O que estou tentando fazer é ativar um Raspberry , fisicamente colocado no site de um cliente, que tenha acesso à Internet por meio de IP dinâmico , para receber comandos SSH do estado selvagem sem ter que manipular o roteador e o firewall do cliente . Nenhuma conexão de entrada permitida nessa rede, além disso, o endereço de Internet do site do cliente é dinâmico.
Editar : para conhecer a solução para este problema, consulte as respostas de Kevin_Kinsey e Florin Godard , ou vá até o final da minha pergunta para saber como eu consegui fazê-lo funcionar na porta 22 padrão do SSH.
Eu já tentei estudar e entender o que é proposto em ssh para private-ip no Unix Stack Exchange , mas eu realmente não entendi o ponto.
Eu quero conectar-me do meu laptop ao servidor VPS do Cliente e fazer com que o servidor VPS se conecte ao Raspberry SSH. Então:
( firewall access allow in+out )
| => VPS Server \ ( firewall access allow out only )
| | => Raspberry
MY PC /
Aqui está um cenário de caso com configurações de endereços IP, portas e nomes IP:
MY PC
name: [email protected]
Client VPS Server
name: remote.null.tld
IP Address: 98.76.54.32
SSH Port: 9876
Raspberry
model: Zero W
name: [email protected]
IP Address: dynamic IP ( based on Internet Provider )
SSH Port: 6789
Raspberry's iptables: empty
Router's Firewall Restrictions: allow only out
Internet stability: very low
O IP externo do Raspberry é aquele atribuído pelo provedor de Internet e pode variar dependendo das reinicializações do roteador. Não pode determinar absolutamente.
O acesso à Internet na rede do cliente é muito instável . Link de rádio ou algo parecido. De qualquer forma, a conexão com a Internet sofre de muita largura de banda de dança.
Além disso, o roteador do cliente não pode ser manipulado não por preguiça, mas por causa das restrições impostas pela depuração de TI do cliente.
Eu tenho acesso SSH ao VPS do cliente e consigo instalar qualquer software nele.
Editar: solução para o problema
Na minha configuração, as portas não eram padrão. Então, a solução foi esta:
Na framboesa:
# login to [email protected] is done via private/public key with no passwords
ssh -p 9876 -f -N -T -R 55555:localhost:6789 [email protected]
No crontab da framboesa:
# A re-connect is performed at every 10th minute of every hour to prevent accidental tunnel breakdowns.
10 * * * * ps -ef | grep 'ssh -p 9876 -f -N -T -R' | grep -v grep | awk '{print $2}' | xargs -r kill -9 && sleep 30s && ssh -p 9876 -f -N -T -R 55555:localhost:6789 [email protected] >/dev/null 2>&1
Na ponte VPS remote.null.tld
ssh -p 55555 raspberry_username@localhost
Ou, uma solução mais elegante através da modificação da configuração ssh do VPS:
Host tunnelToRemoteRaspberry
Hostname localhost
User raspberry_username
Port 55555
Isso é possível. Use "encaminhamento de porta reversa". Você provavelmente precisará de um cronjob configurado para verificar se está conectado. Se não, corra algo assim:
ssh -f -N -T -R 2210: localhost: 22 [email protected]
"Example.com" é algum servidor fora do FW ao qual você tem acesso. Você está encaminhando a porta 22 no RPi para a porta 2210 em example.com. Você pode então usar o SSH no example.com e fazer:
ssh RaspberryUser @ localhost -p 2210
E você estará conectado à caixa RPi.
Estou assumindo que os nomes de usuário remote no VPS e pi no framboesa.
No framboesa, você corre
ssh -R PORT:localhost:22 remote@vps
No VPS, você se conecta ao Raspberry com
ssh -p PORT pi@localhost
Substitua a PORTA pela porta que você escolheu na primeira etapa.
No passo 2, você cria um túnel reverso a partir da porta no VPS para a porta 22 no Raspberry, que é onde o servidor SSH do Raspberry escuta. Na etapa 3, você se conecta à PORTA no VPS e é transferido para a porta 22 no Raspberry.
Você pode então configurar uma conexão dentro do VPS '~ / .ssh / config como:
Host raspberryTunnel
Hostname localhost
User pi
Port PORT
Se isso funcionar de forma confiável, você poderá substituir a única conexão SSH no Raspberry pelo autossh, que recriará automaticamente a conexão quando ela for desativada.
autossh -R PORT:localhost:22 remote@vps
O que você está tentando fazer exatamente como você pergunta é impossível:
No Inbound connections allowed on that network
No entanto, você pode facilmente:
ssh do seu laptop para o servidor VPS e do servidor VPS ssh novamente para o Pi Essencialmente, você pode alcançar sua meta apenas com conexões de manutenção do dispositivo para um servidor mantido por você.
O que exatamente essas conexões consistem pode ser diferente:
Protocolos utilizáveis
Dependendo do que o cliente permite dentro de sua rede, você pode até mesmo implementar vários desses métodos para escolher.
Cada método tem seus prós e contras.
SSH:
VPN:
HTTPS:
UUCP:
Se o firewall Pi não permitir conexões de entrada, não será possível estabelecer uma conexão. Sua única maneira é abrir um buraco através de um firewall usando conexões estabelecidas.
Eu gostaria de verificar ZeroTier : ele permite que você configure uma rede virtual com as regras desejadas, por exemplo, que qualquer nó possa acessar diretamente conectar-se a qualquer outro nó. Eles lidam com todos os tipos de problemas de conectividade, incluindo a retransmissão de tráfego através de seus servidores, se necessário.