Обратный SSH, подключение извне. Как?

Question

[Константин Долинин]

Есть два компьютера, подключенные к Сети через LTE-модемы (т.е. находятся за операторским NATом), за первым сижу я, второй находится дома. Есть виртуалка OpenVZ с белым IP, принадлежащем некому example.org. На домашнем компьютере поднят обратный SSH-тоннель командой от рута:

/usr/bin/ssh -f -N -R 2124:192.168.0.1:22 kostett@example.org

Когда я со своего компьютера захожу по ssh kostett@example.org и затем из его интерфейса захожу по ssh root@localhost -p 2124, то оказываюсь у себя на домашнем компьютере. Но когда я пытаюсь зайти сразу туда по ssh root@example.org -p 2124, то получаю

ssh: connect to host example.org port 2124: Connection refused

Где я ошибся в настройке?
P.S. О reverse SSH узнал вчера.

Answer 1

[Константин Долинин]

А. Понял, похоже. OpenVZ не подразумевает рабочего NAT, поэтому то, что на локалхосте необязательно глядит во внешку. Пора переезжать на KVM.
А если переезжать лень, то:

ssh -A kostett@example.org 'ssh root@localhost -p 2124'

В общем, я как обычно забыл подумать. -A — проброс авторизации.

Comments

[Siegurd1]

Прошу прощения за некропостинг но как эту команду скормить из Windows?

Answer 2

[PLed76]

-R 2124:192.168.0.1:22
Тут порт 2124 выставлен на внутренний интерфейс только. Надо с внешним адресом писать. Например, если внешний адрес 8.8.8.8, то так:

-R 8.8.8.8:2124:192.168.0.1:22

Answer 3

[Сергей]

Ну так пишет же, "Connection refused" - а это значит, либо порт закрыт, либо маршрута нет
Вы же вначале подключаетесь к одному хосту по 22-му порту, а затем уже с него идете на второй хост по порту 2124

Comments

[Константин Долинин]

Но ведь второй хост принимает входящие SSH-соединения на 22 порт.
Я так представляю себе, что это этакая труба, которая выходит из 22 порта домашнего компа и торчит из 2124 example.org. Ведь находясь на последнем при обращении к этому порту на локалхосте я попадаю куда надо, а вот когда к этому хосту обращаюсь извне — почему-то нет.

[Константин Долинин]

Точнее, выходит из 22 порта домашнего, входит в 22 example.org, а затем выходит из example.org через 2124.

[throughtheether]

"Connection refused" - а это значит, либо порт закрыт, либо маршрута нет

Если не ошибаюсь, такое сообщение означает, что сервер прислал RST-сегмент.

[Сергей]

@throughtheether Ну я на понятном языке написал вроде... Если вас мой вариант не устраивает, хорошо, пусть будет по вашему. Суть от этого не меняется

[throughtheether]

@bk0011m Я к тому, что если бы не было маршрута, либо SYN-сегмент от клиента не дошел бы до сервера, либо RST-сегмент не дошел бы до клиента.