URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93736
[ Назад ]

Исходное сообщение
"Помогите организовать ssh_tunel"

Отправлено lifefornazgul , 28-Авг-12 13:44 
п.с. Возможно я ошибся разделом форума, мои извинения, прошу перенести.

Есть сервер FreeBSD. На нем подняты вланы (например, vlan111 и vlan222). Эти влан-интерфейсы выступают в роли шлюза для двух сетей. Т.е. сети из вланов выходят в интернет через этот сервак. Разумеется сервер успешно пингует обе сети. Однако, на сервере настроен фаирвол который блокирует доступ от всех к vlan222.

Задача, организовать SSH тунель/VPN из сети vlan111 в vlan222, не редактируя IPFW. А использовать именно ssh.

Если более детально, то у меня есть комп с виндой с внешним айпи (влан111) который должен заходить на "удаленный сервер" с Серым айпи (влан222). как это сделать?
На "удаленном сервере" radmin порт 4899


Содержание

Сообщения в этом обсуждении
"Помогите организовать ssh_tunel"
Отправлено 1 , 28-Авг-12 13:53 
>[оверквотинг удален]
> влан-интерфейсы выступают в роли шлюза для двух сетей. Т.е. сети из
> вланов выходят в интернет через этот сервак. Разумеется сервер успешно пингует
> обе сети. Однако, на сервере настроен фаирвол который блокирует доступ от
> всех к vlan222.
> Задача, организовать SSH тунель/VPN из сети vlan111 в vlan222, не редактируя IPFW.
> А использовать именно ssh.
> Если более детально, то у меня есть комп с виндой с внешним
> айпи (влан111) который должен заходить на "удаленный сервер" с Серым айпи
> (влан222). как это сделать?
> На "удаленном сервере" radmin порт 4899

на сервере делаете ssh -f -N -L vlan111_ip:4899:remote_server_ip:4899 login@localhost
вводите пароль, отправляется в бекграунд, с виндовой машины заходите радмином на ip сервера vlan111_ip port 4899 и попадаете на удаленный сервер, все ;)


"Помогите организовать ssh_tunel"
Отправлено lifefornazgul , 28-Авг-12 14:16 
>[оверквотинг удален]
>> всех к vlan222.
>> Задача, организовать SSH тунель/VPN из сети vlan111 в vlan222, не редактируя IPFW.
>> А использовать именно ssh.
>> Если более детально, то у меня есть комп с виндой с внешним
>> айпи (влан111) который должен заходить на "удаленный сервер" с Серым айпи
>> (влан222). как это сделать?
>> На "удаленном сервере" radmin порт 4899
> на сервере делаете ssh -f -N -L vlan111_ip:4899:remote_server_ip:4899 login@localhost
> вводите пароль, отправляется в бекграунд, с виндовой машины заходите радмином на ip
> сервера vlan111_ip port 4899 и попадаете на удаленный сервер, все ;)

Сейчас нет возможности проверить на практике поэтому спрошу в теории:
login@localhost  - эти значения я на что меняю или не меняю вообще?

и , на виндовом компе, я делаю радмин получается на свой шлюз (на айпи сервера фриибсд) в порт 4899 и он уже перенаправляет на удаленный_Сервак тот же порт да?



"Помогите организовать ssh_tunel"
Отправлено 1 , 28-Авг-12 14:22 
> Сейчас нет возможности проверить на практике поэтому спрошу в теории:
> login@localhost  - эти значения я на что меняю или не меняю
> вообще?
> и , на виндовом компе, я делаю радмин получается на свой шлюз
> (на айпи сервера фриибсд) в порт 4899 и он уже перенаправляет
> на удаленный_Сервак тот же порт да?

login@localhost - login это под кем вы заходите на сервер по ссш, localhost на каком адресе запущен ссш сервер, не обязательно локалхост

радмин на свой шлюз порт 4899 (можна указать любой другой порт на сервере) и дальше шлюз форвардит пакеты на удаленный сервер порт 4899.
все это есть в мане с описанием и примерами.


"Помогите организовать ssh_tunel"
Отправлено lifefornazgul , 28-Авг-12 14:39 
>[оверквотинг удален]
>> login@localhost  - эти значения я на что меняю или не меняю
>> вообще?
>> и , на виндовом компе, я делаю радмин получается на свой шлюз
>> (на айпи сервера фриибсд) в порт 4899 и он уже перенаправляет
>> на удаленный_Сервак тот же порт да?
> login@localhost - login это под кем вы заходите на сервер по ссш,
> localhost на каком адресе запущен ссш сервер, не обязательно локалхост
> радмин на свой шлюз порт 4899 (можна указать любой другой порт на
> сервере) и дальше шлюз форвардит пакеты на удаленный сервер порт 4899.
> все это есть в мане с описанием и примерами.

Да, я читаю уже. Все становится предельно ясно. На форуме решил написать, дабы узнать как сие будет работать в моём примере =)
Большое спасибо!


"Помогите организовать ssh_tunel"
Отправлено lifefornazgul , 28-Авг-12 19:08 
>[оверквотинг удален]
>>> (на айпи сервера фриибсд) в порт 4899 и он уже перенаправляет
>>> на удаленный_Сервак тот же порт да?
>> login@localhost - login это под кем вы заходите на сервер по ссш,
>> localhost на каком адресе запущен ссш сервер, не обязательно локалхост
>> радмин на свой шлюз порт 4899 (можна указать любой другой порт на
>> сервере) и дальше шлюз форвардит пакеты на удаленный сервер порт 4899.
>> все это есть в мане с описанием и примерами.
> Да, я читаю уже. Все становится предельно ясно. На форуме решил написать,
> дабы узнать как сие будет работать в моём примере =)
> Большое спасибо!

Делаю на сервере-шлюзе:


[root@freebsdserver /usr/home/login11]# ssh -f -N -L 80.80.80.80:4899:192.168.1.2:4899 login11@localhost
Password:

Ввожу пассворд и пишет ошибку:

bind: Can't assign requested address
channel_setup_fwd_listener: cannot listen to port: 4899
Could not request local forwarding.


localhost - не изменяю, тоесть я ссш делаю на сервершлюз правильно?
или мне нужно указать здесь айпи "удаленного_сервера"? но на нем не поднят ссш...


"Помогите организовать ssh_tunel"
Отправлено 1 , 28-Авг-12 22:27 
>[оверквотинг удален]
> [root@freebsdserver /usr/home/login11]# ssh -f -N -L 80.80.80.80:4899:192.168.1.2:4899
> login11@localhost
> Password:

> Ввожу пассворд и пишет ошибку:
>
bind: Can't assign requested address 
> channel_setup_fwd_listener: cannot listen to port: 4899
> Could not request local forwarding.

> localhost - не изменяю, тоесть я ссш делаю на сервершлюз правильно?
> или мне нужно указать здесь айпи "удаленного_сервера"? но на нем не поднят
> ссш...

покажите ваш ifconfig и sockstat -4 | grep 4899


"Помогите организовать ssh_tunel"
Отправлено lifefornazgul , 28-Авг-12 22:56 
>[оверквотинг удален]
>> login11@localhost
>> Password:
>> Ввожу пассворд и пишет ошибку:
>>
bind: Can't assign requested address 
>> channel_setup_fwd_listener: cannot listen to port: 4899
>> Could not request local forwarding.

>> localhost - не изменяю, тоесть я ссш делаю на сервершлюз правильно?
>> или мне нужно указать здесь айпи "удаленного_сервера"? но на нем не поднят
>> ссш...
> покажите ваш ifconfig и sockstat -4 | grep 4899

боюсь полный вывод ифконфига не поместится на этом форуме)
п.с. создано более тысячи вланов.

а сокстат и греп 4899 - ноль результатов


"Помогите организовать ssh_tunel"
Отправлено 1 , 29-Авг-12 09:22 
>[оверквотинг удален]
>>>
bind: Can't assign requested address 
>>> channel_setup_fwd_listener: cannot listen to port: 4899
>>> Could not request local forwarding.

>>> localhost - не изменяю, тоесть я ссш делаю на сервершлюз правильно?
>>> или мне нужно указать здесь айпи "удаленного_сервера"? но на нем не поднят
>>> ссш...
>> покажите ваш ifconfig и sockstat -4 | grep 4899
> боюсь полный вывод ифконфига не поместится на этом форуме)
> п.с. создано более тысячи вланов.
> а сокстат и греп 4899 - ноль результатов

а у вас вообще этот адрес есть на интерфейсе? ifconfig | grep -B5 80.80.80.80


"Помогите организовать ssh_tunel"
Отправлено lifefornazgul , 29-Авг-12 10:26 
>[оверквотинг удален]
>>>> Could not request local forwarding.
>>>> localhost - не изменяю, тоесть я ссш делаю на сервершлюз правильно?
>>>> или мне нужно указать здесь айпи "удаленного_сервера"? но на нем не поднят
>>>> ссш...
>>> покажите ваш ifconfig и sockstat -4 | grep 4899
>> боюсь полный вывод ифконфига не поместится на этом форуме)
>> п.с. создано более тысячи вланов.
>> а сокстат и греп 4899 - ноль результатов
> а у вас вообще этот адрес есть на интерфейсе? ifconfig | grep
> -B5 80.80.80.80

80.80.80.80 это айпи уже виндового компа, я его указываю. А вот на серваке есть его шлюз, к примеру 80.80.80.79. мне его указать?

192.168.1.2 это тоже айпи сервака, а не шлюза на серваке. я его указываю. правильно?


"Помогите организовать ssh_tunel"
Отправлено 1 , 29-Авг-12 10:30 
>[оверквотинг удален]
>>>> покажите ваш ifconfig и sockstat -4 | grep 4899
>>> боюсь полный вывод ифконфига не поместится на этом форуме)
>>> п.с. создано более тысячи вланов.
>>> а сокстат и греп 4899 - ноль результатов
>> а у вас вообще этот адрес есть на интерфейсе? ifconfig | grep
>> -B5 80.80.80.80
> 80.80.80.80 это айпи уже виндового компа, я его указываю. А вот на
> серваке есть его шлюз, к примеру 80.80.80.79. мне его указать?
> 192.168.1.2 это тоже айпи сервака, а не шлюза на серваке. я его
> указываю. правильно?

вы плохо ман читали, c параметром -L идет локал адрес где вы открываете, вы указали айпи которого нету на сервере нада 79 указать, потом порт, следующая пара это куда форвардить - айпи удаленного сервера и порт.


"Помогите организовать ssh_tunel"
Отправлено lifefornazgul , 29-Авг-12 10:34 
>[оверквотинг удален]
>>> а у вас вообще этот адрес есть на интерфейсе? ifconfig | grep
>>> -B5 80.80.80.80
>> 80.80.80.80 это айпи уже виндового компа, я его указываю. А вот на
>> серваке есть его шлюз, к примеру 80.80.80.79. мне его указать?
>> 192.168.1.2 это тоже айпи сервака, а не шлюза на серваке. я его
>> указываю. правильно?
> вы плохо ман читали, c параметром -L идет локал адрес где вы
> открываете, вы указали айпи которого нету на сервере нада 79 указать,
> потом порт, следующая пара это куда форвардить - айпи удаленного сервера
> и порт.

Благодарю что указали на ошибку. Спасибо за помощь! проверю позже и отпишусь о результатах


"Помогите организовать ssh_tunel"
Отправлено lifefornazgul , 29-Авг-12 18:32 
>[оверквотинг удален]
>>> 80.80.80.80 это айпи уже виндового компа, я его указываю. А вот на
>>> серваке есть его шлюз, к примеру 80.80.80.79. мне его указать?
>>> 192.168.1.2 это тоже айпи сервака, а не шлюза на серваке. я его
>>> указываю. правильно?
>> вы плохо ман читали, c параметром -L идет локал адрес где вы
>> открываете, вы указали айпи которого нету на сервере нада 79 указать,
>> потом порт, следующая пара это куда форвардить - айпи удаленного сервера
>> и порт.
> Благодарю что указали на ошибку. Спасибо за помощь! проверю позже и отпишусь
> о результатах

Здорово, система работает. однако подскажите как сбросить этот форвардинг ? чтобы он больше не форвардил в фоном режиме? мануал читал, но не нашел ничего
п.с. хочу изменить порты


"Помогите организовать ssh_tunel"
Отправлено 1 , 29-Авг-12 19:37 
>[оверквотинг удален]
>>> вы плохо ман читали, c параметром -L идет локал адрес где вы
>>> открываете, вы указали айпи которого нету на сервере нада 79 указать,
>>> потом порт, следующая пара это куда форвардить - айпи удаленного сервера
>>> и порт.
>> Благодарю что указали на ошибку. Спасибо за помощь! проверю позже и отпишусь
>> о результатах
> Здорово, система работает. однако подскажите как сбросить этот форвардинг ? чтобы он
> больше не форвардил в фоном режиме? мануал читал, но не нашел
> ничего
>  п.с. хочу изменить порты

ps -ax | grep ssh
ищите нужный и делаете kill pid


"Помогите организовать ssh_tunel"
Отправлено lifefornazgul , 29-Авг-12 20:06 
> ps -ax | grep ssh
> ищите нужный и делаете kill pid

убил успешно. но у меня новая проблема :) И очень расчитываю на вас..

Виндовый комп с айп (80.80.80.80) работает через (вай фай роутер - asus rtn12-c1).
Дело в том, что когда я на винд-компбютере запускаю "подключение к удаленому рабочему компу" по протоколу rdp (3389 port), запрос идет из диапазона портов 55000-60000 примерно.  


18:53:06.266912 IP 80.80.80.80.55281 > 192.168.1.2.rdp: S 1426952218:1426952218(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>

18:53:09.271187 IP 80.80.80.80.55294 > 192.168.1.2.rdp: S 1426952218:1426952218(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>

Так вот, как мне сделать ссш тунель в этом случае? ведь требуется указать только один порт источник ssh -f -N -L 80.80.80.79:SRC-PORT:192.168.1.2:3389 login@localhost ?

п.с. как я понимаю, нат на вай фай роутере(чтобы исходящие тсп на 192.168.2.2 были от определенного ОДНОГО порта) сделать нельзя,ведь веб интерфейс позволяет сделать только для, входящих на роутер, соединений.


"Помогите организовать ssh_tunel"
Отправлено 1 , 29-Авг-12 20:11 
>[оверквотинг удален]
> win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
> 18:53:09.271187 IP 80.80.80.80.55294 > 192.168.1.2.rdp: S 1426952218:1426952218(0)
> win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
>
> Так вот, как мне сделать ссш тунель в этом случае? ведь требуется
> указать только один порт источник ssh -f -N -L 80.80.80.79:SRC-PORT:192.168.1.2:3389
> login@localhost ?
> п.с. как я понимаю, нат на вай фай роутере(чтобы исходящие тсп на
> 192.168.2.2 были от определенного ОДНОГО порта) сделать нельзя,ведь веб интерфейс позволяет
> сделать только для, входящих на роутер, соединений.

стоп))вы когда по радмину коннектились то также из верхнего диапазона портов, в случае с рдп ничего не изменяется, ssh -f -N -L 80.80.80.79:3389:192.168.1.2:3389 и коннектитесь на
80.80.80.79


"Помогите организовать ssh_tunel"
Отправлено lifefornazgul , 29-Авг-12 20:30 
> стоп))вы когда по радмину коннектились то также из верхнего диапазона портов, в
> случае с рдп ничего не изменяется, ssh -f -N -L 80.80.80.79:3389:192.168.1.2:3389
> и коннектитесь на
> 80.80.80.79

0_о я забыл что нужно не на 192.168.1.2 лезть а на свой шлюз на порт 3389 =))
все, теперь благодаря Вам, я чуствую себя знатоком ссш тунелей )) благодарю!



"Помогите организовать ssh_tunel"
Отправлено 1 , 29-Авг-12 20:33 
>> стоп))вы когда по радмину коннектились то также из верхнего диапазона портов, в
>> случае с рдп ничего не изменяется, ssh -f -N -L 80.80.80.79:3389:192.168.1.2:3389
>> и коннектитесь на
>> 80.80.80.79
> 0_о я забыл что нужно не на 192.168.1.2 лезть а на свой
> шлюз на порт 3389 =))
> все, теперь благодаря Вам, я чуствую себя знатоком ссш тунелей )) благодарю!

Пожалуйста))