https://www.opennet.ru/openforum/vsluhforumID1/93736.html п.с. Возможно я ошибся разделом форума, мои извинения, прошу перенести. <br><br>Есть сервер FreeBSD. На нем подняты вланы (например, vlan111 и vlan222). Эти влан-интерфейсы выступают в роли шлюза для двух сетей. Т.е. сети из вланов выходят в интернет через этот сервак. Разумеется сервер успешно пингует обе сети. Однако, на сервере настроен фаирвол который блокирует доступ от всех к vlan222.<br><br>Задача, организовать SSH тунель/VPN из сети vlan111 в vlan222, не редактируя IPFW. А использовать именно ssh.<br><br>Если более детально, то у меня есть комп с виндой с внешним айпи (влан111) который должен заходить на "удаленный сервер" с Серым айпи (влан222). как это сделать?<br>На "удаленном сервере" radmin порт 4899<br> https://www.opennet.ru/openforum/vsluhforumID1/93736.html#17 Wed, 29 Aug 2012 16:33:05 GMT &gt;&gt; стоп))вы когда по радмину коннектились то также из верхнего диапазона портов, в <br>&gt;&gt; случае с рдп ничего не изменяется, ssh -f -N -L 80.80.80.79:3389:192.168.1.2:3389 <br>&gt;&gt; и коннектитесь на <br>&gt;&gt; 80.80.80.79 <br>&gt; 0_о я забыл что нужно не на 192.168.1.2 лезть а на свой <br>&gt; шлюз на порт 3389 =)) <br>&gt; все, теперь благодаря Вам, я чуствую себя знатоком ссш тунелей )) благодарю! <br><br>Пожалуйста))<br><br> https://www.opennet.ru/openforum/vsluhforumID1/93736.html#16 Wed, 29 Aug 2012 16:30:41 GMT &gt; стоп))вы когда по радмину коннектились то также из верхнего диапазона портов, в <br>&gt; случае с рдп ничего не изменяется, ssh -f -N -L 80.80.80.79:3389:192.168.1.2:3389 <br>&gt; и коннектитесь на <br>&gt; 80.80.80.79 <br><br>0_о я забыл что нужно не на 192.168.1.2 лезть а на свой шлюз на порт 3389 =))<br>все, теперь благодаря Вам, я чуствую себя знатоком ссш тунелей )) благодарю!<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/93736.html#15 Wed, 29 Aug 2012 16:11:01 GMT &gt;[оверквотинг удален]<br>&gt; win 8192 &lt;mss 1460,nop,wscale 8,nop,nop,sackOK&gt; <br>&gt; 18:53:09.271187 IP 80.80.80.80.55294 &gt; 192.168.1.2.rdp: S 1426952218:1426952218(0) <br>&gt; win 8192 &lt;mss 1460,nop,wscale 8,nop,nop,sackOK&gt; <br>&gt; [/code] <br>&gt; Так вот, как мне сделать ссш тунель в этом случае? ведь требуется <br>&gt; указать только один порт источник ssh -f -N -L 80.80.80.79:[b]SRC-PORT[/b]:192.168.1.2:3389 <br>&gt; login@localhost ?<br>&gt; п.с. как я понимаю, нат на вай фай роутере(чтобы исходящие тсп на <br>&gt; 192.168.2.2 были от определенного ОДНОГО порта) сделать нельзя,ведь веб интерфейс позволяет <br>&gt; сделать только для, входящих на роутер, соединений.<br><br>стоп))вы когда по радмину коннектились то также из верхнего диапазона портов, в случае с рдп ничего не изменяется, ssh -f -N -L 80.80.80.79:3389:192.168.1.2:3389 и коннектитесь на <br>80.80.80.79<br> https://www.opennet.ru/openforum/vsluhforumID1/93736.html#14 Wed, 29 Aug 2012 16:06:24 GMT &gt; ps -ax &#124; grep ssh <br>&gt; ищите нужный и делаете kill pid <br><br>убил успешно. но у меня новая проблема :) И очень расчитываю на вас..<br><br>Виндовый комп с айп (80.80.80.80) работает через (вай фай роутер - asus rtn12-c1). <br>Дело в том, что когда я на винд-компбютере запускаю "подключение к удаленому рабочему компу" по протоколу rdp (3389 port), запрос идет из диапазона портов 55000-60000 примерно. <br>[code]<br>18:53:06.266912 IP 80.80.80.80.55281 &gt; 192.168.1.2.rdp: S 1426952218:1426952218(0) win 8192 &lt;mss 1460,nop,wscale 8,nop,nop,sackOK&gt;<br><br>18:53:09.271187 IP 80.80.80.80.55294 &gt; 192.168.1.2.rdp: S 1426952218:1426952218(0) win 8192 &lt;mss 1460,nop,wscale 8,nop,nop,sackOK&gt;<br>[/code]<br><br>Так вот, как мне сделать ссш тунель в этом случае? ведь требуется указать только один порт источник ssh -f -N -L 80.80.80.79:[b]SRC-PORT[/b]:192.168.1.2:3389 login@localhost ?<br><br>п.с. как я понимаю, нат на вай фай роутере(чтобы исходящие тсп на 192.168.2.2 были от определенного ОДНОГО порта) сделать нельзя,ведь веб интерфейс позволяет https://www.opennet.ru/openforum/vsluhforumID1/93736.html#13 Wed, 29 Aug 2012 15:37:33 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; вы плохо ман читали, c параметром -L идет локал адрес где вы <br>&gt;&gt;&gt; открываете, вы указали айпи которого нету на сервере нада 79 указать, <br>&gt;&gt;&gt; потом порт, следующая пара это куда форвардить - айпи удаленного сервера <br>&gt;&gt;&gt; и порт.<br>&gt;&gt; Благодарю что указали на ошибку. Спасибо за помощь! проверю позже и отпишусь <br>&gt;&gt; о результатах <br>&gt; Здорово, система работает. однако подскажите как сбросить этот форвардинг ? чтобы он <br>&gt; больше не форвардил в фоном режиме? мануал читал, но не нашел <br>&gt; ничего <br>&gt; п.с. хочу изменить порты <br><br>ps -ax &#124; grep ssh<br>ищите нужный и делаете kill pid <br> https://www.opennet.ru/openforum/vsluhforumID1/93736.html#12 Wed, 29 Aug 2012 14:32:42 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; 80.80.80.80 это айпи уже виндового компа, я его указываю. А вот на <br>&gt;&gt;&gt; серваке есть его шлюз, к примеру 80.80.80.79. мне его указать?<br>&gt;&gt;&gt; 192.168.1.2 это тоже айпи сервака, а не шлюза на серваке. я его <br>&gt;&gt;&gt; указываю. правильно?<br>&gt;&gt; вы плохо ман читали, c параметром -L идет локал адрес где вы <br>&gt;&gt; открываете, вы указали айпи которого нету на сервере нада 79 указать, <br>&gt;&gt; потом порт, следующая пара это куда форвардить - айпи удаленного сервера <br>&gt;&gt; и порт.<br>&gt; Благодарю что указали на ошибку. Спасибо за помощь! проверю позже и отпишусь <br>&gt; о результатах <br><br>Здорово, система работает. однако подскажите как сбросить этот форвардинг ? чтобы он больше не форвардил в фоном режиме? мануал читал, но не нашел ничего<br> п.с. хочу изменить порты<br> https://www.opennet.ru/openforum/vsluhforumID1/93736.html#11 Wed, 29 Aug 2012 06:34:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; а у вас вообще этот адрес есть на интерфейсе? ifconfig &#124; grep <br>&gt;&gt;&gt; -B5 80.80.80.80 <br>&gt;&gt; 80.80.80.80 это айпи уже виндового компа, я его указываю. А вот на <br>&gt;&gt; серваке есть его шлюз, к примеру 80.80.80.79. мне его указать?<br>&gt;&gt; 192.168.1.2 это тоже айпи сервака, а не шлюза на серваке. я его <br>&gt;&gt; указываю. правильно?<br>&gt; вы плохо ман читали, c параметром -L идет локал адрес где вы <br>&gt; открываете, вы указали айпи которого нету на сервере нада 79 указать, <br>&gt; потом порт, следующая пара это куда форвардить - айпи удаленного сервера <br>&gt; и порт.<br><br>Благодарю что указали на ошибку. Спасибо за помощь! проверю позже и отпишусь о результатах<br> https://www.opennet.ru/openforum/vsluhforumID1/93736.html#10 Wed, 29 Aug 2012 06:30:21 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; покажите ваш ifconfig и sockstat -4 &#124; grep 4899 <br>&gt;&gt;&gt; боюсь полный вывод ифконфига не поместится на этом форуме) <br>&gt;&gt;&gt; п.с. создано более тысячи вланов.<br>&gt;&gt;&gt; а сокстат и греп 4899 - ноль результатов <br>&gt;&gt; а у вас вообще этот адрес есть на интерфейсе? ifconfig &#124; grep <br>&gt;&gt; -B5 80.80.80.80 <br>&gt; 80.80.80.80 это айпи уже виндового компа, я его указываю. А вот на <br>&gt; серваке есть его шлюз, к примеру 80.80.80.79. мне его указать?<br>&gt; 192.168.1.2 это тоже айпи сервака, а не шлюза на серваке. я его <br>&gt; указываю. правильно?<br><br>вы плохо ман читали, c параметром -L идет локал адрес где вы открываете, вы указали айпи которого нету на сервере нада 79 указать, потом порт, следующая пара это куда форвардить - айпи удаленного сервера и порт.<br> https://www.opennet.ru/openforum/vsluhforumID1/93736.html#9 Wed, 29 Aug 2012 06:26:29 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; Could not request local forwarding. [/code] <br>&gt;&gt;&gt;&gt; localhost - не изменяю, тоесть я ссш делаю на сервершлюз правильно?<br>&gt;&gt;&gt;&gt; или мне нужно указать здесь айпи "удаленного_сервера"? но на нем не поднят <br>&gt;&gt;&gt;&gt; ссш...<br>&gt;&gt;&gt; покажите ваш ifconfig и sockstat -4 &#124; grep 4899 <br>&gt;&gt; боюсь полный вывод ифконфига не поместится на этом форуме) <br>&gt;&gt; п.с. создано более тысячи вланов.<br>&gt;&gt; а сокстат и греп 4899 - ноль результатов <br>&gt; а у вас вообще этот адрес есть на интерфейсе? ifconfig &#124; grep <br>&gt; -B5 80.80.80.80 <br><br>80.80.80.80 это айпи уже виндового компа, я его указываю. А вот на серваке есть его шлюз, к примеру 80.80.80.79. мне его указать? <br><br>192.168.1.2 это тоже айпи сервака, а не шлюза на серваке. я его указываю. правильно?<br>