Már régebb óta látom itt a hozzáértőbb felhasználóktól, hogy szükség esetén SSH-n belépve adminisztrálják a távolban lévő szülő gépét, illetve talán a Samba egyik lehetséges alternatívájaként is jellemezték már ezt a megoldást. Valamennyire foglalkoztat a dolog, mondván milyen menő lenne tudni ezt kialakítani, használni, de igazából nem valós igény, mert távolról belépve nincs személyes találkozás, beszélgetés, nem kapok se kávét se sütit, gondolom, talán ez is az egyik oka, hogy nem haladok vele.
Most Bigyó bácsi témáját olvasva megint elkezdtem kicsit olvasgatni róla, kivételesen elsősorban azért nyitom ezt a témát, hogy az övét ne OFF-oljam szét. Ezért is a cím végén a kérdőjel, nem vagyok benne biztos, hogy a dolog végéig eljutok majd vele.
Jelenleg ezeket olvasgatom:
https://it-sziget.hu/webtesztkornyezet/tavoli-munka/ssh
https://hu.linux-console.net/?p=12718
Valahol ott tartok, ha nem a távoli adminisztrálás lenne a célom, hanem csak az, hogy egyik gépről a másikra tartalmat juttassak el, akkor a forrásgépből csinálnék egy szervert, azon egy korlátozott jogú felhasználót, melynek ezen rendszer normál felhasznákozoslójával lenne egy kozos könyvtára. A távoli gépről ennek a korlátozott jogú felhasználónak a fiókjába lépnék be és lehúznám a kozos-ből, ami kell.
Amit ebben a pillanatban a legkevésbé értek, hogyan „címzem” meg a távolban lévő gépet?
Most itthon két gép között a felhasználónév@IP-t használom. Eltekintve attól, hogy ez így amatőr, nem biztonságos meg ilyesmi, hogyan tudom meg, hogy az IP helyére egy távoli gépről mit kell beírnom, hogy a fenyőbe találom meg a gépemet a kismillió közül a neten?
Gondolom akkor is hasonlóan érem el a szervert, ha nem ilyen jelszavas, hanem hitelesítőkulcsos belépést használok, de lehet, hogy ebben is tévedek.

    csuhas32
    Lehet, hülye kérdés, mert szerintem ismered, de nem a port forwardingra gondolsz?

      csuhas32 hogy az IP helyére egy távoli gépről mit kell beírnom, hogy a fenyőbe találom meg a gépemet a kismillió közül a neten?

      A whatismyip megmondja a (géped) routered nyilvános címét. Ott éred el. (És igen portforwarddal lehet szolgáltatást átengedni a routeren.)
      Azt nem tudom, hogy ha szokásos módon, natolt cím mögött vagy, akkor mi a teendő.

      De várjuk meg a szakértőt, és akkor sokkal okosabbak leszünk.

        a mester Azt nem tudom, hogy ha szokásos módon, natolt cím mögött vagy, akkor mi a teendő.

        Akkor csak nem ezért nem engedett a digis netem FTP -n megosztani a port átirányítás ellenére? Persze a helyi hálón ment rendesen.

        • Szerkesztve

        csuhas32 Én azt tudom leírni, ahogy én csináltam meg.
        A házi szerveren többféle megosztás van, SAMBA is, meg NFS is. Alapvetően az NFS-hez hasonló megoldást akartam, de úgy, hogy a távoli VPS-em tudjon felcsatolni egy nagy méretű könyvtárat a házi szerveremről.
        Erre jött szembe javaslatként abban az időben az SSHFS, mint biztonságos megoldás.

        A házi szerverem itthon a belső hálón minden félét kiszolgál, a netes cuccokhoz pedig a szükséges portok forwardolva vannak a szerverre. Köztük az ssh is (nem a standard 22-es porton), így "kintről" simán elérem.

        Rittyentettem egy ábrát:

        A házi szerveren fut a ddclient, ami a dynu.com-nál karbantartja a pillanatnyi IP címet. Így nem kell nyomoznom, hogy mi az ittoni net pillanatnyi IP címe, az mindig ott lesz nyilvántartva a Dynu DNS szerverén. Amúgy egy ingyenes szolgáltatás.
        Nekem a csatlakozás abból áll, hogy
        ssh gazda@hosztnevem.dynu.net -p <ssh-portszáma>

        Az itthoni oldal dinamikus IP-vel nagyjából ennyi.

        A VPS-en elég korlátozott a tárhely, és egyszer kellett, hogy legyen ott sokkal több GB.
        Amint említettem, NFS helyett az SSHFS lett a megoldás.
        Ehhez telepíteni kellett az sshfs csomagot.

        Továbbá lett egy szkript, ami megcsinálja a cstolást, ezt a VPS-en futtatva fel- illetve lecsatolja a háziszerver könyvtárát.

        #!/bin/bash
        sleep 1
        case $1 in
           "m") cat /root/ezmiez | /usr/bin/sshfs -o reconnect -o allow_other -o cache=yes -o kernel_cache -o password_stdin -o ServerAliveInterval=30  remoteuser@hosztnevem.dynu.net:/path/a/hazi/szerveren /path/a/helyi/gepen -p <ssh-portszám> ;;
           "u") /bin/umount /path/a/helyi/gepen ;;
        esac

        A neveket változtattam 🙂
        Nyilván, a befogadó gépen (házi szerver, vagy @Bigyó bácsi -nál a raspi) kell legyen egy "remoteuser", akinek joga van hozzáférni a csatolt könyvtárhoz (/path/a/hazi/szerveren a példában).

        /root/ezmiez -ben a jelszót tettem el, az sshfs meg azzal csatlakozik.

        És ez így tök jól nekem megfelelően működött. Amikor az itthon külső IP változott, akkor nyilván elérhetetlen lett a tartalom, de a-o reconnect ServerAliveInterval=30 miatt 30 másodpercenként ellenőrzi, hogy él-e a kapcsolat, és ha nem, újracsatlakozik. Így a házi szerveren a ddclient észreveszi, hogy más az IP, dynu.com-nál szól, hogy változott, ott a TTL miatt eltelhet még 1 perc, mire tényleg észrevehető a változás. Ez a gyakorlatban azt jelentette, hetente kb. 2-3 percre a VPS-en elérhetetlen volt a felcsatolt tartalom, a maradék időben viszont gyorsan működött.

        Dióhéjban ennyi.

        a mester Azt nem tudom, hogy ha szokásos módon, natolt cím mögött vagy, akkor mi a teendő.

        Ilyet csinált velem a Digi, telefonáltam nekik, hogy ajjjajajjajajjj nem jó nekem a NATolt cím, bocsánatot kértek, és visszaadták a nem NATolt címet. Továbbá valamit följegyeztek valahová, hogy többé ne akarjanak NAT mögé dugni.
        😃
        Ez pár éve volt, azóta nincs gondom velük.

        Silent_Bob Teljesen jó a kérdés, hálózatokhoz nem konyítok. Azt tudom, hogy bejön az üvegszálas kábel (talán van egy doboz, ami osztja netre és tv-re, aztán) van a szolgáltató eszköze, ez ad egyszer egy WiFi-t és egy darab LAN-t. Ez a LAN bemegy nekem egy switchbe, onnan kapja az asztali PC és a mini PC a vezetékes netet, mert így megvan majdnem az 1000 letöltési ezeken, illetve egy router amit már nagyon régen állítottam be, ez szór egy másik WiFi-t, ezt tudom az udvaron is fogni, illetve ha esetleg érkezik egy olyan gép, amin az USB-s WiFi-adapterrel valamiért nem tudok netet csiholni, akkor erre vezetékesen rá tudom csatlakoztatni.
        Amennyire olvasmányaimból kiderült, ha erre a swich után routerre kötnék rá egy gépet, akkor talán azon kellene csinálnom egy port forwardingot, ami talán port nyitást jelent, de hogy hogyan az még fehér folt.
        Ha a szolgáltatótól kapott „elosztón” kell csinálni, na az érdekes, mert abba még azt sem tudom hogyan tudnék belépni, ez egy Huawei izé, ha jól emlékszem és a DIGI-é.

          • Szerkesztve

          csuhas32 a szolgáltató eszköze, ez ad egyszer egy WiFi-t és egy darab LAN-t. Ez a LAN bemegy nekem egy switchbe, onnan kapja az asztali PC és a mini PC a vezetékes netet,

          Szerintem az az eszköz már router is egyben, és meglehetősen valószínű, hogy maga is NAT-ol, így a port forwardot azon kéne beállítani.
          Másik lehetőség, hogy megkéred az ügyfélszolgálatot, hogy a a dobozodat állítsák "bridge" módba, akkor semmit sem csinál. Nekem így van 🙂
          (Pontosítok: gyakorlatilag csak modemként működik; azért az nem semmit csinálás 🙂 )
          Ez esetben mindent a routereden kell beállítani, ja, és a doboz wifije is megszűnik értelmeszerűen.

            a mester A whatismyip megmondja

            Megpróbáltam terminálba.

            csuhas@linuxmint:~$ whatismyip
            whatismyip: command not found
            csuhas@linuxmint:~$ 

            Nem röhög!
            Utána megpróbáltam a böngészőben.
            Ott bejött. Köszi!
            Amikor jött a DIGI írtam nekik, hogy jaj-jaj, kell az IPv4, mert nagy-nagy szükségem van rá, úgy tudom az rendben el lett intézve és most a böngészőben is látok ilyet.

              csuhas32 Most itthon két gép között a felhasználónév@IP-t használom.

              Itthon belső hálón a dnsmasq szórja szét az IP címeket, mert DHCP is.

              Itt is működne a felh@IP, de sokkal könnyebb, ha azt írom, hogy
              ssh gazda@anyalaptopja
              Az "anyalaptopja" itt fiktív, de lehetne ez is. Anya laptopján a /etc/hostname tartalma a lényeg.

                • Szerkesztve

                csuhas32 Nem röhög!

                De.

                csuhas32 Megpróbáltam terminálba.

                Próbáld ezt is:
                curl checkip.dyndns.org

                csuhas32 Amikor jött a DIGI írtam nekik, hogy jaj-jaj, kell az IPv4

                Ha Digid van, ahogy nekem is, akkor jó eséllyel már egy NAT-olt hálózatban vagy, ami azt jelenti, hogy nem fog működni a port forward.

                Meg kell nézned, hogy pl. a whatismyip.com által visszaadott IP cím és a routeredben látható WAN IP cím azonos-e. Ha igen, akkor semmi gond, menni fog a port továbbítás. Ha nem (ahogy nálam is), akkor gond van.

                  klt ssh gazda@anyalaptopja
                  Az "anyalaptopja" itt fiktív, de lehetne ez is. Anya laptopján a /etc/hostname tartalma a lényeg.

                  Próbáltam ezt is, ez nem jött be.
                  ssh: Could not resolve hostname linuxmint: Temporary failure in name resolution

                  Próbáltam azt, hogy ssh felhasználónév@vezetékesDIGIre-a-whatimyip-által-kidobott-ip4
                  Ezt megkíséreltem úgy is, hogy a mobilnetet osztottam meg hotspotként, arra tettem fel a szervert, és megint lekértem a myip-t, aztán ezzel az értékkel:
                  ssh felhasználónév@a-mobilnetre-whatimyip-által-kidobottip4
                  Mindkét esetben mozdulatlan maradt a terminálablak.
                  Lehet, hogy valamit nem jól adok meg.

                  klt Szerintem az az eszköz már router is egyben, és meglehetősen valószínű, hogy maga is NAT-ol, így a port forwardot azon kéne beállítani.
                  Másik lehetőség, hogy megkéred az ügyfélszolgálatot, hogy a a dobozodat állítsák "bridge" módba, akkor semmit sem csinál. Nekem így van 🙂
                  (Pontosítok: gyakorlatilag csak modemként működik; azért az nem semmit csinálás 🙂 )
                  Ez esetben mindent a routereden kell beállítani, ja, és a doboz wifije is megszűnik értelmeszerűen.

                  Ezt nem lépném meg, ezt másnál úgy se csinálnám meg.
                  Akkor nekem olyan hely játszana egyelőre, ahol simán bejön a net és csak egy router lóg rajta. Ekkor kellene a port forwarding, amivel jelenleg nem vagyok tisztában, de valami olyasminek vélem, hogy ugyanazt a portot nyitom ki a routeren, ami az ssh configjában is szerepel.

                  Mivel más hiányom is jelentős ebben az ügyben, ezért talán nem is ezzel kellett volna kezdenem, azon gondolkodom, hogy eddigi türelmes terelgetéseteket megköszönve irányt kellene váltanom.
                  Nem is olyan nagy baj, hogy az éles rendszerem nem érem el kintről (remélem más sem).
                  Az elérendő rendszer lehetne egy virtuális gépre telepített, azon bátrabban is gyakorolhatnék, másrészt van itt bőven teendő. Most a terv:

                  1. Felteszek virtuálisba egy rendszert, arra az open-ssh-t. (Itt valamit kell variálni a nettel?)
                  2. Megpróbálom elérni a gazda alól először csak egyszerűen.
                  3. Állítok be neki a 22-től eltérő portot és úgy is.
                  4. Megpróbálok csinálni hitelesítőkulcsos bejelentkezést és úgy elérni.
                  5. Megtanulni, hogy hogyan lehet másolni mondjuk parancssorban egyik gépről a másikra, meg aztán nézni hozzá valami kényelmesebbet, ami egy kicsit hasonlít a FileZillahoz (mintha láttam volna ezzel kapcsolatban említeni az mc-t és még valami ilyen ssh-s alkalmazást).

                  Így a gazdagépem végig biztonságban lenne.
                  Ha már erről van tapasztalásom szerintem akkor is ráérek erre port forwarding-ra.
                  Szóljatok nyugodtan, ha rossz az elgondolásom.

                  • klt válaszolt erre.

                    gytoth Köszönöm! Akkor ezt most lehet, hogy egyelőre elengedem, az is valami, ha előtte eljutok valameddig az „ssh-t telepíteni, beállítani, használni” úton és ha ez esetleg mind megvan, akkor még mindig jöhet ez a nehéz rész.

                    csuhas32 Szerintem jó lesz a sorrended. Viszont az általad felvetett probléma késztetett továbbgondolni...
                    Mi van, ha valakinek segíteni kéne távolról ssh-n át, de az illető gépe többszörös NAT mögött van? Esélytelen portforwatdinggal próbálkozni.
                    A 3ik próbálkozásomra eltaláltam valami keresőszót, mert értelmesnek tűnő találatot kaptam.
                    https://www.howtogeek.com/428413/what-is-reverse-ssh-tunneling-and-how-to-use-it/
                    https://unix.stackexchange.com/questions/46235/how-does-reverse-ssh-tunneling-work
                    Ez nekem is új, emellett határozottan megérdemel némi kísérletezést 🙂

                      klt Nohát, de jó. Ha nár értenék ehhez az ssh részhez, akkor a magam szokásaiból kiindulva ezt is esélyes útnak látom:
                      Kiindulás:
                      Távolban egy fehér vitorla (Elérhetetlen messzeségben egy segítendő személy NAT mögött.)

                      1. Képernyőmegosztást kérsz Skype vagy Messenger vagy más alkalmazás segítségével. (A Messengerhez nem kell feltétlen FB fiók, meg sokaknak van akár több FB fiókja, public és másik, így az se gond, ha csinálsz egyet magadnak Kis Kettő Dezső néven és csak a Chrome-on keresztüli Messenger képernyőmegosztásra, vagyis a segítségnyújtásra használod, ettől valójában neked egyáltalán nem kell FB-ozni, de sok embernek van FB fiókja, a Messengert tudja használni, Skype-ja nincs, egyéb ilyenekhez mint Zoom és társai szintén nem ért.)
                      2. Látod a képernyőjét és hangban is kapcsolatban vagytok. Beléphet itt valami távolról irányítós alkalmazás mint az AnyDesk meg a Teamviewer, de én ezektől továbbra is idegenkedem. Lehet azt is, hogy továbbra is a képernyőmegosztás mellett átküldöd akár egyesével az ssh telepítéséhez, beállításához szükséges parancsokat (hogy ehhez milyen csatornát választasz, az megint többesélyes, érzékeny adatot nem tartalmazó adatoknál teljesen jó lehet a képernyőmegosztásra használt alkalmazás szöveges üzenet része is). A parancskimeneteket látod...
                      3. Belépsz ssh-n és csinálod, amit kell.
                      • klt válaszolt erre.

                        csuhas32 Az 1. 2. pontot kéne kihagyni.
                        Ha már van irányításod, azt lehet rögtön a feladatra használni, nem pedig csatornanyitásra a feladathoz.
                        Olvasgatom a leírásokat, és olyan érzésem van, mintha kapisgálnám...
                        De még nem próbáltam ki semmit.
                        Ha bejön a megérzésem, akkor az lesz, hogy a fehér vitorlás matrózát meg kell kérni egy szkript futtatására, akár emailben, sms-ben, telefonom beszélve...Aztán kinyílik a csatorna, és shell hozzáférésed lesz
                        De még csak álmodozom....

                          klt Valami ilyen elképzelésem lett volna nekem is. (De még soha nem csináltam hasonlót se.)