Non è possibile inserire SSH in una macchina con VPN ipsec


1

Ho una macchina virtuale Ubuntu con adattatore a ponte che ho configurato per utilizzare una VPN ipsec. Posso inserire correttamente SSH nella macchina, ma quando accendo la VPN, non posso. Il tunnel VPN rende anche la macchina linux che non risponde ai ping. Il vm in realtà non può nemmeno eseguire il ping del proprio gateway. Il mio provider VPN non fornisce il port forwarding. Quali comandi posso digitare per assicurarmi di poter ancora SSH dalla rete locale quando la VPN è attiva?

Ecco l'output di avviare il tunnel da SSH e provare a usarlo come proxy di calze:

$ ssh -D 8123  -C -q -t -v ubuntu@192.168.1.27 "sudo ipsec up NordVPN"

authentication of 'us993.nordvpn.com' with EAP successful
IKE_SA NordVPN[9] established between 192.168.1.27[192.168.1.27]...23.81.21.124[us993.nordvpn.com]
scheduling reauthentication in 10085s
maximum IKE_SA lifetime 10625s
installing DNS server 78.46.223.24 via resolvconf
installing DNS server 162.242.211.137 via resolvconf
handling INTERNAL_IP4_NETMASK attribute failed
installing new virtual IP 10.6.6.231
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 3: new [dynamic-tcpip]
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 4: new [dynamic-tcpip]
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 5: new [dynamic-tcpip]
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 6: new [dynamic-tcpip]
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 7: new [dynamic-tcpip]
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 8: new [dynamic-tcpip]
packet_write_wait: Connection to 192.168.1.27 port 22: Broken pipe

ssh -v quando il tunnel è già in su appena è scaduto.

Niente di speciale in sshd_config?

Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 1024
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin prohibit-password
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes

sudo iptables -vpL (se la VPN è attiva o inattiva):

Chain INPUT (policy ACCEPT 41 packets, 9581 bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 37 packets, 6921 bytes)
 pkts bytes target     prot opt in     out     source               destination

Devi scoprire dove si trova il problema. Passa a SSH la direttiva -v e facci sapere cosa dice. Inoltre, fornire una copia del tuo file / etc / ssh / sshd_config dal server e iptables -vnL ci consentirà di esaminare le regole di configurazione e firewall sul lato server e forse di chiarire il problema. Il problema potrebbe anche essere un problema MTU.
davidgo,

ehi grazie @davidgo. ha pubblicato le informazioni richieste. Fatemi sapere cosa ne pensate!
Walrus the Cat

@davidgo ha aggiunto un paio di informazioni: il tunnel VPN rende la macchina Linux non risponde ai ping. Il vm in realtà non può nemmeno eseguire il ping del proprio gateway.
Walrus the Cat

Immagino che quando stai aprendo il tunnel IPSec sta cambiando il tuo percorso, in modo tale che non puoi più accedere alla scatola tramite la tua connessione originale. Una soluzione sarebbe quella di aggiungere il comando ipsec con un comando che instrada il tuo indirizzo di casa (o locale / ufficio) fuori dall'interfaccia ethernet, in modo che quando il gateway predefinito viene sostituito il percorso trovi ancora la strada di ritorno.
davidgo,

a quanto pare mi sta assegnando un IP interno di uno schema diverso 10.0.0.26che posso eseguire il ping e posso eseguire il ping del mio IP 192.168.1.27ma non riesco a eseguire il ping 192.168.1.1. quali comandi potresti digitare per risolvere?
Tricheco il gatto il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.