Как настроить ssh туннель для smb?

Question

[Serbli]

Добрый день!
Имеется:
1) арендованный сервер на windows core (без графического интерфейса)
2) провайдер с блокировкой портов 135-139, 445 (сменить нельзя)
3) smb шара на данном сервере (работает по сети У ДРУГИХ ПРОВАЙДЕРОВ. Нужен именно этот протокол)
4) ssh доступ на сервер
5) RDP доступ на сервер
6) клиенты на windows

Необходимо:
Организовать доступ на smb шару через провайдера с блокировкой портов без сторонних ресурсов.
На сколько я понимаю: необходимо сделать туннель для подключения, в принципе для работы должно быть достаточно 445 порта.
Что было испробовано: https://habr.com/ru/post/528414/ и т.п. инструкции (в принципе все они копипаст с одной и той же англоязычной)
На данный момент подключится не удается.
VPN работает, но в данной ситуации как решение не рассматривается и ресурсов на сервере для него нет.
Побочная проблема: абсолютно не понимаю работу ssh. Примеры по подробнее, пожалуйста!
На сколько понимаю нужно что-то типа: ssh -L 445:127.0.0.1:445 user@remoteserver но к сожалению мне это не помогает. Или есть варианты проще?

Comments

[Valentin Barbolin]

На каком ПК ты выполняешь эту команду?
ssh -L 445:127.0.0.1:445 user@remoteserver

В результате выполнения этой команды порт 445 на удаленно сервере должен пробросить на 445 порт на локальном сервере (сервер на котором выполняется команда). Но так же необходимо что 445 порт был свободен на этом сервере. Если локальный сервер это тоже windows, то логично что этот порт уже занят локальной службой SMB. Клиенты виндов должны будут обращаться на локальный сервер на 445 порт.

Но это все жесткое извращение, которое больше подходит для прокачки скила чем для рабочей схемы.

Необходимо юзать VPN. Т.к. конечная желаемая реализация тобой слабо описана, то и посоветовать толко нечего.

[Serbli]

конечный желаемый результат: совместная работа над файлами офис на смонтированном "локальном" диске. какие еще подробности нужны? доп. по устанавливать на клиентские компы нельзя.

[res2001]

Serbli,

Но так же необходимо чтоб 445 порт был свободен на этом сервере.

Ключевая фраза. Когда на клиенте и сервере работает SMB, то этот порт занят виндой ВСЕГДА. И не только этот, но и 135,137,138,139 и их UDP братья. Следовательно SSH не сможет открыть эти порты для проброса!
Так что забудьте. Вам нужен полноценный ВПН, который не SSH.

Кстати, для SMB используются не только TCP порты, но и такие же UDP порты, а их SSH пробросить не сможет в любом случае.

Answer 1

[Vindicar]

В ssh есть три варианта проброски портов.
-L lport:remote.host:rport задаёт проброску клиентского порта, т.е.
1. клиент SSH слушает порт lport на своей машине. По умолчанию на всех сетевых интерфейсах, но можно указать желаемый адрес, который будет слушаться, так: bind.address:lport:remote.host:rport
2. когда к этому порту кто-то коннектится, клиент сообщает серверу
3. сервер коннектится на remote.host:rport
4. В дальнейшем данные пробрасываются через этот туннель.

-R rport:local.host:lport работает наоборот
1. сервер SSH слушает порт rport на своей стороне. По умолчанию на всех сетевых интерфейсах, но можно указать желаемый адрес, который будет слушаться, так: bind.address:rport:local.host:lport
2. когда к этому порту кто-то коннектится, сервер уведомляет клиента
3. клиент коннектится на local.host:lport
4. В дальнейшем данные пробрасываются через этот туннель

И последний, самый практичный, но самый трудно контролируемый.
-D lport или -D bind.address:lport
1. клиент слушает порт lport на своей стороне
2. когда к этому порту кто-то коннектится, клиент пробрасывает соединение на ssh сервер
3. ssh сервер отвечает по протоколу прокси SOCKS4/SOCKS5, и выполняет дальнейшие соединения в зависимости от желаний подключившегося приложения.
Т.е. чтобы это работало, нужно чтобы приложение умело работать с SOCKS-прокси.

Не помогает - значит нужно отлаживать. Я не вполне понял, где расположена smb-шара - на том же хосте, что и ssh сервер? Или на другом? Также стоит убедиться, что соединение с ssh сервером устанавливается нормально.
Наконец, стоит выделить под такие туннели отдельного пользователя на сервере, и ограничить его в правах на всё, кроме использования туннеля.

Comments

[Serbli]

Спасибо, такую теорию я изучил. Но как через это реализовать smb подключение windows-windows без стороннего ПО на стороне клиентов?

[Vindicar]

Serbli, воот! windows-windows? Т.е. ssh сервер не держит шару сам?
Тогда неудивительно, что у тебя не сработало, так как ты пытался пробросить туннель до порта 445 на ssh сервере.
Ответь, хост-владелец сетевой шары доступен серверу напрямую, или он тоже должен быть туннелирован до сервера через ssh?

[Serbli]

Кажется я немного не точно написал. Windows клиенты подключаются к Windows серверу. Шара открыта для доступа в интернет. Именно с этим провайдером (корпоративный) не работают подключения. Сервер мой и могу делать с ним все что хочу. А клиенты нет, и им необходим очень простой протокол для работы. Даже включение перед работой с диском vpn будет сложновато для них.

[Vindicar]

Serbli, тогда твоя команда должна была сработать. Я подозреваю, что порт 445 на клиентах уже занят соответствующей службой, и потому SSH-клиент не смог начать его слушать. На линуксах также есть ограничение - непривилигерованные процессы не могут слушать порты с номерами <1024. Верно ли это для Windows - неясно, четкого ответа я не могу найти. Может быть одной из причин проблемы.

Однако, есть варианты. Вроде начиная с windows 7 в винде есть встроенный VPN клиент. Если сумеешь подобрать и настроить сервер, который умеет работать по соответствующим протоколам - то можно будет поднять VPN без установки стороннего ПО. С родными микрософстовскими VPN-серверами я дела не имел, а из сторонних серверов вроде SoftEther умеет - он почти всеядный в этом плане, т.е. умеет цеплять клиентов по разным протоколам, в том числе этим.

[Сергей Кузнецов]

Serbli, обычно после первого инцидента с шифровальщиком, все неудобства и сложности забываются.

[Serbli]

Vindicar, с VPN не будут работать другие необходимые подключения, привязанные к ip и т.д. А если netsh interface portproxy поменять порты? Тут тоже для меня темный лес. Т.к. ip всегда разные. Белый только у сервера. На клиенте более менее понятно что делать, а на сервере как это перенаправить на 445 порт?

[CityCat4]

Сергей Кузнецов, Обычно они забываются гораздо раньше - после первой встречи с конторской СБ. Если же это такая странная контора, что ограничения поставила, а конролировать их - не контролирует - так ей и надо.
Vindicar, в винде именно клиент. Причем при надлежащей настройке он работает как из пушки - вот прямо сейчас у меня два человека сидят в корпоративной сети через него.
Serbli, на файловую шару ресурсы есть, а на opvn ресурсов нет? Ну не смешите мои тапки. Тем более, что для файловой шары вообще не было необходимости подымать винду - это прекрасно сделает самба

[Vindicar]

CityCat4, если я верно понял, то проблема с установкой ПО на клиентские машины, а не на сервер. Почему и присоветовал встроенный VPN клиент. Тогда можно будет попробовать шару настроить, чтобы слушала только внутри VPN.

[Vindicar]

Serbli,

с VPN не будут работать другие необходимые подключения, привязанные к ip и т.д.

С чего бы вдруг? VPN зачастую прописывает себя как default gateway (т.е. требует, чтобы весь трафик проходил через него), но это не обязательно. У меня сейчас OpenVPN так настроен - подключение есть, есть сервис на другой стороне, который я использую, но остальной трафик идёт как обычно, через домашенго провайдера.

[CityCat4]

Vindicar, Скорее всего да. Я даже вангую, что чел хочет что-то раздавать со своего сервака внутри корпоративной сети :) Как правило проходит после небольшого но квалифицированного визита СБ к челу на рабочее место.
Да, винда постоянно норовит втыкнуть vpn шлюзом, непонятно зачем, приходится постоянно отключать.

Answer 2

[Drno]

Samba ненадо открывать в интернет... это плохо. Как и винду в целом...
SSH обычно для линукс используется...
Воспользуйтесь VPN, там что нет ресурсов для клиента openVPN например?

Comments

[Serbli]

Я в курсе уязвимостей Smb. На клиентские компьютеры нельзя ставить стороннее ПО.

[Drno]

Serbli, клиентские ПК что - все в разных местах?
почему бы тогда не использовать другой протокол, вебдав например...

ну или снимайте тогда блокировку портов... как тут без ВПН то