ssh -w

Díky za tip, desktop jedu na Ubuntu 6.06 LTS a to tohle ještě nemá :-o.

Pro běžné použití snad jen jako osobní VPN na vlastní server, je zapotřebí mít roota na obou stranách (konfigurace rozhraní tun) a defaultně je to na serveru zakázáno (což je dobře). Na rychlé/nouzové/dočasné zprovoznění tunelu ovšem ideální (možnost zprovoznění i přes http proxy via ProxyCommand, viz ssh_config). Pro trvalejší účely je IMHO lepší OpenVPN.

Ale i docela možný scénář pro Road Warriors:

- pam-ssh s nahráním klíče do ssh-agenta
- na serveru klíč klienta u roota v authorized_keys s restrikcemi:
tunnel="1",command="/usr/local/sbin/tuncfg.sh tun1; read",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty
 * /usr/local/sbin/tuncfg.sh se stará o konfiguraci tun1
- server poslouchá na portu 443
- na klientu mít nějaký skript vpnviassh.sh co provede:
 * zaklepání, pokud se používá
 * nahození tunelu via ssh (ssh -C -f -w 0:1 -p 443 root@server)
 * konfigurace rozhraní tun0 přes "sudo /usr/local/sbin/tuncfg.sh tun0"
- do /etc/sudoers dát /usr/local/sbin/tuncfg.sh bez hesla, třeba takto
 * Cmnd_Alias TUNCONFIG = /usr/local/sbin/tuncfg.sh
 * %vpnusers ALL=NOPASSWD: TUNCONFIG

A Je tu poměrně jednoduchá VPN co projde i z restriktivních sítí s transparent proxy. Oproti stejnému postupu s OpenVPN je tu jen jedno heslo po přihlášení na klienta a na disku nikde neleží nešifrovaný klíč či heslo. Nevýhodou je asi maximální počet klientů dle počtu tun rozhraní na serveru (sdílení tunX point-to-point ? Či použití Level2 tunelu ?). Dále by bylo dobré vědět, jak se to chová v případě výpadku spojení (tcp timeout a pak to shodí tun0 ?) a jak je to s výkonností