ssh шифрованный туннель

[CTOPMbI4]

Задачка поднять с фряхи ssh туннель (серверная часть) и подключать к нему клиентов.
клиентская часть. Далее пустить по нему http трафик.
Какие есть варианты для реализации?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[CrazyPilot]

Вы уверены что ssh?

Может все-таки лучше посмотреть в сторону vpn и mpd?

Я честно, не могу представить, как можно к туннелю подключать клиентов...Плюс придется использовать системных юзеров, для авторизации по ssh? (Хотя конечно можно поизвращаться с pam)

[CTOPMbI4]

мм... хочется так: с стороны клиента например putty и поднимается туннель. До фряхи.Далее авторизация в брауезере через сквид.
Результат нужно чтобы трафик шифровался.
Такую тему подняли Винде через WinSSHD. Какие есть варианты на Фряхе?

[CrazyPilot]

На фре тоже есть ssh Который также умеет туннели, в туннеле пробрасывайте порт сквида, а дальше браузером (прокси) ломитесь на проброшенный порт. Там и будет сквид сидеть.

Но, имхо изврат какой-то. vpn тоже шифрованный, как и ssh. Только с виртуальными пользаками геммороя меньше. Да и вообще геммороя меньше (ИМХО)

[CTOPMbI4]

Вы про секъюрность говорите? Пострадать может?
Я сам по ssh хожу на машину удалено.
По поводу mpd через него инет на фряхе.
гхм...как бы нужно radius + mysql прикручивать?
И нужно как то настроить конфиг. Чтобы он сам до провайдера поднимал туннель. И еще юзеры могли коннектиться к нему.
или я не вкуриваю?

[CrazyPilot]

Вы не впиливаете (с) :-)

Что ssh, что vpn - все эти соединения гоняют шифрованный трафик. Для mpd сервера ( к которому подключаются удаленные клиенты) ни радиус, ни mysql не являются обязательными элементами. У меня, например, mpd при аутентификации клиента сначала смотрит в радиус, а если радиус вернул reject - смотрит в файлик на фс.

Насчет туннеля до провайдера я не совсем понял...вы меня совсем запутали
То вы говорите о туннелях от клиента до сервера, теперь уже до провайдера...походу кому-то надо расчищать кашу в голове...

Как я понимаю, на шлюзе, который предоставляет проксю, можно поставить mpd в качестве сервака, выделить этому mpd пул адресов, трафик с этих адресов в фаере редиректить на сквид. Собственно все. Клиент поднимает vpn до шлюза, долбится на этом шлюзе на проксю, получает инет. Собственно, ничего сложного.

[CTOPMbI4]

Дело в том что, у меня на этой железке инет от провайдера тоже посредствам mpd .
Тобишь 2 ВПН туннеля до сервера провайдера.
Один как локал. Второй внешка.
Теперь получается нужно как то поднять mpd (серверная часть) у меня на железке, и коннектить клиентов через него.
Тобишь у меня mpd должен сам выступать в роли клиента до сервера провайдера. И сам предоставлять сервис для моих клиентов.
Вот собственно вопрос как это все совместить грамотно И вообще это возможно?
Я о конфигах mpd.
Что то совсем не представляю как это сделать.

[CrazyPilot]

Можно в /usr/local/etc/rc.d набросать скрипт, который будет запускать mpd с жестко прописанным конфигом через командный параметр -f. Ваши конфиги для провайдера останутся неизменными, останется написать конфиг для pptp vpn сервера и запускать отдельный mpd, натравливая его на этот конфиг.

что-нибудь типа:

Код: Выделить всё

#!/bin/sh

case $1 in
start) /usr/local/sbin/mpd5 -f your_vpn_srv_config.conf -....;;
stop)  /bin/kill -TERM pid_of_mpd;;
 *)    echo "Use: {start|stop}"
esac

[CrazyPilot]

Хотя наверно я туплю - mpd вроде бы может несколько конфигов загружать из одного файла. Достаточно прописать несколько секций load.

[CTOPMbI4]

Хотя наверно я туплю - mpd вроде бы может несколько конфигов загружать из одного файла. Достаточно прописать несколько секций load.

Так а тут поподробнее?

[CrazyPilot]

Ну я думаю что-то типа:

Код: Выделить всё

default:
load your_isp_config
load pptp_server

your_isp_config:

        bla bla bla

pptp_server:
        # Такой конфиг у меня на одном из серваков
        # Авторизация по файлику mpd.secret
        set ippool add pool1 192.168.0.200 192.168.0.210
        create bundle template B
        set iface enable proxy-arp
        set iface idle 1800
        set iface enable tcpmssfix
        set iface route default
        set ipcp yes vjcomp
        set ipcp ranges 192.168.0.1/32 ippool pool1
        set ipcp dns 192.168.0.2
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless
        set bundle yes crypt-reqd
        create link template L pptp
        set link action bundle B
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap
        set link enable chap
        set link keep-alive 10 60
        set link mtu 1460
        set pptp self ## здесь wan_ip
        set link enable incoming

[CTOPMbI4]

гм у меня такие секции.
mpd версии 4.
mpd.conf

Код: Выделить всё

startup:
        set web port 8080
        set web ip 127.0.0.1
        set web disable auth
        set web open
default:
        new -i ng0 p0000 p0000
        set iface idle 0
        set bundle enable multilink
        set auth authname "123"
        set auth password "123"
        set link no acfcomp protocomp
        set ipcp no vjcomp
        set link keep-alive 10 75
        new -i ng1 p0001 p0001
        set iface idle 0
         set bundle enable multilink
        set auth authname "124"
        set auth password "124"
        set link no acfcomp protocomp
        set ipcp no vjcomp
        set link keep-alive 10 75

Код: Выделить всё

 и линкс
pushistiy# cat  mpd.links
p0000:
        set link type pptp
        set pptp peer 10.0.0.1
        set pptp enable originate
p0001:
        set link type pptp
        set pptp peer 10.0.0.1
        set pptp enable originate

[CrazyPilot]

ну хз как 4, у меня mpd5

Можно попробовать вынести то, что у тебя в default в отдельную секцию, обозвать ее isp.
И сделать еще одну секцию pptp_server

Далее в default секцию написать load isp и load pptp_server.
Я бы попробовал так. С mpd4 к сожалению не общался, но думаю глобального ничего не изменилось.

А еще можно перейти на mpd5