connettersi a ssh da remoto con vpn attiva

[Jhin]

Buongiorno,
Tento di spiegarmi al meglio, ho configurato ssh e riesco ad entrare sia dalla stessa rete sia da remoto (con ddns ), ho impostato il port forwarding sul router e tutto funziona quando la vpn non è attiva.
Il problema è quando la vpn è attiva (crea interfaccia tun0) non riesco ad usare ssh da remoto ma solo sulla stessa rete con 192.168..., la vpn se può servire è nordvpn se serve qualche altro dato sono a disposizione; vorrei riuscire a collegarmi a ssh con la vpn up.
Mi scuso in anticipo se mi è sfuggito qualche post che chiede la stessa cosa ma ho controllato e non lo ho trovato grazie mille dell'aiuto

[Filoteo]

Con la VPN attiva connettiti via ssh aggiungendo -v alla fine del comando, es. ssh utente@1.2.3.256 -v e posta l'output (censurando l'ip o il ddns se vuoi).

[Jhin]

Buongiorno
scusate per l'attesa di seguito l'output del comando

Codice: Seleziona tutto

OpenSSH_7.6p1, LibreSSL 2.6.2

debug1: Reading configuration data /etc/ssh/ssh_config

debug1: /etc/ssh/ssh_config line 48: Applying options for *

debug1: /etc/ssh/ssh_config line 52: Applying options for *

debug1: Connecting to 192.168.178.88 port 22.

debug1: Connection established.

debug1: key_load_public: No such file or directory

debug1: identity file /Users/mc/.ssh/id_rsa type -1

debug1: key_load_public: No such file or directory

debug1: identity file /Users/mc/.ssh/id_rsa-cert type -1

debug1: key_load_public: No such file or directory

debug1: identity file /Users/mc/.ssh/id_dsa type -1

debug1: key_load_public: No such file or directory

debug1: identity file /Users/mc/.ssh/id_dsa-cert type -1

debug1: key_load_public: No such file or directory

debug1: identity file /Users/mc/.ssh/id_ecdsa type -1

debug1: key_load_public: No such file or directory

debug1: identity file /Users/mc/.ssh/id_ecdsa-cert type -1

debug1: key_load_public: No such file or directory

debug1: identity file /Users/mc/.ssh/id_ed25519 type -1

debug1: key_load_public: No such file or directory

debug1: identity file /Users/mc/.ssh/id_ed25519-cert type -1

debug1: Local version string SSH-2.0-OpenSSH_7.6

debug1: Remote protocol version 2.0, remote software version OpenSSH_7.2p2 Ubuntu-4ubuntu2.8

debug1: match: OpenSSH_7.2p2 Ubuntu-4ubuntu2.8 pat OpenSSH* compat 0x04000000

debug1: Authenticating to 192.168.178.88:22 as 'usrh'

debug1: SSH2_MSG_KEXINIT sent

debug1: SSH2_MSG_KEXINIT received

debug1: kex: algorithm: curve25519-sha256@libssh.org

debug1: kex: host key algorithm: ecdsa-sha2-nistp256

debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none

debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none

debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:Ug22UPeHPAi/APBAjkkLisii/2ShRC2a2iDCwQ0WtGI
debug1: Host '192.168.178.88' is known and matches the ECDSA host key.

debug1: Found key in /Users/mc/.ssh/known_hosts:1

debug1: rekey after 134217728 blocks

debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received

debug1: rekey after 134217728 blocks
debug1: SSH2_MSG_EXT_INFO received

debug1: kex_input_ext_info: server-sig-algs=<rsa-sha2-256,rsa-sha2-512>

debug1: SSH2_MSG_SERVICE_ACCEPT received

debug1: Authentications that can continue: publickey,password

debug1: Next authentication method: publickey

debug1: Trying private key: /Users/mc/.ssh/id_rsa

debug1: Trying private key: /Users/mc/.ssh/id_dsa

debug1: Trying private key: /Users/mc/.ssh/id_ecdsa

debug1: Trying private key: /Users/mc/.ssh/id_ed25519

debug1: Next authentication method: password

usrh@192.168.178.88's password:
debug1: Authentication succeeded (password).

Authenticated to 192.168.178.88 ([192.168.178.88]:22).

debug1: channel 0: new [client-session]

debug1: Requesting no-more-sessions@openssh.com

debug1: Entering interactive session.

debug1: pledge: network

debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0

debug1: Sending environment.

debug1: Sending env LANG = it_IT.UTF-8
Welcome to Ubuntu 16.04.6 LTS (GNU/Linux 4.4.0-142-generic i686)

 *

Documentation:  https://help.ubuntu.com
 *
 Management:     https://landscape.canonical.com
 
* Support:        https://ubuntu.com/advantage




mi sono connesso tramite 192.168.178.88 in quanto se provo tramite ddns oppure con ip che assegna la vpn mi da connection timed out.

Grazie ancora

[Sam9999]

Una VPN crea un tenuling che isola da internet.
Quindi se ti connetti con stesso IP da dentro alla VPN allora ti connetti.
Se provi da fuori della VPN non ti connetti, perché non vedi l'host remoto.
Se sei fuori dalla rete, hai da attivare la VPN anche sul client, acquisire un IP della VPN e ti potrai connettere al'host remoto via ssh.

[Jhin]

Quindi se io da dove mi connetto non ho la vpn attiva non mi posso connettere? non c'è un modo per isolare la porta 22 e farla girare fuori dalla vpn o un port forwarding verso l'ip normale?
grazie ancora ora provo ad abilitare la vpn e vedo se mi fa connettere con entrambe le macchine sotto vpn

edit: perchè avevo provato cercando su google delle soluzioni con iptable per creare la regola detta sopra di isolare la porta 22 ma con scarsi risultati infatti non ci sono riuscito

[Sam9999]

Mettere una VPN per la sicurezza che da e poi metterne esposta una porta, come la 22, non è proprio il massimo.
Forse c'è il modo ma non conoscendo la tua VPN e configurazione non lo posso suggerire, però di certo meglio una porta che non sia la 22 in caso.
La porta 22 viene subito trovata e subisce tentativi di accesso.

[Jhin]

Quello ok è per semplicità che lascio la 22 per adesso e nemmeno ho usato chiavi ma solo password una volta capito come si fa metto in sicurezza
Il problema è intanto far funzionare ssh con la vpn che è nordvpn , che posso postare per far capire la configurazione?
Grazie ancora

[Sam9999]

A quanto pare ti connetti al loro server per avere la VPN, quindi ti connetti con client a entri nella tua VPN e ti connetti SSH.

[Jhin]

Uso la procedura con openvpn cioè vado nella cartella udp o tcp e faccio "openvpn nome-nordvpn(che non ricordo) e lui si connette e crea l'interfaccia tun0 e 3 regole se non ricordo male
Quindi ci sarà un modo per connettersi a ssh ? se io con la macchina che si connette entro anche con questa su nordvpn a cosa devo provare a connettermi che ip?

[Sam9999]

Se è nordvpn che gestisce il tuneling è probabile che con lo stesso utente ti trovi nella stessa rete.
Altrimenti con client vpn e stesso utente penso che ci si debba connettere all'Ip esterno del server.

Per quanto visto, nel server VPN, si dovrebbero settare degli accessi che permettono il collegamento dei client.

[Jhin]

connettendonsi al ip esterno di nordvpn anche dallo stesso utente non si riesce, purtroppo non so come impostare in pratica che la porta 22 (da cambiare poi ) va dirottata su ip normale per ssh

[Sam9999]

Con la VPN IMHO l'unica e usare la stessa VPN e metterti in rete con quella che hai attivato sul server.

Forse con 2 IP esterni e 2 schede di rete... ne usi una parta sulla 22 per connetterti, ma sempre poi non si capisce a che ti serve la VPN se crei un accesso scoperto.

[Jhin]

a me serve ssh per comandare il pc da remoto ecco tutto poi normale che il pc deve girare sotto vpn unica cosa che non capisco come fare scusami ma non sono molto pratico di queste cose

[Sam9999]

a me serve ssh per comandare il pc da remoto ecco tutto poi normale che il pc deve girare sotto vpn unica cosa che non capisco come fare scusami ma non sono molto pratico di queste cose

Scusami anche tu in quanto anche io ho una esperienza limitata di VPN, in quanto non configurate direttamente, in secondo luogo un po' di esperienza ci vuole per settare quelle che si vuole fare.

Credo che devi studiare meglio la VPN ed il sistema che stai usando, in quanto di certo c'è come fare... anche eprché non capisco a che ti serva se la stessa è solo per l'uso locale, bastava usare una classe IP differente.

[Jhin]

che sicuramente c'è il modo di farlo non lo metto in dubbio
per quanto riguarda la vpn se la attivo al momento solo in locale mi posso loggare tramite ssh quello che vorrei è farlo da fuori cosi da aver modo di controllarlo
sto provando a documentarmi ma ho chiesto qui che sicuro ne sapete piu di me, a quanto ho capito si fa con iptable ma non riesco a farlo in concreto a livello di concetto l'ho capito
grazie ancora

[Sam9999]

Con IPtables, se sei nella stessa rete, apri la porta. Creare un routing da un ip a un altro... forse è in netplan.
Il concetto di VPN serve appunto per connettere su una rete privata due computer su internet.... serve a niente solo in locale.
Quindi se connetti il client alla VPN del server, ti connetti anche via SSH, magari c'è lo stesso da controllare il firewall per le regole di accesso alle porte...

[Jhin]

si scusami hai ragione si fa con le rotte con ip route e si modificano le rotte su tun0 per la vpn o su eth0 per ip normale devo capire come si fa appena posso posto la lista dell'ip route che mi genera almeno vediamo di capirci qualcosa insieme

[Jhin]

Scusate il doppio post
Allora ho risolto (non credo sia il metodo migliore ma in mancanza di altro ) vi spiego se a qualcuno serve
-Usando il comando "route -n" si vedono le rotte ip del sistema, in questo caso ho usato il comando prima e dopo aver abilitato la vpn
- dopo aver visto le differenze ho notato una regola che impediva il traffico in input sull'ip normale e l'ho eliminata
Quindi adesso il traffico in output usa la vpn se qualcuno prova a richiedere il mio ip quello con ddns funziona; ovviamente questo lascia l'ip esposto quindi ho creato delle regole con iptables nella chain INPUT per non accettare nulla in INPUT sull'ip con ddns tranne la porta (non la 22 una differente ) per ssh
Non sarà il metodo più sicuro ma adesso funziona; penso ci sia un metodo con il forward dalla vpn all'ip normale ma non sono capace per il momento mi accontento poi se qualcuno ne sa qualcosa di più sono qua per provare^^

[Sam9999]

Ma che utilizzo ha il pc con su la VPN ? A che serve la presenza della VPN ?

Anche perché così hai saltato la VPN e praticamente potrebbe essere inutilizzata.

[Jhin]

la vpn è attiva per tutte le connessioni quindi navigando etc il pc sta con la vpn attiva, solo se richiedi la specifica porta passa non da vpn ma dall'ip del ddns per comandare ssh e non per altro.

Non ho saltato la vpn, ma ho eliminato il redirect che faceva la vpn bloccando come connessione in entrata il ddns e con le table ho limitato ad utilizzare solo ssh tramite il mio ip normale