Re: Доступ к машине за nat
openvpn допустим на 443 порт повесить на linux-host (A), а другие сервера конектится к нему будут. У меня так настроено - чудесно работает. Создание сертификатов и конфигов клиенту у меня делает скрипт. Смотри вложение. 24 июня 2011 г. 18:52 пользователь Ed sp...@yandex.ru написал: Дано: 1. linux-host (A) у меня под боком, со статическим IP. 2. много десятков удалённых linux-хостов (B1, B2, ); на них есть доступ в интернет, возможно с серым ip-адресом (например GPRS); все хосты в моём полном распоряжении. Требуется: иметь воможность организовать ssh-сессию с A на любой из Bx. Как это лучше организовать? Я знаю два решения: - openvpn; - reverse ssh port forwarding. openvpn пользуюсь сейчас, в режиме static key, не нравится количество телодвижений на добавление нового туннеля. переход на клиент/серверные сертификаты по-моему ситуацию не исправит. ssh также с первого взгляда не очень удобен в конфигурации с множеством клиентов. при этом оба инструмента избыточны, мне нужен только проброс порта из-под nat, никакого шифрования не требуется. может быть я просмотрел какое-то простое и удобное решение? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e04b2bb.9060...@yandex.ru 1openvpn_client Description: Binary data
Re: Доступ к машине за nat
On 2011.06.24 at 19:52:27 +0400, Ed wrote: openvpn пользуюсь сейчас, в режиме static key, не нравится количество телодвижений на добавление нового туннеля. переход на клиент/серверные сертификаты по-моему ситуацию не исправит. ssh также с первого взгляда не очень удобен в конфигурации с множеством клиентов. при этом оба инструмента избыточны, мне нужен только проброс порта из-под nat, никакого шифрования не требуется. может быть я просмотрел какое-то простое и удобное решение? И никто не вспомнил про существование у ssh ключика -w, позволяющего организовать полноценную vpn, а не просто проброс порта. Понятно, что это решение тоже избыточное, но позволяет организовать vpn с использованием более простой ключевой инфраструктуры ssh. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110627091218.ga12...@wagner.pp.ru
Re: Доступ к машине за nat
24.06.2011 19:52, Ed пишет: Дано: 1. linux-host (A) у меня под боком, со статическим IP. 2. много десятков удалённых linux-хостов (B1, B2, ); на них есть доступ в интернет, возможно с серым ip-адресом (например GPRS); все хосты в моём полном распоряжении. Требуется: иметь воможность организовать ssh-сессию с A на любой из Bx. A (statIPv4) + Bх (dyndns + iptables[statIPv4:] + denyhosts + ssh[Port ; PermitRootLogin no]) в ssh также возможен проброс портов 1 (webmin) или 5900 (vnc) или etc --- jabber shell bot + закрытая конференция[login:pass] =) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e057a49.9070...@mail.ru
Re: Доступ к машине за nat
2011/6/24 Ed sp...@yandex.ru: Дано: 1. linux-host (A) у меня под боком, со статическим IP. 2. много десятков удалённых linux-хостов (B1, B2, ); на них есть доступ в интернет, возможно с серым ip-адресом (например GPRS); все хосты в моём полном распоряжении. Требуется: иметь воможность организовать ssh-сессию с A на любой из Bx. Как это лучше организовать? На каждом из Bx вставить в автозагрузку autossh -2 -fN -M 2000(1,2,3,4,5...) -R 2202(1,2,3,4,5...):localhost:22 IP.of.A.host На A ходить на соотв. localhost:2202x. -- С уважением, Константин Матюхин
Re: Доступ к машине за nat
On Sat, Jun 25, 2011 at 02:29:21AM +0400, Mikhail A Antonov wrote: Дано: 1. linux-host (A) у меня под боком, со статическим IP. 2. много десятков удалённых linux-хостов (B1, B2, ); на них есть доступ в интернет, возможно с серым ip-адресом (например GPRS); все хосты в моём полном распоряжении. Требуется: иметь воможность организовать ssh-сессию с A на любой из Bx. Как это лучше организовать? IPv6 Ой гемор, если провайдер не даёт. Туннель на туннеле и туннелем погоняет Зато если с обеих сторон запустить miredo, больше никакой настройки не требуется. -- WBR, wRAR signature.asc Description: Digital signature
Re: Доступ к машине за nat
25.06.2011 12:25, Andrey Rahmatullin пишет: On Sat, Jun 25, 2011 at 02:29:21AM +0400, Mikhail A Antonov wrote: Дано: 1. linux-host (A) у меня под боком, со статическим IP. 2. много десятков удалённых linux-хостов (B1, B2, ); на них есть доступ в интернет, возможно с серым ip-адресом (например GPRS); все хосты в моём полном распоряжении. Требуется: иметь воможность организовать ssh-сессию с A на любой из Bx. Как это лучше организовать? IPv6 Ой гемор, если провайдер не даёт. Туннель на туннеле и туннелем погоняет Зато если с обеих сторон запустить miredo, больше никакой настройки не требуется. Замучаешься узнавать какой у кого адрес - они всегда динамические. Ну или заморочки с dyndns. Нет, я не против IPv6 и teredo в частности, но в некоторых местах провайдеры ТАКОЕ творят с udp-трафиком что их хочется убить на месте. Потому я не очень поддерживаю идею с teredo. ИМХО, здесь openvpn будет более универсальным и правильным решением. -- Best regards, Mikhail. signature.asc Description: OpenPGP digital signature
Доступ к машине за nat
Дано: 1. linux-host (A) у меня под боком, со статическим IP. 2. много десятков удалённых linux-хостов (B1, B2, ); на них есть доступ в интернет, возможно с серым ip-адресом (например GPRS); все хосты в моём полном распоряжении. Требуется: иметь воможность организовать ssh-сессию с A на любой из Bx. Как это лучше организовать? Я знаю два решения: - openvpn; - reverse ssh port forwarding. openvpn пользуюсь сейчас, в режиме static key, не нравится количество телодвижений на добавление нового туннеля. переход на клиент/серверные сертификаты по-моему ситуацию не исправит. ssh также с первого взгляда не очень удобен в конфигурации с множеством клиентов. при этом оба инструмента избыточны, мне нужен только проброс порта из-под nat, никакого шифрования не требуется. может быть я просмотрел какое-то простое и удобное решение? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e04b2bb.9060...@yandex.ru
Re: Доступ к машине за nat
On Fri, Jun 24, 2011 at 07:52:27PM +0400, Ed wrote: Дано: 1. linux-host (A) у меня под боком, со статическим IP. 2. много десятков удалённых linux-хостов (B1, B2, ); на них есть доступ в интернет, возможно с серым ip-адресом (например GPRS); все хосты в моём полном распоряжении. Требуется: иметь воможность организовать ssh-сессию с A на любой из Bx. Как это лучше организовать? IPv6 -- WBR, wRAR signature.asc Description: Digital signature
Re: Доступ к машине за nat
24.06.2011 18:52, Ed пишет: Дано: 1. linux-host (A) у меня под боком, со статическим IP. 2. много десятков удалённых linux-хостов (B1, B2, ); на них есть доступ в интернет, возможно с серым ip-адресом (например GPRS); все хосты в моём полном распоряжении. Требуется: иметь воможность организовать ssh-сессию с A на любой из Bx. Как это лучше организовать? Я знаю два решения: - openvpn; - reverse ssh port forwarding. openvpn пользуюсь сейчас, в режиме static key, не нравится количество телодвижений на добавление нового туннеля. переход на клиент/серверные сертификаты по-моему ситуацию не исправит. Почему же? Серверный сертификат генерится 1 (один) раз Подключение клиента = генерация сертификата+генерация конфига (опционально) + копирование ssh также с первого взгляда не очень удобен в конфигурации с множеством клиентов. Подключение клиента = генерация пары ключей + копирование публичного ключа на сервер + копирование приватного ключа клиенту + придумывание уникального номера порта при этом оба инструмента избыточны, мне нужен только проброс порта из-под nat, никакого шифрования не требуется. может быть я просмотрел какое-то простое и удобное решение? Все автоматизируется.. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e04b546.8030...@gmail.com
Re: Доступ к машине за nat
Ed ☫ → To debian-russian@lists.debian.org @ Fri, Jun 24, 2011 19:52 +0400 Дано: 1. linux-host (A) у меня под боком, со статическим IP. 2. много десятков удалённых linux-хостов (B1, B2, ); на них есть доступ в интернет, возможно с серым ip-адресом (например GPRS); все хосты в моём полном распоряжении. Требуется: иметь воможность организовать ssh-сессию с A на любой из Bx. Как это лучше организовать? Я знаю два решения: - openvpn; - reverse ssh port forwarding. openvpn пользуюсь сейчас, в режиме static key, не нравится количество телодвижений на добавление нового туннеля. переход на клиент/серверные сертификаты по-моему ситуацию не исправит. ssh также с первого взгляда не очень удобен в конфигурации с множеством клиентов. при этом оба инструмента избыточны, мне нужен только проброс порта из-под nat, никакого шифрования не требуется. может быть я просмотрел какое-то простое и удобное решение? Port Knoking, но это если ip белый. -- Bright regards, Sergey Korobitsin, Chief Research Officer Arta Software, http://arta.kz/ xmpp:underta...@jabber.arta.kz -- Технология ведет нас к сценарию, где капиталистический метод производства будет побежден и с течением времени заменен другим. В наших руках ростки будущих ролей, не признающие рыночных отношений. -- Mikhail, автор бразильской локализации Гнутеллы. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110624160042.gk24...@undertaker.dev.lan.arta.kz
Re: Доступ к машине за nat
Sergey Korobitsin ☫ → To Ed @ Fri, Jun 24, 2011 22:00 +0600 Ed ☫ → To debian-russian@lists.debian.org @ Fri, Jun 24, 2011 19:52 +0400 Port Knoking, но это если ip белый. Тьфу, knocking. Прошу прощения за письмо в личную почту. -- Bright regards, Sergey Korobitsin, Chief Research Officer Arta Software, http://arta.kz/ xmpp:underta...@jabber.arta.kz -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110624161909.gl24...@undertaker.dev.lan.arta.kz
Re: Доступ к машине за nat
On 06/24/2011 03:52 PM, Ed wrote: Дано: 1. linux-host (A) у меня под боком, со статическим IP. 2. много десятков удалённых linux-хостов (B1, B2, ); на них есть доступ в интернет, возможно с серым ip-адресом (например GPRS); все хосты в моём полном распоряжении. Требуется: иметь воможность организовать ssh-сессию с A на любой из Bx. Как это лучше организовать? Я знаю два решения: - openvpn; - reverse ssh port forwarding. openvpn пользуюсь сейчас, в режиме static key, не нравится количество телодвижений на добавление нового туннеля. Если вы хотите залогиниться на машину по ssh, вам все равно лучше сделать сертификат. (Вы их можете наштамповать сразу штук 50 и потом переписывать). Что еще вам надо сделать, что бы подключить новую машину к openvpn ? reverse ssh port forwarding - тоже удобно, там будут порты их где-то надо помнить/записывать - можно сделать алиасы в .zshrc alias -g fh=uxterm -e ssh -t user@server_a.com 'ssh -p 20xx user@localhost' ! exit , а у openvpn - ip адреса серые-статические можно прописать, в файле /ccd/$common_name (последний берется из сертификата который пытается залогиниться) внутри - одна строчка: ifconfig-push 192.168.xx.xx 255.255.255.0 Что вы хотите упростить ? Может быть вам нужен интерфейс для создания сертификатов ? -- Sincerely, Nicholas -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/iu2s6i$7f2$1...@dough.gmane.org
Re: Доступ к машине за nat
24.06.2011 20:01, Andrey Rahmatullin пишет: On Fri, Jun 24, 2011 at 07:52:27PM +0400, Ed wrote: Дано: 1. linux-host (A) у меня под боком, со статическим IP. 2. много десятков удалённых linux-хостов (B1, B2, ); на них есть доступ в интернет, возможно с серым ip-адресом (например GPRS); все хосты в моём полном распоряжении. Требуется: иметь воможность организовать ssh-сессию с A на любой из Bx. Как это лучше организовать? IPv6 Ой гемор, если провайдер не даёт. Туннель на туннеле и туннелем погоняет -- Best regards, Mikhail. signature.asc Description: OpenPGP digital signature