Как правильно настроить SSH и RDP через reverse ssh через третий хост?

Question

[astar7922]

Добрый день!
Есть TARGET_COMP с usb lte modem (OS - fedora 39)
Есть VPS с белым адресом где то там (CentOS 7 но не суть важно)
На этом VPS есть wireguard, использую в том числе чтобы в дороге подключиться к дому (доступ разрешен только из сети 10.0.0.0/24) или чтобы помогать отцу с его компом, тоже домохозяйства подключено к VPN)

Прочитал, что можно через reverse ssh организовать на моем VPS сервис , при обращении на порт которого откуда либо из VPN я буду попадать на TARGET_COMP на нужный сервис.

пробую:

ssh -v -N -R 10.0.0.1:2222:127.0.0.1:22  user@VPS
sh -v -N -R 10.0.0.1:3389:127.0.0.1:3389  user@VPS

но ничего не работает 3389 (RDP) сразу отлуп дает, подключение на 2222 порт (SSH) к чему то соединяюсь :-) пишу туда что хочу ответа нет

На VPS на firewall 2 зоны public (там только ssh, wireguard открыты) и home - это зона на wg0 интерфейсе, она ограничивает кому куда можно внутри моего vpn

разрешение для 2222, 3389 портов для зоны home открыл но с другой стороны эти порты поднимаются через ssh который приходит из public зоны

Короче, где я делаю ошибку и как сделать правильно?
И можно ли? хотя тут я почти уверен что можно.

Comments

[SunTechnik]

Текущие настройки ssh говорят, что на машине vps, после запуска ssh, при обращении к адресу 127.0.0.1 порт 3389, запрос уйдёт на адрес 10.0.0.1 порт 3389.

А что реально хотите получить. В терминах конкретных адресов и портов?

[Alexey Dmitriev]

Что мешает подключить TARGET_COMP через Wireguard и использовать обычную маршрутизацию и локальную подсеть wireguard для коммуникации?

[astar7922]

Alexey Dmitriev,

Что мешает подключить TARGET_COMP через Wireguard и использовать обычную маршрутизацию и локальную подсеть wireguard для коммуникации?

правительство с роскомами мешает

Кстати, если у кого то сохранилась инфа, здесь на хабре была серия серия статей на основе опыта китая :-) по анстройке сервисов которые смотрятся как https, если кто в личку поделится буду благодарен!!!
я все тянул, потом потом займусь, там еще ssl сертификат нужен, все ленился сделать себе

Короче если есть инфа - поделитесь :-)

[Alexey Dmitriev]

astar7922, гуглить "vless wss nginx"

[astar7922]

SunTechnik, вот вашим языком становится понятнее :-)

в примере было 0.0.0.0:3389:127.0.0.1:3389
т.е. все интерфейсы
хочу получить следующее: с ноутбука с включенным VPN подключаясь RDP клиентом на интерфейс wg0 на VPS с адресом и портом 10.0.0.1:3389 попадать на комп TARGET_COMP на порт 3389 на котором запущено удаленный рабочий стол.
ну и так же с 10.0.0.1:2222 на 22 порт TARGET_COMP
ну и чтобы попасть туду можно было только из сети 10.0.0.0/24, чтобы из "живого" интернета попасть было нельзя

ну а потом в идеале сделать службу, чтобы отслеживала - если коннект оборвался, соединяемся по новой, или которая запускала бы соединение в первые 15 минут каждого часа или т.п.

[SunTechnik]

astar7922, какой адрес targetcomp?
И буковка R и L перед цифрами имеет значение...

[astar7922]

SunTechnik, это ZTE M78U с симкой тинькофф - адрес динамический. вряд ли провайдеры сотовой связи дают статические адреса
для того и reverse ssh

[SunTechnik]

astar7922,
Если Вам стало все понятно, проблем нет.

Если правильная строка ещё не родилась,
Напишите с какого компа запускается ssh,
С какого компа надо попасть по rdp на какой комп.

[astar7922]

SunTechnik, проверить пока не удалось, пока ездил 1.5 часа с работы сессии установленные оборвались (буду хотя бы крон настраивать для теста) но вот что не могу понять:

здесь на хабре читаю -

С другой стороны, при организации обратного туннеля мы настраиваем прослушивающий порт на удалённом сервере, который будет подключаться обратно к локальному порту на нашем localhost (или другой системе):

localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver

вот что это за IP что я выделил? на локальной машине откуда запускаем ssh -R? но для нее вроде же 127.0.0.1?

запускаю ssh с fedora39 адрес интерфейса "usb свистка" 192.168.0.сколько то (DHCP)
подключаюсь на "белый IP" на VPS (CentOS-7), у это же VPS есть интерфейс wg0 с IP 10.0.0.1/24

подключиться к fedora39 через VPS пробую и с MacOS и с Винды10 и с Iphone с систем которые тоже имеют wg0 интерфейс в сети 10.0.0.0/24

[SunTechnik]

В выделенном фрагменте, на мой взгляд, опечатка. В таком виде коменда просто не пройдет.

Есть дополнительное ограничение: по умолчанию, remote forwarding слушает порт только на интерфейсе 127.0.0.1, даже если Вы указали 0.0.0.0. Что бы изменить это поведение, в sshd_config надо разрешить GatewayPorts .

На машине VPS, скорее всего, порт 22 уже слушается по всем интерфейсам, поэтому Вы не сможете сделать redirect для этого порта.
Более того, что бы запустить серси на порту < 1024 надо быть root, вряд ли Вы входите по ssh сразу как root.

При первых запусках можно увеличить детальность сообщений, указав -vvv. В логах смотреть ключевые слова: listen, connect.

Поэтому предлагаю попробовать такую строку:
ssh -R 10.0.0.1:3389:127.0.0.1:3389 -R 10.0.0.1:2022:127.0.0.1:22 user@VPS

Предварительно, на VPS разрешить GatewayPorts.
После входа, на VPS, проверить, слушаются ли порты 3389, 2022 и на каких интерфейсах.

После этого, обращаясь на 10.0.0.1:3389 дожны попасть на RDP на машине fedora39 (если там сервис запущен), а
при обращении на 10.0.0.1:2022 - на ssh fedora39.

[astar7922]

SunTechnik, все таки нужна ваша помощь.
вот лог старта ssh:

OpenSSH_9.3p1, OpenSSL 3.1.1 30 May 2023
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Reading configuration data /etc/ssh/ssh_config.d/50-redhat.conf
debug1: Reading configuration data /etc/crypto-policies/back-ends/openssh.config
debug1: configuration requests final Match pass
debug1: re-parsing configuration
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Reading configuration data /etc/ssh/ssh_config.d/50-redhat.conf
debug1: Reading configuration data /etc/crypto-policies/back-ends/openssh.config
debug1: Connecting to astarsrv [94.177.229.32] port 22.
debug1: Connection established.
debug1: identity file /home/astar/.ssh/id_rsa type -1
debug1: identity file /home/astar/.ssh/id_rsa-cert type -1
debug1: identity file /home/astar/.ssh/id_ecdsa type -1
debug1: identity file /home/astar/.ssh/id_ecdsa-cert type -1
debug1: identity file /home/astar/.ssh/id_ecdsa_sk type -1
debug1: identity file /home/astar/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file /home/astar/.ssh/id_ed25519 type -1
debug1: identity file /home/astar/.ssh/id_ed25519-cert type -1
debug1: identity file /home/astar/.ssh/id_ed25519_sk type -1
debug1: identity file /home/astar/.ssh/id_ed25519_sk-cert type -1
debug1: identity file /home/astar/.ssh/id_xmss type -1
debug1: identity file /home/astar/.ssh/id_xmss-cert type -1
debug1: identity file /home/astar/.ssh/id_dsa type -1
debug1: identity file /home/astar/.ssh/id_dsa-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_9.3
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.4
debug1: compat_banner: match: OpenSSH_7.4 pat OpenSSH_7.4* compat 0x04000006
debug1: Authenticating to astarsrv:22 as 'astar'
debug1: load_hostkeys: fopen /home/astar/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: ssh-ed25519
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: curve25519-sha256 need=32 dh_need=32
debug1: kex: curve25519-sha256 need=32 dh_need=32
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: SSH2_MSG_KEX_ECDH_REPLY received
debug1: Server host key: ssh-ed25519 SHA256:bla_bla_bla_bla
debug1: load_hostkeys: fopen /home/astar/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug1: Host 'astarsrv' is known and matches the ED25519 host key.
debug1: Found key in /home/astar/.ssh/known_hosts:1
debug1: rekey out after 4294967296 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: rekey in after 4294967296 blocks
debug1: get_agent_identities: bound agent to hostkey
debug1: get_agent_identities: agent returned 1 keys
debug1: Will attempt key: astar@adminnote ED25519 SHA256:bla_bla_bla_bla_bla
debug1: Will attempt key: /home/astar/.ssh/id_rsa 
debug1: Will attempt key: /home/astar/.ssh/id_ecdsa 
debug1: Will attempt key: /home/astar/.ssh/id_ecdsa_sk 
debug1: Will attempt key: /home/astar/.ssh/id_ed25519 
debug1: Will attempt key: /home/astar/.ssh/id_ed25519_sk 
debug1: Will attempt key: /home/astar/.ssh/id_xmss 
debug1: Will attempt key: /home/astar/.ssh/id_dsa 
debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<rsa-sha2-256,rsa-sha2-512>
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: gssapi-with-mic
debug1: No credentials were supplied, or the credentials were unavailable or inaccessible
No Kerberos credentials available (default cache: KCM:)


debug1: No credentials were supplied, or the credentials were unavailable or inaccessible
No Kerberos credentials available (default cache: KCM:)


debug1: Next authentication method: publickey
debug1: Offering public key: astar@adminnote ED25519 SHA256:bla_bla_bla agent
debug1: Server accepts key: astar@adminnote ED25519 SHA256:bla_bla_bla agent
Authenticated to astarsrv ([my_vps_white_ip]:22) using "publickey".
debug1: pkcs11_del_provider: called, provider_id = (null)
debug1: Remote connections from 10.0.0.1:59000 forwarded to local address 127.0.0.1:5900
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: filesystem
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: client_input_hostkeys: searching /home/astar/.ssh/known_hosts for astarsrv / (none)
debug1: client_input_hostkeys: searching /home/astar/.ssh/known_hosts2 for astarsrv / (none)
debug1: client_input_hostkeys: hostkeys file /home/astar/.ssh/known_hosts2 does not exist
debug1: client_input_hostkeys: host key found matching a different name/address, skipping UserKnownHostsFile update
debug1: pledge: network
debug1: Remote: Forwarding listen address "10.0.0.1" overridden by server GatewayPorts
debug1: remote forward success for: listen 10.0.0.1:59000, connect 127.0.0.1:5900

что то с ключами, причем тутknown_hosts2 does not exist

порты 59000 и 33890 на моем vps в firewall разрешил
на fedora39 вообще по умолчанию оставил активной зоной FedoraWorkstation, у которой

edoraWorkstation (default, active)
  target: default
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: enp0s20f0u3 enp1s0
  sources: 
  services: dhcpv6-client mdns samba-client ssh
  ports: 1025-65535/udp 1025-65535/tcp
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

[SunTechnik]

astar7922,
В результате по ключам зашли или все же вводили пароль?

Судя по логу, вход был по ключам.

Клиент ssh проверяет файлы где может хранится fingerprint сервера, к которому подключаетесь. Вариантов может быть несколько. Файл known_hosts2 один из них. Не обязателен.

По firewall.
В зоне FedoraWorkstation не вижу интерфейса wg0.

Могу предположить, что он в другой зоне со своим набором правил.

С чем боритесь?

[astar7922]

SunTechnik, да, вхожу по ключам, паролей не ввожу
на fedora39 нет интерфейса wg0 мобильные операторы режут его
wg0 есть как второй интерфейс на VPS и на моем домашнем OpenWRT (в домашней сети wifi на любом устройстве включаю vpn и могу на VPS зайти по 10.0.0.1 а не по белому_ip , хотя и по нему заходит)

я уже изменил строку запуска с
sh -v -N -R 10.0.0.1:59000:127.0.0.1:5900
на
sh -v -N -R 0.0.0.0:59000:127.0.0.1:5900

и с ноута через телефон пробую подключиться к vnc://white_ip:59000 (порт 59000 на VPS и в PUBLIC зону добавил
при этом запустил journalctl -f на fedora39 и на VPC - и не вижу каких либо записей вообще а тем более ошибок

[astar7922]

SunTechnik, на VPS присутсвует

tcp        0      0 0.0.0.0:59000           0.0.0.0:*               LISTEN      28917/sshd: astar

если посмотреть родительский процесс:

ps -eF | grep 28913
root     28913 37222  0 38182  5468   0 10:22 ?        00:00:00 <b>sshd: astar [priv]</b>
astar    28917 28913  0 38182  2300   0 10:22 ?        00:00:00 sshd: astar

не знаю куда еще смотреть

[SunTechnik]

astar7922,

Почему делаете попытки подключения по белым адресам, а не по адресам vpn?

Зачем на fedora открывать порт 59000? Он
слушается на VPS. На fedora обмен будет по сети 127.0.0.1, а там и так все открыто...

На vps.
Запускаете netstat -na | grep 59000 (ss -na)
Порт должен быть в состоянии Listen. Смотрите на каких адресах слушается.
Делаете попытку подключения.

В выводе netstat должна появится строка сессии.
Если не появилась - смотрите правила firewall на vps.

В debug ssh должна пройти строчка о попытке подключения.

Если появилась строка в netstat - проверяете на fedora, что так же появилась сессия tcp.
На fedora VNC запущен?

[astar7922]

SunTechnik, извините, или я вас запутал или вы не поняли

вот это вывод на VPS:

netstat -lntup | grep LISTEN
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      1197/unbound        
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      37222/sshd          
<b>tcp        0      0 0.0.0.0:59000           0.0.0.0:*               LISTEN      35973/sshd: astar</b>

вот это вот на fedora39:

netstat -lntup | grep LISTEN
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1071/cupsd          
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1077/sshd: /usr/sbi 
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      849/systemd-resolve 
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      849/systemd-resolve 
tcp        0      0 127.0.0.54:53           0.0.0.0:*               LISTEN      849/systemd-resolve 
tcp6       0      0 :::22                   :::*                    LISTEN      1077/sshd: /usr/sbi 
<b>tcp6       0      0 :::5900                 :::*                    LISTEN      2022/gnome-remote-d </b>
tcp6       0      0 :::5355                 :::*                    LISTEN      849/systemd-resolve 
tcp6       0      0 ::1:631                 :::*                    LISTEN      1071/cupsd          
<b>tcp6       0      0 :::3389                 :::*                    LISTEN      2022/gnome-remote-d </b>

да, почему то только на IPv6 но я почитал вроде нормально, типа слушает на обоих протоколах

подключаюсь по белому IP сейчас уже что бы все поробовать

и потому что на работе не могу поднять vpn поэтому подключаюсь по белому
59000 порт на VPS добавил и в зону которая привязана к wg0 и в публичную, которая привязана к белому IP

[SunTechnik]

astar7922,
Вроде я описал шаги по поиску проблемы.
Вы сделали первый шаг.

За этой простыней и кучей изменений уже не понятно, что чиним..

[astar7922]

SunTechnik, спасибо!
еще не сделал, но сделал второй шаг :-)

может я что то не до крутил, но когда пытался пордключиться к 59000 и 33890 на VPC не появлялся коннекшен, сколько я не смотрел

поставил на fedora39 TigerVNC, открыл :1 дисплей, остальное отключил, я что то еще с ним не докрутил, стартует сразу и dead, я решу эту проблему
изменил порты на 0.0.0.0:59010:127.0.0.1:5901

ЗАТО! -
на VPS в момент моего подключения появляется соединение:

netstat -an | grep 59010
tcp        0      0 0.0.0.0:59010           0.0.0.0:*               LISTEN     
tcp        0      0 ku.ku.ku.ku:59010     178.178.94.129:63363    SYN_RECV   
tcp6       0      0 :::59010                :::*                    LISTEN

а на консоле fedora39 в окне reverse ssh с включенным DEBUG3 вот такие строки явно пришло подключение:

debug1: connect_next: start for host 127.0.0.1 ([127.0.0.1]:5901)
debug1: connect_next: connect host 127.0.0.1 ([127.0.0.1]:5901) in progress, fd=4
debug1: channel 0: new forwarded-tcpip [178.178.94.129] (inactive timeout: 0)
debug1: confirm forwarded-tcpip
debug1: channel 0: connection failed: Connection refused
connect_to 127.0.0.1 port 5901: failed.
debug1: channel 0: free: 178.178.94.129, nchannels 1
debug1: client_input_channel_open: ctype forwarded-tcpip rchan 2 win 2097152 max 32768
debug1: client_request_forwarded_tcpip: listen 0.0.0.0 port 59010, originator 178.178.94.129 port 31570

[astar7922]

SunTechnik, самое главное!
до меня дошло что usb свисток ZTE M78U это по сути роутер, который на LAN организовывает ethernet сеть 192.168.0.0/24 и WAN с динамическим IP, но внутрь то он не пускакает!
сделал проброс порта 5901 на fedora39

это до меня дошло раньше, делал проброс и 5900 и 3389 но не шло, а с TigerVNC вроде как что то зашевелилось