SSH kaland?

csuhas32

klt Ebből az álomból könnyen valóság lehet. Nagyon lemaradva ott tartok, hogy virtuálisba feldobtam egy Ubuntut szervernek, ráadásul most gép leáll, megyek kihasználni a kellemes időjárási körülményt.

Silent_Bob

csuhas32 Huawei izé, ha jól emlékszem és a DIGI-é.

Nekem is az van. Van rajta port átirányítás opció. Elég zavaros a beállítása. Az előtte használt TP-Link sokkal normálisabb volt.

csuhas32 Amennyire olvasmányaimból kiderült, ha erre a swich után routerre kötnék rá egy gépet, akkor talán azon kellene csinálnom egy port forwardingot,

Ilyesmit látod, soha nem próbáltam, de ha most logikusan belegondolok, ha a switch -en(sose használtam) port átirányítasz, akkor csak a router hálójára jutottál be. Onnan a bit még nem fogja tudni, hogy merre induljon el.

Silent_Bob

Silent_Bob https://superuser.com/questions/96489/an-ssh-tunnel-via-multiple-hops
De itt feszegetik a kérdést.

klt

Na kérem!
Működik!!!

Most éppen egy vargabetűvel jelentkeztem be a házi szerverre: a háziszerveren nyitottam egy reverse shh tunnel-t a VPS-re, remote port forwarddal, a VPS-re pedig csatlakoztam a laptopomról a tunnelhez nyitott ssh porton...

A következőt csináltam:

A VPS-emen csináltam egy sshguest nevű felhasználót, csak az átjárhatóság kedvéért. A default shell-t úgy állítottam be, hogy konkrétan a VPS-re ne lehessen bejelentkezni vele, de csatorna nyitására így is jó.

Módosítottam az sshd konfigot, hogy engedélyezve legyen a "GatewayPorts":
GatewayPorts clientspecified

Ezután a háziszrverről nyitottam a reverse-tunnelt a VPS-re, majd a laptopról csatlakoztam a VPS-re, de tunnel portjára, és a háziszerveri felhasználónévvel.

Ezzel a NAT át van bökve. 😃
A VPS-em fényes tükörként pattintja az SSH forgalmat a NAT mögé. Időnként megállapítom, hogy találóan sikerült elnevezni a reflector-t 😃

Még azért kell tesztelgetni.
@csuhas32 van kedved?
Akkor adok címeket, meg jelszót az sshguest-hez a VPS-emen.
Persze privátban. 😉

Ja igen! Ha van kedved, akkor részletes használati útmutatót is adok.

csuhas32

klt Köszönöm, a részletes használati útmutatót örömmel venném.
Persze most például ez egy olyan pont, melyben becsapódhadtok velem kapcsolatban. Olykor megkapom, hogy ne álszerénykedjek, dehát tényleg vannak nagy hiányaim, csak a gyakori szereplésem, meg olyan témák kapcsán melyekben már szerencsére tényleg eléggé otthon vagyok, tűnhet akár (jóval) nagyobbnak is a tudásom a valósnál.
Ez például egy olyan témakör, amiből nagyon sok szót sem értek, nemhogy a megoldást taglaló leírását.

Ez most már így egy komplett dolog, ha úgy adódik, tudnám használni ugyanolyan DIGI modem mögött lévő rokonomnál, mint amilyen nekem van.
Szóval még gyakorlati hasznát is látni vélem, érdekel a dolog, szívesen megtanulnám.

Tesztelni is örömmel, persze, ha nem baj, hogy egyelőre fogalmam sincs, hogy mit kellene figyelni, hogyan tudnék ebben hasznos tesztelő lenni.

Most dolog van, de jelentkezem majd a kérdéseimmel, hátha bírjátok majd türelemmel és egyszer még blog lesz a hasznos hülye által nyitott fórumtémából. :-)

Silent_Bob

klt Hülye kérdés: Ez az SSH tunnel nem működik közvetlenül a kliens és a szerver közt? Miért kell közvetítőként a VPS is? Ott ugyanúgy ki kell látnia a natolt háló mögül. Valószínű én nem értek valamit az SSH tunnel lényegéből, de ez engem nem vígasztal.
Egyelőre annyit látok, hogy "kétszeresen paraméterezi a port beállítást" Vagyis a forrás és a cél oldalon is be van téve a port forward.

klt

csuhas32 Köszönöm, a részletes használati útmutatót örömmel venném.

Ment 😉

csuhas32 Ez most már így egy komplett dolog, ha úgy adódik, tudnám használni ugyanolyan DIGI modem mögött lévő rokonomnál, mint amilyen nekem van.

Mindenképp!

Persze rá kell venni a rokont a leírt parancs futtatására, hogy megnyíljon nála a csatorna.

csuhas32

Belefogtam.
(Már a kezdeti lépéseknél is megakadtam. Mutatom szívesen ezeket a mellényúlásokat is, hogy látszódjék, mindenkinek tapasztalni, gyakorolni kell, mire belejön valamibe.
Próbáltam a virtuális gépen a hálózati kártyát NAT-on hagyni és egy videót követve (értelem nélkül) Port Forwarding-ot beállítani, de így nem tudtam a gazdagépről bejelentkezni. Aztán egy másik videót követve Guest Additions-t telepíteni és a hálózati kártyát Bridge-re állítani. A vendég egy „sima” Ubuntu, nem egy szerver. A Guest Additions-tól sokat romlott a grafikus felület, és bár változott a hibaüzenet, a gazdáról így sem jutottam be.
Itt nagyjából el szokott fogyni a végtelen türelem, nézegettem különböző leírásokat, videókat, ütöttem-vágtam szegény tesztrendszert.
Végül a virtuális gép hálókártyáját Bridge-re és a Promiscuous Mode-ot Allow All-ra állítva be tudtam jelentkezni a gazdagépről.
Visszaállítottam a rendszert a telepítés és az összes frissítés felpakolása utáni állapotra.)
Az ssh szerver telepítése: sudo apt install openssh-server
Az ssh indítása: sudo systemctl start ssh
Annak engedélyezése, hogy a gép indulásakor futni kezdjen az ssh szerver: sudo systemctl enable ssh
A szerver IP címének kipuskázására két módszert láttam. Az egyik azifconfig parancs, de ahhoz hogy ez lefusson telepíteni kell a net-tools csomagot, a másik az ip a.

A játékszerveremen az én felhasználónevem a teszt, és fentiek alapján megtudott IP-t használva a gazdagépen az ssh teszt@192.168.100.103 paranccsal be tudtam jelentkezni.
Hurrá! Készítettem egy újabb visszaállítási pontot.
Ma eddig jutottam.

csuhas32

Port Forwarding
(Tudom arról volt szó, hogy ez majd a végén, de Csuhás tervez, élet végez. Állandóan visszakapom ezt a feladatot, szóval nem érdemes a megúszására játszani, ha már a virtuális gép is kínálgatja és nem a routert kell piszkálni, kockáztatva, hogy eltolom az amúgy fontos és működő hálózati kapcsolatot...)
A virtuális gép Network részén az Attached to-t visszatettem NAT-ra és megnyomtam a Port Forwarding gombot.
Visszanézve az előzményeket a videók mellett tegnap is volt előttem ez a leírást, próbáltam ma is követni.
Megtaláltam a hibát, tegnap a Guest IP-hez rossz értéket írtam, ezt ma kijavítottam, csakhogy ezzel egy szuszra a Host Port értékét is átírtam 2222-ről 22-re. Így aztán a gazdáról történt bejelentkezési kísérlet során hibaüzenetet kaptam.
Keresgéltem, olvasgattam egy darabig.
https://serverfault.com/a/775056
Írjam át a 22-őt például 2222-re.
Áááá! De hisz az volt, csak én ráküldtem egy PEBKAC-t! :-D

Az nagyzolás lenne, ha azt írnám, hogy értem, de működik!
ssh -p 2222 teszt@127.0.0.1
ssh teszt@127.0.0.1 -p 2222
ssh -p 2222 teszt@localhost
Ezekkel mind be tudok jelentkezni. :-)
Ez olyan szép, hogy ide is teszek róla egy képernyőképet emlékül:

Gondolom én:
Név: szabály 1, protokoll: TCP
A Host IP a gazdán a localhost címe (persze, hogy azt se tudom pontosan, hogy ez mi, a rendszerem belső hálója vagy mi, valami olyasmire emlékszem, hogy első tapasztalataimat a WordPressel úgy szereztem, hogy közvetlen a gépemre raktam a csacskasagom könyvtárat, abba került a WP és böngészőből a /localhost/csacskasagom-at beírva máris tudtam játszani, nem kellett hozzá se tárhely, se semmi, azok később jöttek), de gondolom, ha ez egy router lenne, akkor ide jönne a whatismyip-ből kiolvasott ipV4 cím.
Host port 2222 (ezt nyitnám a routeren vagy ilyesmi.)
Guest IP (ide jönne élesben a távirányított gép IP címe az ip a kimenetéből.)
Guest port (ez a távirányított gép ssh config-jában megadott port, alapértelmezetten 22.)

a mester

Az internet TCP/IP protokollal működik. Ehhez az kell, hogy a gépeknek legyen IP-címük, és valamilyen fizikai kapcsolat legyen köztük, amin keresztül el tudják küldeni egymásnak a csomagjaikat. (Itt jönne az, hogy "de az ethernet MAC-cím alapján működik", meg hogy hálózati maszk, átjáró, de ezektől most tekintsünk el.). Ha bárki beszélhet bárkivel, akkor a rendszerben nem lehet két egyforma IP-cím, mert akkor "az internet" nem tudja eldönteni, ki a cél, hová küldje a csomagot.

Szóval egy gépen elindítasz egy szerver funkciót (webszervert, ssh-elérést, hálózatos játékot, FTP-szervert), ezekhez tartozik egy-egy úgy nevezett "port"-szám is. Van default értékük, de megadhatsz saját portot is. Ez akkor hasznos, ha el akarod rejteni a szolgáltatásodat a kukkoló robotok elől. A butábbak csak a default porton próbálkoznak, mert 65535 portot végigpróbálgatni unalmas meló, még egy robotnak is.

Alap estben egy gépnek egy IP-címe van, és egy szolgáltatáshoz egy portszám tartozik.
Ha a gépek egy hálón vannak, már működhet is a dolog. Meg működhet "igazi" interneten is.

A portforward ott jön a képbe, hogy elfogytak az IPv4-es címek, ezért trükközni kellett: az otthoni gépeinknek valami 192.168.n.m címük van. És lehet, hogy a te géped címe pont ugyanaz, mint az enyémé. Ha így egymásra találnának, a büdös életben nem tudnának (TCP/IP-n) kommunikálni.
És ehhez még van egy olyan szabály is, hogy 192.168.n.m alakú címet nem engednek ki az internetre (meg van még pár ilyen tartomány...)
Ezt a helyzetet oldják fel a NAT-olós házi routerek: az internet felé nyilvános, bárki által elérhető címük van, befelé meg a 192.168.n.m tartományban beszélnek velünk.
Ha viszont a gépeden elindítottál egy szolgáltatást, szervert, az a routerrel is közölni kell. Tehát a világból a bejövő, 2222 portra szóló csomagokat lesz szíves a te gépedre továbbítani, forwardolni. (Ezt ki lehetne hagyni, ha egyvégpontos routered lenne, meg egyáltalán csinálnának olyat. Másik hátránya a dolognak, hogy ha három géped van a router mögött, akkor ugyanarra a szolgáltatásra más-más portot kell nyitni az egyes gépeken, hogy a router tényleg oda tudja továbbítani a kéréseket, ahová szánták.)

(Az iromány kicsit elnagyolt, bele lehet kötni, lehetne finomítani, de indulásnak szerintem elég. Meg csoda, hogy egy szuszra ennyit le tudtam írni.)

csuhas32

Köszönöm szépen!

a mester (Az iromány kicsit elnagyolt, bele lehet kötni, lehetne finomítani, de indulásnak szerintem elég. Meg csoda, hogy egy szuszra ennyit le tudtam írni.)

Nekem elsőre bőven elég lesz ennyit megérteni.

klt

csuhas32 Amíg tanulsz, kipróbáltam, hogy az sshfs is működik. 🤩

Egy helyi hálózatban lévő gépről indítottam reverse tunnelt a VPS-re, majd egy másik gépről sshfs-eltem a VPS-en át:
sshfs -o reconnect -o allow_other -o cache=yes -o kernel_cache -o ServerAliveInterval=30 felhasznalo_natolt_gépen@a_vps_neve:/path/a/natolt/gépen /path/a/helyi/gépeni -p <reverse tunnel portja>

Mint kiderült, mivel gyalogjúzer vagyok a helyi gépemen, előbb a /etc/fuse.conf -ban szükség van
user_allow_other bejegyzésre, hogy szabadjon ilyesmit csinálnom.
De ezekután remekül működik.

csuhas32

klt Egyre nő a tananyag. Próbáltam nem észrevenni a VPS-t, de most már ráadásul van belőle több is. Akkor, gondolom, a VPS is kell a ketteshez.
Ráadásul van a két hasonló szó: VPN, VPS.
Szép!

klt

csuhas32 Próbáltam nem észrevenni a VPS-t, de most már ráadásul van belőle több is.

Tekintsd saját tulajdonú (valójában bérelt) számítógépnek közel az internet gerincéhez. NAT mentes, statikus IP-vel.
A hasznossága az elhelyezkedésében, elérhetőségében van, sokkal gyengébb szerintem, mint bármelyik otthoni géped.
(20GB tárhely, 1GB RAM, 1 CPU mag)

klt

Silent_Bob Miért kell közvetítőként a VPS is? Ott ugyanúgy ki kell látnia a natolt háló mögül.

Képzeld el, hogy Marika néninek van egy laptopja Linux Mint-tel telepítve, amit te telepítettél neki Windows helyett.
Megegyeztetek, hogy ha gondja van vele, csak szóljon neked bátran, majd segytesz elhárítani a nehézséget.
Van neki otthon egy routere, amihez csatlakozik a laptopja, meg az okos tévéje is, hogy tudjon nézni diznipluszt.
Halvány gőze sincs, hogy hogyan tudna a routerén port forwardot eszközölni, de még ha meg is tenné, hiába, mert közben a Digi is NAT mögé rejtette, így a router mögött a laptopja igazából duplán NATolt.

Te meg éppen nem otthon vagy, hanem pár hetes céges kiküldetésben Karakószörcsög-alsón, és bár a te laptopod nálad van, de az otthoni netedtől igen messze vagy. Csak a mobilod hotspotját tudod használni, és az is csak NATolt hálót ad.

Uzsonnaszünetben felhív Marika néni, hogy azonnal segítségre van szüksége, mert nem megy le a frissítés, vagy mittudomén, cifra beállítási bajság van, és kétségbeesetten könyörög neked, hogy segíts!

Hogy csatlakozol hozzá SSH-n keresztül, hogy segíts neki valami cifra beállítást megcsinálni a Mintes laptopján?

Silent_Bob SSH tunnel nem működik közvetlenül a kliens és a szerver közt?

A fent vázolt esetben nem lehetséges közvetlenül csatlakozni, kell egy közbülső állomás.

Silent_Bob Vagyis a forrás és a cél oldalon is be van téve a port forward.

Az SSH végzi el a port forwardot, viszont ehhez a NATolt hálózaton BELÜLRŐL kell kezdeményezni a kapcsolatot.
Ha @csuhas32 kolléga beállít a saját routerén megfelelő port-forwardot, akkor kihagyható a VPS, mert a segítendői tudnak majd valamelyik gépéhez (amelyikre rányitja az SSH-t) reverse tunnelt nyitni, amin aztán majd ő jól becsatlakozik a port forward nélküli NATolt hálón lévő gépbe.
De eredetileg ebbe nem mert belekezdeni. Menet közben meg engem is elkezdett érdekelni ez a játék, így most ez egyfajta szórakozás.

csuhas32

OFF

klt De eredetileg ebbe nem mert belekezdeni.

Egyrészt nem mert, ez igaz. Meg aztán elvenni mindig necces dolog valakitől valamit. Most van egy szolgáltatótól kapott modem/routere, amit tud adni egy LAN-t és egy WiFi hálózatot. Ha átkapcsoltatom Bridge módba, akkor megmarad a LAN, amire ráteszek egy routert, azon jöhet sok (4) LAN meg egy másik WiFi hálózat. Ezen a routeren állítom be a port forwardingot, ha mindent jól értek.
Na de, ha leveszi a plusz routert, akkor nincs meg az a WiFi, pedig a doboz alján ott a jelszó, azt neki meg nem megy, a szomszédnak meg de. Há mert a csuhas meg a Linux elrontották a jót.
ON

klt Csak a mobilod hotspotját tudod használni, és az is csak NATolt hálót ad.

Akkor talán ezért futottam lukra, mikor gondoltam, a vezetékes netet megkerülöm és mobilnet hotspotjáról csatlakozva majd jól bejelentkezem a másik gépről. Az is NAT-olva van?! A kis piszkok!
Félig jó hír.

klt

csuhas32 Akkor talán ezért futottam lukra

Nem hiszem. Ha most eltekintünk a reverse tunneles varázslásoktól, a működő port foward ott kell, AHOVA csatlakozol.
Szerk.:
Visszaolvastam az eleje felé.
Neked először a szolgáltaró dobozán kellene portot nyitnod, hogy kintről tudj csatlakozni. Nem világos, hogy a saját routered hogyan van bekötve? A WAN portját dugtad a switchbe, vagy valamelyikLAN portját?
Mert ha a LAN portját, akkor a router is csak egy switch, illetve szórja a wifit.
Ha viszont a WAN portját, akkor még ő is NATol.
Ez esetben 2 port fowardot kell belőnöd, ha a routereden lévő gépet akarod elérni ssh-n:
doboz:ssh ---> router WAN IP:ssh
router:ssh --> gép IP:ssh
így működhet, feltételezve, hogy amúgy a Digi nem NATolt téged eleve, mert akkor van még egy fal, amit nem tudsz kilukasztani, mert nincs ráhatásod

csuhas32

klt Nem hiszem.

Lehet, hogy nem jó az elméletem, de itt két éles géppel játszottam. A belsőn elérem a „szervert” több gépről is, ezt a „szervert” tettem fel a mobilnet megosztott hotspotjára.
Megnéztem mit ad whatismyip
A másik gépről az ssh username@ipV4 -et adtam ki. Azt gondolom, hogy itt nem számít, hogy kifele a másik gép a DIGI vezetékesen van, kifele nem érvényesülnek a NAT-ok.
Lehet, hogy még valami hiányzott a parancsból, vagy nem ezt kellett volna megadni, de azt is esélyesnek látom a hozzászólásod alapján, hogy mobilnet hotspoton is NAT-ol és ez eszembe se jutott.
Még nem vagyok benne eléggé ahhoz a témában, hogy ezt megfejtsem, de megjegyeztem mint lehetséges magyarázatot.
Először egy alapdolgot szeretnék elérni egy olyat, ami tán az eredeti felállás volt, amikor még nem volt ennyi gép a hálón és csak ipV4 címek voltak, elérték egymást a gépek vagy éppen betették őket egy router mögé és azokon keresztül kellett egymást megtalálni. Ilyesmit képzelek. Ha ezt már értem, meg tudom csinálni az szerintem előrelépés.

csuhas32

klt Nem világos, hogy a saját routered hogyan van bekötve?

A DIGI-t amikor bekötötték, akkor sikítottam, hogy vissza nekem az ipV4-et (azt hiszem csak ipv6-on nem ment rendesen a torrent vagy ilyesmi), talán így nincs NAT mögött.
Van saját router, de az szerintem most nem számít az egy másik kör.
Megpróbálom még egyszer leírni a hálózat felépítését:
DIGI DOBOZ (1 LAN + DIGI WiFi), ennek a LAN-ján van a switch.
A switch-en (természetesen LAN-on) gép1, gép2, és a saját router.
A saját router ad egy saját WiFi-t, annak a LAN-ján nincs semmi.

[Apósnál is ugyanilyen DIGI van, de ott szerintem nincs megkérve az ipV4, erre azt a tétet tenném, hogy NAT mögött van. Ott egy Linux Mint-es gép van rákötve az egyetlen LAN-ra, a többi eszköz meg a DIGI WiFi-n lóg.]

klt

csuhas32 ezt a „szervert” tettem fel a mobilnet megosztott hotspotjára.

Aha!

Akkor igen, valóban a mobilnet NAT-ja akasztott meg.

csuhas32 kifele nem érvényesülnek a NAT-ok.

De érvényesülnek, csak kapcsolat kezdeményezése NAT-on belülről indul kifele, így nem akaszt meg.
NAT-on kívülről befele való kezdeményezéshez kell a port-frorward.

klt

csuhas32 A saját router ad egy saját WiFi-t, annak a LAN-ján nincs semmi.

Akkor azon a wifin lévő dolgok még egy NAT mögött vannak.

« Előző oldal Következő oldal »