Il server SSH non può essere collegato all'accensione della VPN


9

Di recente ho scoperto che quando la mia workstation si connette tramite una connessione VPN, il suo server SSH non può essere collegato da un sito remoto. Sono sicuro che si tratta di un problema di routing perché il client VPN modifica il gateway predefinito nel suo peer (server VPN) della connessione ppp.

Esiste una soluzione per rendere felici sia il server SSH che il client VPN?

Risposte:


2

Quando si utilizza un VPN in genere, la rete VPN prende il controllo dell'intera interfaccia in modo tale da essere instradabile solo da qualche parte della rete VPN, non Internet in generale. La maggior parte delle persone risolve questo problema eseguendo un VM (Virtualbox ecc.) E connettendosi al VPN in quella macchina virtuale in modo che non manchi completamente la connessione principale sulla macchina reale.


Puoi fare alcuni trucchi di routing per instradare i dati dalla VPN in un modo e altri dati nell'altro modo (gateway diversi ecc.) Ma è davvero molto più facile usare virtualbox. :-)
Stu,

Grazie per il suggerimento! Mi piacerebbe sapere quale trucco di routing può raggiungere questo obiettivo.
tra il

Sto usando VM stu, ma quello che non sono in grado di fare è valutare la VPN nell'host, poiché devo fare dev dev.
Jamie Hutber,

oh, stavo suggerendo il contrario. Usa il vpn esclusivamente nel vm e questo lascia la macchina reak per Internet aperto e gratuito.
Stu,

2

Prima di avventurarsi attraverso le impostazioni di rete, verificare se il server ssh in questione è in ascolto sull'interfaccia vpn. Forse è associato a un'interfaccia specifica sul tuo server.

Esempio di netstat -aoutput:

 Proto Recv-Q Send-Q Local Address    Foreign Address   State      
 tcp        0      0 *:ssh            *:*               LISTEN      

Il server ssh in questo esempio è in ascolto su tutte le interfacce (indicato dall'asterisco in *:ssh. Se invece sul tuo sistema è presente un indirizzo host, il server ssh è associato a interfacce specifiche.

Modifica /etc/ssh/sshd_confige imposta ListenAddress 0.0.0.0per regolare questo, se necessario.

Se sshd ascolta già le interfacce corrette, sentiti libero di entrare nel dungeon di routing :-)


1
A quale indirizzo dovrebbe ListenAddressessere impostato? L'IP del server sull'interfaccia locale? L'IP del router? Qualcos'altro?
Psiconaio,

0

Stai parlando di tunneling diviso. Se hai abbastanza familiarità con lo strumento ROUTE.EXE da riga di comando , potresti essere in grado di esaminare i percorsi inseriti dal client VPN e rimuoverli. Dovresti quindi aggiungerne di nuovo uno per consentire solo al traffico della LAN aziendale di fluire attraverso il gateway VPN.

In particolare, useresti

route print

... per ottenere un elenco delle voci di routing. Senza vedere l'output, sembra che il tuo client VPN avrebbe inserito una voce predefinita (0.0.0.0) con il gateway come gateway peer VPN. Puoi usare

route delete 10.*

... ad esempio, per eliminare tutte le voci che puntano a una rete 10.xxx.

È quindi possibile utilizzare

route add 10.0.0.0 mask 255.0.0.0 10.0.99.99

... dove il primo indirizzo (10.0.0.0 255.0.0.0) è la rete e la maschera aziendali e il secondo indirizzo è il gateway remoto.

Dovresti eseguirlo ogni volta che ti connetti, quindi potresti voler scriverlo.

Nota a margine: un'alternativa sarebbe convincere la tua azienda a configurare la propria VPN per utilizzare il tunneling diviso; un argomento per questo è la riduzione della larghezza di banda e (IANAL) la riduzione della responsabilità per il traffico web non aziendale che fluisce attraverso la loro rete.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.