Descobri recentemente que, quando minha estação de trabalho se conecta por meio de uma conexão VPN, seu servidor SSH não pode ser conectado a partir de um site remoto. Tenho certeza de que é um problema de roteamento porque o cliente VPN altera o gateway padrão para seu par (servidor VPN) da conexão ppp.
Existe uma solução para tornar o servidor SSH e o cliente VPN tão felizes?
Quando você usa uma vpn, geralmente a rede vpn assume toda a sua interface, de modo que você só pode ser roteado de algum lugar da rede vpn, não da internet como um todo. A maioria das pessoas resolve este problema executando um vm (virtualbox etc) e conectando-se à vpn nessa máquina virtual para que não a mangueira completamente a conexão principal na máquina real.
Antes de se aventurar pelas configurações de rede, verifique se o servidor ssh em questão escuta na interface vpn. Talvez esteja ligado a uma interface específica no seu servidor.
Exemplo netstat -a output:
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:ssh *:* LISTEN
O servidor ssh neste exemplo escuta em todas as interfaces (indicado pelo asterisco em *:ssh . Se no seu sistema houver um endereço de host, o servidor ssh está ligado a interfaces específicas.
Edite /etc/ssh/sshd_config e defina ListenAddress 0.0.0.0 para ajustar isso, se necessário.
Se o sshd já estiver ouvindo as interfaces corretas, fique à vontade para entrar na masmorra de roteamento: -)
Você está falando em tunelamento dividido. Se você estiver familiarizado o suficiente com a linha de comando ROUTE.EXE ferramenta , você poderá examinar as rotas colocadas pelo cliente VPN e removê-las. Você adicionaria novamente um para permitir que apenas o tráfego para sua LAN corporativa passasse pelo gateway da VPN.
Especificamente, você usaria
route print
... para obter uma lista das entradas de roteamento. Sem ver a saída, parece que o seu cliente VPN teria colocado uma entrada padrão (0.0.0.0) com o gateway sendo o gateway de mesmo nível da VPN. Você pode usar
route delete 10.*
... por exemplo, para excluir todas as entradas que apontam para uma rede 10.x.x.x.
Você pode usar
route add 10.0.0.0 mask 255.0.0.0 10.0.99.99
... onde o primeiro endereço (10.0.0.0 255.0.0.0) é a sua rede corporativa e máscara, e o segundo endereço é o gateway remoto.
Você precisaria rodar isso toda vez que se conectar, então você pode querer fazer o script.
Nota: uma alternativa seria convencer sua empresa a configurar sua VPN para usar o tunelamento dividido; um argumento para isso é a redução da largura de banda e (IANAL) reduziu a responsabilidade pelo tráfego da Web não corporativo que passa pela rede.