Raspberry SSH VPN

[Kamil.Vondra]

Zdravím tu všechny.
Jelikož v pondělí odjíždím mimo republiku a potřebují se občas dostat do firemní sítě, koupil jsem si tuto mašinku.
Můj první linux stroj.
Dostat se do ní přes  SSH a  VNC jsem už zvládl.
Chtěl jsem ještě nějaký VPN servr a zkusit SoftEther.
https://jlnostr.de/en/blog/raspberry-pi-sstp-vpn-server-installieren/
S mými znalostmi jsem to však nezvládl a skončil u toho, že jsem změnil heslo administratora.
Bohužel mně čas tlačí.
Půjde udělat VPN tunel přes SSH – putty?
Potřebují, abych  v mem počítači s windows mohl pracovat v zahraničí tak, jako bych byl v sítí, kde je raspi.
Nejen aby fungoval prohližeč ale i všechny programy co si načitají informace s naší databaze.
Děkují moc za jakoukolív radu.
S pozdravem Kamil

[Reklama]

[JardaP .]

Jit by to melo:

https://www.getfilecloud.com/blog/create-your-own-virtual-private-network-for-ssh-with-putty/
http://www.bestvpnservice.com/blog/how-to-setup-putty-for-ssh-vpn/
https://www.digitalocean.com/community/tutorials/how-to-route-web-traffic-securely-without-a-vpn-using-a-socks-tunnel

[trubicoid2]

IMHO tim ssh se udela port forward a SOCKS proxy pro prohlizec, pro jiny aplikace to nepojede

jestli je potreba i jiny aplikace, tak openvpn, ale neni to uplne jednoduchy nastavit, do pondeli by se to asi dalo

zkus treba toto, slibuje to jednoduchost
http://www.pivpn.io/

[trubicoid2]

teda tim ssh by to asi slo, ale bylo by potreba, aby kaza plikace podporovala taky socks proxy a je potreba to pro kazdou nastavit

[JardaP .]

@trubicoid2: SSH tunelem muzes tlacit co chces. Akorat se to musi nejak nastavit individualne pro kazdy port na cili. Tady treba mas priklad pro pritup na Samba sdileni z Widli pres ssh tunel:
https://www.simonholywell.com/post/2009/04/samba-file-share-over-ssh-tunnel/

Akorat tedy nevim, jestli zrovna PuTTY umi najednou tunelovat vic, jak jeden port.

Jinak se daji spojit dve site do jedne:

man ssh:

SSH-BASED VIRTUAL PRIVATE NETWORKS
     ssh contains support for Virtual Private Network (VPN) tunnelling using the tun(4) network pseudo-device, allowing two networks to be joined securely.  The sshd_config(5) configuration option PermitTunnel controls whether the server supports this, and at what level (layer 2 or 3 traffic).

     The following example would connect client network 10.0.50.0/24 with remote network 10.0.99.0/24 using a point-to-point connection from 10.1.1.1 to 10.1.1.2, provided that the SSH server running on the gateway to the remote network, at 192.168.1.15, allows it.

     On the client:

           # ssh -f -w 0:1 192.168.1.15 true
           # ifconfig tun0 10.1.1.1 10.1.1.2 netmask 255.255.255.252
           # route add 10.0.99.0/24 10.1.1.2

     On the server:

           # ifconfig tun1 10.1.1.2 10.1.1.1 netmask 255.255.255.252
           # route add 10.0.50.0/24 10.1.1.1

Nejaky znalec PuTTY snad muze rici, jestli to jde s i s tim. A protoze v Linuxu se vytvari extra interface, bude nutne ten interface udelat i ve Widlich. Popis je v prikladu se sambou vyse.

Podle tohoto: http://superuser.com/questions/62303/how-can-i-tunnel-all-of-my-network-traffic-through-ssh je mene prace pouzit misto ssh sshuttle. Existuje klient pro Masox a Linux zde: https://github.com/apenwarr/sshuttle, takze zalezi na tom, z ceho na to RPi chce tazatel tunelovat.

[Reklama]

[Kamil.Vondra]

A s tým SoftEther níkdo neumí?
Bych řek, že už jsem kousek od vitězství.
Už jsem u přidávání uživatelů.

UserCreate kamil

UserCreate command - Create User
Assigned Group Name:

Chce to abych ho přidal do nějake skupiny 

[SB]

IMHO tim ssh se udela port forward a SOCKS proxy pro prohlizec, pro jiny aplikace to nepojede...

@trubicoid2: SSH tunelem muzes tlacit co chces. Akorat se to musi nejak nastavit individualne pro kazdy port na cili...

Přesně tak, pomocí -L se dá protunelovat jakýkoliv port. Sice je to složitější na použití (spuštění) než VPN, ale když by nejela VPN, tak je to jistota.

[ehmmm]

@trubicoid2: SSH tunelem muzes tlacit co chces. Akorat se to musi nejak nastavit individualne pro kazdy port na cili...

Přesně tak, pomocí -L se dá protunelovat jakýkoliv port. Sice je to složitější na použití (spuštění) než VPN, ale když by nejela VPN, tak je to jistota.

Upresnim: jakykoliv *TCP* port, s UDP to je trochu slozitejsi.

[Jenda]

Přesně tak, pomocí -L se dá protunelovat jakýkoliv port. Sice je to složitější na použití (spuštění) než VPN, ale když by nejela VPN, tak je to jistota.

Spuštění řeší skript v rc.local . Ale osobně mám zkušenost, že na nestabilním mobilním připojení či na ADSL je OpenVPN přes UDP robustnější než SSH tunel.

[trubicoid2]

Akorat tedy nevim, jestli zrovna PuTTY umi najednou tunelovat vic, jak jeden port.
...
     On the client:

           # ssh -f -w 0:1 192.168.1.15 true
           # ifconfig tun0 10.1.1.1 10.1.1.2 netmask 255.255.255.252
           # route add 10.0.99.0/24 10.1.1.2

jelikoz klient je widle, tam ty tunaky tak lehko nedas si myslim

jinak puty spustis vickrat, pokazde s jinym portem

[trubicoid2]

A s tým SoftEther níkdo neumí?
Bych řek, že už jsem kousek od vitězství.
Už jsem u přidávání uživatelů.

no nevim, tady je nejaky video, asi to neni slozity, usuzuju z delky 10 minut

https://www.youtube.com/watch?v=wr0uKah5qjc

[JardaP .]

jelikoz klient je widle, tam ty tunaky tak lehko nedas si myslim

To asi bude to, cemu ve Widlich rikaji Loopback Adapter. V kazdem pripade podle toho clanku o tunelovani Samby pres Internet do Widli to pres to delaji.

jinak puty spustis vickrat, pokazde s jinym portem

To bude dobry opruz.

Tady je docela dobre howto: https://help.ubuntu.com/community/SSH_VPN . Zda se, ze to dela opravdu VPN. Ted jeste aby to slo nejak aplikovat na Widle s PuTTY.

[openvpn]

Pouzit OpenVPN nie je az take tazke, na Arch Linux wiki je pekny navod (BTW pre Raspberry Pi je dostupný Arch Linux ARM).

https://wiki.archlinux.org/index.php/OpenVPN
https://archlinuxarm.org/

[Kamil.Vondra]

A s tým SoftEther níkdo neumí?
Bych řek, že už jsem kousek od vitězství.
Už jsem u přidávání uživatelů.

no nevim, tady je nejaky video, asi to neni slozity, usuzuju z delky 10 minut

https://www.youtube.com/watch?v=wr0uKah5qjc

Ano, toto mam už davno hotove a funkční.
VPN jde spustít, zastavit a restartovat.
Jen nevím, jak přidat uživatele.
https://jlnostr.de/en/blog/raspberry-pi-sstp-vpn-server-installieren/
Mam Create a virtual hub.
Přihlasím se do něj  Hub VPN.
Pak Activation of SecureNAT.
Pak Adding users UserCreate kamil.
A pak po mně chce abych kamila přiřadíl do nějake skupiny. 
Assigned Group Name:

[trubicoid2]

no tak ho prirad, ne?
do users nebo do pi nebo do jine, co tam mas