मैंने हाल ही में पाया कि जब मेरा कार्य केंद्र एक वीपीएन कनेक्शन से जुड़ता है, तो उसका एसएसएच सर्वर किसी दूरस्थ साइट से नहीं जोड़ा जा सकता है। मुझे यकीन है कि यह एक रूटिंग समस्या है क्योंकि वीपीएन क्लाइंट पीपीपी कनेक्शन के अपने सहकर्मी (वीपीएन सर्वर) के लिए डिफ़ॉल्ट गेटवे को बदलता है।
क्या SSH सर्वर और VPN क्लाइंट दोनों को खुश करने का कोई समाधान है?
जवाबों:
जब आप एक वीपीएन का उपयोग करते हैं तो आमतौर पर वीपीएन नेटवर्क आपके पूरे इंटरफेस को संभाल लेता है जैसे कि आप केवल वीपीएन नेटवर्क पर कहीं से रूटेबल होते हैं न कि बड़े पैमाने पर इंटरनेट। अधिकांश लोग vm (वर्चुअलबॉक्स आदि) चलाकर और उस वर्चुअल मशीन में vpn से जुड़कर इस समस्या को हल करते हैं ताकि यह वास्तविक मशीन पर मुख्य कनेक्शन को पूरी तरह से नली न दे।
नेटवर्क सेटअप के माध्यम से पहुंचने से पहले, जांच लें कि ssh सर्वर vpn इंटरफ़ेस पर सुनता है या नहीं। हो सकता है कि यह आपके सर्वर पर एक विशिष्ट इंटरफ़ेस से बंधा हो।
उदाहरण netstat -aआउटपुट:
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:ssh *:* LISTEN
इस उदाहरण में ssh सर्वर सभी इंटरफ़ेस (जिसमें तारांकन चिह्न द्वारा इंगित किया गया है) पर सुनता है *:ssh। यदि आपके सिस्टम पर इसके बजाय एक होस्ट पता है, तो ssh सर्वर विशिष्ट इंटरफेस के लिए बाध्य है।
इसे संपादित करें /etc/ssh/sshd_configऔर ListenAddress 0.0.0.0इसे समायोजित करने के लिए सेट करें, अगर neccessary।
यदि sshd पहले से ही सही इंटरफेस को सुनता है, तो रूटिंग डंगऑन में प्रवेश करने के लिए स्वतंत्र महसूस करें :-)
ListenAddressसेट किया जाना चाहिए? स्थानीय इंटरफ़ेस पर सर्वर का आईपी? राउटर का आईपी? कुछ और?
आप स्प्लिट टनलिंग की बात कर रहे हैं। यदि आप कमांड-लाइन ROUTE.EXE टूल से काफी परिचित हैं , तो आप वीपीएन क्लाइंट द्वारा रखे गए मार्गों की जांच कर सकते हैं, और उन्हें हटा सकते हैं। फिर आप वीपीएन गेटवे के माध्यम से अपने कॉरपोरेट लैन पर जाने के लिए ट्रैफ़िक की अनुमति देने के लिए फिर से जोड़ सकते हैं।
विशेष रूप से, आप उपयोग करेंगे
route print
... रूटिंग प्रविष्टियों की एक सूची प्राप्त करने के लिए। आउटपुट देखे बिना, ऐसा लगता है कि आपके वीपीएन क्लाइंट ने वीपीएन पेइंग गेटवे होने के साथ एक डिफ़ॉल्ट (0.0.0.0) प्रवेश किया होगा। आप उपयोग कर सकते हैं
route delete 10.*
... उदाहरण के लिए, 10.xxx नेटवर्क की ओर इशारा करते हुए सभी प्रविष्टियों को हटाने के लिए।
तब आप उपयोग कर सकते हैं
route add 10.0.0.0 mask 255.0.0.0 10.0.99.99
... जहां पहला पता (10.0.0.0 255.0.0.0) आपका कॉर्पोरेट नेटवर्क और मुखौटा है, और दूसरा पता रिमोट गेटवे है।
आपको इसे कनेक्ट करने के लिए हर बार चलाने की आवश्यकता होगी, इसलिए आप इसे स्क्रिप्ट करना चाह सकते हैं।
साइड नोट: एक विकल्प यह होगा कि आप अपनी कंपनी को विभाजित टनलिंग का उपयोग करने के लिए अपनी वीपीएन स्थापित करने के लिए मनाएं; इसके लिए एक तर्क बैंडविड्थ कम हो जाता है, और (IANAL) अपने नेटवर्क के माध्यम से बहने वाले गैर-कॉर्पोरेट वेब ट्रैफ़िक के लिए देयता कम कर देता है।