VPN-туннель средствами ssh

Материал из Linux Wiki
Версия от 20:54, 23 января 2012; Lazyklimm (обсуждение | вклад) (1й вариант)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к навигацииПерейти к поиску

Задача

Есть сервер c локальной сетью, в которую бы мы хотели включить удалённую машину.

Можно поднять openvpn и прочие сервисы, но проще всего создать VPN средствами openssh.

Подготовка

Устанавливаем необходимые пакеты

клиент

apt-get install uml-utilities openssh-client

.

сервер

apt-get install uml-utilities openssh-server bridge-utils

Настройка

сервер

sshd

Разрешим туннелирование в конфиге /etc/ssh/sshd_config:

PermitTunnel yes

и перезапустим сервис

sudo invoke-rc.d ssh restart

interfaces

Чтобы каждый раз вручную не создавать интерфейсы, просто пропишем их в /etc/network/interfaces:

# ssh tunnel iface
auto tap8
iface tap8 inet manual
    pre-up tunctl -u dk -t $IFACE
    post-down tunctl -d $IFACE
    up ifconfig $IFACE 0.0.0.0 up
    down ifconfig $IFACE down
# Параметром -u для tunctl следует указать пользователя, под которым будем логиниться на сервере

 
# bridge
auto br0
iface br0 inet static
    address 192.168.0.1
    network 192.168.0.0
    netmask 255.255.255.0
    broadcast 192.168.0.255
    bridge-stp off
    bridge-ports eth1 wlan1 tap8

в bridge-ports указываются интерфейсы, которые будут объединены в бридж. Если бридж не нужен, tap-интерфейс можно настроить аналогично клиенту (см. ниже).

Поднимаем:

sudo ifup tap8 br0

(в дальнейшем они будут стартовать при загрузке системы)

клиент

interfaces

# ssh tunnel iface
auto tap7
iface tap7 inet static
    pre-up tunctl -u user -t $IFACE
    post-down tunctl -d $IFACE
    address 192.168.0.66
    netmask 255.255.255.0

Параметром -u для tunctl следует указать пользователя, от которого будет запускаться ssh с клиентской стороны.

Поднимаем:

sudo ifup tap7


Подключаемся

ssh -o Tunnel=Ethernet -w7:8 user@server

в параметре -w указываем локальный:удалённый номер tap-интерфейса

Минусы

- Не цепляется адрес через dhcp - Плохо работает http over ipv6 (настроен на сервере через туннельброкера)