pháp gọi là đường hầm ngược ssh. Thật không may, điều này yêu cầu GatewayPorts trên Máy chủ được đặt thành "có" trong / etc / ssh / sshd_config, nơi tôi không có quyền truy cập root.

Về nguyên tắc nên có thể:

0) Trên Máy chủ, tôi khởi động chương trình không gian người dùng nghe trên 2 cổng (1 đến, 1 đi)

1) Trên PC văn phòng của tôi, tôi chạy một chương trình khác giúp kết nối TCP mở tới cổng ra trên máy chủ.

2) Từ nhà tôi kết nối với cổng đến của Máy chủ.

Cần có một giải pháp tiêu chuẩn cho việc này.

Giải pháp nhanh nhất và sạch nhất để giải quyết điều này là gì?

Frank

youatwork@officepc$ autossh -R 12345:localhost:22 notroot@serverpc

Một lát sau:

you@homepc$ autossh -L 23456:localhost:12345 notroot@serverpc

you@homepc$ ssh youatwork@localhost -p 23456

Những gì bạn có thể làm là thế này: ở bước 1 chuyển tiếp một cổng từ xa từ PC văn phòng đến máy chủ ( 12345được sử dụng làm ví dụ, bất kỳ cổng nào> 1024 nên làm). Bây giờ kết nối với 12345 trên máy chủ sẽ kết nối bạn với cổng 22 trên officepc.

Ở bước 2, chuyển tiếp cổng 23456 từ máy chủ của bạn sang 12345 trên máy chủ (từ đó nó được chuyển tiếp đến officepc: 22, như được thiết lập ở bước 1)

Ở bước 3, bạn kết nối với cổng cục bộ 23456 bằng thông tin đăng nhập PC văn phòng của bạn . Điều này được chuyển tiếp từ bước 2 đến cổng 12345 trên máy chủ của bạn và bước 1 đến PC văn phòng của bạn.

Lưu ý rằng tôi đang sử dụng autossh cho các chuyển tiếp, vì nó là một trình bao bọc ssh tự động kết nối lại đường hầm nếu nó bị ngắt kết nối; tuy nhiên ssh bình thường cũng sẽ hoạt động, miễn là kết nối không bị rớt.

Có một lỗ hổng có thể xảy ra: bất kỳ ai có thể kết nối với localhost: 12345 trên serverpc giờ đây có thể kết nối với officepc: 22 và cố gắng hack vào nó. (Lưu ý rằng nếu bạn đang chạy máy chủ SSH, dù sao bạn cũng nên bảo mật nó trên các biện pháp bảo vệ cơ bản được bật theo mặc định; tôi khuyên bạn ít nhất nên vô hiệu hóa đăng nhập gốc và vô hiệu hóa xác thực mật khẩu - xem ví dụ này )

Chỉnh sửa : Tôi đã xác minh điều này với cùng một cấu hình, và nó hoạt động. GatewayPorts nochỉ ảnh hưởng đến các cảng mở ra thế giới tại các đường hầm lớn chứ không phải địa phương. Đây là những gì các cổng chuyển tiếp là:

homepc:
  outgoing ssh to serverpc:22
  listening localhost:23456 forwarded through ssh tunnel
serverpc:
  listening ssh at *:22
  incoming localhost ssh tunnel (from homepc) forwarded to localhost:12345
  listening localhost ssh tunnel (from officepc) forwarded from localhost:12345
officepc:
  outgoing ssh to serverpc:22
  incoming localhost through ssh tunnel (from serverpc) forwarded to localhost:22

Vì vậy, liên quan đến ngăn xếp mạng, tất cả lưu lượng truy cập cục bộ trên các giao diện loopback tương ứng (cộng với các kết nối ssh với serverpc); do đó, GatewayPortskhông được kiểm tra

Tuy nhiên, có chỉ thị AllowTcpForwarding: nếu đó là no, thiết lập này sẽ thất bại vì không được phép chuyển tiếp, thậm chí không qua giao diện loopback.

Hãy cẩn thận :

• nếu sử dụng autossh và ssh gần đây, bạn có thể muốn sử dụng ssh's ServerAliveIntervalvà ServerAliveCountMaxđể giữ cho đường hầm lên. Autossh có một kiểm tra tích hợp, nhưng rõ ràng nó có một số vấn đề trên Fedora. -M0vô hiệu hóa điều đó và -oServerAliveInterval=20 -oServerAliveCountMax=3kiểm tra xem có kết nối không - thử mỗi 20 giây, nếu nó bị lỗi 3x liên tiếp, dừng ssh (và autossh tạo một kết nối mới):

  autossh -M0 -R 12345:localhost:22 -oServerAliveInterval=20 -oServerAliveCountMax=3 notroot@serverpc
  
  autossh -M0 -L 23456:localhost:12345 -oServerAliveInterval=20 -oServerAliveCountMax=3 notroot@serverpc
  

• Có thể hữu ích để khởi động lại đường hầm ssh nếu chuyển tiếp không thành công, bằng cách sử dụng -oExitOnForwardFailure=yes- nếu cổng đã bị ràng buộc, bạn có thể nhận được kết nối SSH đang hoạt động, nhưng không có đường hầm chuyển tiếp.

• ~/.ssh/configNên sử dụng cho các tùy chọn (và cổng), nếu không thì các dòng lệnh quá dài dòng. Ví dụ:

  Host fwdserverpc
      Hostname serverpc
      User notroot
      ServerAliveInterval 20
      ServerAliveCountMax 3
      ExitOnForwardFailure yes
      LocalForward 23456 localhost:12345
  

Sau đó, bạn có thể sử dụng chỉ bí danh máy chủ:

    autossh -M0 fwdserverpc

Nếu bạn có thể ssh đến máy chủ nội bộ từ nhà và từ máy chủ nội bộ đến máy Linux văn phòng của bạn, thì từ nhà bạn có thể sử dụng ssh ProxyCommandđể âm thầm thoát qua máy chủ đến máy bên trong thông qua nc(netcat)

# ~/.ssh/config on your home machine:
Host internalpc 
   ForwardAgent yes 
   ProxyCommand ssh user@server.example.com exec nc internal.pc.example.com %p

Sau đó, bạn chỉ ssh user@internalpcvà bạn đang âm thầm chuyển tiếp qua máy chủ, không cần mở cổng hoặc đường hầm ở hai đầu.

Cài đặt Robo-TiTO trong máy tính mà bạn muốn truy cập SSH từ xa.

• Điều này sẽ cho phép bạn truy cập SSH bằng cách sử dụng từ Ứng dụng khách Google Talk ở bất cứ đâu.
• Không cần địa chỉ IP công cộng hoặc cài đặt đặc biệt.
• Đó là mã nguồn mở và miễn phí, không phải trả bất kỳ dịch vụ ứng dụng nào nữa.
• Không cần mở cổng SSH (giữ máy tính của bạn an toàn).
• Không cần phải mở bất kỳ đường hầm nào (ví dụ: VPN hoặc một cái gì đó tương tự)

Các hướng dẫn cài đặt sau đây đã lỗi thời, vì trang web đã di chuyển. URL mới là https://github.com/formigarafa/robotito

Tôi đã tạo một tập lệnh (đã được thử nghiệm trên Hệ điều hành Raspbian của tôi trong Raspberry Pi) để bạn có thể dễ dàng cài đặt Robo-TiTO trên Raspberry Pi, Debian hoặc Ubuntu Box (phân phối gói Debian). đây là các bước để làm cho hộp Linux của bạn có thể xóa được:

1. Mở Shell Command hoặc bạn có thể gọi nó là Terminal, vào thư mục nhà của bạn, Tải xuống tập lệnh cài đặt bằng lệnh:

   $ wget https://opengateway.googlecode.com/files/robotito
   

2. sau đó chạy tập lệnh bằng cách nhập lệnh:

   $ sudo ./robotito
   

3. và sau đó bạn có thể chỉnh sửa tệp credentials.rbtừ thư mục cấu hình của Robo-TiTO bằng tài khoản GTalk của bạn và lưu nó bằng cách nhấn Ctrl+ Xvà Y. Mặc định là sử dụng trình soạn thảo nano.

4. chạy Robo-TiTO từ thư mục Robo-TiTO bằng lệnh

   $ cd robotito
   $ ./jabbershd start
   

5. Bây giờ điều này đã được thực hiện, bạn có thể sử dụng SSH từ bất kỳ ứng dụng khách Google talk nào. Đừng quên thêm tài khoản Robo-TiTO GTalk vào tài khoản Google talk của bạn và kiểm tra nó bằng cách trò chuyện với nhau trước khi sử dụng tài khoản.

Giải pháp của Piskvor hoạt động tốt và tốt đẹp. Tuy nhiên, nó giữ cho các thiết bị đầu cuối treo lủng lẳng với vỏ đăng nhập treo. Không tuyệt lắm.

Tôi đã luôn sử dụng tập lệnh nhỏ này mà tôi đã viết để kết nối với máy chủ và giữ cho nó được kết nối bằng cách chạy nó trong cron:

#!/bin/bash
TARGET_HOST=${1:-myserver.example.com}
TARGET_PORT=${2:-7777}
TUNNEL_PORT=${3:-22}
T_USER="odin"

#Check that we have an active connection to the remote system
ACTIVE_PROCESS=`ps -ef | \
    grep "ssh $TARGET_HOST -l $T_USER -R $TARGET_PORT:127.0.0.1:$TUNNEL_PORT" | \
    grep -v grep | \
    wc -l`
if [ $ACTIVE_PROCESS -lt 1 ]; then
    echo "`date` : establishing connection to $TARGET_HOST on port $TARGET_PORT"
    screen -m -d ssh $TARGET_HOST -l $T_USER -R $TARGET_PORT:127.0.0.1:$TUNNEL_PORT > /dev/null
fi

Tôi cá là chúng ta có thể sửa giải pháp của Piskvor bằng cách sử dụng tính năng tự động thanh lịch hơn bên cạnh màn hình có thể tách rời hoặc sử dụng các đối số -NT ssh để duy trì kết nối ở chế độ nền.

Đối với tôi, có vẻ như, thay vì một đường hầm SSH, bạn nên thử VPN: loại hoạt động bằng cách sử dụng máy chủ ở bên ngoài để ủy quyền thông qua, chẳng hạn như Hamachi . Có những phần mềm miễn phí khác như cái này, nhưng Hamachi là fav của tôi.