LINUX.ORG.RU
ФорумAdmin

Ищу софтину для автоматизации соединения с разбросанными по разным VPN компьютерами

 , ,


0

2

С понедельником всех читающих, хех.

Собственно, сабж: поставляем фиговину (условно кофеварку) со встроенным одноплатником на линухе и сервер для управления/отчётов/статистики при покупке сразу нескольких. Софт до конца не допилен, так что для диагностики / оперативного устранения сбоев / заливки новых хотелок иногда приходится лезть по ssh. И вот тут начинается цирк. Часть клиентов предоставляют VPN с маршрутом только до сервера статистики, откуда можно достучаться до аппаратов. Иногда наоборот, первичным считают один из них. Некоторые вообще дают доступ до какого-то промежуточного маршрутизатора с рутом (лол). У части политика безопасности запрещает изменение authorized_keys, у других, наоборот, логин только по сертификату. Особо упоротые требуют двухфакторную авторизацию и ограничивают время работы тоннеля.

Наверняка уже существует программа под линь, которая позволяет хранить список обслуживаемого оборудования и автоматизировать хотя бы поднятие нужного VPN и подключение по SSH к выбранному компьютеру через все промежуточные узлы. Может, ткнёте носом, куда копать?

Deleted

Ответ на: комментарий от Deleted

Делайте как-то так чтобы каждое ваше устройство подключалось к вашему серверу самостоятельно - например vpn тунель какой-нибудь. Понятно что для этого потребуется для каждого устройства делать свой уникальный конфиг соединения, хотя бы для того чтобы внутр. адреса в тунеле не пересекались с другими устройствами. Но это особо не проблема на уровне заливки OS на устройство. Либо на каждое устройство уникальный пользователь или авторизация VPN по сертификату, а далее на основе CN уже ваш сервер выдает IP адрес. Главное автоматизировать процесс чтобы велся учет у какого устройства какой IP адрес в тунеле будет чтобы потом к нему можно было подключиться без лишних поисков.

После этого, при передаче устройства, говорите клиенту что для беспроблемного доступа в режиме отладки требуется чтобы устройство имело доступ в Интернет к хосту HOST:PORT - то есть сам клиент сможет закрывать/открывать доступ на время если потребуется доступ для вашего сапорта (это для особо упоротых). Трафик даже на постоянно поднятом тунеле минимален - это если кто в тундре на дорогущщем SAT трафике.

FreeBSD ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.