• XSS.stack #1 – первый литературный журнал от юзеров форума

Вопрос: Как подключиться по ssh, к 2 серверам под одним ip

Отслеживать
NisShkan

NisShkan

HDD-drive
Пользователь
Регистрация
08.10.2019
Сообщения
23
Реакции
2
Проблема такая: Есть 2 сервера под одним внешним Ip, admin.site.com(192.168.0.2) и home.site.com(192.168.0.3)
Сами сайты работают, но когда пытаюсь подключиться по ssh из вне (например:home.site.com(192.168.0.3)) , он бросает на admin.site.com(192.168.0.2)
Сервера находятся под микротиком. Есть какие-нибудь варианты решения ?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
NisShkan сказал(а):
Проблема такая: Есть 2 сервера под одним внешним Ip, admin.site.com(192.168.0.2) и home.site.com(192.168.0.3)
Сами сайты работают, но когда пытаюсь подключиться по ssh из вне (например:home.site.com(192.168.0.3)) , он бросает на admin.site.com(192.168.0.2)
Сервера находятся под микротиком. Есть какие-нибудь варианты решения ?
Да,надо настроить маршрутизацию
 
BabaDook сказал(а):
Да,надо настроить маршрутизацию
Судя потому что написал NisShkan, ему надо настроить проброс портов. На микроте это делается легко IP-Firewall-Nat, цепочку выбираешь dst-nat
 
surpriz сказал(а):
Судя потому что написал NisShkan, ему надо настроить проброс портов. На микроте это делается легко IP-Firewall-Nat, цепочку выбираешь dst-nat
Если надо будет по 10 портов и доменов будет много. Думал есть ли какой-нибудь вариант, чтобы работал сразу. ssh root@home.site.com и норм все. Как на хостинге
 
KopBaL0L сказал(а):
А как ты себе это представляешь в плане топологии ?)
Да собственно говоря никак, но на хостинге норм работает. Оба сервака на одном ип. Или я плохо пытаюсь донести мысль
 
Как подключиться по ssh, к 2 серверам, которые находятся под микротиком - Проброс портов в роутере MikroTik.

Проброс портов в роутере MikroTik (port forwarding) позволяет организовать удаленный доступ из интернета к какому-нибудь устройству внутри вашей локальной сети.
Почему возникает необходимость в пробросе портов? Дело в том, что по умолчанию в роутерах работает правило так называемого маскарадинга. IP-адреса компьютеров и других устройств из локальной сети не видны ЗА роутером, во внешней сети. При поступлении пакетов данных из внутренней сети для отправки во внешний мир роутер открывает определенный порт и подменяет внутренний IP устройства на свой внешний адрес - надевает "маску", а при получении ответных данных на этот порт - отправляет их на тот компьютер внутри сети, для которого они предназначаются.

Ваш роутер обязательно должен иметь белый IP-адрес, по которому к нему можно подключиться из интернета. В роутере MikroTik проверить белый ли у вас IP-адрес можно следующим образом:
  • Откройте меню IP - Cloud
  • Поставьте галочку DDNS Enabled
  • Нажмите кнопку Apply
Если после этого отобразиться статус "updated" без ошибок, то у вас белый IP-адрес.
Порт желательно указывать в диапазоне от 49152 до 65535. Можно также использовать диапазон от 1024 до 49151, если вы уверены, что указанный порт не будет конфликтовать с какой-то программой.

Для проброса портов в роутере MikroTik откройте меню New Terminal и выполните команды:

1. Первым делом добавляем правило маскарадинга для подсети 192.168.0.0/24
/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.0.0/24

2. Обращения из интернета к порту 49202, перенаправляем во внутреннюю сеть на устройство 192.168.0.2 и порт 22.
/ip firewall nat add action=netmap chain=dstnat dst-port=49202 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2 to-ports=22

3. Обращения из интернета к порту 49203, перенаправляем во внутреннюю сеть на устройство 192.168.0.3 и порт 22.
/ip firewall nat add action=netmap chain=dstnat dst-port=49203 in-interface=ether1 protocol=tcp to-addresses=192.168.0.3 to-ports=22

4. Обращения из локальной сети к внешнему IP-адресу XXX.XXX.XXX.XXX и порту 49202 перенаправляем в локальную сеть на устройство 192.168.0.2 и порт 22, а не в интернет.
/ip firewall nat add action=netmap chain=dstnat dst-address=XXX.XXX.XXX.XXX dst-port=49202 in-interface=bridge protocol=tcp src-address=192.168.0.0/24 to-addresses=192.168.0.2 to-ports=22

5. Обращения из локальной сети к внешнему IP-адресу XXX.XXX.XXX.XXX и порту 49203 перенаправляем в локальную сеть на устройство 192.168.0.3 и порт 22, а не в интернет.
/ip firewall nat add action=netmap chain=dstnat dst-address=XXX.XXX.XXX.XXX dst-port=49203 in-interface=bridge protocol=tcp src-address=192.168.0.0/24 to-addresses=192.168.0.3 to-ports=22

Созданные правила можно посмотреть в меню IP - Firewall на вкладке NAT.
При подключении по ssh указываем порт:
ssh -p 49202 root@XXX.XXX.XXX.XXX
 
NisShkan сказал(а):
Если надо будет по 10 портов и доменов будет много. Думал есть ли какой-нибудь вариант, чтобы работал сразу. ssh root@home.site.com и норм все. Как на хостинге
Если ты имеешь в виду 10 машин на одном внешнем ИП, то вручную на отдельные порты выводить. Если просто 10 портов на одной машине, то можно пробросить сразу диапазон портов за раз. Микротиком не пользовался, но это базовая функция, даже на длинках такое есть.
 
Harbour сказал(а):
сделай VPN в 192.xxx и не морочь себе голову
Тоже вариант) хотя в обоих случаях будет +1 открытый порт.
Может ходить на вторую машину с первой?) чем меньше портов открытых - тем спокойнее ?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
будет открыт только один порт vpn и тот можно прикрыть knockd, а по ssh можно ходить сразу на NAT'овские IP, как ты и хотел. для этого тупо пропиши в DNS nat.home.site.com NAT'овские IP или ходи сразу по IP.
 
Если без ВПН, то, либо тунель ссш, либо пробросить другой порт, либо цепочкой ссш.
В последнем случае удобно будет создать два подключения и у одного настроить выполение комманды 'ssh 192.168.0.x' при подключении. Сразу будет подключение ко второму серверу через первый.
 
r_as сказал(а):
Если ты имеешь в виду 10 машин на одном внешнем ИП, то вручную на отдельные порты выводить. Если просто 10 портов на одной машине, то можно пробросить сразу диапазон портов за раз. Микротиком не пользовался, но это базовая функция, даже на длинках такое есть.
ну представь если 10 машин и на каждом открывать по 10 портов. То при подключении можно спокойно забыть какой порт принадлежит такому-то хосту

Harbour сказал(а):
сделай VPN в 192.xxx и не морочь себе голову
Да так бы я давно сделал, но не по человечески это

metasploit сказал(а):
Тоже вариант) хотя в обоих случаях будет +1 открытый порт.
Может ходить на вторую машину с первой?) чем меньше портов открытых - тем спокойнее ?
? то же была идея, но не подойдет. Спокойнее будет сейчас заморочиться, дабы потом подключаться сразу по домену

Harbour сказал(а):
будет открыт только один порт vpn и тот можно прикрыть knockd, а по ssh можно ходить сразу на NAT'овские IP, как ты и хотел. для этого тупо пропиши в DNS nat.home.site.com NAT'овские IP или ходи сразу по IP.
ip внешний один. И не вариант через впн, дабы потом уже в локальной сети подключаться

Pernat1y сказал(а):
Если без ВПН, то, либо тунель ссш, либо пробросить другой порт, либо цепочкой ссш.
В последнем случае удобно будет создать два подключения и у одного настроить выполение комманды 'ssh 192.168.0.x' при подключении. Сразу будет подключение ко второму серверу через первый.
Нет, выше описал причины почему не сойдет. Ведь удобнее будет, если сразу по домену:smile10:
 
NisShkan сказал(а):
Ведь удобнее будет, если сразу по домену:smile10:
Тогда никак.
Роутер переправляет пакеты на определенный сервер. Он не видит хостнейм/домен, куда ты подключаешся.
 
NisShkan сказал(а):
Да так бы я давно сделал, но не по человечески это
иметь административное подключение через отдельный vpn это широко распространенная практика, с чего это не по-человечески?

NisShkan сказал(а):
Спокойнее будет сейчас заморочиться, дабы потом подключаться сразу по домену
глянь https://github.com/Crosse/sshsrv
настраивать трансляцию адресов и портов все равно придется, но это можно и автоматизировать, если например у тебя деплой нового сервиса по кнопке или вызову скрипта
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх