Традиционная задача - как попасть по ssh на хост, не имеющий достижимого извне IP.
В данном ...
Традиционная задача - как попасть по ssh на хост, не имеющий достижимого извне IP.
В данном случае в варианте "как мне попасть с работы домой".
У домашней машины есть VPN в которую включен хостинговый сервер.
Поэтому в принципе годится любой вариант ssh-через-прокси.
На эту тему теперь есть большой и толстый cookbook.
Начинаем применять рецепты оттуда по очереди
1. ssh -J www.wagner.pp.ru wagner
Увы, у меня на рабочей машине jessie. В нем openssh 6.7, он -J еще не умеет. С виртуалок со stretch и FreeBSD 11 попробовал, работает. Но dist-upgrade на stretch говорить рано. И уж точно не для этой фичи.
2. ssh -o "ProxyCommand ssh -W %h:22 www.wagner.pp.ru" wagner
Это мой openssh умеет. И, в принципе это у меня сейчас штатный способ
3. ssh -o 'ProxyCommand ssh www.wagner.pp.ru nc %h 22' wagner
Это умели и версии openssh, существовавшие десять лет назад. Сейчас я этого даже пробовать не стал. Зачем, если -W есть?
Далее вот такой интересный вопрос - в .xsessionrc на работе у меня все равно прописано открытие ssh-сессии на мою vds с -D 4080. Чтобы использовать этот порт в качестве web-прокси. Потому что не хочу я ошибку 451 видеть.
А может этой самой socks прокси можно еще воспользоваться для хождения по ssh?
Увы, openssh хорошо умеет быть socks-сервером, но не обучен быть socks-клиентом.
В вышеприведенном cookbook рекомендуют использовать netcat в качестве ProxyCommand.
ssh -o "ProxyCommand nc -X 5 -x localhost:4080 %h %p" wagner
Полез смотреть, а-а-а, netcat в jessie не понимает ни -X ни -x. Посмотрел повнимательнее, все гораздо хитрее - в jessie есть четыре разных нетката. И netcat-openbsd все что надо понимает. А у меня почему-то стоял netcat-traditional.
Остался нерассмотренным вопрос использования опции -w в ssh для организации полноценного VPN средствами самого ssh. Но об этом как-нибудь в следующий раз.
This entry was originally posted at http://vitus-wagner.dreamwidth.org/1874948.html. Please comment there using OpenID. Now there are comments
Выяснил, в чем причина того, что хецнеровская виртуалка была не доступна по IPv6:
...
Выяснил, в чем причина того, что хецнеровская виртуалка была не доступна по IPv6:
Оказывается, я там что-то лишнее перекрыл на файрволле, и поэтому оно и не работало.
Файрвол был более-менее прямолинейно скопирован с IPv4 конфигурации и выглядел вот так:
# Generated by ip6tables-save v1.4.21 on Sat Mar 5 12:27:46 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p icmp -j ACCEPT
-A INPUT -p igmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5269 -j ACCEPT
-A INPUT -i eth0 -j REJECT --reject-with icmp6-port-unreachable
-A OUTPUT -p tcp -m tcp --dport 6000:6020 -j DROP
COMMIT
http://vitus-wagner.dreamwidth.org/1868705.html. Please comment there using OpenID. Now there are
comments
Выяснил тут совершенно случайно, что Onlime дает IPv6. В смысле, запустил на Алькоре
dhcp -6 ...
Выяснил тут совершенно случайно, что Onlime дает IPv6. В смысле, запустил на Алькоре
dhcp -6 eth0.101 а он и получил какой-то адрес.
Теперь если я запущу откуда угодно ssh -D 4080 home.wagner.pp.ru, у меня будет socks-proxy с поддержкой ipv6.
Вопрос в том, а что с этим делать дальше.
Конечно, куда приятнее было бы иметь достижимый извне IPv6 в Медведково, а не на Ленинском, где кроме Алькора и никаких включенных постоянно компьютеров нет. Но в Медведково роутером работает древняя D-Link Dir-300B1 с dd-wrt примерно полуторалетней давности, в котором поддержки IPv6 нет. Ну допустим, поставлю я туда более свежую прошивку, допустим там появится поддержка v6 (хотя что-то я не нашел упоминаний о dhcp6 в dd-wrt-шном FAQ. Про radvd там пишут, но это, насколько я понимаю, не то).
Непонятно:
1. Является ли выдаваемый онлаймом по dhcp6 адрес статическим, т.е. можно ли его без проблем писать в AAAA запись, или нужно городить поддержку ipv6 в Dynamic DNS (я-то нарисую - dyndns.cgi у меня свой собственный)
2. Является ли указание того, что у меня адрес xxxx:xxxx:xxxx::1/64 Scope: Global указанием на то, что у меня есть целых MAXULONG адресов, и я могу спокойно роутить их на внутренние машины сети в соответствии c рецептом, который у hetzner-а в FAQ написан.
Кстати. все эти разборки начались с того, что выяснилось что обещанный хецнером для моей виртуалки IPv6 нифига не работает.
This entry was originally posted at http://vitus-wagner.dreamwidth.org/1867804.html. Please comment there using OpenID. Now there are comments
В связи с необходимостью сетапит новый билд-сервер, выпустил очередную версию vws. На самом деле у ...
В связи с необходимостью сетапит новый билд-сервер, выпустил очередную версию vws. На самом деле у нас vws уже почти год в production работает. Т.е. в итоге задача "сделать простые вещи удобнее, чем в virsh" вполне решена.
На идею нарисовать GUI я, похоже, окончательно забил. А вот автостарт виртуальных машин при перезагрузке допилил.
Буду теперь его везде ставить из deb-пакета.
This entry was originally posted at http://vitus-wagner.dreamwidth.org/1867526.html. Please comment there using OpenID. Now there are comments
... траффикт-то в
-russian упал. За ...
Как траффикт-то в debian-russian упал. За весть 2016 год меньше полутора тысяч писем. А раньше по пять тысяч в год было.
Кстати, в прошлом году я чуть ли не в первый раз в жизни получил в этом списке осмысленный совет на тему как решить мою проблему. До того я там советы в основном давал.
This entry was originally posted at http://vitus-wagner.dreamwidth.org/1867254.html. Please comment there using OpenID. Now there are comments