Как правильно настроить SSH и RDP через reverse ssh через третий хост?

SunTechnik, самое главное!
до меня дошло что usb свисток ZTE M78U это по сути роутер, который на LAN организовывает ethernet сеть 192.168.0.0/24 и WAN с динамическим IP, но внутрь то он не пускакает!
сделал проброс порта 5901 на fedora39

это до меня дошло раньше, делал проброс и 5900 и 3389 но не шло, а с TigerVNC вроде как что то зашевелилось

Как правильно настроить SSH и RDP через reverse ssh через третий хост?

SunTechnik, спасибо!
еще не сделал, но сделал второй шаг :-)

может я что то не до крутил, но когда пытался пордключиться к 59000 и 33890 на VPC не появлялся коннекшен, сколько я не смотрел

поставил на fedora39 TigerVNC, открыл :1 дисплей, остальное отключил, я что то еще с ним не докрутил, стартует сразу и dead, я решу эту проблему
изменил порты на 0.0.0.0:59010:127.0.0.1:5901

ЗАТО! -
на VPS в момент моего подключения появляется соединение:

netstat -an | grep 59010
tcp        0      0 0.0.0.0:59010           0.0.0.0:*               LISTEN     
tcp        0      0 ku.ku.ku.ku:59010     178.178.94.129:63363    SYN_RECV   
tcp6       0      0 :::59010                :::*                    LISTEN

а на консоле fedora39 в окне reverse ssh с включенным DEBUG3 вот такие строки явно пришло подключение:

debug1: connect_next: start for host 127.0.0.1 ([127.0.0.1]:5901)
debug1: connect_next: connect host 127.0.0.1 ([127.0.0.1]:5901) in progress, fd=4
debug1: channel 0: new forwarded-tcpip [178.178.94.129] (inactive timeout: 0)
debug1: confirm forwarded-tcpip
debug1: channel 0: connection failed: Connection refused
connect_to 127.0.0.1 port 5901: failed.
debug1: channel 0: free: 178.178.94.129, nchannels 1
debug1: client_input_channel_open: ctype forwarded-tcpip rchan 2 win 2097152 max 32768
debug1: client_request_forwarded_tcpip: listen 0.0.0.0 port 59010, originator 178.178.94.129 port 31570

Как правильно настроить SSH и RDP через reverse ssh через третий хост?

SunTechnik, извините, или я вас запутал или вы не поняли

вот это вывод на VPS:

netstat -lntup | grep LISTEN
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      1197/unbound        
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      37222/sshd          
<b>tcp        0      0 0.0.0.0:59000           0.0.0.0:*               LISTEN      35973/sshd: astar</b>

вот это вот на fedora39:

netstat -lntup | grep LISTEN
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1071/cupsd          
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1077/sshd: /usr/sbi 
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      849/systemd-resolve 
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      849/systemd-resolve 
tcp        0      0 127.0.0.54:53           0.0.0.0:*               LISTEN      849/systemd-resolve 
tcp6       0      0 :::22                   :::*                    LISTEN      1077/sshd: /usr/sbi 
<b>tcp6       0      0 :::5900                 :::*                    LISTEN      2022/gnome-remote-d </b>
tcp6       0      0 :::5355                 :::*                    LISTEN      849/systemd-resolve 
tcp6       0      0 ::1:631                 :::*                    LISTEN      1071/cupsd          
<b>tcp6       0      0 :::3389                 :::*                    LISTEN      2022/gnome-remote-d </b>

да, почему то только на IPv6 но я почитал вроде нормально, типа слушает на обоих протоколах

подключаюсь по белому IP сейчас уже что бы все поробовать

и потому что на работе не могу поднять vpn поэтому подключаюсь по белому
59000 порт на VPS добавил и в зону которая привязана к wg0 и в публичную, которая привязана к белому IP

Как правильно настроить SSH и RDP через reverse ssh через третий хост?

SunTechnik, на VPS присутсвует

tcp        0      0 0.0.0.0:59000           0.0.0.0:*               LISTEN      28917/sshd: astar

если посмотреть родительский процесс:

ps -eF | grep 28913
root     28913 37222  0 38182  5468   0 10:22 ?        00:00:00 <b>sshd: astar [priv]</b>
astar    28917 28913  0 38182  2300   0 10:22 ?        00:00:00 sshd: astar

не знаю куда еще смотреть

Как правильно настроить SSH и RDP через reverse ssh через третий хост?

SunTechnik, да, вхожу по ключам, паролей не ввожу
на fedora39 нет интерфейса wg0 мобильные операторы режут его
wg0 есть как второй интерфейс на VPS и на моем домашнем OpenWRT (в домашней сети wifi на любом устройстве включаю vpn и могу на VPS зайти по 10.0.0.1 а не по белому_ip , хотя и по нему заходит)

я уже изменил строку запуска с
sh -v -N -R 10.0.0.1:59000:127.0.0.1:5900
на
sh -v -N -R 0.0.0.0:59000:127.0.0.1:5900

и с ноута через телефон пробую подключиться к vnc://white_ip:59000 (порт 59000 на VPS и в PUBLIC зону добавил
при этом запустил journalctl -f на fedora39 и на VPC - и не вижу каких либо записей вообще а тем более ошибок

Как правильно настроить SSH и RDP через reverse ssh через третий хост?

SunTechnik, все таки нужна ваша помощь.
вот лог старта ssh:

OpenSSH_9.3p1, OpenSSL 3.1.1 30 May 2023
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Reading configuration data /etc/ssh/ssh_config.d/50-redhat.conf
debug1: Reading configuration data /etc/crypto-policies/back-ends/openssh.config
debug1: configuration requests final Match pass
debug1: re-parsing configuration
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Reading configuration data /etc/ssh/ssh_config.d/50-redhat.conf
debug1: Reading configuration data /etc/crypto-policies/back-ends/openssh.config
debug1: Connecting to astarsrv [94.177.229.32] port 22.
debug1: Connection established.
debug1: identity file /home/astar/.ssh/id_rsa type -1
debug1: identity file /home/astar/.ssh/id_rsa-cert type -1
debug1: identity file /home/astar/.ssh/id_ecdsa type -1
debug1: identity file /home/astar/.ssh/id_ecdsa-cert type -1
debug1: identity file /home/astar/.ssh/id_ecdsa_sk type -1
debug1: identity file /home/astar/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file /home/astar/.ssh/id_ed25519 type -1
debug1: identity file /home/astar/.ssh/id_ed25519-cert type -1
debug1: identity file /home/astar/.ssh/id_ed25519_sk type -1
debug1: identity file /home/astar/.ssh/id_ed25519_sk-cert type -1
debug1: identity file /home/astar/.ssh/id_xmss type -1
debug1: identity file /home/astar/.ssh/id_xmss-cert type -1
debug1: identity file /home/astar/.ssh/id_dsa type -1
debug1: identity file /home/astar/.ssh/id_dsa-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_9.3
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.4
debug1: compat_banner: match: OpenSSH_7.4 pat OpenSSH_7.4* compat 0x04000006
debug1: Authenticating to astarsrv:22 as 'astar'
debug1: load_hostkeys: fopen /home/astar/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: ssh-ed25519
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: curve25519-sha256 need=32 dh_need=32
debug1: kex: curve25519-sha256 need=32 dh_need=32
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: SSH2_MSG_KEX_ECDH_REPLY received
debug1: Server host key: ssh-ed25519 SHA256:bla_bla_bla_bla
debug1: load_hostkeys: fopen /home/astar/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug1: Host 'astarsrv' is known and matches the ED25519 host key.
debug1: Found key in /home/astar/.ssh/known_hosts:1
debug1: rekey out after 4294967296 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: rekey in after 4294967296 blocks
debug1: get_agent_identities: bound agent to hostkey
debug1: get_agent_identities: agent returned 1 keys
debug1: Will attempt key: astar@adminnote ED25519 SHA256:bla_bla_bla_bla_bla
debug1: Will attempt key: /home/astar/.ssh/id_rsa 
debug1: Will attempt key: /home/astar/.ssh/id_ecdsa 
debug1: Will attempt key: /home/astar/.ssh/id_ecdsa_sk 
debug1: Will attempt key: /home/astar/.ssh/id_ed25519 
debug1: Will attempt key: /home/astar/.ssh/id_ed25519_sk 
debug1: Will attempt key: /home/astar/.ssh/id_xmss 
debug1: Will attempt key: /home/astar/.ssh/id_dsa 
debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<rsa-sha2-256,rsa-sha2-512>
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: gssapi-with-mic
debug1: No credentials were supplied, or the credentials were unavailable or inaccessible
No Kerberos credentials available (default cache: KCM:)


debug1: No credentials were supplied, or the credentials were unavailable or inaccessible
No Kerberos credentials available (default cache: KCM:)


debug1: Next authentication method: publickey
debug1: Offering public key: astar@adminnote ED25519 SHA256:bla_bla_bla agent
debug1: Server accepts key: astar@adminnote ED25519 SHA256:bla_bla_bla agent
Authenticated to astarsrv ([my_vps_white_ip]:22) using "publickey".
debug1: pkcs11_del_provider: called, provider_id = (null)
debug1: Remote connections from 10.0.0.1:59000 forwarded to local address 127.0.0.1:5900
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: filesystem
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: client_input_hostkeys: searching /home/astar/.ssh/known_hosts for astarsrv / (none)
debug1: client_input_hostkeys: searching /home/astar/.ssh/known_hosts2 for astarsrv / (none)
debug1: client_input_hostkeys: hostkeys file /home/astar/.ssh/known_hosts2 does not exist
debug1: client_input_hostkeys: host key found matching a different name/address, skipping UserKnownHostsFile update
debug1: pledge: network
debug1: Remote: Forwarding listen address "10.0.0.1" overridden by server GatewayPorts
debug1: remote forward success for: listen 10.0.0.1:59000, connect 127.0.0.1:5900

что то с ключами, причем тутknown_hosts2 does not exist

порты 59000 и 33890 на моем vps в firewall разрешил
на fedora39 вообще по умолчанию оставил активной зоной FedoraWorkstation, у которой

edoraWorkstation (default, active)
  target: default
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: enp0s20f0u3 enp1s0
  sources: 
  services: dhcpv6-client mdns samba-client ssh
  ports: 1025-65535/udp 1025-65535/tcp
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

Как правильно настроить SSH и RDP через reverse ssh через третий хост?

SunTechnik, проверить пока не удалось, пока ездил 1.5 часа с работы сессии установленные оборвались (буду хотя бы крон настраивать для теста) но вот что не могу понять:

здесь на хабре читаю -

С другой стороны, при организации обратного туннеля мы настраиваем прослушивающий порт на удалённом сервере, который будет подключаться обратно к локальному порту на нашем localhost (или другой системе):

localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver

вот что это за IP что я выделил? на локальной машине откуда запускаем ssh -R? но для нее вроде же 127.0.0.1?

запускаю ssh с fedora39 адрес интерфейса "usb свистка" 192.168.0.сколько то (DHCP)
подключаюсь на "белый IP" на VPS (CentOS-7), у это же VPS есть интерфейс wg0 с IP 10.0.0.1/24

подключиться к fedora39 через VPS пробую и с MacOS и с Винды10 и с Iphone с систем которые тоже имеют wg0 интерфейс в сети 10.0.0.0/24

Как правильно настроить SSH и RDP через reverse ssh через третий хост?

SunTechnik, это ZTE M78U с симкой тинькофф - адрес динамический. вряд ли провайдеры сотовой связи дают статические адреса
для того и reverse ssh

Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?

Drno, спасибо за идею, но не хочу я на него nginx ставить

учитывая что сервисами пользуюсь только я (почти) я на всех устройствах в закладки добавил с портами и пользуюсь, могу и сабдомены не менять, все равно сервис определяется портом.

это я уже спрашиваю в целях самообучение, типа а как правильно и красиво.

тем более что один из сервисов это Lychee со всем фотоальбомом лет за 20, иногда выборочно дою доступ кому то, посылаю ссылку, народу все равно что там еще :и_какие_то_цифири

Как правильно настроить SSH и RDP через reverse ssh через третий хост?

SunTechnik, вот вашим языком становится понятнее :-)

в примере было 0.0.0.0:3389:127.0.0.1:3389
т.е. все интерфейсы
хочу получить следующее: с ноутбука с включенным VPN подключаясь RDP клиентом на интерфейс wg0 на VPS с адресом и портом 10.0.0.1:3389 попадать на комп TARGET_COMP на порт 3389 на котором запущено удаленный рабочий стол.
ну и так же с 10.0.0.1:2222 на 22 порт TARGET_COMP
ну и чтобы попасть туду можно было только из сети 10.0.0.0/24, чтобы из "живого" интернета попасть было нельзя

ну а потом в идеале сделать службу, чтобы отслеживала - если коннект оборвался, соединяемся по новой, или которая запускала бы соединение в первые 15 минут каждого часа или т.п.

Как правильно настроить SSH и RDP через reverse ssh через третий хост?

Alexey Dmitriev,

Что мешает подключить TARGET_COMP через Wireguard и использовать обычную маршрутизацию и локальную подсеть wireguard для коммуникации?

правительство с роскомами мешает

Кстати, если у кого то сохранилась инфа, здесь на хабре была серия серия статей на основе опыта китая :-) по анстройке сервисов которые смотрятся как https, если кто в личку поделится буду благодарен!!!
я все тянул, потом потом займусь, там еще ssl сертификат нужен, все ленился сделать себе

Короче если есть инфа - поделитесь :-)

Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?

asmelnik,

А так правильное уточнение -- если "внутри" протокола где-то на 4-7 уровне есть критерии, позволяющие отделить одно от другого.

вот это самое главное, или как то на роутере с OpenWRT понимать что запрос был на subdomen1 или subdomen2 или уже действительно на reverse proxy разбирать.
Надо будет или теорию изучить или wireshark'ом посмотреть :-)

с почтой у меня нет проблем. MX запись видет на основной домен, он на VPSи там postfix уже пересылает на мой гмайл

Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?

Михаил Ливач, опыта нет, на работе не я настраивал.
я от 1 до 4 уровня OSI, ну сервера и сервисы, но не ВЕБ сервисы

Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?

Михаил Ливач, да, на работе сделано именно так. И сервер DNS свой. а тут DNS записи у nic.ru , основной домен на VPS где то там, субдомены ведут на IP роутера дома на один сервер за NATом
и по сути все это "лабораторная работа", как любит говорить мой шеф, попробовать и апач и нгинкс и в докере (просто в мои обязаности это не входит и хочется попробовать) и в тоже время это уже вылилось в то что я и моя семья используют пару лет и функционал только добавляется

Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?

Drno, спасибо! буду пробовать. с другой стороны этим пользуюсь практически я один, количество устройств откуда хожу ограниченно, сохраню в букмарки с портами.
меня чисто теоретически интересовал вопрос -как красиво :-)

Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?

я правильно понимаю, если у меня там крутится apache, пару докеров на разных портах я "перед ними" еще просто ставлю ngnix в режиме реверс-прокси и уже он раскидывате?
почитаю. спасибо!

Как настроить Self-hosted photo-management Lychee?

не понимаю, в app/Console/Commands/ есть CreateUser.php который опеисан внутри как

protected $signature =
                'lychee:create_user' .
                '{username : username of the new user} ' .
                '{password : password of the new user} ' .
                '{--may-edit-own-settings : user can edit own settings}  ' .
                '{--may-upload : user may upload} ' .
                '{--may-administrate : user is an admin} ';

и ругается что нет инпут файла, а там же лежит Diagnostics.php который описан как 'lychee:diagnostics'
а эта команда работает

понял! вводить надо php artisan lychee:create_user

вот так отработало, но ошибка все та же, 503

Как настроить Self-hosted photo-management Lychee?

Alexey Gergert, да, об этом думал
возвращает следующее

PHP Warning:  Module "pgsql" is already loaded in Unknown on line 0
Could not open input file: lychee:create_user

и как эти {username} {password} вводить? я и с апострофом пробовал 'Admin' и без и в скобках этих

Как настроить Self-hosted photo-management Lychee?

я пробовал все варианты
apache:apache
root:root
apache:root
root:apache

не помогает

я устанваливал и rwxrwxrwx и rwxrwsrwx
я включил lycheeadmin в группу apache хотя этот пользователь у меня в системе только для доступа к postgresql и на входе у него /sbin/nologin

Как хранить и безопасно использовать пароль пользователя для стороннего веб-сервиса?

ZERGeich, спасибо!
в принципе уже иду по этой логике - создаю pubkey, privkey шифрую открытым ключом а privkey собираюсь хранить в файле вне www директории, доступным только пользователю apache
осталось разобраться с байтами, строками и т.п. но это уже дело техники