vitus_wagner: My photo 2005 (Default)
[personal profile] vitus_wagner
Традиционная задача - как попасть по ssh на хост, не имеющий достижимого извне IP.
В данном случае в варианте "как мне попасть с работы домой".

У домашней машины есть VPN в которую включен хостинговый сервер.

Поэтому в принципе годится любой вариант ssh-через-прокси.

На эту тему теперь есть большой и толстый cookbook.

Начинаем применять рецепты оттуда по очереди

1. ssh -J www.wagner.pp.ru wagner

Увы, у меня на рабочей машине jessie. В нем openssh 6.7, он -J еще не умеет. С виртуалок со stretch и FreeBSD 11 попробовал, работает. Но dist-upgrade на stretch говорить рано. И уж точно не для этой фичи.

2. ssh -o "ProxyCommand ssh -W %h:22 www.wagner.pp.ru" wagner

Это мой openssh умеет. И, в принципе это у меня сейчас штатный способ

3. ssh -o 'ProxyCommand ssh www.wagner.pp.ru nc %h 22' wagner

Это умели и версии openssh, существовавшие десять лет назад. Сейчас я этого даже пробовать не стал. Зачем, если -W есть?

Далее вот такой интересный вопрос - в .xsessionrc на работе у меня все равно прописано открытие ssh-сессии на мою vds с -D 4080. Чтобы использовать этот порт в качестве web-прокси. Потому что не хочу я ошибку 451 видеть.

А может этой самой socks прокси можно еще воспользоваться для хождения по ssh?
Увы, openssh хорошо умеет быть socks-сервером, но не обучен быть socks-клиентом.

В вышеприведенном cookbook рекомендуют использовать netcat в качестве ProxyCommand.

ssh -o "ProxyCommand nc -X 5 -x localhost:4080 %h %p" wagner

Полез смотреть, а-а-а, netcat в jessie не понимает ни -X ни -x. Посмотрел повнимательнее, все гораздо хитрее - в jessie есть четыре разных нетката. И netcat-openbsd все что надо понимает. А у меня почему-то стоял netcat-traditional.

Остался нерассмотренным вопрос использования опции -w в ssh для организации полноценного VPN средствами самого ssh. Но об этом как-нибудь в следующий раз.

Date: 2017-02-15 09:24 pm (UTC)
livelight: (Default)
From: [personal profile] livelight
> Потому что не хочу я ошибку 451 видеть.

То есть, основная функция всего этого марлезонского балета, которому посвящено столько постов, сил и времени, - настройка обходилки роскомпозоровских препон и порицание тех, кто не готов тратить столько сил, чтобы их обходить, а вместо этого жалуется, что власть в государстве захватили пидарасы в плохом смысле слова? Или ещё важные функции есть?

Date: 2017-02-16 08:42 am (UTC)
From: [personal profile] angry_elf
В клинических случаях, я поднимал на целевой машине реверс-туннель с какого-нить доступного публичного хоста. Через supervisord, для рестарта после обрывов (в конфиге еще надо добавить ServerAliveInterval, иначе ssh может часами думать, что коннект есть, когда его давно нету).

В менее клинических случаях - какой-нибудь вариант ipv6 через he/sixxs

Date: 2017-02-17 08:24 am (UTC)
From: [identity profile] edo-rus.livejournal.com
Увы, openssh хорошо умеет быть socks-сервером, но не обучен быть socks-клиентом.

так вроде бы он нормально работал с socksify

Date: 2017-02-18 08:43 pm (UTC)
From: [identity profile] edo-rus.livejournal.com
socksify входит в dante-client, правда в текущем stable его нет
https://packages.debian.org/search?keywords=dante-client&searchon=names&suite=all§ion=all

посмотрел бегло tsocks - вроде в использовании похожи, никто не мешает указать качестве конфигурационного файла что-то вроде ~/.socksify.conf

вопрос: а как предполагается использовать per-user конфигурацию?

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner

April 2017

S M T W T F S
       1
2 3 4 5 6 7 8
91011 12 13 14 15
16 17 18 19 2021 22
23 24 25 26 27 2829
30      

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Apr. 29th, 2017 07:27 am
Powered by Dreamwidth Studios