Situace je taková - rodině a známým spravuji počítače, obvykle s linuxem. Co řeším je, jak systémově zařídit vzdálený přístup pro správu (SSH). Mám k dispozici doma malý server, který je trvale online, takže může sloužit jako hub. Napadají mně dvě možnosti - buď ssh reverzní tunely z daného stroje na server (co stroj to port) pomocí autossh, nebo VPN. Řešení s SSH tunely mi přijde poněkud buranské, i když to funguje, a o VPN toho zase moc nevím. Poradíte mi jak situaci řešit (klidně i jiným způsobem)?
Otázka hlavně je, co si představuješ pod slovy "systémově" a "buranské"
Pokud potřebuješ spravovat několik počítačů v různých sítích, tak ti stačí mít možnost sshčknout se na jeden stroj v každé síti. Na ostatní se už dostaneš ad hoc ssh tunelem. "Buranské" na tom není nic. Pokud to řeší tvoje potřeby, proč to nepoužít?
Samozřejmě si můžeš z každé sítě udělat i VPN k sobě, ale konfigurace není úplně triviální, pokud OpenVPN neznáš. A trochu tam hrozí, že když to uděláš blbě, dosáhneš nechtěných efektů (např. celá tvoje síť bude dostupná - a tímpádem napadnutelná ze všech těch zpřístupněných sítí
nebo ti budou chodit pakety, které nechceš aby ti chodily, a budou ti žrát internetové připojení). Pokud bys v některé z těch sítí chtěl spravovat víc strojů a nechtěl si dělat tunel zvlášť z každého z nich, potom je to ještě komplikovanější, protože ty sítě pak potřebuješ proroutovat a VPN klient ti typicky neběží na bráně té sítě, takže to nejspíš bude chtít statické routy na všech strojích, no není to prostě tak triviální, jak to zní.
Další možnost je samozřejmě IPv6 nebo třeba TOR. Ale to je ještě větší overkill a ještě větší náchylnost k chybě vlivem špatné konfigurace.
Poslední, co bys ještě mohl využít, je instalace Salt minionů na těch spravovaných strojích a salt masteru u tebe. Pak můžeš nejenom automatizovat jejich konfiguraci, ale i spouštět na nich libovolné příkazy, třeba si udělat v případě potřeby ten ad hoc ssh tunel. Tohle řešení je ale taky overkill, pokud Salt dobře neznáš, a navíc když se něco pokazí, tak jsi bez spojení do té sítě a neopravíš to.
Takže suma sumárum, spíš napiš, jaké máš vlastně konkrétní požadavky a co ti přijde buranskýho na tom řešení s ssh. Neřeš domnělou pseudoeleganci, která povede k nespolehlivosti, řeš co opravdu potřebuješ řešit
10 Odpovědí
3348 Zhlédnutí