क्या SSH टनलिंग में नुकसान हैं?

मैंने हाल ही में एक "VPS" खरीदा है जिसे मैं एक प्रॉक्सी के रूप में उपयोग करना चाहता हूं जो कुछ साइटों और सामानों का उपयोग करने में सक्षम हो जो मैं जर्मनी से नहीं पहुंच सकता।

चूँकि मैं अभी तक स्क्वीड और ओपनवीपीएन स्थापित करने के लिए बहुत आलसी था (जो मुझे लगता है कि वर्तमान में आवश्यक है) मैं ssh-tunneling का उपयोग करता हूं।

अब कुछ हफ़्ते के बाद मैंने खुद से पूछा कि क्या ssh- टनलिंग सिर्फ ठीक नहीं था, या - और यह मेरा सवाल है - अगर कोई चेतावनी / विरोधाभास / कमियां हैं जो मुझे ध्यान में रखने की ज़रूरत हैं?

ssh proxy ssh-tunneling

— निल्स रिडमैन
स्रोत

यदि आप लिनक्स से लिनक्स पर जा रहे हैं, तो ओपनवीपीएन एक स्थिर कुंजी का उपयोग करके सेट करना बेहद आसान है। अगर आपकी एक मशीन विंडोज है, लेकिन यह काफी मुश्किल है, लेकिन यह काफी मुश्किल है। bit.ly/ujkD2

— ट्रांजिस्टर

जवाबों:

प्रदर्शन समस्या पैदा होती है जब आप टीसीपी से अधिक सुरंग टीसीपी हैं क्योंकि आप अनुकूली सुधार (धीमी शुरुआत, भीड़ परिहार, तेजी से restransmit देखने कर दो परतों है RFC2001 )।

नहीं एक दूसरे के बारे में पता है कि वे बाहरी कठिनाइयों पर नुकसान है, तो वे एक बड़ी कठिनाइयों का अनुभव करेंगे।

यह पृष्ठ विस्तार से घटना का वर्णन करता है।

संपादित करें:

टीसीपी समस्या पर टीसीपी के साथ चिपके रहने के बजाय sshuttle पर एक नज़र है जो इसे रोकता है। इस स्थिति के बारे में और भी अधिक जानकारी के लिए
" थ्योरी ऑफ ऑपरेशन " नामक अनुभाग पर एक नज़र डालें ।

— Shadok
स्रोत

क्या आंतरिक परत को पता नहीं है कि यह लूपबैक इंटरफ़ेस से बात कर रहा है?

— रैंडम 832

आपके प्रश्न के बारे में समस्या यह है कि टीसीपी उन "अनुकूलन" को अक्षम करने का समर्थन नहीं करता है, भले ही यह किसी भी तरह "स्थिति से अवगत हो" एक आंतरिक धारा के रूप में यह कुछ भी नहीं कर सकता है। यहाँ समस्या यह है कि बाहरी अनुकूली व्यवहार आंतरिक को बाधित करेगा, जो उदाहरण के लिए पुन: प्रवेश धीमा करके अनुकूलन करने का प्रयास करेगा, हालांकि बाहरी टीसीपी स्ट्रीम पहले से ही इसके लिए अनुकूल है।

— Shadok

मैं उस मामले के बारे में सोच रहा था जहां यह एक सामान्य टनलेड टीसीपी कनेक्शन है, न कि "टीसीपी पर आईपीपी से अधिक टीसीपी पर टीसीपी" - इस मामले में वास्तव में एक दूसरा टीसीपी प्रोटोकॉल स्टैक नहीं है - एसएचएस सिर्फ एक बाइट स्ट्रीम को अग्रेषित कर रहा है। और मेरा मतलब "आंतरिक धारा के रूप में अपनी स्थिति से अवगत" नहीं था, मेरा मतलब था कि इस स्थिति में इसका लूपबैक इंटरफ़ेस (स्थानीय पोर्ट ssh सुन रहा है) अपने गंतव्य के रूप में कैसे होगा।

— रैंडम 832

ओपी ने "कुछ साइटों" के बारे में बात की, मैंने माना कि वह एसएसएच के माध्यम से एसओएसवी 5 पर HTTP कर रहा था, जिसका मतलब है कि वह टीसीपी पर एसएसपी कर रहा है (एसएसएच खुद टीसीपी है और सुरंग के अंदर HTTP एक और टीसीपी धाराओं पर बहती है, जो एसएसएच में एनकैप्सुलेटेड है)।

— Shadok

@ शशोक मुझे पूरा यकीन है कि आपके निष्कर्ष सही नहीं हैं। एपनवर्र tun/tapटनलिंग का उल्लेख कर रहा था जिसके परिणामस्वरूप tcp-over-tcp होता है। SOCKSv5 समान समस्याओं से ग्रस्त नहीं है, लेकिन सभी अनुप्रयोगों के साथ पारदर्शी तरीके से काम नहीं करता है (जबकि ट्यून / टैप सिर्फ एक अन्य नेटवर्क इंटरफ़ेस है ताकि इसे पारदर्शी रूप से संभाला जा सके)।

— जेपीसी

एक बात जो मैं अपने दिमाग से सोच सकता हूं वह है प्रदर्शन। लेकिन यह वास्तव में निर्भर करता है कि आप किस तरह का सामान टनलिंग कर रहे हैं।

— मार्कस
स्रोत

किस तरह का प्रदर्शन? बैंडविड्थ? मैं वर्तमान में इसका उपयोग hulu और अवरुद्ध किए गए कुछ youtube वीडियो तक पहुंचने के लिए करता हूं।

— नेल्स रिडमैन

सीपीयू ओवरहेड (एन्क्रिप्शन) और संभवतः विलंबता, सबसे अधिक संभावना है।

— XTL

आम तौर पर मैंने पाया है कि विलंबता बढ़ जाती है, लेकिन एसएसएच टनलिंग से थ्रूपुट सामान्य रूप से ठीक (90%) होता है। ServerAliveIntervalडिस्कनेक्ट को रोकने के लिए सेट करना सुनिश्चित करें , और विफलता पर सुरंग को फिर से चालू रखने के लिए इसे स्क्रिप्ट में लपेटें।

मुख्य दोष यह है कि यह एक प्रति-टीसीपी पोर्ट सुरंग है, जब तक कि आप सॉक्स का उपयोग नहीं करते हैं। SOCKS ठीक है लेकिन विलंबता इसके साथ और भी अधिक बढ़ रही है, और निश्चित रूप से, प्रत्येक ग्राहक SOCKS का समर्थन नहीं करता है।

GatewayPortsदूसरों को अपनी सुरंग के माध्यम से जुड़ने की अनुमति देने के लिए आपको क्लाइंट या एसएसएच सर्वर पर चलना पड़ सकता है । सर्वर पर यह sshd_config को रूट एक्सेस की आवश्यकता होती है।

मुख्य प्रदर्शन चेतावनी (अन्य नोट के रूप में) यह है कि अविश्वसनीय कनेक्शन संभवतः इस दृष्टिकोण के साथ अच्छी तरह से किराया नहीं करते हैं, क्योंकि टीसीपी के एल्गोरिदम एनकैप्सुलेशन के तहत अच्छी तरह से प्रतिक्रिया नहीं करते हैं।

एसएसएच ने कहा कि ज्यादातर समय "सही काम करना" लगता है।

— स्टु चार्लटन
स्रोत

आपके द्वारा देखे जाने वाले अविश्वसनीय कनेक्शन के साथ समस्या संभवतः बढ़ी हुई विलंबता और हैंडशेक से संबंधित है जिसे कनेक्शन ड्रॉप होने पर दोहराया जाना चाहिए। SSH पोर्ट फ़ॉरवर्डिंग tcp-over-tcp एनकैप्सुलेशन नहीं करता है।

— jpc