Задать вопрос
  • Как правильно настроить SSH и RDP через reverse ssh через третий хост?

    @astar7922 Автор вопроса
    SunTechnik, самое главное!
    до меня дошло что usb свисток ZTE M78U это по сути роутер, который на LAN организовывает ethernet сеть 192.168.0.0/24 и WAN с динамическим IP, но внутрь то он не пускакает!
    сделал проброс порта 5901 на fedora39

    это до меня дошло раньше, делал проброс и 5900 и 3389 но не шло, а с TigerVNC вроде как что то зашевелилось
    Написано
  • Как правильно настроить SSH и RDP через reverse ssh через третий хост?

    @astar7922 Автор вопроса
    SunTechnik, спасибо!
    еще не сделал, но сделал второй шаг :-)

    может я что то не до крутил, но когда пытался пордключиться к 59000 и 33890 на VPC не появлялся коннекшен, сколько я не смотрел

    поставил на fedora39 TigerVNC, открыл :1 дисплей, остальное отключил, я что то еще с ним не докрутил, стартует сразу и dead, я решу эту проблему
    изменил порты на 0.0.0.0:59010:127.0.0.1:5901

    ЗАТО! -
    на VPS в момент моего подключения появляется соединение:
    netstat -an | grep 59010
    tcp        0      0 0.0.0.0:59010           0.0.0.0:*               LISTEN     
    tcp        0      0 ku.ku.ku.ku:59010     178.178.94.129:63363    SYN_RECV   
    tcp6       0      0 :::59010                :::*                    LISTEN


    а на консоле fedora39 в окне reverse ssh с включенным DEBUG3 вот такие строки явно пришло подключение:
    debug1: connect_next: start for host 127.0.0.1 ([127.0.0.1]:5901)
    debug1: connect_next: connect host 127.0.0.1 ([127.0.0.1]:5901) in progress, fd=4
    debug1: channel 0: new forwarded-tcpip [178.178.94.129] (inactive timeout: 0)
    debug1: confirm forwarded-tcpip
    debug1: channel 0: connection failed: Connection refused
    connect_to 127.0.0.1 port 5901: failed.
    debug1: channel 0: free: 178.178.94.129, nchannels 1
    debug1: client_input_channel_open: ctype forwarded-tcpip rchan 2 win 2097152 max 32768
    debug1: client_request_forwarded_tcpip: listen 0.0.0.0 port 59010, originator 178.178.94.129 port 31570
    Написано
  • Как правильно настроить SSH и RDP через reverse ssh через третий хост?

    @astar7922 Автор вопроса
    SunTechnik, извините, или я вас запутал или вы не поняли

    вот это вывод на VPS:
    netstat -lntup | grep LISTEN
    tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      1197/unbound        
    tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      37222/sshd          
    <b>tcp        0      0 0.0.0.0:59000           0.0.0.0:*               LISTEN      35973/sshd: astar</b>


    вот это вот на fedora39:
    netstat -lntup | grep LISTEN
    tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1071/cupsd          
    tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1077/sshd: /usr/sbi 
    tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      849/systemd-resolve 
    tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      849/systemd-resolve 
    tcp        0      0 127.0.0.54:53           0.0.0.0:*               LISTEN      849/systemd-resolve 
    tcp6       0      0 :::22                   :::*                    LISTEN      1077/sshd: /usr/sbi 
    <b>tcp6       0      0 :::5900                 :::*                    LISTEN      2022/gnome-remote-d </b>
    tcp6       0      0 :::5355                 :::*                    LISTEN      849/systemd-resolve 
    tcp6       0      0 ::1:631                 :::*                    LISTEN      1071/cupsd          
    <b>tcp6       0      0 :::3389                 :::*                    LISTEN      2022/gnome-remote-d </b>


    да, почему то только на IPv6 но я почитал вроде нормально, типа слушает на обоих протоколах

    подключаюсь по белому IP сейчас уже что бы все поробовать

    и потому что на работе не могу поднять vpn поэтому подключаюсь по белому
    59000 порт на VPS добавил и в зону которая привязана к wg0 и в публичную, которая привязана к белому IP
    Написано
  • Как правильно настроить SSH и RDP через reverse ssh через третий хост?

    @astar7922 Автор вопроса
    SunTechnik, на VPS присутсвует

    tcp        0      0 0.0.0.0:59000           0.0.0.0:*               LISTEN      28917/sshd: astar


    если посмотреть родительский процесс:
    ps -eF | grep 28913
    root     28913 37222  0 38182  5468   0 10:22 ?        00:00:00 <b>sshd: astar [priv]</b>
    astar    28917 28913  0 38182  2300   0 10:22 ?        00:00:00 sshd: astar


    не знаю куда еще смотреть
    Написано
  • Как правильно настроить SSH и RDP через reverse ssh через третий хост?

    @astar7922 Автор вопроса
    SunTechnik, да, вхожу по ключам, паролей не ввожу
    на fedora39 нет интерфейса wg0 мобильные операторы режут его
    wg0 есть как второй интерфейс на VPS и на моем домашнем OpenWRT (в домашней сети wifi на любом устройстве включаю vpn и могу на VPS зайти по 10.0.0.1 а не по белому_ip , хотя и по нему заходит)

    я уже изменил строку запуска с
    sh -v -N -R 10.0.0.1:59000:127.0.0.1:5900
    на
    sh -v -N -R 0.0.0.0:59000:127.0.0.1:5900

    и с ноута через телефон пробую подключиться к vnc://white_ip:59000 (порт 59000 на VPS и в PUBLIC зону добавил
    при этом запустил journalctl -f на fedora39 и на VPC - и не вижу каких либо записей вообще а тем более ошибок
    Написано
  • Как правильно настроить SSH и RDP через reverse ssh через третий хост?

    @astar7922 Автор вопроса
    SunTechnik, все таки нужна ваша помощь.
    вот лог старта ssh:
    OpenSSH_9.3p1, OpenSSL 3.1.1 30 May 2023
    debug1: Reading configuration data /etc/ssh/ssh_config
    debug1: Reading configuration data /etc/ssh/ssh_config.d/50-redhat.conf
    debug1: Reading configuration data /etc/crypto-policies/back-ends/openssh.config
    debug1: configuration requests final Match pass
    debug1: re-parsing configuration
    debug1: Reading configuration data /etc/ssh/ssh_config
    debug1: Reading configuration data /etc/ssh/ssh_config.d/50-redhat.conf
    debug1: Reading configuration data /etc/crypto-policies/back-ends/openssh.config
    debug1: Connecting to astarsrv [94.177.229.32] port 22.
    debug1: Connection established.
    debug1: identity file /home/astar/.ssh/id_rsa type -1
    debug1: identity file /home/astar/.ssh/id_rsa-cert type -1
    debug1: identity file /home/astar/.ssh/id_ecdsa type -1
    debug1: identity file /home/astar/.ssh/id_ecdsa-cert type -1
    debug1: identity file /home/astar/.ssh/id_ecdsa_sk type -1
    debug1: identity file /home/astar/.ssh/id_ecdsa_sk-cert type -1
    debug1: identity file /home/astar/.ssh/id_ed25519 type -1
    debug1: identity file /home/astar/.ssh/id_ed25519-cert type -1
    debug1: identity file /home/astar/.ssh/id_ed25519_sk type -1
    debug1: identity file /home/astar/.ssh/id_ed25519_sk-cert type -1
    debug1: identity file /home/astar/.ssh/id_xmss type -1
    debug1: identity file /home/astar/.ssh/id_xmss-cert type -1
    debug1: identity file /home/astar/.ssh/id_dsa type -1
    debug1: identity file /home/astar/.ssh/id_dsa-cert type -1
    debug1: Local version string SSH-2.0-OpenSSH_9.3
    debug1: Remote protocol version 2.0, remote software version OpenSSH_7.4
    debug1: compat_banner: match: OpenSSH_7.4 pat OpenSSH_7.4* compat 0x04000006
    debug1: Authenticating to astarsrv:22 as 'astar'
    debug1: load_hostkeys: fopen /home/astar/.ssh/known_hosts2: No such file or directory
    debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
    debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
    debug1: SSH2_MSG_KEXINIT sent
    debug1: SSH2_MSG_KEXINIT received
    debug1: kex: algorithm: curve25519-sha256
    debug1: kex: host key algorithm: ssh-ed25519
    debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
    debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
    debug1: kex: curve25519-sha256 need=32 dh_need=32
    debug1: kex: curve25519-sha256 need=32 dh_need=32
    debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
    debug1: SSH2_MSG_KEX_ECDH_REPLY received
    debug1: Server host key: ssh-ed25519 SHA256:bla_bla_bla_bla
    debug1: load_hostkeys: fopen /home/astar/.ssh/known_hosts2: No such file or directory
    debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
    debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
    debug1: Host 'astarsrv' is known and matches the ED25519 host key.
    debug1: Found key in /home/astar/.ssh/known_hosts:1
    debug1: rekey out after 4294967296 blocks
    debug1: SSH2_MSG_NEWKEYS sent
    debug1: expecting SSH2_MSG_NEWKEYS
    debug1: SSH2_MSG_NEWKEYS received
    debug1: rekey in after 4294967296 blocks
    debug1: get_agent_identities: bound agent to hostkey
    debug1: get_agent_identities: agent returned 1 keys
    debug1: Will attempt key: astar@adminnote ED25519 SHA256:bla_bla_bla_bla_bla
    debug1: Will attempt key: /home/astar/.ssh/id_rsa 
    debug1: Will attempt key: /home/astar/.ssh/id_ecdsa 
    debug1: Will attempt key: /home/astar/.ssh/id_ecdsa_sk 
    debug1: Will attempt key: /home/astar/.ssh/id_ed25519 
    debug1: Will attempt key: /home/astar/.ssh/id_ed25519_sk 
    debug1: Will attempt key: /home/astar/.ssh/id_xmss 
    debug1: Will attempt key: /home/astar/.ssh/id_dsa 
    debug1: SSH2_MSG_EXT_INFO received
    debug1: kex_input_ext_info: server-sig-algs=<rsa-sha2-256,rsa-sha2-512>
    debug1: SSH2_MSG_SERVICE_ACCEPT received
    debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
    debug1: Next authentication method: gssapi-with-mic
    debug1: No credentials were supplied, or the credentials were unavailable or inaccessible
    No Kerberos credentials available (default cache: KCM:)
    
    
    debug1: No credentials were supplied, or the credentials were unavailable or inaccessible
    No Kerberos credentials available (default cache: KCM:)
    
    
    debug1: Next authentication method: publickey
    debug1: Offering public key: astar@adminnote ED25519 SHA256:bla_bla_bla agent
    debug1: Server accepts key: astar@adminnote ED25519 SHA256:bla_bla_bla agent
    Authenticated to astarsrv ([my_vps_white_ip]:22) using "publickey".
    debug1: pkcs11_del_provider: called, provider_id = (null)
    debug1: Remote connections from 10.0.0.1:59000 forwarded to local address 127.0.0.1:5900
    debug1: Requesting no-more-sessions@openssh.com
    debug1: Entering interactive session.
    debug1: pledge: filesystem
    debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
    debug1: client_input_hostkeys: searching /home/astar/.ssh/known_hosts for astarsrv / (none)
    debug1: client_input_hostkeys: searching /home/astar/.ssh/known_hosts2 for astarsrv / (none)
    debug1: client_input_hostkeys: hostkeys file /home/astar/.ssh/known_hosts2 does not exist
    debug1: client_input_hostkeys: host key found matching a different name/address, skipping UserKnownHostsFile update
    debug1: pledge: network
    debug1: Remote: Forwarding listen address "10.0.0.1" overridden by server GatewayPorts
    debug1: remote forward success for: listen 10.0.0.1:59000, connect 127.0.0.1:5900


    что то с ключами, причем тутknown_hosts2 does not exist

    порты 59000 и 33890 на моем vps в firewall разрешил
    на fedora39 вообще по умолчанию оставил активной зоной FedoraWorkstation, у которой

    edoraWorkstation (default, active)
      target: default
      ingress-priority: 0
      egress-priority: 0
      icmp-block-inversion: no
      interfaces: enp0s20f0u3 enp1s0
      sources: 
      services: dhcpv6-client mdns samba-client ssh
      ports: 1025-65535/udp 1025-65535/tcp
      protocols: 
      forward: yes
      masquerade: no
      forward-ports: 
      source-ports: 
      icmp-blocks: 
      rich rules:
    Написано
  • Как правильно настроить SSH и RDP через reverse ssh через третий хост?

    @astar7922 Автор вопроса
    SunTechnik, проверить пока не удалось, пока ездил 1.5 часа с работы сессии установленные оборвались (буду хотя бы крон настраивать для теста) но вот что не могу понять:

    здесь на хабре читаю -
    С другой стороны, при организации обратного туннеля мы настраиваем прослушивающий порт на удалённом сервере, который будет подключаться обратно к локальному порту на нашем localhost (или другой системе):

    localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver


    вот что это за IP что я выделил? на локальной машине откуда запускаем ssh -R? но для нее вроде же 127.0.0.1?

    запускаю ssh с fedora39 адрес интерфейса "usb свистка" 192.168.0.сколько то (DHCP)
    подключаюсь на "белый IP" на VPS (CentOS-7), у это же VPS есть интерфейс wg0 с IP 10.0.0.1/24

    подключиться к fedora39 через VPS пробую и с MacOS и с Винды10 и с Iphone с систем которые тоже имеют wg0 интерфейс в сети 10.0.0.0/24
    Написано
  • Как правильно настроить SSH и RDP через reverse ssh через третий хост?

    @astar7922 Автор вопроса
    SunTechnik, это ZTE M78U с симкой тинькофф - адрес динамический. вряд ли провайдеры сотовой связи дают статические адреса
    для того и reverse ssh
    Написано
  • Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?

    @astar7922 Автор вопроса
    Drno, спасибо за идею, но не хочу я на него nginx ставить

    учитывая что сервисами пользуюсь только я (почти) я на всех устройствах в закладки добавил с портами и пользуюсь, могу и сабдомены не менять, все равно сервис определяется портом.

    это я уже спрашиваю в целях самообучение, типа а как правильно и красиво.

    тем более что один из сервисов это Lychee со всем фотоальбомом лет за 20, иногда выборочно дою доступ кому то, посылаю ссылку, народу все равно что там еще :и_какие_то_цифири
    Написано
  • Как правильно настроить SSH и RDP через reverse ssh через третий хост?

    @astar7922 Автор вопроса
    SunTechnik, вот вашим языком становится понятнее :-)

    в примере было 0.0.0.0:3389:127.0.0.1:3389
    т.е. все интерфейсы
    хочу получить следующее: с ноутбука с включенным VPN подключаясь RDP клиентом на интерфейс wg0 на VPS с адресом и портом 10.0.0.1:3389 попадать на комп TARGET_COMP на порт 3389 на котором запущено удаленный рабочий стол.
    ну и так же с 10.0.0.1:2222 на 22 порт TARGET_COMP
    ну и чтобы попасть туду можно было только из сети 10.0.0.0/24, чтобы из "живого" интернета попасть было нельзя

    ну а потом в идеале сделать службу, чтобы отслеживала - если коннект оборвался, соединяемся по новой, или которая запускала бы соединение в первые 15 минут каждого часа или т.п.
    Написано
  • Как правильно настроить SSH и RDP через reverse ssh через третий хост?

    @astar7922 Автор вопроса
    Alexey Dmitriev,
    Что мешает подключить TARGET_COMP через Wireguard и использовать обычную маршрутизацию и локальную подсеть wireguard для коммуникации?


    правительство с роскомами мешает

    Кстати, если у кого то сохранилась инфа, здесь на хабре была серия серия статей на основе опыта китая :-) по анстройке сервисов которые смотрятся как https, если кто в личку поделится буду благодарен!!!
    я все тянул, потом потом займусь, там еще ssl сертификат нужен, все ленился сделать себе

    Короче если есть инфа - поделитесь :-)
    Написано
  • Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?

    @astar7922 Автор вопроса
    asmelnik,
    А так правильное уточнение -- если "внутри" протокола где-то на 4-7 уровне есть критерии, позволяющие отделить одно от другого.


    вот это самое главное, или как то на роутере с OpenWRT понимать что запрос был на subdomen1 или subdomen2 или уже действительно на reverse proxy разбирать.
    Надо будет или теорию изучить или wireshark'ом посмотреть :-)

    с почтой у меня нет проблем. MX запись видет на основной домен, он на VPSи там postfix уже пересылает на мой гмайл
    Написано
  • Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?

    @astar7922 Автор вопроса
    Михаил Ливач, опыта нет, на работе не я настраивал.
    я от 1 до 4 уровня OSI, ну сервера и сервисы, но не ВЕБ сервисы
    Написано
  • Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?

    @astar7922 Автор вопроса
    Михаил Ливач, да, на работе сделано именно так. И сервер DNS свой. а тут DNS записи у nic.ru , основной домен на VPS где то там, субдомены ведут на IP роутера дома на один сервер за NATом
    и по сути все это "лабораторная работа", как любит говорить мой шеф, попробовать и апач и нгинкс и в докере (просто в мои обязаности это не входит и хочется попробовать) и в тоже время это уже вылилось в то что я и моя семья используют пару лет и функционал только добавляется
    Написано
  • Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?

    @astar7922 Автор вопроса
    Drno, спасибо! буду пробовать. с другой стороны этим пользуюсь практически я один, количество устройств откуда хожу ограниченно, сохраню в букмарки с портами.
    меня чисто теоретически интересовал вопрос -как красиво :-)
    Написано
  • Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?

    @astar7922 Автор вопроса
    я правильно понимаю, если у меня там крутится apache, пару докеров на разных портах я "перед ними" еще просто ставлю ngnix в режиме реверс-прокси и уже он раскидывате?
    почитаю. спасибо!
    Написано
  • Как настроить Self-hosted photo-management Lychee?

    @astar7922 Автор вопроса
    не понимаю, в app/Console/Commands/ есть CreateUser.php который опеисан внутри как
    protected $signature =
                    'lychee:create_user' .
                    '{username : username of the new user} ' .
                    '{password : password of the new user} ' .
                    '{--may-edit-own-settings : user can edit own settings}  ' .
                    '{--may-upload : user may upload} ' .
                    '{--may-administrate : user is an admin} ';


    и ругается что нет инпут файла, а там же лежит Diagnostics.php который описан как 'lychee:diagnostics'
    а эта команда работает

    понял! вводить надо php artisan lychee:create_user

    вот так отработало, но ошибка все та же, 503
  • Как настроить Self-hosted photo-management Lychee?

    @astar7922 Автор вопроса
    Alexey Gergert, да, об этом думал
    возвращает следующее

    PHP Warning:  Module "pgsql" is already loaded in Unknown on line 0
    Could not open input file: lychee:create_user


    и как эти {username} {password} вводить? я и с апострофом пробовал 'Admin' и без и в скобках этих
  • Как настроить Self-hosted photo-management Lychee?

    @astar7922 Автор вопроса
    я пробовал все варианты
    apache:apache
    root:root
    apache:root
    root:apache

    не помогает

    я устанваливал и rwxrwxrwx и rwxrwsrwx
    я включил lycheeadmin в группу apache хотя этот пользователь у меня в системе только для доступа к postgresql и на входе у него /sbin/nologin
  • Как хранить и безопасно использовать пароль пользователя для стороннего веб-сервиса?

    @astar7922 Автор вопроса
    ZERGeich, спасибо!
    в принципе уже иду по этой логике - создаю pubkey, privkey шифрую открытым ключом а privkey собираюсь хранить в файле вне www директории, доступным только пользователю apache
    осталось разобраться с байтами, строками и т.п. но это уже дело техники