Problem z tunelowaniem przez SSH

[fjk]

Cześć,

mam problem ze skonfigurowaniem tunelu poprzez ssh, tworze tunel poleceniem:

Kod: Zaznacz cały

ssh -v -N -R 2222:localhost:22 user@<public ip>

tunel jest poprawnie zestawiony:

Kod: Zaznacz cały

debug1: remote forward success for: listen 2222, connect localhost:22

mogę połączyć się z tunelem na zdalnej maszynie używając localhosta:

Kod: Zaznacz cały

nc -zv localhost 2222
Connection to localhost (::1) 2222 port [tcp/*] succeeded!

ale nie mogę się od niego dostać używając publicznego ip:

Kod: Zaznacz cały

nc -zv <public ip> 2222
nc: connect to <public ip> port 2222 (tcp) failed: Connection refused

Porty wydają się otwarte:

Kod: Zaznacz cały

netstat -lntu
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:2222          0.0.0.0:*               LISTEN
tcp6       0      0 ::1:2222                :::*                    LISTEN
tcp6       0      0 :::80                   :::*                    LISTEN
tcp6       0      0 :::22                   :::*                    LISTEN
tcp6       0      0 :::21                   :::*                    LISTEN
udp        0      0 127.0.0.53:53           0.0.0.0:*

Kod: Zaznacz cały

lsof -i :2222
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    4847  fjk    7u  IPv6  53081      0t0  TCP localhost:2222 (LISTEN)
sshd    4847  fjk    9u  IPv4  53082      0t0  TCP localhost:2222 (LISTEN)

Mam tez ustawione forwardowanie w /etc/ssh/sshd_config:

Kod: Zaznacz cały

AllowTcpForwarding yes

Co robię źle?

Pozdrawiam.

[jacekalex]

Zrób lepiej tunel SSH w trybie podobny do VPN na interfejsach TUN, łatwiej to ogarnąć,
bo interfejsy tun mają własne adresy IP lan.

Tak się to robi w możliwie najprostszy sposób:
https://dug.net.pl/tekst/148/tunel_vpn__przez_ssh/h/ssh

Identyczną funkcjonalność, ale łatwiej i szybciej zestawić podobny tunel na interfejsach tun przez Wireguara.
https://ubuntu.com.pl/jak-skonfigurowac ... ntu-20-04/

Jest też w rezerwie OpenVPN, też robi to samo.


Pozdro

[fjk]

To mi nie wygląda prościej
Teoretycznie powinno wystarczyć:

Kod: Zaznacz cały

ssh -v -N -R 2222:localhost:22 user@<public ip>

[jacekalex]

To mi nie wygląda prościej
Teoretycznie powinno wystarczyć:

Kod: Zaznacz cały

ssh -v -N -R 2222:localhost:22 user@<public ip>

Jak poznasz trochę tcpdumpa i zauważysz, że możesz śledzić nim ruch na interfejsie tun,
to będzie wyglądało dużo prościej.

[fjk]

Nie zrozumiałeś mnie: mi zależy na rozwiązaniu tego problemu a nie szukaniu innych opcji...

[jacekalex]

Nie zrozumiałeś mnie: mi zależy na rozwiązaniu tego problemu a nie szukaniu innych opcji...

Ważne jest, aby rozwiązanie było proste do wdrożenia, proste do diagnozowania i działające.
To wszystko.

Inaczej poza problemem z samym SSH masz też problem z czasem poświęconym diagnozowaniu tego połączenia.
Masz np diagnostykę sieciową jak nmap, netcat tcpdump, wireshark.
Masz też opcję diagnozowania działania aplikacji sshd, np strace, gdb.

Tylko do niskopoziomowego diagnozowania trzeba mieć poważne doświadczenie, co przy diagnozowaniu twojego problemu jest dosyć trudne i w wytłumaczeniu i w zastosowaniu.


PS:
Stary ale dobry poradnik w 2 częściach:
https://web.archive.org/web/20100822171 ... h-2-tunele
https://web.archive.org/web/20100803004 ... zki-z-ssh/
Tutaj też był wieki temu podobny problem:
viewtopic.php?t=83904

Pozdro