LINUX.ORG.RU
решено ФорумAdmin

SSH через тоннель OpenVPN


0

1

Хочется посоветоваться на счет того как лучше сделать :) Есть сервер, на котором крутится OpenVPN. Требуется прикрутить к нему SSH. Как считаете, если гнать SSH трафик через VPN тоннель? Во первых не будет висеть еще один открытый наружу порт, во вторых можно использовать SSH без шифрования вообще, и настроить ее так чтобы она слушала только на внутреннем TUN интерфейсе. Дурацкая мысль или нет? :))

★★

>использовать SSH без шифрования вообще

Зачем? Тебе жалко что ли?

и настроить ее так чтобы она слушала только на внутреннем TUN интерфейсе

В общем, это правильный и рекомендуемый подход. Главное, убедись, что при подъеме tun-интерфейса производится /etc/init.d/sshd restart. Даже если openvpn запускается раньше sshd, обычно tun к моменту запуска sshd все равно не успевает подняться, и sshd самоубивается, так как слушать ему нечего. Поэтому после подъема tun его нужно рестартануть. Можно сделать средствами openvpn (up-скрипт) или дистрибутива (например, в дебиане уже есть готовый скрипт /etc/network/if-up.d/openssh-server).

anonymous ()
Ответ на: комментарий от static

Насколько я помню, в дебиане работает из коробки, так что не парься.

anonymous ()

>только на внутреннем TUN интерфейсе

вам виднее, но у меня мысль возникла - а если тунеля не будет и понадобится подключиться? Конечно всех с наружи пускать типа mng c паролем mng тоже не стоит

И вот возник вопрос для всех - можно ли сделать так чтобы sshd пускал всех из родных подсетей и только некоторых из внешнего мира?

anykey_mlya ()
Ответ на: комментарий от anykey_mlya

>вам виднее, но у меня мысль возникла - а если тунеля не будет и понадобится подключиться?

Debian же... стабильность :))

И вот возник вопрос для всех - можно ли сделать так чтобы sshd пускал всех из родных подсетей и только некоторых из внешнего мира?


Ну прямо так вроде нельзя, но можно пускать определенных пользователей/группу. См. параметры AllowUsers, AllowGroups.

static ★★ ()
Ответ на: комментарий от static

> Debian же... стабильность :))

он может и стабильный, а интернет и железкие его облуживающие под вопросом

AllowUsers, AllowGroups

это узко

anykey_mlya ()
Ответ на: комментарий от anykey_mlya

Дак если с подключением к внешнему миру или железками что то случится, то что тоннель не доступен будет, что ssh на отдельном порту.

это узко

Тогда не знаю :(

static ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.