The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Помогите организовать ssh_tunel"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (VPN / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Помогите организовать ssh_tunel"  +/
Сообщение от lifefornazgul email(ok) on 28-Авг-12, 13:44 
п.с. Возможно я ошибся разделом форума, мои извинения, прошу перенести.

Есть сервер FreeBSD. На нем подняты вланы (например, vlan111 и vlan222). Эти влан-интерфейсы выступают в роли шлюза для двух сетей. Т.е. сети из вланов выходят в интернет через этот сервак. Разумеется сервер успешно пингует обе сети. Однако, на сервере настроен фаирвол который блокирует доступ от всех к vlan222.

Задача, организовать SSH тунель/VPN из сети vlan111 в vlan222, не редактируя IPFW. А использовать именно ssh.

Если более детально, то у меня есть комп с виндой с внешним айпи (влан111) который должен заходить на "удаленный сервер" с Серым айпи (влан222). как это сделать?
На "удаленном сервере" radmin порт 4899

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Помогите организовать ssh_tunel"  +/
Сообщение от 1 (??) on 28-Авг-12, 13:53 
>[оверквотинг удален]
> влан-интерфейсы выступают в роли шлюза для двух сетей. Т.е. сети из
> вланов выходят в интернет через этот сервак. Разумеется сервер успешно пингует
> обе сети. Однако, на сервере настроен фаирвол который блокирует доступ от
> всех к vlan222.
> Задача, организовать SSH тунель/VPN из сети vlan111 в vlan222, не редактируя IPFW.
> А использовать именно ssh.
> Если более детально, то у меня есть комп с виндой с внешним
> айпи (влан111) который должен заходить на "удаленный сервер" с Серым айпи
> (влан222). как это сделать?
> На "удаленном сервере" radmin порт 4899

на сервере делаете ssh -f -N -L vlan111_ip:4899:remote_server_ip:4899 login@localhost
вводите пароль, отправляется в бекграунд, с виндовой машины заходите радмином на ip сервера vlan111_ip port 4899 и попадаете на удаленный сервер, все ;)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Помогите организовать ssh_tunel"  +/
Сообщение от lifefornazgul email(ok) on 28-Авг-12, 14:16 
>[оверквотинг удален]
>> всех к vlan222.
>> Задача, организовать SSH тунель/VPN из сети vlan111 в vlan222, не редактируя IPFW.
>> А использовать именно ssh.
>> Если более детально, то у меня есть комп с виндой с внешним
>> айпи (влан111) который должен заходить на "удаленный сервер" с Серым айпи
>> (влан222). как это сделать?
>> На "удаленном сервере" radmin порт 4899
> на сервере делаете ssh -f -N -L vlan111_ip:4899:remote_server_ip:4899 login@localhost
> вводите пароль, отправляется в бекграунд, с виндовой машины заходите радмином на ip
> сервера vlan111_ip port 4899 и попадаете на удаленный сервер, все ;)

Сейчас нет возможности проверить на практике поэтому спрошу в теории:
login@localhost  - эти значения я на что меняю или не меняю вообще?

и , на виндовом компе, я делаю радмин получается на свой шлюз (на айпи сервера фриибсд) в порт 4899 и он уже перенаправляет на удаленный_Сервак тот же порт да?


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Помогите организовать ssh_tunel"  +/
Сообщение от 1 (??) on 28-Авг-12, 14:22 
> Сейчас нет возможности проверить на практике поэтому спрошу в теории:
> login@localhost  - эти значения я на что меняю или не меняю
> вообще?
> и , на виндовом компе, я делаю радмин получается на свой шлюз
> (на айпи сервера фриибсд) в порт 4899 и он уже перенаправляет
> на удаленный_Сервак тот же порт да?

login@localhost - login это под кем вы заходите на сервер по ссш, localhost на каком адресе запущен ссш сервер, не обязательно локалхост

радмин на свой шлюз порт 4899 (можна указать любой другой порт на сервере) и дальше шлюз форвардит пакеты на удаленный сервер порт 4899.
все это есть в мане с описанием и примерами.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Помогите организовать ssh_tunel"  +/
Сообщение от lifefornazgul email(ok) on 28-Авг-12, 14:39 
>[оверквотинг удален]
>> login@localhost  - эти значения я на что меняю или не меняю
>> вообще?
>> и , на виндовом компе, я делаю радмин получается на свой шлюз
>> (на айпи сервера фриибсд) в порт 4899 и он уже перенаправляет
>> на удаленный_Сервак тот же порт да?
> login@localhost - login это под кем вы заходите на сервер по ссш,
> localhost на каком адресе запущен ссш сервер, не обязательно локалхост
> радмин на свой шлюз порт 4899 (можна указать любой другой порт на
> сервере) и дальше шлюз форвардит пакеты на удаленный сервер порт 4899.
> все это есть в мане с описанием и примерами.

Да, я читаю уже. Все становится предельно ясно. На форуме решил написать, дабы узнать как сие будет работать в моём примере =)
Большое спасибо!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Помогите организовать ssh_tunel"  +/
Сообщение от lifefornazgul email(ok) on 28-Авг-12, 19:08 
>[оверквотинг удален]
>>> (на айпи сервера фриибсд) в порт 4899 и он уже перенаправляет
>>> на удаленный_Сервак тот же порт да?
>> login@localhost - login это под кем вы заходите на сервер по ссш,
>> localhost на каком адресе запущен ссш сервер, не обязательно локалхост
>> радмин на свой шлюз порт 4899 (можна указать любой другой порт на
>> сервере) и дальше шлюз форвардит пакеты на удаленный сервер порт 4899.
>> все это есть в мане с описанием и примерами.
> Да, я читаю уже. Все становится предельно ясно. На форуме решил написать,
> дабы узнать как сие будет работать в моём примере =)
> Большое спасибо!

Делаю на сервере-шлюзе:


[root@freebsdserver /usr/home/login11]# ssh -f -N -L 80.80.80.80:4899:192.168.1.2:4899 login11@localhost
Password:

Ввожу пассворд и пишет ошибку:

bind: Can't assign requested address
channel_setup_fwd_listener: cannot listen to port: 4899
Could not request local forwarding.


localhost - не изменяю, тоесть я ссш делаю на сервершлюз правильно?
или мне нужно указать здесь айпи "удаленного_сервера"? но на нем не поднят ссш...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Помогите организовать ssh_tunel"  +/
Сообщение от 1 (??) on 28-Авг-12, 22:27 
>[оверквотинг удален]
> [root@freebsdserver /usr/home/login11]# ssh -f -N -L 80.80.80.80:4899:192.168.1.2:4899
> login11@localhost
> Password:
> Ввожу пассворд и пишет ошибку:
>
bind: Can't assign requested address 
> channel_setup_fwd_listener: cannot listen to port: 4899
> Could not request local forwarding.

> localhost - не изменяю, тоесть я ссш делаю на сервершлюз правильно?
> или мне нужно указать здесь айпи "удаленного_сервера"? но на нем не поднят
> ссш...

покажите ваш ifconfig и sockstat -4 | grep 4899

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Помогите организовать ssh_tunel"  +/
Сообщение от lifefornazgul email(ok) on 28-Авг-12, 22:56 
>[оверквотинг удален]
>> login11@localhost
>> Password:
>> Ввожу пассворд и пишет ошибку:
>>
bind: Can't assign requested address 
>> channel_setup_fwd_listener: cannot listen to port: 4899
>> Could not request local forwarding.

>> localhost - не изменяю, тоесть я ссш делаю на сервершлюз правильно?
>> или мне нужно указать здесь айпи "удаленного_сервера"? но на нем не поднят
>> ссш...
> покажите ваш ifconfig и sockstat -4 | grep 4899

боюсь полный вывод ифконфига не поместится на этом форуме)
п.с. создано более тысячи вланов.

а сокстат и греп 4899 - ноль результатов

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Помогите организовать ssh_tunel"  +/
Сообщение от 1 (??) on 29-Авг-12, 09:22 
>[оверквотинг удален]
>>>
bind: Can't assign requested address 
>>> channel_setup_fwd_listener: cannot listen to port: 4899
>>> Could not request local forwarding.

>>> localhost - не изменяю, тоесть я ссш делаю на сервершлюз правильно?
>>> или мне нужно указать здесь айпи "удаленного_сервера"? но на нем не поднят
>>> ссш...
>> покажите ваш ifconfig и sockstat -4 | grep 4899
> боюсь полный вывод ифконфига не поместится на этом форуме)
> п.с. создано более тысячи вланов.
> а сокстат и греп 4899 - ноль результатов

а у вас вообще этот адрес есть на интерфейсе? ifconfig | grep -B5 80.80.80.80

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Помогите организовать ssh_tunel"  +/
Сообщение от lifefornazgul email(ok) on 29-Авг-12, 10:26 
>[оверквотинг удален]
>>>> Could not request local forwarding.
>>>> localhost - не изменяю, тоесть я ссш делаю на сервершлюз правильно?
>>>> или мне нужно указать здесь айпи "удаленного_сервера"? но на нем не поднят
>>>> ссш...
>>> покажите ваш ifconfig и sockstat -4 | grep 4899
>> боюсь полный вывод ифконфига не поместится на этом форуме)
>> п.с. создано более тысячи вланов.
>> а сокстат и греп 4899 - ноль результатов
> а у вас вообще этот адрес есть на интерфейсе? ifconfig | grep
> -B5 80.80.80.80

80.80.80.80 это айпи уже виндового компа, я его указываю. А вот на серваке есть его шлюз, к примеру 80.80.80.79. мне его указать?

192.168.1.2 это тоже айпи сервака, а не шлюза на серваке. я его указываю. правильно?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Помогите организовать ssh_tunel"  +/
Сообщение от 1 (??) on 29-Авг-12, 10:30 
>[оверквотинг удален]
>>>> покажите ваш ifconfig и sockstat -4 | grep 4899
>>> боюсь полный вывод ифконфига не поместится на этом форуме)
>>> п.с. создано более тысячи вланов.
>>> а сокстат и греп 4899 - ноль результатов
>> а у вас вообще этот адрес есть на интерфейсе? ifconfig | grep
>> -B5 80.80.80.80
> 80.80.80.80 это айпи уже виндового компа, я его указываю. А вот на
> серваке есть его шлюз, к примеру 80.80.80.79. мне его указать?
> 192.168.1.2 это тоже айпи сервака, а не шлюза на серваке. я его
> указываю. правильно?

вы плохо ман читали, c параметром -L идет локал адрес где вы открываете, вы указали айпи которого нету на сервере нада 79 указать, потом порт, следующая пара это куда форвардить - айпи удаленного сервера и порт.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Помогите организовать ssh_tunel"  +/
Сообщение от lifefornazgul email(ok) on 29-Авг-12, 10:34 
>[оверквотинг удален]
>>> а у вас вообще этот адрес есть на интерфейсе? ifconfig | grep
>>> -B5 80.80.80.80
>> 80.80.80.80 это айпи уже виндового компа, я его указываю. А вот на
>> серваке есть его шлюз, к примеру 80.80.80.79. мне его указать?
>> 192.168.1.2 это тоже айпи сервака, а не шлюза на серваке. я его
>> указываю. правильно?
> вы плохо ман читали, c параметром -L идет локал адрес где вы
> открываете, вы указали айпи которого нету на сервере нада 79 указать,
> потом порт, следующая пара это куда форвардить - айпи удаленного сервера
> и порт.

Благодарю что указали на ошибку. Спасибо за помощь! проверю позже и отпишусь о результатах

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Помогите организовать ssh_tunel"  +/
Сообщение от lifefornazgul email(ok) on 29-Авг-12, 18:32 
>[оверквотинг удален]
>>> 80.80.80.80 это айпи уже виндового компа, я его указываю. А вот на
>>> серваке есть его шлюз, к примеру 80.80.80.79. мне его указать?
>>> 192.168.1.2 это тоже айпи сервака, а не шлюза на серваке. я его
>>> указываю. правильно?
>> вы плохо ман читали, c параметром -L идет локал адрес где вы
>> открываете, вы указали айпи которого нету на сервере нада 79 указать,
>> потом порт, следующая пара это куда форвардить - айпи удаленного сервера
>> и порт.
> Благодарю что указали на ошибку. Спасибо за помощь! проверю позже и отпишусь
> о результатах

Здорово, система работает. однако подскажите как сбросить этот форвардинг ? чтобы он больше не форвардил в фоном режиме? мануал читал, но не нашел ничего
п.с. хочу изменить порты

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Помогите организовать ssh_tunel"  +/
Сообщение от 1 (??) on 29-Авг-12, 19:37 
>[оверквотинг удален]
>>> вы плохо ман читали, c параметром -L идет локал адрес где вы
>>> открываете, вы указали айпи которого нету на сервере нада 79 указать,
>>> потом порт, следующая пара это куда форвардить - айпи удаленного сервера
>>> и порт.
>> Благодарю что указали на ошибку. Спасибо за помощь! проверю позже и отпишусь
>> о результатах
> Здорово, система работает. однако подскажите как сбросить этот форвардинг ? чтобы он
> больше не форвардил в фоном режиме? мануал читал, но не нашел
> ничего
>  п.с. хочу изменить порты

ps -ax | grep ssh
ищите нужный и делаете kill pid

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Помогите организовать ssh_tunel"  +/
Сообщение от lifefornazgul email(ok) on 29-Авг-12, 20:06 
> ps -ax | grep ssh
> ищите нужный и делаете kill pid

убил успешно. но у меня новая проблема :) И очень расчитываю на вас..

Виндовый комп с айп (80.80.80.80) работает через (вай фай роутер - asus rtn12-c1).
Дело в том, что когда я на винд-компбютере запускаю "подключение к удаленому рабочему компу" по протоколу rdp (3389 port), запрос идет из диапазона портов 55000-60000 примерно.  


18:53:06.266912 IP 80.80.80.80.55281 > 192.168.1.2.rdp: S 1426952218:1426952218(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>

18:53:09.271187 IP 80.80.80.80.55294 > 192.168.1.2.rdp: S 1426952218:1426952218(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>

Так вот, как мне сделать ссш тунель в этом случае? ведь требуется указать только один порт источник ssh -f -N -L 80.80.80.79:SRC-PORT:192.168.1.2:3389 login@localhost ?

п.с. как я понимаю, нат на вай фай роутере(чтобы исходящие тсп на 192.168.2.2 были от определенного ОДНОГО порта) сделать нельзя,ведь веб интерфейс позволяет сделать только для, входящих на роутер, соединений.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Помогите организовать ssh_tunel"  +/
Сообщение от 1 (??) on 29-Авг-12, 20:11 
>[оверквотинг удален]
> win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
> 18:53:09.271187 IP 80.80.80.80.55294 > 192.168.1.2.rdp: S 1426952218:1426952218(0)
> win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
>
> Так вот, как мне сделать ссш тунель в этом случае? ведь требуется
> указать только один порт источник ssh -f -N -L 80.80.80.79:SRC-PORT:192.168.1.2:3389
> login@localhost ?
> п.с. как я понимаю, нат на вай фай роутере(чтобы исходящие тсп на
> 192.168.2.2 были от определенного ОДНОГО порта) сделать нельзя,ведь веб интерфейс позволяет
> сделать только для, входящих на роутер, соединений.

стоп))вы когда по радмину коннектились то также из верхнего диапазона портов, в случае с рдп ничего не изменяется, ssh -f -N -L 80.80.80.79:3389:192.168.1.2:3389 и коннектитесь на
80.80.80.79

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Помогите организовать ssh_tunel"  +/
Сообщение от lifefornazgul email(ok) on 29-Авг-12, 20:30 
> стоп))вы когда по радмину коннектились то также из верхнего диапазона портов, в
> случае с рдп ничего не изменяется, ssh -f -N -L 80.80.80.79:3389:192.168.1.2:3389
> и коннектитесь на
> 80.80.80.79

0_о я забыл что нужно не на 192.168.1.2 лезть а на свой шлюз на порт 3389 =))
все, теперь благодаря Вам, я чуствую себя знатоком ссш тунелей )) благодарю!


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Помогите организовать ssh_tunel"  +/
Сообщение от 1 (??) on 29-Авг-12, 20:33 
>> стоп))вы когда по радмину коннектились то также из верхнего диапазона портов, в
>> случае с рдп ничего не изменяется, ssh -f -N -L 80.80.80.79:3389:192.168.1.2:3389
>> и коннектитесь на
>> 80.80.80.79
> 0_о я забыл что нужно не на 192.168.1.2 лезть а на свой
> шлюз на порт 3389 =))
> все, теперь благодаря Вам, я чуствую себя знатоком ссш тунелей )) благодарю!

Пожалуйста))

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру