Niedawno odkryłem, że kiedy moja stacja robocza łączy się za pośrednictwem połączenia VPN, jej serwer SSH nie może być połączony ze zdalnej strony. Jestem pewien, że jest to problem z routingiem, ponieważ klient VPN zmienia domyślną bramę na swojego partnera (serwer VPN) połączenia ppp.
Czy istnieje rozwiązanie, dzięki któremu zarówno serwer SSH, jak i klient VPN są zadowoleni?
Przed rozpoczęciem przygody za pośrednictwem konfiguracji sieci sprawdź, czy dany serwer ssh nasłuchuje na interfejsie VPN. Może jest związany z określonym interfejsem na twoim serwerze.
Przykładowe
netstat -a
dane wyjściowe:Serwer ssh w tym przykładzie nasłuchuje na wszystkich interfejsach (oznaczonych gwiazdką w
*:ssh
. Jeśli zamiast tego w systemie jest adres hosta, serwer ssh jest powiązany z określonymi interfejsami.Edytuj
/etc/ssh/sshd_config
i ustaw,ListenAddress 0.0.0.0
aby dostosować to, jeśli to konieczne.Jeśli sshd już słucha poprawnych interfejsów, możesz wejść do lochu routingu :-)
źródło
ListenAddress
ustawić? Adres IP serwera na interfejsie lokalnym? Adres IP routera? Coś innego?Mówisz o dzielonym tunelowaniu. Jeśli znasz już narzędzie wiersza polecenia ROUTE.EXE , możesz sprawdzić trasy umieszczone przez klienta VPN i je usunąć. Następnie ponownie dodasz jeden, aby umożliwić przepływ ruchu do Twojej firmowej sieci LAN przez bramę VPN.
W szczególności byś użył
... aby uzyskać listę wpisów routingu. Nie widząc danych wyjściowych, wygląda na to, że Twój klient VPN umieściłby domyślny (0.0.0.0) wpis z bramą będącą bramą równorzędną VPN. Możesz użyć
... na przykład, aby usunąć wszystkie wpisy wskazujące na sieć 10.xxx.
Następnie możesz użyć
... gdzie pierwszy adres (10.0.0.0 255.0.0.0) to sieć firmowa i maska, a drugi adres to brama zdalna.
Będziesz musiał uruchomić to za każdym razem, gdy się połączysz, więc możesz chcieć to zrobić.
Uwaga dodatkowa: alternatywą byłoby przekonanie firmy do skonfigurowania sieci VPN do korzystania z tunelowania dzielonego; argumentem przemawiającym za tym jest zmniejszenie przepustowości i (IANAL) zmniejszenie odpowiedzialności za niefirmowy ruch internetowy przepływający przez ich sieć.
źródło