AbcLinuxu:/ Poradna / Linuxová poradna / SSH tunel

Štítky: firewally, iptables, PC, router, SSH

Dotaz: SSH tunel

16.4.2009 10:54 Petr
SSH tunel

Přečteno: 1371×

Odpovědět | Admin

Zdravím, potřeboval bych malou radu. Řeším teď tuto situaci.

PC-----eth0-Router-ppp0------------------GW (veřejná IP)

Mohu nastavovat parametry jen na Routeru. Potřebuji aby z GW bylo přístupné PC za routerem. Koukal jsem na SSH tunel a mohlo by to fungovat tak, že vytvořím SSH tunel mezi Routerem a GW a z GW se dostanu na router, ale není mi jasné jak mám udělat přesměrování SSh tunelu na další PC.

Pokud má router veřejnou IP adresu, tak vše funguje bez problému (mocný iptables :) ) ale pokud by router neměl veřejnou IP adresu tak jsem v pasti :(

Děkuji za rady.

Nástroje: Začni sledovat (0) ?

Odpovědi

16.4.2009 11:54 NN
Rozbalit Rozbalit vše Re: SSH tunel

Pronatovat SSH na PC pres iptables?

16.4.2009 12:06 Robbie | skóre: 21 | Praha
Rozbalit Rozbalit vše Re: SSH tunel

Pres to SSH muzes zkusit nasledujici:

Router -> GW:  ssh GW -Rxxx:IP_PC:port 
PC v Internetu->GW: ssh GW -Lyyy:localhost:xxx

a pak na PC v Inernetu cokoliv na localhost:yyy pujde uz na PC za routerem.
Sice nevim jestli je to uplne presne co potrebujes, ale muzes to vyzkouset.

P.S. xxx a yyy jsou cisla portu.
IP_PC je LAN IP tveho PC za routerem.

16.4.2009 14:04 Petr
Rozbalit Rozbalit vše Re: SSH tunel

To by mohlo být ono, vyzkouším.

Díky

16.4.2009 14:11 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: SSH tunel

Pokud si dobře pamatuji SSH tunneling správně, tak stačí jedna z uvedených možností - jen pro doplnění, nevím, jak to autor příspěvku myslel :-)

16.4.2009 14:19 Robbie | skóre: 21 | Praha
Rozbalit Rozbalit vše Re: SSH tunel

Nestaci, neb jeho router nema zajistenou pevnou IP adresu. jedine spolecne misto pokud sem spravne pochopil je GW, proto musi udelat tunel z jeho router na GW, a na ni se pak muze teprv pres tunel dostat na router a PCcka za routerem.

16.4.2009 19:09 bako
Rozbalit Rozbalit vše Re: SSH tunel

Přesně tak, jediné stabilní místo je GW. Proto z routeru ssh tunel na GW a potom se nějakým způsobem dostat na zařízení za routerem.

2.12.2010 10:02 Antitrust
Rozbalit Rozbalit vše SSH tunel

Zdravím,mám možná trochu jiný dotaz a nevím,zda bude vůbec možné ssh tunel vytvořit. Situace je taková,že chci udělat ssh tunel,kterým bych se z lokální sítě A s IP adresou brány 10.31.15.8 jejíž LAN rozhraní jest 192.168.1.1-200 mohl dostat do lokální sítě B jejíž brána jest 10.51.11.15 a její LAN rozhraní jest 192.168.1.2-100. Brány obou sítí tvoří nanostation 5,na nichž mohu povolit ssh přístupy.Tuším,že Nanostation 5 používá Dropbear sshd. Jde mi o to,abych mohl ze sítě A vytvořit tunel do B,kde bych se mohl pingat na IP adresy z LANu B.TZN. PC v síti A(IP např. 192.168.1.77) s tunelem do B,které by se mohlo pingnout na pc v síti B(např. IP 192.168.1.47) Poradí mi někdo jak na to?V síti A mám Ubuntu 10.4.V síti B mi za bránou neběží žádný další server,který by uměl VPN,jsou tam pouze 2x Windows PC. Díky za radu

2.12.2010 22:15 hitchhiker
Rozbalit Rozbalit vše Re: SSH tunel

Tohle nejde resit ssh tunelem. Pouzijte ipsec nebo nejaky pptp, ale nanostation neznam. Jinak mate tam kolidujici rozsahy ip adres, to budete muset zmenit.

3.12.2010 10:58 Antitrust
Rozbalit Rozbalit vše Re: SSH tunel

Zdravím,díky za komentář a radu, stejný popis problému jsem uváděl ještě na foru ubuntu.cz,kde mi kdosi odpověděl takto :

"zda se, ze uplne presne nerozumis tomu jak tcp/ip a smerovani funguje, neb gateway nemuze byt v jinem subnetu nez samotna sit, takze aktualizuj informace ktere jsi podal "

aka: sit a: subnet w.x.y.z/m , brana w.x.y.$n sit b: subnet a.b.c.d/m , brana a.b.c.$n

jinak man ssh a zejmena parametry -L a -R

Dále mi pak odpověděl takto :

" [[..]] - sit {} - router <-> - kabelaz

[[sit_a(192.168.1.0/24) <-> {(192.168.1.?)vnitrni_addr]].router.[[vnejsi_addr(?10.31.15.8} <-> jina_sit(?jeji_adresa) <-> {vnitrni()]].jinej_router[[vnejsi_addr} <-> jina_sit() ....

ty jedine co potrebujes pro tunel znat je adresa routeru za nimz se nachazi pozadovanova sit ... nevim jestli to chapu spravne, ale pokud z:

site a: ssh 10.51.11.15 -L 9999:192.168.1.20:22 ## tak u sebe na localhost:9999 protunelujes port 22 z masiny 192.168.1.20 tak jak ji vidi router 10.51.11.15 "

S těmi rozhraními LAN sítí A a B souhlasím,asi bych musel pozměnit LAN rozhraní v B třeba na 192.168.2.1-100. I když nejsem zatím v tomto tunelování,iptables a ssh zběhlý,domnívám se,že by teoreticky šance protunelování být mohla. Pokud se připojím ze své sítě přes : ssh ubnt@10.51.11.15 a zadám heslo,jsem vlastně v síti B,pingat se na klientská pc mohu(ale jako přihlášený admin routeru B přes ssh),teď už jen udělat něco jako nový síťový profil,který by využil autorizaci sshčkem ubnt@10.51.11.15 a ještě mu nějak říct,aby dostal od vzdáleného routeru vnitřní IP adresu z LAN rozhraní. Někdo mi již také radil ,že by to dělal přes IPsec,ale v síti B neběží nic,na čem bych IP sec mohl nakonfigurovat(vista PC a xp pc).

Takže má teorie o ssh tunelu není prakticky použitelná a realizovatelná?

Založit nové vlákno • Nahoru

Tiskni Sdílej: