Server SSH tidak dapat terhubung ke saat VPN dihidupkan

9

Saya baru-baru ini menemukan bahwa ketika workstation saya terhubung melalui koneksi VPN maka server SSH tidak dapat terhubung ke dari situs jarak jauh. Saya yakin ini masalah perutean karena klien VPN mengubah gateway default ke peer (server VPN) dari koneksi ppp.

Apakah ada solusi untuk membuat SSH server dan VPN client senang?

ssh vpn gateway routing btw0
sumber

Jawaban:

2

Ketika Anda menggunakan vpn secara umum, jaringan vpn mengambil alih seluruh antarmuka Anda sehingga Anda hanya dapat dialihkan dari suatu tempat di jaringan vpn bukan dari internet pada umumnya. Kebanyakan orang menyelesaikan masalah ini dengan menjalankan vm (virtualbox dll) dan menghubungkan ke vpn di mesin virtual itu sehingga tidak sepenuhnya menyambungkan koneksi utama pada mesin yang sebenarnya.

Stu
sumber
Anda dapat melakukan beberapa trik perutean untuk merutekan data dari vpn satu arah dan data lain dengan cara lain (gateway berbeda dll) tetapi sebenarnya hanya jauh lebih mudah untuk menggunakan virtualbox. :-)
Stu
Terima kasih untuk sarannya! Saya ingin tahu trik routing apa yang bisa mencapai ini.
btw0
Saya menggunakan VM stu, tetapi apa yang saya tidak bisa lakukan adalah mendapatkan nilai VPN di host, karena saya perlu melakukan pekerjaan dev.
Jamie Hutber
oh, saya menyarankan sebaliknya. Gunakan vpn hanya dalam vm dan meninggalkan mesin reak untuk internet terbuka dan gratis.
Stu
2

Sebelum berpetualang melalui pengaturan jaringan, periksa apakah server ssh yang bersangkutan mendengarkan pada antarmuka vpn. Mungkin itu terikat ke antarmuka spesifik di server Anda.

Contoh netstat -aoutput:

 Proto Recv-Q Send-Q Local Address    Foreign Address   State      
 tcp        0      0 *:ssh            *:*               LISTEN

Server ssh dalam contoh ini mendengarkan semua antarmuka (ditunjukkan oleh tanda bintang masuk *:ssh. Jika pada sistem Anda ada alamat host, server ssh terikat ke antarmuka tertentu.

Edit /etc/ssh/sshd_configdan atur ListenAddress 0.0.0.0untuk menyesuaikan ini, jika perlu.

Jika sshd sudah mendengarkan antarmuka yang benar, jangan ragu untuk masuk ke ruang bawah tanah perutean :-)

ktf
sumber
1
Ke alamat apa yang harus ListenAddressditetapkan? IP server pada antarmuka lokal? IP router? Sesuatu yang lain
Psychonaut
0

Anda sedang berbicara split tunneling. Jika Anda cukup terbiasa dengan alat ROUTE.EXE baris perintah , Anda mungkin dapat memeriksa rute yang ditempatkan oleh klien VPN, dan menghapusnya. Anda kemudian akan menambahkan satu lagi untuk memungkinkan lalu lintas ke LAN perusahaan Anda mengalir melalui gateway VPN.

Secara khusus, Anda akan menggunakan 

route print

... untuk mendapatkan daftar entri perutean. Tanpa melihat output, sepertinya klien VPN Anda akan menempatkan entri default (0.0.0.0) dengan gateway menjadi gateway peer VPN. Kamu bisa menggunakan

route delete 10.*

... misalnya, untuk menghapus semua entri yang menunjuk ke jaringan 10.xxx.

Anda kemudian dapat menggunakan

route add 10.0.0.0 mask 255.0.0.0 10.0.99.99

... di mana alamat pertama (10.0.0.0 255.0.0.0) adalah jaringan dan mask perusahaan Anda, dan alamat kedua adalah gateway jarak jauh.

Anda perlu menjalankan ini setiap kali terhubung, jadi Anda mungkin ingin menuliskannya.

Catatan: alternatif adalah meyakinkan perusahaan Anda untuk mengatur VPN mereka untuk menggunakan tunneling terpisah; argumen untuk ini adalah pengurangan bandwidth, dan (IANAL) mengurangi tanggung jawab untuk lalu lintas web non-perusahaan yang mengalir melalui jaringan mereka.

Geoff
sumber