Как открыть 22 порт для локального Gitlab Server через роутер?

Question

[Euxinus]

Здравствуйте.

Установил gitlab server на виртуалбокс, после успешной установки указал external ip=192.168.0.26:8086
На другом сервере который выступает балансировщиком в настройках nginx указал proxy forward на локальный айпи гитлаба.
Далее на хосте(ноутбук с которого работаю) сгенерил ssh ключ и вставил его в настройках гитлаба через его интрфейс.
После этого создал репозиторий и пытаюсь запушить туда код по ssh, но выходит такая ошибка:

PS C:\Users\byzantium\Desktop\Project> git remote -v
PS C:\Users\byzantium\Desktop\Project> git remote add origin git@domen.ru:User/Project.git
PS C:\Users\byzantium\Desktop\Project> git branch -M main

PS C:\Users\byzantium\Desktop\Project> git push -u origin main
kex_exchange_identification: Connection closed by remote host
Connection closed by "белый_айпи" port 22
fatal: Could not read from remote repository.

Пробовал указать в роутере 22 порт для сервера, который выступает балансировщиком на 2222 порту
В настройка nginxa дополнительно задал параметры для 2222 порта и порт-форвард на 192.168.0.26:22
Результат такой:
root@ubuntu:~# ssh -p 2222 git@domen.ru
ssh: connect to host domen.ru port 2222: Connection refused

Если если пушить по https то отрабатывает без ошибок, правда каждый раз просит ввести логин и пароль.

Answer 1

[VoidVolker]

1. Включить и настроить встроенный гитлабовский SSH сервер (чтобы отделить его от стандартного SSH сервера)
   
2. На вашем прокси сервере стандартный SSH перенести на любой другой порт
   
3. Использовать стандартный SSH тунель на прокси сервере для проброса SSH сервера гитлаба с его сервера на локальный стандартный SSH порт (чтобы порт не указывать при работе гита через SSH)
   

Comments

[Euxinus]

Включил гитлабовский ssh на порту 22, встроенный убунты отделил на 2226

На прокси сервере не совсем понял что нужно было сделать, прописал в nginx это. Я правильно вас понял?

server {
    listen 8080;
    server_name domen.ru;

    location / {
        proxy_pass http://192.168.0.26:22; #проксирую на гитлабовский ssh
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        proxy_buffering off;
        proxy_request_buffering off;
    }
}

[VoidVolker]

Нет, неправильно. nginx - это веб сервер, а не SSH сервер и к SSH тунелю он не имеет никакого отношения. В данном конфиге в проксируете HTTP протокол на порт SSH протокола. Читайте ман по SSH тунелям: https://habr.com/ru/companies/flant/articles/691388/
Для запуска и постоянной работы тунеля рекомендую использовать AutoSSH.

[Euxinus]

Включил и настроил гитлабовский ssh
На прокси сервере стандартный порт перенес на 2221
Установил AutoSSH на прокси сервере

Запускаю команду на прокси сервере:
autossh -M 0 -o "ServerAliveInterval 30" -o "ServerAliveCountMax 3" -N -R 2221:localhost:22 root@192.168.0.26
ввожу пароль и сразу зависает процесс авторизации VoidVolker,

[VoidVolker]

Зачем пароль? Настройте нормальную авторизацию по ключу. Не используйте учетную запись рут сервера, а создайте отдельного пользователя и под ним авторизуйтесь. Настройки тунеля укажите в конфиграции ssh: так удобнее - можно просто указать название тунеля. Для AutoSSH сделайте systemd конфиг для автостарта.
~/.ssh/config

Host tunnel-name
  HostName 1.2.3.4
  Port 1234
  IdentityFile                  ~/.ssh/id_ed25519
  LocalForward                  0.0.0.0:22 localhost:22
  ExitOnForwardFailure  yes
  ServerAliveInterval   5
  ServerAliveCountMax   3

etc/systemd/system/tunnel-name

[Unit]
Description=AutoSSH tunnels for ...
After=network-online.target
StartLimitIntervalSec=0

[Service]
Environment="AUTOSSH_GATETIME=0"
ExecStart=/usr/bin/autossh -M 0 -T -N tunnel-name
Restart=always
RestartSec=2
User=tunnel
WorkingDirectory=/home/tunnel

[Install]
WantedBy=multi-user.target

[Euxinus]

VoidVolker,

Создал учётную запись tunnel
Сгенерил ключ
Скопировал ключ на удаленный сервер

Создал файл:

sudo nano /etc/systemd/system/autossh-tunnel.service

[Unit]
Description=AutoSSH tunnels for gitlab
After=network-online.target
StartLimitIntervalSec=0

[Service]
Environment="AUTOSSH_GATETIME=0"
ExecStart=/usr/bin/autossh -M 0 -T -N gitlab-tunnel
Restart=always
RestartSec=2
User=tunnel
WorkingDirectory=/home/tunnel

[Install]
WantedBy=multi-user.target

Создал config у пользователя tunnel:

sudo mkdir -p /home/tunnel/.ssh
sudo chown tunnel:tunnel /home/tunnel/.ssh
sudo chmod 700 /home/tunnel/.ssh

sudo nano /home/tunnel/.ssh/config

Host gitlab-tunnel
  HostName 192.168.0.26
  User gitlab
  Port 22
  IdentityFile /home/tunnel/.ssh/id_ed25519
  LocalForward 0.0.0.0:22 localhost:22
  ExitOnForwardFailure yes
  ServerAliveInterval 5
  ServerAliveCountMax 3

sudo chown tunnel:tunnel /home/tunnel/.ssh/config
sudo chmod 600 /home/tunnel/.ssh/config

в sshd_config на каждом сервере:
AllowTcpForwarding yes
PubkeyAuthentication yes
GatewayPorts yes

Вывод команды:
sudo systemctl status autossh-tunnel.service

● autossh-tunnel.service - AutoSSH tunnel for gitlab
     Loaded: loaded (/etc/systemd/system/autossh-tunnel.service; enabled; vendor preset: enabled)
     Active: active (running) since Thu 2024-07-04 06:49:35 UTC; 11min ago
   Main PID: 63290 (autossh)
      Tasks: 1 (limit: 4556)
     Memory: 188.0K
        CPU: 181ms
     CGroup: /system.slice/autossh-tunnel.service
             └─63290 /usr/lib/autossh/autossh -M 0 -T -N gitlab-tunnel

Jul 04 06:56:25 k8s-master1.local autossh[68120]: bind [0.0.0.0]:22: Permission denied
Jul 04 06:56:25 k8s-master1.local autossh[68120]: channel_setup_fwd_listener_tcpip: cannot listen to port: 22
Jul 04 06:56:25 k8s-master1.local autossh[68120]: Could not request local forwarding.
Jul 04 06:56:25 k8s-master1.local autossh[63290]: ssh exited with error status 255; restarting ssh
Jul 04 06:59:07 k8s-master1.local autossh[63290]: starting ssh (count 15)
Jul 04 06:59:07 k8s-master1.local autossh[63290]: ssh child pid is 69935
Jul 04 06:59:07 k8s-master1.local autossh[69935]: bind [0.0.0.0]:22: Permission denied
Jul 04 06:59:07 k8s-master1.local autossh[69935]: channel_setup_fwd_listener_tcpip: cannot listen to port: 22
Jul 04 06:59:07 k8s-master1.local autossh[69935]: Could not request local forwarding.
Jul 04 06:59:07 k8s-master1.local autossh[63290]: ssh exited with error status 255; restarting ssh
~

Подключение вручную:
tunnel@k8s-master1:~$ ssh -i /home/tunnel/.ssh/id_ed25519 gitlab@192.168.0.26

Welcome to Ubuntu 22.04.4 LTS (GNU/Linux 5.15.0-113-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/pro

 System information as of Thu Jul  4 07:05:00 AM UTC 2024

  System load:  0.13               Processes:               252
  Usage of /:   32.3% of 33.20GB   Users logged in:         1
  Memory usage: 83%                IPv4 address for enp0s3: 192.168.0.26
  Swap usage:   1%

 * Strictly confined Kubernetes makes edge and IoT secure. Learn how MicroK8s
   just raised the bar for easy, resilient and secure K8s cluster deployment.

   https://ubuntu.com/engage/secure-kubernetes-at-the-edge

Expanded Security Maintenance for Applications is not enabled.

0 updates can be applied immediately.

Enable ESM Apps to receive additional future security updates.
See https://ubuntu.com/esm or run: sudo pro status


Last login: Thu Jul  4 06:31:36 2024 from 192.168.0.19
gitlab@gitlab-server:~$

[Euxinus]

Euxinus, в процессе появился такой вопрос, а как это исправит ситуацию с выгрузкой кода по ssh? Балансировщик нужен был, как я думал, для того чтобы открыть доступ в интернет, но это как оказалось так не работает

[Euxinus]

Гитлаб сервер настроен на локальный external url чтобы не открывать для него порт в роутере, чтобы не возникло конфликта с другим сервером для которого этот порт уже в роутере открыт. Роутер один и он не может балансировать между одинаковыми портами

такой способ работает:
git remote add origin git@192.168.0.26:Username/project.git

[VoidVolker]

bind [0.0.0.0]:22: Permission denied

О, а про ограничения на биндинг портов ниже 1000 я как-то и забыл. Тогда тут два варианта: снимать ограничение по порту или запускать туннель от рута.

Балансировщик нужен был, как я думал, для того чтобы открыть доступ в интернет, но это как оказалось так не работает

Роутер один и он не может балансировать между одинаковыми портами

Ну, исходя из вашего описания, как я понял у вас прокси смотрит в интернет/вашу сеть, а сервер с гитлабом находится за ним. Прокси сервер же у вас уже есть - вот в нем nginx пусть и разруливает запрсоы на разные сайта на разные сервера.

[Euxinus]

VoidVolker, да, прокси сервер так и делает, он проксирует на локальный гитлаб при запросе доменного имени в браузере по https, но как пушить по ssh из другой cети если nginx не умеет проксировать ssh?

[VoidVolker]

Так ведь я же ведь уже написал - проксировать через SSH тунель, который и проксирует запросы с 22 порта прокси-сервера на порт gitlab ssh на сервере гитлаба.

[Euxinus]

VoidVolker, в итоге сделал через HAProxy. Спасибо за вашу помощь