Túnel SSH invertit - [Tunel SSH inverso]

El problema

Tenim dos ordinadors amb linux en dues xarxes diferents, estan físicament separades i només poden comunicar-se a través d'Internet:

• Mart: Te el port 22 (ssh) accessible des de Internet, te la direcció el_meu_domini.com. Per tant, des de qualsevol lloc d'Internet podem fer "ssh root@el_meu_domini.com" per obrir un shell.

  [Tiene el puerto 22 (ssh) accesible desde Internet, tiene la direccion el_meu_domini.com. Por lo tanto, desde qualquier lugar de Internet puedo hacer "ssh root@el_meu_domini.com" para abrir un shell.]

• Venus: Es troba dins d'una WAN, no hi ha cap redirecció de ports (port forwarding) des del gateway que li dóna sortida a Internet. Per tant no hi podem accedir des de fora, col·loquialment en diem que "està firewalled". Aquest és l'ordinador al que hi volem poder accedir-hi amb un ssh des de Mart.

  [Se encuentra dentro de una WAN, no hay ninguna redireccion de puertos (port forwarding) desde el gateway que le da salida a Internet. Por lo tanto, no podemos acceder desde fuera, coloquialmente decimos que "esta firewalled". Este es el ordenador al que queremos poder acceder con ssh desde Mart.]

Des de Venus podem accedir a qualsevol lloc d'Internet, per exemple podem obrir un ssh a Mart. Des de Mart també podem accedir a qualsevol lloc d'Internet però no a Venus, ni molt menys obrir un ssh a Venus, que és el que volem.

La manera més fàcil de solucionar-ho seria redireccionar un port del gateway (que fa servir Venus per sortir a Internet) cap a Venus. Això no és de moment possible per raons que no venen al cas. Així que buscarem una solució alternativa aprofitant que tenim Mart. Aquest sistema només és factible si tenim un altre ordinador com Mart, que estigui a Internet amb al menys un port accessible.

La Solució

[La Solucion]

El primer serà el de crear un túnel ssh invertit (reverse ssh) entre Venus i Mart. El que fem es deixar un túnel ssh obert entre els dos ordinadors, aquest túnel s'ha d'executar des de Venus. Recordeu que des de Mart no ho podem fer, Venus no és accessible des de Internet.

Per establir un túnel ssh invertit, hem d'especificar l'usuari sota el que correrà el túnel a Mart. En el meu cas he creat un nou usuari a Mart, aquest nou usuari tunelssh només el tindré per això. Es una mania meva, el túnel el podeu establir amb qualsevol usuari ja existent de Mart.

joan@venus ~ $ ssh -l tunelssh -R 22000:localhost:22 -f -N el_meu_domini.com

Ens demanarà el password de l'usuari tunelssh, una vegada l'hem entrat ja tenim el túnel ssh invertit preparat per a fer servir. Al establir una connexió amb el port 22000 de Mart, la conexió s'inverteix i redirigeix cap a Venus. En comptes de fer servir el port 22000 pots fer-ho amb el que vulguis. Ara des de Mart ja podem accedir a Venus amb:

root@mart ~ $ ssh -p 22000 joan@localhost

En aquest punt poden passar dues coses. Una és que ens pregunti el password de root de Venus i l'invent funcioni correctament, i l'altre és que ens doni un error: "WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!". Això és degut a que el fingerprint de les claus RSA que estan guardades a ~/.ssh/known_hosts, estan associades a un host. Quan l'error surt vol dir que teniu guardat un fingerprint associat a root@localhost, i que no és el mateix al que ara rep. No és el mateix perquè ara estem fent trampa, hem rebut el fingerprint de root@venus i es pensa que és el de root@localhost (recordem que estem a Mart). Això ho podem solucionar de varies maneres, la que crec que és més fàcil és editar /etc/hosts i en la línea on tinguem:

127.0.0.1       localhost

Modificar-la per:

127.0.0.1       localhost venus

Ara ja podem fer:

root@mart ~ $ ssh -p 22000 joan@venus

Amb això ens guardarà el fingerprint de venus amb el nom de venus, i si mai hem de fer un ssh a localhost per la raó que sigui, no ens donarà cap problema. El ssh es pot executar des de qualsevol usuari de Mart cap a qualsevol usuari de Venus.

Automatitzant-ho

[Automatizandolo]

Ja sabem com iniciar el túnel ssh invertit manualment. Això de fet no ens serveix de gran cosa ja que pot marxar la corrent, tallar-se la connexió uns minuts, etc. Llavors ens quedem sense túnel i no podem accedir des de Mart a Venus. Hauríem de desplaçar-nos físicament a Venus i executar el túnel de nou. Hem de fer un script que contínuament comprovi l'estat del túnel i el reinicialitzi en cas de que es perdi.

Aquí ens trobem amb un petit problema, que és com ens autentiquem per establir el túnel. Ssh ja esta preparat per això, generarem un parell de claus RSA pública/privada. La creació de claus es pot fer a l'ordinador que vulguem, seguint el meu cas:

tunnelssh@mart ~ $  ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): clau1
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in clau1.
Your public key has been saved in clau1.pub.
The key fingerprint is:
a6:63:a7:3e:7d:17:42:83:b2:85:79:ef:44:e8:89:67 tunnelssh@mart
tunnelssh @mart ~ $ ll clau1*
-rw-------    1 tunnelssh     tunnelssh          887 dec 31 12:00 clau1
-rw-r--r--    1 tunnelssh     tunnelssh          234 dec 31 12:00 clau1.pub
tunnelssh @mart ~ $

Ara ja tenim el parell de claus. La clau pública (clau1.pub) s'ha d'afegir als fitxer ~/.ssh/known_hosts del usuari sota el que s'executarà el túnel a l'ordinador que te el port 22 obert a Internet. En el nostre cas es l'usuari tunelssh de Mart:

tunnelssh@mart ~ $ cat clau1.pub >> ~/.ssh/known_hosts

La clau privada (clau1) s'ha de guardar en algun lloc de l'ordinador que està firewalled on l'usuari que executi el script hi tingui accés. Es important que el fitxer de clau privada sigui només accessible per el usuari propietari del fitxer, si no li fem el chmod el ssh ens ho demanarà així quan intentem establir el túnel. Seguint el nostre cas:

joan@venus ~ $ scp tunelssh@el_meu_domini.com:clau1 .
tunelssh@mart's password:
clau1                100% |*****************************|    887       00:00
joan@venus ~ $ ll clau1
-rw-r--r--    1 joan     joan           887 dec 31 12:10 clau1
joan@venus ~ $ chmod 600 clau1
joan@venus ~ $ ll clau1
-rw-------    1 joan     joan           887 dec 31 12:10 clau1
joan@venus ~ $

Ara ja ho podem provar-ho, abans hem de pensar en eliminar el túnel que haguem obert prèviament si és que ho hem fet, trobarem el túnel executant:

joan@venus ~ $ ps x | grep 22000:localhost:22

Eliminem (kill) el túnel i provem d'establir-ne un de nou sense tenir que autenticar-nos:

joan@venus ~ $ ssh -i ~/clau1 -l tunelssh -R 22000:localhost:22 -f -N el_meu_domini.com

Si ho hem fet tot bé, hem obert el túnel sense tenir que escriure el password. Ara només ens cal fer un script i posar-lo al crontab per comprovar el túnel amb la freqüència que vulguem:

#!/usr/bin/perl -w
if ( `ps x | grep 22000:localhost:22 | grep -v grep` ) {
        print "Tunel SSH en funcionament! \n";
        } else {
        print "Establint tunel SSH ... \n";
        system("ssh -i ~/clau1 -l tunelssh -R 22000:localhost:22 -f -N el_meu_domini.com ");
};

Aquest script està tret d'aqui , només hi he afegit l'autenticació.

Ja estem. Podem accedir a Venus des de Mart, i com que a Mart hi podem accedir des de qualsevol punt de Internet, Venus és accessible des de qualsevol lloc d'Internet. L'únic inconvenient d'aquest sistema és que necessitem d'un altre ordinador com Mart que estigui accessible per Internet sempre per a poder establir el túnel ssh invertit. Espero que no us hagueu marejat en tot aquest viatje interplanetari ;-)

Com ja he dit abans, la totalitat del aquí exposat s'ha extret de: