SSH через тоннель OpenVPN

>использовать SSH без шифрования вообще

Зачем? Тебе жалко что ли?

и настроить ее так чтобы она слушала только на внутреннем TUN интерфейсе

В общем, это правильный и рекомендуемый подход. Главное, убедись, что при подъеме tun-интерфейса производится /etc/init.d/sshd restart. Даже если openvpn запускается раньше sshd, обычно tun к моменту запуска sshd все равно не успевает подняться, и sshd самоубивается, так как слушать ему нечего. Поэтому после подъема tun его нужно рестартануть. Можно сделать средствами openvpn (up-скрипт) или дистрибутива (например, в дебиане уже есть готовый скрипт /etc/network/if-up.d/openssh-server).

Как раз debian и есть :) Спасибо :) Буду разбираться со скриптами.

Насколько я помню, в дебиане работает из коробки, так что не парься.

>только на внутреннем TUN интерфейсе

вам виднее, но у меня мысль возникла - а если тунеля не будет и понадобится подключиться? Конечно всех с наружи пускать типа mng c паролем mng тоже не стоит

И вот возник вопрос для всех - можно ли сделать так чтобы sshd пускал всех из родных подсетей и только некоторых из внешнего мира?

>вам виднее, но у меня мысль возникла - а если тунеля не будет и понадобится подключиться?

Debian же... стабильность :))

И вот возник вопрос для всех - можно ли сделать так чтобы sshd пускал всех из родных подсетей и только некоторых из внешнего мира?

Ну прямо так вроде нельзя, но можно пускать определенных пользователей/группу. См. параметры AllowUsers, AllowGroups.

> Debian же... стабильность :))

он может и стабильный, а интернет и железкие его облуживающие под вопросом

AllowUsers, AllowGroups

это узко

Дак если с подключением к внешнему миру или железками что то случится, то что тоннель не доступен будет, что ssh на отдельном порту.

это узко

Тогда не знаю :(

Гы, - верно

:)