SSH por conexão VPN

9

Temos um servidor do AWS EC2 que configuramos para estar acessível apenas (via SSH) na rede do nosso escritório. Obviamente, isso não é ideal para instalações remotas onde alguém precisa se conectar à instância do EC2 e está trabalhando remotamente fora do escritório, como durante uma viagem de negócios.

Consegui configurar uma VPN por meio do PPTP e posso conectar-me à rede do escritório (tenho dois IP locais, um do wlan0 e outro do ppp0), independentemente de qualquer lugar em que eu esteja. No entanto, quando eu SSH para a instância EC2, ele ainda está me rejeitando muito provavelmente porque ele vê que eu ainda estou tentando ssh de fora da rede.

Eu acho que o problema é que não posso rotear o tráfego ssh para passar pela VPN. Alguma idéia de como posso conseguir isso?

Minha outra opção é usar ssh em uma máquina dentro da rede do escritório e usá-la para o ssh na instância do EC2, mas tenho hesitado em fazer isso, pois parece excessivo.

    
por turntwo 22.12.2014 / 16:37

1 resposta

13

Suponhamos que sua AWS possa ser acessada via SSH em IP "your.ec2.ip.address". Vamos supor que a rede do seu escritório tenha acesso à Internet através de um roteador que aplique algumas traduções NAT e, como tal, seus PCs do escritório sejam vistos, na Internet, com o IP "your.office.external.ip".

Vamos supor também que você esteja localizado FORA de seu escritório, com seu laptop conectado ao mundo todo, com:

  • um endereço IP principal atribuído pelo seu provedor de Internet local (vamos supor 192.168.0.33 com a máscara de rede 255.255.255.0 e def-gw 192.168.0.1);
  • um endereço PPP0, atribuído ao seu laptop pelo seu servidor PPTP remoto (uma vez que o seu túnel VPN é estabelecido com sucesso). Vamos supor que o PPP0 seja o.local.ppp0.ip com o P2P remoto.remote.pptp.address. Em outras palavras, o seu laptop sabe ser o the.local.ppp0.ip e também sabe que no outro lado do túnel VPN há o seu servidor PPTP acessível, através da VPN, no endereço .remote.pptp.

Nesse cenário, se você estiver incapaz - do seu bloco de anotações - para acessar sua AWS em "seu.ec2.ip.address", aposto que o problema é que - como você acha - routing: seu tráfego SSH direcionado para "your.ec2.ip.address" é NOT deixando seu netbook dentro da VPN, mas, ao invés disso, está saindo pelo caminho comum, VPN-externo ( aka: é enviado para o seu gateway local: 192.168.0.1).

Para diagnosticar este problema, uma verificação muito fácil pode ser feita com:

  • Linux: o comando tracepath (es .: "tracepath -n your.ec2.ip.address")
  • windows: o comando "tracert" (es .: "tracert -d your.ec2.ip.address")

Na saída, você pode verificar se o segundo passo do relatório PPTP atende ou não.

Se o seu tráfego estiver percorrendo o caminho errado, a solução fácil para encaminhá-lo para a VPN é:

  • Linux: "route add -host your.ec2.ip.address gw o.remote.pptp.address"
  • Windows: "rota adicione a máscara your.ec2.ip.address 255.255.255.255 the.remote.pptp.address"

Após configurar a rota acima, você pode verificar novamente o roteamento com tracert / tracepath

Uma vez que o roteamento está configurado corretamente, há uma pequena probabilidade de que problemas possam surgir em seu escritório: se o seu servidor PPTP estiver NÃO fazendo encaminhamento de IP e NAT-traduções, há uma grande probabilidade de você experimentará "filtragem", em caso de falta de encaminhamento de ip ou "roteamento assimétrico" (no caso de falta de NAT) entre seu notebook e seu endereço.ec2.ip.ad:

  • trafega de você para a amazon, viaja pela VPN até seu escritório e, a partir de então, para a Amazon;
  • retorna o tráfego da Amazon para você, é roteado ao longo do caminho comum da Internet e ... as chances são altas de cair em algum lugar.

Novamente: o tracepath / tracert pode ajudá-lo a verificar o problema.

Nas caixas linux, outro amigo muito útil é o "tcpdump". Alguns comandos tcpdump úteis são:

  • "tcpdump -n -i interface icmp" para verificar a solicitação / resposta PING de entrada / saída;
  • "tcpdump -n -i host an.ip.add.ress " para verificar o tráfego que chega / enviado para an.ip.add.ress;
por 22.12.2014 / 17:50

Tags