Удалённый доступ

[Евгений Золотов]

Коллеги, дайте совет..

 Есть домашняя машинка под Дебианом, все стандартно. Но выведена в интернет через сотового оператора - со всеми его прелестями (IP не уникальный, порты заглушены и пр.). Задача: достучаться до этого компа извне через SSH.

 Я не прошу готового решения, просто набросайте идей. Собственно, однажды уже решал эту задачу, но через ужасные костыли (промежуточный сайт) и SSH не удалось. Сейчас понадобилось сделать нормально. 

 Спасибо! 

[n...@nxmail.org]

День добрый!

Тут нужен ssh тоннель (aka Reverse SSH Tunneling), то есть машинка подключается к некому статическому IP снаружи, пользователь подключается к нему же, и уже на нём подключается к машинке.

Учитывая тот факт, что связь сотовая, мне самому интересно будет услышать, как сделать так, чтобы этот тоннель автоматически поднимался при обрыве связи.

ssh -R <любой свободный порт>:localhost:22 <юзер_на_севере>@<ip_сервера>

на сервере:

ssh <юзер_на_ПК>@localhost -p <порт из п.1>

N.

Отправлено из ProtonMail

‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐

[Sohin Vyacheslav]

24.11.2020 15:38, n...@nxmail.org пишет:

> Учитывая тот факт, что связь сотовая, мне самому интересно будет
> услышать, как сделать так, чтобы этот тоннель автоматически поднимался
> при обрыве связи.

может в этом autossh поможет?

--
BW,
Сохин Вячеслав

[Иван Лох]

On Tue, Nov 24, 2020 at 01:38:04PM +0000, n...@nxmail.org wrote:
> День добрый!
>
> Тут нужен ssh тоннель (aka Reverse SSH Tunneling), то есть машинка подключается к некому статическому IP снаружи, пользователь подключается к нему же, и уже на нём подключается к машинке.
> Учитывая тот факт, что связь сотовая, мне самому интересно будет услышать, как сделать так, чтобы этот тоннель автоматически поднимался при обрыве связи.

Используя systemd

https://gist.github.com/olbat/0e4879825b01239d8d6064d239e0723b

[Victor Wagner]

В Tue, 24 Nov 2020 20:28:20 +0700
Евгений Золотов <senti...@gmail.com> пишет:

Ну, во-первых, промежуточный сайт это не "ужасные костыли" а
единственный способ организовать связь в таких условиях.

То есть машинка должна автоматически устанавливать соединение с этим
самым промежуточным сайтом, автоматически поднимать его заново после
перерывов в связи и это соединение должно быть таким, чтобы через него
можно было попасть по ssh на эту машинку.

Первое, что приходит в голову - это организовать полноценный VPN.

Например я в таких случаях испольую openvpn. Благо я его использую не
только для этого, поэтому все мои машинки, которые могут оказаться за
подобным провайдером все равно его при старте автоматически поднимают.

А далее уже openvpn на сервере прописывает в DNS какой именно IP он
выдал машинке у которой в CN сертификата такое-то имя. И с любой другой
машинки подключенной к тому же VPN я хожу на все остальные как по
локальной сети.

Вариант второй - обойтись ssh. С помощью SSH тоже можно организовать
полноценный VPN но нам это для данной задачи не требуется. Достаточно
remote prot forwarding.

Т.е. надо сделать так, чтобы у машинки при старте запускаласть
ssh-сесиия с ключиком -R 8022:localhost:22 (8022 порт условный.
соответственно набрав на любой другой машине ssh -p 8022 server
мы теперь будем попадать не на сервер, а через этот тунелл на машинку
за Nat.

Я бы только посоветовал еще почитать внимательно про опции
ServerAliveInterval и ServerAlvieCountMax в конфиге ssh. А то без них
может оказаться что соединение либо будет обрываться провайдером по
неактивности, либо ssh не будет замечать что связь оборвалась и
пытаться перезапуститься.

Ну а как сделать чтобы он пытался перезапуститься - про autossh тут уже
написали.
--




--
Victor Wagner <vi...@wagner.pp.ru>

[Anatoly Pugachev]

On Tue, Nov 24, 2020 at 5:13 PM Иван Лох <l...@1917.com> wrote:
>
> On Tue, Nov 24, 2020 at 01:38:04PM +0000, n...@nxmail.org wrote:
> > День добрый!
> >
> > Тут нужен ssh тоннель (aka Reverse SSH Tunneling)
>

> Используя systemd
>
> https://gist.github.com/olbat/0e4879825b01239d8d6064d239e0723b

это какая-то лютая "поделка" , вместо одной строки в crontab с
'@reboot' и autossh

[Andrey Jr. Melnikov]

Victor Wagner <vi...@wagner.pp.ru> wrote:
> В Tue, 24 Nov 2020 20:28:20 +0700
> Евгений Золотов <senti...@gmail.com> пишет:

[...]

> Я бы только посоветовал еще почитать внимательно про опции
> ServerAliveInterval и ServerAlvieCountMax в конфиге ssh. А то без них
> может оказаться что соединение либо будет обрываться провайдером по
> неактивности, либо ssh не будет замечать что связь оборвалась и
> пытаться перезапуститься.

В случае с autossh это не надо, он сам держит ещё одно соединение, завернутое
назад через удаленную сторону и в нем гоняет keep-alive. И при необходимости
- перезапускает ssh.

[sergio]

TOR hidden service?

--
sergio.

[Sohin Vyacheslav]

24.11.2020 15:28, Евгений Золотов пишет:

> Я не прошу готового решения, просто набросайте идей.

https://openport.io/

A free cloud-based reverse SSH service.
Openport builds a tunnel from your machine to the outside world, so your
friends can connect to your services or files directly. Don't worry
about firewalls, DNS or FTP.

--
BW,
Сохин Вячеслав

[Николаев Роман]

Любой провайдер ddns даст имя вашей машинке, по которому она будет
доступна. Как правило задержка в обновлении при смене ip адреса будет
1-5 минут.
Настройки у каждого разные, надо читать их. В принципе все сводится к
тому что берется ваш ip и отправляется к ним на сервер, где они меняют
свою dns запись. это либо их какими то скриптами делается, либо
стандартными обновлениями dns.

С уважением,
Николаев Роман

[Victor Wagner]

В Thu, 26 Nov 2020 17:51:02 +0300
Николаев Роман <rsh...@rambler.ru> пишет:

Проблема в том, что тот IP, который выдает большинство современных
провайдеров, будет в диапазоне 10.0.0.0/8 или 192.168.0.0/16.

Вот мне сейчас ростелеком выдал 10.72.8.130 и толку от этого знания?

Внешний сервер видит что я пришел с адреса выходного NAT (каких там
целый штабель). Ну и что? Если кто-то попытается на этот адрес на порт
22 приконнектиться, на мою машину он не попадет.

Ну и выдан адрес будет не машине , а роутеру. Надо еще на роутере порт
пробросить не полениться.

ddns в наше время имеет смысл только в том случае, если провайдер IPv6
дает. И то смысл ограниченный. Поскольку я даже в Москве наблюдал - вот
здесь один и тот же телефон с одной и той же сим-картой получает только
IPv4, а ста метрами дальше - и IPv4 и IPv6. К сожалению, офис нашей
компании был именно "вот здесь".


--
Victor Wagner <vi...@wagner.pp.ru>

[Oleg Motienko]

Кстати, Ростелеком сейчас полюбил адреса из диапазона CGNAT 100.64.0.0/10 .

Автору топика: еще можно всякие варианты с VPN и IPv6 тоннелями (в том
числе teredo/miredo) попробовать или даже экзотику, вроде стучаться в
STUN/TURN куда-нибудь и через него гонять VPN. В любом случае
потребуется промежуточное железо с "белым" IP.

On Thu, Nov 26, 2020 at 6:12 PM Victor Wagner <vi...@wagner.pp.ru> wrote:

> Проблема в том, что тот IP, который выдает большинство современных
> провайдеров, будет в диапазоне 10.0.0.0/8 или 192.168.0.0/16.
>
> Вот мне сейчас ростелеком выдал 10.72.8.130 и толку от этого знания?
>
> Внешний сервер видит что я пришел с адреса выходного NAT (каких там
> целый штабель). Ну и что? Если кто-то попытается на этот адрес на порт
> 22 приконнектиться, на мою машину он не попадет.
>
> Ну и выдан адрес будет не машине , а роутеру. Надо еще на роутере порт
> пробросить не полениться.
>
> ddns в наше время имеет смысл только в том случае, если провайдер IPv6
> дает. И то смысл ограниченный. Поскольку я даже в Москве наблюдал - вот
> здесь один и тот же телефон с одной и той же сим-картой получает только
> IPv4, а ста метрами дальше - и IPv4 и IPv6. К сожалению, офис нашей
> компании был именно "вот здесь".


--

Regards,
Oleg

[Victor Wagner]

В Fri, 27 Nov 2020 17:17:05 +0300
Oleg Motienko <moti...@gmail.com> пишет:

> Кстати, Ростелеком сейчас полюбил адреса из диапазона CGNAT
> 100.64.0.0/10 .
>
> Автору топика: еще можно всякие варианты с VPN и IPv6 тоннелями (в том
> числе teredo/miredo) попробовать или даже экзотику, вроде стучаться в
> STUN/TURN куда-нибудь и через него гонять VPN. В любом случае
> потребуется промежуточное железо с "белым" IP.

Идея использования STUN с OpenVPN мне показалась благодатной.
Хотя, конечно надеяться на то, что NAT коническим окажется не всегда
приходится. Но вот что-то я не нашел упоминаний про то как пустить
openvpn в udp mode через STUN нигде, кроме
https://github.com/xmikos/qopenvpn/

А это уже 4 года как заброшенный проект.

--
Victor Wagner <vi...@wagner.pp.ru>

[Serge Yakimchuk]

Добрый день.

Я тут с ходу вижу 2 варианта:

1. VPN через какой-то внешний сервер

2. Поднять SSH на каком-то порту, который не заблокирован и использовать для получения адреса что-то типа dyndns

С уважением,

Якимчук Сергей

24.11.2020 15:28, Евгений Золотов пишет:

Коллеги, дайте совет..

[Maksim Dmitrichenko]

пт, 27 нояб. 2020 г. в 17:17, Oleg Motienko <moti...@gmail.com>:

Кстати, Ростелеком сейчас полюбил адреса из диапазона CGNAT 100.64.0.0/10 .

Автору топика: еще можно всякие варианты с VPN и IPv6 тоннелями (в том
числе teredo/miredo) попробовать или даже экзотику, вроде стучаться в
STUN/TURN куда-нибудь и через него гонять VPN.

С teredo не развлекался, а вот tunnelbroker вроде как требует белого IP-адреса.

Я думаю, что самый дешевый вариант - это, используя https://www.serverhunter.com/, найти самый бюджетный VPS, а дальше фантазия ничем не ограничивается, кроме возможностей железа, которое вам за эти деньги предоставят.

--

With best regards
  Maksim Dmitrichenko

[Pavel Gaidai]

Хотел бы посоветовать https://hosting.gullo.me/pricing - NAT IPv4 256 MB( на нем openvpn сервер) + openvpn клиент на двух пк( с которого и на который нужен доступ).

пн, 25 янв. 2021 г. в 18:55, Maksim Dmitrichenko <dmit...@gmail.com>: