Sisäverkon useampi SSH-asiakas

[Jagster]

Tämä on (taas) luokkaa aloittelija esittämässä wannabe-edistyneen käytön kysymystä...

Eli lähtötilanne on, että nettiboksi/routerin takana on kaksi windows 10 home konetta, joissa kummassakin tulee olemaan Ubuntun appi (nyt vain toisessa, omassani). Routerin WAN:iin on avattu portti 22 ja LAN suuntaan 2222, jota kuuntelee oman läppärini Ubuntu-appin SSH-server.

Tarve on saada SSH toimimaan molemmissa ja tietysti niin, että ssh yksi@192.168.100.1 menee IP:n mukaiseen koneeseen ja ssh kaksi@192.168.100.2 toiseen.  Molemmat eivät tietenkään voi olla servereitä, ellen sitten avaa molemmille omat porttinsa, joka lienee täysin aivokuollut ajatus? Joten johonkin konfiin täytyy kertoa miten ohjaus menee, ymmärtääkseni.  Vai ollaanko minulle mystisessä aiheessa routerin porttien ohjaus?

Koska tarvitaan joku serveri, niin voiko se olla jompikumpi win-koneiden ubuntu vai ostanko Raspberryn?

Josta tietysti seuraa se, että maailmalle kummmallakin yhteydellä on sama julkinen IP. Miten DDNS tajuaa kumpi on kampi?

Saa ohjata tiedon pariin netissä. Omat tiedot aiheesta eivät riitä hakutulosten rajaamiseen.

[nm]

Sisäverkossa molemmissa koneissa voi olla SSH-palvelin samassa portissa. Itse käyttäisin porttia 22, ellei ole jotain erityistä syytä vaihtaa porttia.

Reitittimessä voit sitten ohjata vaikka wan-puolen portin 22001 koneen 192.168.100.1 SSH-porttiin ja wan-portin 22002 koneen 192.168.100.2 SSH-porttiin.

Tällöin saat siis netistä julkisen IP-osoitteen portista 22001 yhteyden kotiverkkosi koneen 192.168.100.1 SSH-palveluun, ja vastaavasti portista 22002 toiselle koneelle.

DDNS ei vaikuta porttiohjauksiin mitenkään.

[Jagster]

Jos ssh:ta mietitään, niin silloin komento on mallia ssh tunnus@julkinen-ip:portti ja aina jokaisella koneella täytyy olla WAN:ssa oma portti auki. EIhän tuo kovinkaan näppärältä tunnu.

Joten, jos laitankin läppärin (johon ei muistikortilla Ubuntu asennu) SSH-serverinä kuuntelemaan routerin LAN:n porttia vaikka 2222  (tai 22 selvyyden vuoksi), niin saanko sen jollain kikka kolmosella siirtämään yhteyden haluttuun sisäverkon IP:hen esim. tunnuksen perusteella? Tosin, mitä jos molemmissa on sama tunnus käytössä ja kun ssh tunnus@julkinen-ip tulee routerin WAN-porttiin 22, niin ei kai ne molemmat voi huutaa, että mulle tämä käyttäjä?

Kyllä, olen aivan untamo verkko/serveri-hommissa edelleenkin, mutta voisin kuvitella, että moinen olisi serverin peruskauraa.

[Jagster]

Useampi sata välilehteä selaimessa auki tällä hetkellä Ja koska on kuuma ja kahvi on loppu, niin alkaa tuskatuttamaan ja väitän, että yleisesti esitetty asenna-linux-niin-saat -helpolla-näppärän-kotiverkon ei ihan niinku sillai pidä paikkaansa

99 % netin ohjeista aiheessa SSH, serveri ja sisäverkko kertovat, että tarvittava komento on apt install openssh-server ja sitten conclusions on, että nyt sinulla on toimiva ssh.

Njooh. Se angstista.

Lähdenkö seuraamaan mitä löytyy sshd_config tiedoston asetukselle AllowTcpForwarding yes vai liittykö se edes mitenkään aiheeseen?

[Jagster]

Mitä enemmän googletan, niin sitä enemmän tulee (taas) sellainen olo, että yritän pakottaa ruuvumeisseliä vasaraksi tekemään jakoavaimen hommia. Olisi ehkä kohteliaampaa editoida aloitusta, mutta kokemuksesta tiedän, että se sotkee vielä enemmän - eli koska en enää itsekään ymmärtänyt mitä olin selittänyt, niin ratkaistava asia on tämä:

Käyttäjä1 haluaa päästä maailmalta komennolla ssh käyttäjä1@ddns.url sisäverkossa olevaan käyttäjä1 tietokoneen shelliin.
ja
Käyttäjä2 haluaa päästä maailmalta komennolla ssh käyttäjä2@ddns.url sisäverkossa olevaan käyttäjä2 tietokoneen shelliin.
ja
molemmat ovat saman julkisen IP:n takana, samassa sisäverkossa ja ddns.url on sama, mutta toki voi tehdä eri subdomainin
ja
erillisen WAN-portin käyttäminen ei ole vaihtoehto

[Tomin]

Nyt on mielessä sen verran erikoinen setuppi, että en tiedä onko kukaan tehnyt tuollaista. Itse tekisin ennemmin tuon kahdella eri portilla ja säätäisin vaikka ssh-asiakkaan asetustiedostoon omat nimet niille, jottei tarvitse muistaa portteja tai käyttäjänimiä.

Vaihtoehtoisesti voisit paljastaa vain yhden palvelimen ulkoverkkoon ja yhdistää sieltä ssh:lla toiselle koneelle sisäverkossa. Tämä on myös hyvin yleinen tapa. OpenSSH:ssa on JumpProxy-asetus tuota varten. Huomaa, että silloin yhdistät sen ulkoverkkoon auki olevan koneen käyttäjänä ensin ja sitten yhdistät sieltä toiselle koneelle sen toisen koneen käytäjänä. Tämä on vähän kuin tuo mainitsemasi konfiguraatio joskin vaatii hieman enemmän säätöä asiakkaan puolelta.

Ehkä olisi myös mahdollista tehdä jokin viritys, jossa toisena käyttäjänä kirjautuminen tuolle ulkoverkkoon auki olevalle koneelle yhdistäisi automaattisesti ssh:lla toiselle koneelle, mutta en lähtisi virittelemään ellei kyseessä ole jokin hyvin erityinen tarve sellaiselle. Tämän voisi toteuttaa .bashrc-tiedostolla tai vaihtamalla käyttäjän shellin johonkin sopivaan skriptiin/ohjelmanpätkään.

Toinen alidomain ei tässä auta, koska ssh tai reititin ei sitä tiedä saati ymmärrä.

[Jagster]

Mitä en tajua? Miten se voi olla erikoinen setup koska noinhan sisäverkot aina toimii? On serveri johon otetaan ulkoa yhteyttä ja sitten pääsee halutulle työasemalle, ns. siihen omaan koneeseen.

Juu, minä olen aina ollut loppukäyttäjä. Ja se taatusti näkyy.

Mutta olenko todellakin poikkeus maailmassa siksi, että minulla on kotiverkossa useampi kone ja haluan päästä niihin erikseen käsiksi yhteisen portin 22 kautta, en asentamalla erillistä WAN-porttia per laite?

[Tomin]

Mitä en tajua? Miten se voi olla erikoinen setup koska noinhan sisäverkot aina toimii? On serveri johon otetaan ulkoa yhteyttä ja sitten pääsee halutulle työasemalle, ns. siihen omaan koneeseen.

Juu, minä olen aina ollut loppukäyttäjä. Ja se taatusti näkyy.

Mutta olenko todellakin poikkeus maailmassa siksi, että minulla on kotiverkossa useampi kone ja haluan päästä niihin erikseen käsiksi yhteisen portin 22 kautta, en asentamalla erillistä WAN-porttia per laite?

Ei tuossa ole mitään erikoista. Erikoinen oli tuo vaatimus siitä, että yhdistämällä yhteen koneeseen tiettynä käyttäjänä se menisikin toiselle koneelle. Ssh-yhteyksiä voi kyllä ketjuttaa kuten kerroin viestissäni vaihtoehtona tuolle eri porttien ohjaukselle, mutta silloin yhdistetään ensin sille ulkoverkkoon näkyvälle koneelle (koneelle, johon se portti on ohjattu) ja siltä sitten seuraavalle.

[Jagster]

Melkoisen googlettelun jälkeen tosiaan näyttää siltä, että on aika mahdotonta saada SSH:ta ulkoa millään tapaa yhdestä portista sisäverkon erillisille koneille ilman, että avataan ikioma WAN-portti jokaiselle laitteelle erikseen. Joka on siis niin kaukana käytettävyydestä, ettei muusta väliä.

Ainoa löytämäni tapa on laittaa yksi kone ottamaan vastaan kaiken portin 22 liikenteen, jolloin jokainen kirjautuu ensin sinne. Sieltä sitten jatketaan sisäverkon IP-osoitteilla erillisellä ssh-komennolla omalle koneelle . Ehkä tuon jatkon saisi automatisoitu, en tiedä.

Palomuuri ja NAT ei auta, koska se ei tiedä kuka tulee

Joten laitanko otsikkoon RATKAISTU merkityksellä mahdoton ajatun?

Silti en kykene lakata ihmettelemästä, että miten muut, joilla on saman katon alla samassa wifissä useampi kone ja käyttäjä, pärjäävät? Vai oikeastiko tosiaan aukaisette maailmalla jokaiselle ikioman portin ja taotte päähän, että se on vaan pakko muistaa -p 221 tai mikä se milloinkin on?

[Jagster]

Oli kramppaava sormi ja lähetti, vaikka esitettiinkin nöyrä pyyntö, että joku vastasi; luetaanko.

Oukkidoukki. Eli jatkan toteutusta ketjuttamisella. Jolloin seuraava kysymys on: millaisiin ongelmiin voin törmätä arjen käytössä, jahka systeemi pyörii? Riskejä?

[Tomin]

Ainoa löytämäni tapa on laittaa yksi kone ottamaan vastaan kaiken portin 22 liikenteen, jolloin jokainen kirjautuu ensin sinne. Sieltä sitten jatketaan sisäverkon IP-osoitteilla erillisellä ssh-komennolla omalle koneelle . Ehkä tuon jatkon saisi automatisoitu, en tiedä.

Näin se yleensä toimii eli yhdelle koneelle pitää päästä yhdistämään ja sieltä voi sitten yhdistää eteenpäin uudella ssh-komennolla. Sen voi automatisoida ainakin OpenSSH:a (= se ssh-komento, jota Linuxissa yleensä käytetään) käytettäessä ProxyJump-asetuksella. Tässä on sekin hyvä puoli, että tarvitsee vain se yksi kone turvata erityisen hyvin. https://www.man7.org/linux/man-pages/man5/ssh_config.5.html

Silti en kykene lakata ihmettelemästä, että miten muut, joilla on saman katon alla samassa wifissä useampi kone ja käyttäjä, pärjäävät? Vai oikeastiko tosiaan aukaisette maailmalla jokaiselle ikioman portin ja taotte päähän, että se on vaan pakko muistaa -p 221 tai mikä se milloinkin on?

Tuo on yksi tapa toki, mutta ei sitä tarvitse varsinaisesti muistaa. Itselläni on noita eri palvelimia aika paljon ~/.ssh/config-tiedostossa.

Koodia: [Valitse]

Host omaserveri
HostName omadomain.example.com
Port 12345
User tomi
ja tuonne voin sitten yhdistää komentamalla "ssh omaserveri". Lisää noista: https://www.man7.org/linux/man-pages/man5/ssh_config.5.html.

[Jagster]

Lopetin lukemisen ~/.ssh/config asettamisesta kun selvisi, että se täytyy tehdä siihen koneeseen, josta otetaan yhteyttä. Siinä vaiheessa roikuin ajatuksessa, että homma täytyy toimia samalla tavalla mistä tahansa koneesta. Jossain vaiheessa sitten totesin, että vaatimus on sinällään älytön, koska en ole milloinkaan vuosien saatossa ottanut vieraasta koneesta omaan laitteeseen minkäänlaista yhteyttä (edes Windowsien välillä) 

Joka tapauksessa, kokeilen nyt molempia mainstream-tapoja - jokaiselle oma WAN-portti tai yhden keskitetyn serverin kautta (serveritoteutuksessa oli jokin joka häiritsi, mutta kaipa se tulee kun pääsen sinne asti; VPN ja DDNS ehkä?)

Nyt olen jonkun tunnin tapellut nippelin kanssa... miten saan verkon laitteille host namen toimimaan? Se olisi mukavampaa kuin IP:n käyttö - joku sisäinen DNS, ei kai?

edit: vaihteeksi google kertoi heti - /etc/hosts tai DHCP+DNS

[nm]

Silti en kykene lakata ihmettelemästä, että miten muut, joilla on saman katon alla samassa wifissä useampi kone ja käyttäjä, pärjäävät? Vai oikeastiko tosiaan aukaisette maailmalla jokaiselle ikioman portin ja taotte päähän, että se on vaan pakko muistaa -p 221 tai mikä se milloinkin on?

Tyypillisesti verkon reunalla kuuntelee vain yksi SSH-palvelin. Yhteydet muihin koneisiin hoituvat ProxyJump-ketjutuksella, kuten Tomi ehdotti, tai manuaalisesti ottamalla ensin yhteys siihen nettiin näkyvään koneeseen ja sitten sieltä ssh:lla eteenpäin. Sekin riittää ihan mukavasti, jos yhteyksiä ei tarvitse avata kymmentä kertaa päivässä.

Nyt olen jonkun tunnin tapellut nippelin kanssa... miten saan verkon laitteille host namen toimimaan? Se olisi mukavampaa kuin IP:n käyttö - joku sisäinen DNS, ei kai?

edit: vaihteeksi google kertoi heti - /etc/hosts tai DHCP+DNS

DNS-SD:tä tukevat systeemit kuten Ubuntu löytävät toisensa lähiverkosta suoraan nimellä hostname.local (missä hostname on siis Ubuntun asennuksen yhteydessä koneelle annettu nimi ja määritelty tiedostossa /etc/hostname). WSL:ssä tuo ei ilmeisesti toimi, joten joudut käyttämään /etc/hosts-tiedostoa tai pystyttämään lähiverkkoon nimipalvelimen.

[Jagster]

Meinasin alkaa kiukuttelemaan, että ei ainakaan viime yönä hostnamet toimineet tuossa uudessa serveri-asennuksessa - mutta olenkin hiljaa, koska en todellakaan ole enää ollenkaan varma missä olin tekemässä mitäkin, koska hypin niin paljon laitteilta toiselle. Mutta kun kyseessä on kolme käyttäjää, niin /etc/hosts lienee ehdottomasti helpoin tapa varmistaa hostnamet. Minulla ei ole suuriakaan estoja rakentaa, mutta DNS:n kanssa tuli sellainen olo, että tässä menee omien säätöjen opettelun raja - ei riittävää hyöty/vaiva-suhdetta

Plus että en halua kuitenkaan ihan päättömästi panostaa tuon serverin rooliin nostetun läppärinraadon säätöön, koska edelleenkin heilun kahden välillä - kuunnellako sen hurinaa vai sijoittaa Raspiin ja alkaa taas opettelemaan uutta asiaa.

Pidän WSL:stä melkoisesti. Minun mielestäni se on yksi järkevimmistä ratkaisuista mitä kotitasolle on aikoihin tullut. Toki se on vielä rajoittunut, ja vastaan tulee muitakin ristiriidan tapaisia kuin vain .local nimen ymmärtämättömyys (joka on pieni vaiva koska aliakset on keksitty), mutta se on oikea liike kohti aitoa hybridijärjestelmää desktopeissa - tai olisi, jos Redmond saisi wintoosan toimimaan X:n tapaan. Mutta joo, nyt liukuu OT:hen.

Kohti seuraavaa ongelmaa, ennenkuin saa tämän pystyyn... Teen tästäkin kokemuksesta taas jutun ketjun vinkkien perusteella, joten nöyrästi kiittää hän!

[Jagster]

Voiko tämä olla tosiaan näin vaikeaa? Mutta nyt ollaan (edelleen) aika lähtöasemissa.

Routerissa on maailmalla auki 22 ja LAN:n suuntaan 220.

Serverin (192.168.199.45), jossa on Ubuntu 20.04, SSH kuuntelee routerin porttia 220. Maailmalta yhteys tähän koneeseen onnistuu ongelmitta.

Lisäksi on avattu portti 22 ajatuksena sisäisempi liikenne, joten /etc/ssh/sshd_config on tuolta osin:
Port 220
Port 22

UFW on käytössä ja molemmat portit sallittu.

Jos yritän toiseen koneeseen, kutsutaan sitä vaikka asiakkaaksi, ssh tunnus@192.168.100.40 niin saan odotella yhteyden muodostumista varmaan maailman tappiin asti - eli ihan samaa ei-kerrota-mitään käyttäytymistä kuin jos yrittää kirjautua ilman avainta ssh-serverille, jossa salasanat on estetty.

Ping sen sijaan toimii:
PING 192.168.100.40 (192.168.100.40) 56(84) bytes of data.
64 bytes from 192.168.100.40: icmp_seq=1 ttl=128 time=1.60 ms

Ja toisinpäin.

Kotiverkossa on vain yksi toinen kone, oma läppäri (192.168.100.40), jossa on siis WSL2. SSH on laitettu kuuntelemaan porttia 222. UFW ei ole käynnissä. iptables -L näyttää vain tyhjät tablesit ja jokaisessa oletuskäytäntönä on accept.

Tällä ei pääse tuolle serverikoneelle, vaan ssh tunnus@192.168.199.45 kertoo ssh: connect to host 192.168.199.45 port 22: No route to host

Kun kokeilin pingiä serverille eli ping  192.168.199.45 niin se vaihtaa 10-osoitteeseen ja kertoo, että paketit filtteröidään.
PING 192.168.199.45 (192.168.199.45) 56(84) bytes of data.
From 10.64.198.66 icmp_seq=4 Packet filtered


Joten... täh? Onko minulla joku oleellinen asia kommentoituna tai laittamatta rasti ruutuun? Vai johtuuko tämä siitä, että läppäri, asiakas, on routeriin yhteydessä wifillä ja serveri verkkokaapelilla? En vaan tajua mitä merkitystä moisella olisi, mun IP:tä kuitenkin etsitään?

[mrl586]

Kuuluvatko osoitteet 192.168.100.40 ja 192.168.199.4 samaan verkkoon?

[Tomin]

Lisäksi on avattu portti 22 ajatuksena sisäisempi liikenne, joten /etc/ssh/sshd_config on tuolta osin:
Port 220
Port 22

UFW on käytössä ja molemmat portit sallittu.

Koneesta ei tarvitse avata kuin tuo portti 22 ja SSH:n tarvitsee kunnella ainoastaan sitä. Reititin (ja asiakas) on ainut, jonka tarvitsee tietää, mikä portti on auki internetiin päin.

Jos yritän toiseen koneeseen, kutsutaan sitä vaikka asiakkaaksi, ssh tunnus@192.168.100.40 niin saan odotella yhteyden muodostumista varmaan maailman tappiin asti - eli ihan samaa ei-kerrota-mitään käyttäytymistä kuin jos yrittää kirjautua ilman avainta ssh-serverille, jossa salasanat on estetty.

Onhan Salasanakirjautuminen kuitenkin sallittu tai vaihtoehtoisesti tuon koneen julkinen avain kopioitu toisen authorized_keys-tiedostoon?

[Jagster]

Jos samaan verkkoon kuuluminen tarkoittaa saman routerin takana olemista, niin kyllä. Muutoin - ei hajuakaan edes miten moisen selvittäisi, koska ainoa IP-tieto tulee Huawein boksista. Siellä on erikseen jaettu wifissä ja kaapelilla olevat, mutta se on varmasti vain informatiivinen jako - tuskin niitä sen mukaan eri verkkoihin jaetaan. Tai sitten jaetaan, jos syy löytyy wifi vs. ethernet jaosta - ja jos se on tuosta, niin minulla loppuu tämä projekti tähän, koska minulla ei ole pienintäkään hajun tapaistakaan mistä silloin lähtisi hakemaan syytä.

Eri asia, omalla tavallaan. Mutta Windows löytää wifin takaa routeriin kaapelilla liitetyn kovin.

[Jagster]

Koneesta ei tarvitse avata kuin tuo portti 22 ja SSH:n tarvitsee kunnella ainoastaan sitä. Reititin (ja asiakas) on ainut, jonka tarvitsee tietää, mikä portti on auki internetiin päin.

Tuo on se mitä en tajua ollenkaan.

Yhtä porttia voi kuunnella vain yksi palvelu. Joten router kuuntelee maailman suuntaan porttia 22 koska se on standardinomainen. Sitten se viedään purkin läpi porttiin 220, jota kuuntelee serverin SSH-serveri. Serverillä ylimääräinen 22, joka on auki sisäverkkoon päin, on sinänsä turha, mutta sen pitäisi olla kuitenkin toimiva ja taas ideana ei ole muuta kuin mahdollistaa asiakkailla "standardimaisemman" tavan ottaa yhteyttä.

Niin tai näin, niin ei homma toiminut silloinkaan kun serverillä oli vain yksi portti sshc_conf tiedostossa.

Sisäverkossa olevat asiakaskoneet pyörittävät omaa SSH-serveriään, jotka tarvitsevat myös portin auki maailmalle - suomeksi toisilleen - ja sehän täytyy olla eri kaikilla? Paitsi että ei tietenkään tarvitse, sama porttihan se on useimmissa maailman koneissa... sarjaa urautunut ajatusvirhe ajatuksesta, että samaa porttia ei voi kuunnella kaksi palvelua, mutta eihän nuo ole samoja, vaan eri koneita. Tyhmä minä.

Mutta pitäisihän kaiken silti toimia, kun ssh tunnus@ip -p XXX kertoo sen portin, jota kohde kuuntelee?

Juu, on salasanan käyttö päällä. Pikkuinen pakko, kun sattuneesta syystä ssh-copy-id ei toimi.

[Tomin]

Koneesta ei tarvitse avata kuin tuo portti 22 ja SSH:n tarvitsee kunnella ainoastaan sitä. Reititin (ja asiakas) on ainut, jonka tarvitsee tietää, mikä portti on auki internetiin päin.

Tuo on se mitä en tajua ollenkaan.

Yhtä porttia voi kuunnella vain yksi palvelu. Joten router kuuntelee maailman suuntaan porttia 22 koska se on standardinomainen. Sitten se viedään purkin läpi porttiin 220, jota kuuntelee serverin SSH-serveri. Serverillä ylimääräinen 22, joka on auki sisäverkkoon päin, on sinänsä turha, mutta sen pitäisi olla kuitenkin toimiva ja taas ideana ei ole muuta kuin mahdollistaa asiakkailla "standardimaisemman" tavan ottaa yhteyttä.

Ah, teitkin noin päin. Tuon 220-portin käytöstä ssh:lle ei ole hyötyä, koska voit ohjata reitittimestä ihan minkä tahansa portin mihin tahansa sisäverkon koneen porttiin. Yleensä ulkoverkkoon avataan jonkin muu kuin portti 22, koska se vähentää "koputteluja", vaikka ei sinänsä parannakaan tietoturvaa.

Tuli tuo edellinen viesti lähettyä vähän kiireessä, kun ukkonen yllätti ja piti sammuttaa kone. Täällä maaseudulla niitä ei parane jättää seinään eikä ainakaan päälle.