[SOLVED] Ssh serwer za nat radiowka połączenie z zewnątrz krok po kroku wytłumaczenie

[kamiljk87]

Witam. Mam dokładnie takie pytanko jak w temacie, czy ktoś z bardziej obeznanych w temacie osób mógłby wytłumaczyć krok po kroku cały proces dostępu po ssh biorąc pod uwagę różne możliwości i przeszkody z którymi się spotykało z własnego doświadczenia. Z góry dziękuję.

[cb1986ster]

Najłatwiej będzie wykorzystać do ominięcia różnych przeszkód vpn.
OpenVPN:
https://help.ubuntu.com/community/OpenVPN
Hamachi:
viewtopic.php?t=55308
Jeśli siecią, administruje ktoś normalny, może można było by poprosi o zewnętrzny ip?

[kamiljk87]

A czy jeśli nie będzie możliwości uzyskania publicznego adresu ip openvpn będzie użyteczny ? Tudzież jeśli port 22 będzie zablokowany czy będzie możliwość dostania się na serwer ?
//edit: odświeżam.

[cb1986ster]

Serwer OpenVPN może być postawiony na dowolnej, innej maszynie niż serwer SSH na który chce się mieć dostęp(chodź może być to ta sama). Wtedy serwer SSH(w sensie maszyny) łączy się do serwera OpenVPN. Opcja użyteczna jeśli posiada się jakiś już publiczny adres IP i chce się mieć dostęp do innego "schowanego" w innej sieci. Jeśli uda się uzyskać zewnętrzne IP lub przynajmniej jeden zewnętrzny port to bez problemu można powiedzieć demonowi SSH aby nasłuchiwał na porcie innym niż 22 lub posługując się np iptables zrobić przekierowanie portu. Oczywiście można też postawić serwer OpenVPN, jednak jeżeli docelowo interesuje nas korzystanie wyłącznie z SSH to chyba po prostu niema to sensu. Jeśli obie metody zawiodą użyj hamachi.

[kamiljk87]

Dziękuję, Rozumiem już coraz więcej, a czy ktoś może już próbował stawiać taki serwer za nat - dokładnie chodzi mi o komendy do zestawienia połączeń ssh taki poradnik krok po kroku, bo moja przygoda z linuksem zaczęła się niedawno i pierwszym razem wolał bym pokazowo i jak dla zielonego żebym miał chociaż ten jeden przykład dobry i sprawdzony, a wtedy już łatwiej będzie się wzorować na nim. Czy przekierowania portu to przeba będzie plik sshd config edytować? Hmmm i jeszcze przyszło mi coś takiego na myśl choć nie wiem czy to będzie miało sens, ale czy jeśli postawie na tym serwerze dyndns który będzie miał stały adres(bo przy ewentualnej zmianie program zaktualizuje sam) i spróbuje przeskanowac porty które wykryje na tym adresie czy będzie możliwe połączenie się na którymś z tych otwartych portów ?

[cb1986ster]

Jeśli Twoja przygoda zaczęła się niedawno to na rozgrzewkę proponuję Ci Hamachi czyli:
viewtopic.php?t=55308
na serwerze SSH oraz na maszynie, z której chce się mieć dostęp. Chyba bez sensu jest przepisywanie tutaj wszystkiego, jeszcze raz. Po wykonaniu wszystkiego z powyższego HOWTO sprawdź IP serwera SSH w sieci hamachi. Możesz to zrobić na dwa sposoby:
1. na serwerze przy uruchomionym na nim hamachi

Kod: Zaznacz cały

ifconfig ham0

dostaniesz coś w stylu

Kod: Zaznacz cały

ham0      Link encap:Ethernet  HWaddr da:55:f1:2d:3b:67  
          inet addr:5.XXX.XXX.XXX  Bcast:5.255.255.255  Mask:255.0.0.0
          UP BROADCAST RUNNING MULTICAST  MTU:1200  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

gdzie 5.XXX.XXX.XXX to adres serwera SSH w sieci hamachi
2. na innym komputerze w tej samej sieci hamachi, najpierw aby pobrać nicki adresów

Kod: Zaznacz cały

hamachi get-nicks

odpowiedź

Kod: Zaznacz cały

Retrieving peers' nicknames .. 

później

Kod: Zaznacz cały

hamachi list

odpowiedź

Kod: Zaznacz cały

 * [Nazwa_Sieci]
       5.XXX.XXX.XXX      SerwerSSH

Mając IP logowanie się do ssh wygląda normalnie, czyli:

Kod: Zaznacz cały

ssh nazwa_usera@5.XXX.XXX.XXX

lub po prostu

Kod: Zaznacz cały

ssh 5.XXX.XXX.XXX

jeśli nazwa lokalna jest taka sama jak nazwa użytkownika na serwerze
Aby ułatwić sobie nieco można dodać linijkę do /etc/hosts:

Kod: Zaznacz cały

5.XXX.XXX.XXX   serwer-ssh

wtedy możesz logować się:

Kod: Zaznacz cały

ssh serwer-ssh

DynDns, NoIP i tym podobne systemy są użyteczne dla użytkowników np. Neostrady, Net24 i wszystkich innych, którzy maja zmienny zewnętrzny adres IP. Mówiąc w skrócie pozwalają one na posiadanie darmowej domeny, której adres możemy zmieniać automatycznie co pewien czas, przy zmianie adresu itp. Jeśli jednak nie posiada się zewnętrznego adresu to na nic nam się to nie przyda.
EDIT: klienci zarówno Hamachi jak i OpenVPN dostępne są również na systemy \/\/indows

[kamiljk87]

Właśnie tego się obawiałem że nawet jeśli jest otwarty port to na x komputerów podpietych pod to ip nie będzie śmigać... Może i jestem upierdliwy jeśli tak to z góry przepraszam ale jednak wolał bym próbować na serwerze ssh bez dodatkowych programów, bo jest jeden mały szkopuł zarządzać chciałbym też z symbiana poprzez program putty dlatego tak bardzo się uparłem się na samo ssh bez dodatkowych programów... A jeśli przypuscmy udałoby mi się znaleść gdzieś stały zewnętrzny ip (co musiało by się na takim serwerze ze stałym ip znajdować i do czego musiałbym mieć dostęp ), oczywiście nie przez przydzielenie przez admina sieci w której miałby być serwer tylko należący do jakiejś innej sieci czy wtedy coś by to zmieniło w próbie zestawienia takiego połączenia do serwera za nat?

[cb1986ster]

Jeśli posiadasz dostęp do serwera z zewnętrznym IP to możesz nawet za pomocą SSH zrobić tunel(z serwera ssh) mniej więcej tak:

Kod: Zaznacz cały

ssh -R 8822:localhost:22 user@serwer

gdzie 8822 to port na serwerze z zewnętrznym IP, a 22 to port na serwerze SSH do którego chce się mieć dostęp(sprawdź man ssh). Wtedy:
1. Łącze się z serwera SSH na "serwer publiczny" + tworzę tunel ( -R 8822:localhost:22)
2. Łącze się Putty na serwer publiczny na port 8822
Ważne jest, aby serwer z zewnętrznym adresem faktycznie otwierał porty na świat, gdyż bardzo często serwery są schowane za firewallem i nawet jeśli port otworzy się na serwerze to może być to widoczny tylko z wewnętrznej sieci. Nie wiem jakie są dostępne opcje w putty pod symbianem, natomiast jego \/\/indowsowa wersja pozwala na tworzenie tuneli i to pozwoliło by na stworzenie tunelu z urządzenia i otwarcie na nim portu, który docelowo kończył by się na serwerze za natem. Wtedy widzę to tak:
1. Łącze się z serwera SSH na "serwer publiczny" + tworzę tunel ( -R 8822:localhost:22)
2. Łącze się z symbiana Putty na serwer publiczny + tworze tunel ( -L 8822:localhost:8822 )
3. Łącze się z symbiana Putty na localhost i port 8822
Powodzenia jestem ciekaw wyników.
EDIT:
Lub
1. Łącze się z serwera SSH na "serwer publiczny" + tworzę tunel ( -R 8822:localhost:22)
2. Łącze się z Putty do serwera publicznego
3. Po połączeniu się Putty do serwera publicznego, łącze się na localhost i port 8822
ta trzecia opcja jest chyba w miarę prawdopodobna i łatwa do zrobienia, jeszcze raz powodzenia

[kamiljk87]

Informuje, że misja zakończona pełnym sukcesem. W moim przypadku zadziałało tak:

*serwer za nat

Kod: Zaznacz cały

ssh -R 8822:localhost:22 "użytkownik1"@"serwer_ze_stałym_ip" -p "nr_portu"

użytkownik1 - nazwa użytkownika serwera ze stałym ip
*program putty

Kod: Zaznacz cały

ssh localhost -l "użytkownik2" -p 8822

użytkownik2 - nazwa użytkownika na serwerze za nat.

Śmiga aż miło... Dziękuję ślicznie za wszystkie cenne wskazówki. Teraz będę zamierzał spróbować nawiązać połączenie z podglądem pulpitu... I dodatkowo w jakiś sposób zrobić, żeby automatycznie na serwerze za nat zostało wykonane to polecenie odrazu przy starcie...

[cb1986ster]

Gratulacje
Co do podglądu pulpitu, to VNC pracuje na portach 5900 do 5999
A polecenie możesz dodać do pliku /etc/rc.local, aby wykonywało się automatycznie po starcie systemu. Można by również opakować je w pętle, aby po zerwaniu automatycznie samo się wznawiało, najprościej:

Kod: Zaznacz cały

while true ; do
polecenie
done;

Wiem że ssh ma jeszcze jakieś przełączniki, które powodują nie rozłączanie przy bezczynności, nie alokują terminala i nie startują wiersza poleceń, ale niestety nie pamiętam ich. W przypadku VNC może jednak przydać się '-C', czyli kompresja