SSH tunel pomocí klíčů

[Jurop]

Ahojte,

chcel by som vytvorit tunnel z mojho routra do VPS pomocou klucou. Moj problem je, ked spustim prikaz
ssh -f -N -i /tmp/local/root/.ssh/ssh_host_rsa_key.pub -p 22 root@moja.domena -R *:remote_port:localhost:local_port

vyziada sa zadanie

Enter passphrase for key '/tmp/local/root/.ssh/ssh_host_rsa_key.pub':

Nasledne root@moja.domena's password:

Pritom klasicke prihlasovanie cez SSH aj SCP kopirovanie suborov pomocou kluca funguje bez problemov.

Viete mi poradit kde robim chybu?  Dakujem za pomoc.

[Reklama]

[trubicoid2]

vyrob si klic bez passphrase, tedy kdyz se na to ssh-keygen pta, tak dej jen enter

a jestli chces tunel trvaly, pouzij autossh

[trubicoid2]

Kód: [Vybrat]

autossh -M 10984 -o "PubkeyAuthentication=yes" -o "PasswordAuthentication=no" -i /root/.ssh/id_rsa -R 6666:localhost:22 remy@middleman -p 2222
a ty mu ukazujes na ten pub? neee, na ten druhej, ten pub ma byt na serveru nakopirovanej do .ssh/authorized_keys, to mas?

[Jurop]

ssh_host_rsa_key.pub  je kluc vygenerovany na VPS a ulozeny na locale (router), zapisany v authorized_keys na VPS

Vsetko funguje az na vytvorenie tunnela, po zadani Enter na passphrase a nasledne heslo pre root sa tunel vytvori, ale automaticky pri spusteni skriptu. Toto mi nejde do hlavy :-)

[Jurop]

[... ale automaticky pri spusteni skriptu NIE.
[/quote]

[Reklama]

[trubicoid2]

klice jsou DVA RUZNE soubory, ten s pub jde na VPS do authorized_keys a ten BEZ pub jde na klienta do .ssh

myslim, ze mas spatne ten klic a tim padem se klicem neprihlasi a proto zkousi heslo

enter na passphrase mas udelat jen jednou pri jejim generovani pomoci ssh-keygen, ne kdyz to pak pouzivas

kdyz se to na passphrase pta, to uz znamena, ze v klici nejaka je, coz nechces => znova vygenerovat klice bez passphrase a spravne je rozdelit

[trubicoid2]

treba na VPS udelej:

Kód: [Vybrat]

ssh-keygenna passphrase dej enter

vznikne dvojice klicu id_rsa.pub a id_rsa, pub na VPS, bez pub do klienta

Kód: [Vybrat]

cp .ssh/id_rsa.pub .ssh/authorized_keys
jine klice tam nemas, ne?

Kód: [Vybrat]

scp .ssh/id_rsa adresa.klienta:.ssh/id_rsa
a na klientovi pouzivej klic .ssh/id_rsa

[1john22]

Pokud nevyzadujete perzistentni tunel, tak bych doporucil kouknout na ssh-agent/pageant misto vypinani passphrase.

Mozna by sel pouzit i pro persistentni tunely(bez restartu routeru) -> screen/tmux?

Nicmene tady zalezi na urovni zabezpeceni/zapojeni routeru(ups). Nechavat odemceny klic na routeru neni moc koser.

[Jurop]

Tak som to uz vyriesil :-)  Problem bol v tom ze v routri bolo openssh ale aj dropbear, tie kluce som mal sice dobre, ale pri roznych ukonoch sa pouzival iny soft.

Este by som potreboval vyriesit, aby sa ten tunel spustal aj po restarte routra. Ked ten prikaz na vytvorenie tunela dam do init.d ako spustitelny skript, rucne sa spusti, ale ak restartnem, v logu vidim spustenie skriptu ale tunel sa nevytvori.

[JardaP .]

Este by som potreboval vyriesit, aby sa ten tunel spustal aj po restarte routra. Ked ten prikaz na vytvorenie tunela dam do init.d ako spustitelny skript, rucne sa spusti, ale ak restartnem, v logu vidim spustenie skriptu ale tunel sa nevytvori.

O tom routeru zrovna moc nepisete, ale je mozne, ze se ten skript spousti v nevhodnou dobu, treba kdyz jeste neni nabehle sitove spojeni nebo neco. Treba sestaveni spojeni na ADSL muze trvat docela dlouho. Takze zkuste to spusteni nejak zpozdit.

Take je mozne, ze jste napsal skript, ktery chodi pri rucnim spusteni, ale ne pri automatickem. To se tu vyskytuje docela casto. Lidi treba do skriptu nenapisi cesty a pak se divi, ze to z cronu nebezi. Ovsem z cronu to bezi v jinem prostredi, nez z konzole v bashi.