Tidak dapat SSH masuk ke mesin dengan ipsec VPN


1

Saya memiliki mesin virtual ubuntu dengan adaptor terjembatani yang telah saya konfigurasikan untuk menggunakan ipsec VPN. Saya bisa SSH ke mesin baik-baik saja, tetapi ketika saya menghidupkan VPN, saya tidak bisa. Terowongan VPN juga membuat mesin linux tidak responsif terhadap ping. Vm sebenarnya tidak bisa melakukan ping gateway sendiri. Penyedia VPN saya tidak menyediakan penerusan porta. Perintah apa yang bisa saya ketik untuk memastikan saya masih bisa SSH dari jaringan lokal ketika VPN menyala?

Ini adalah output dari memulai tunnel dari SSH dan mencoba menggunakannya sebagai proxy kaus kaki:

$ ssh -D 8123  -C -q -t -v ubuntu@192.168.1.27 "sudo ipsec up NordVPN"

authentication of 'us993.nordvpn.com' with EAP successful
IKE_SA NordVPN[9] established between 192.168.1.27[192.168.1.27]...23.81.21.124[us993.nordvpn.com]
scheduling reauthentication in 10085s
maximum IKE_SA lifetime 10625s
installing DNS server 78.46.223.24 via resolvconf
installing DNS server 162.242.211.137 via resolvconf
handling INTERNAL_IP4_NETMASK attribute failed
installing new virtual IP 10.6.6.231
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 3: new [dynamic-tcpip]
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 4: new [dynamic-tcpip]
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 5: new [dynamic-tcpip]
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 6: new [dynamic-tcpip]
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 7: new [dynamic-tcpip]
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 8: new [dynamic-tcpip]
packet_write_wait: Connection to 192.168.1.27 port 22: Broken pipe

ssh -v ketika terowongan sudah naik hanya beberapa kali.

Tidak ada yang istimewa sshd_config?

Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 1024
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin prohibit-password
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes

sudo iptables -vpL (apakah VPN naik atau turun):

Chain INPUT (policy ACCEPT 41 packets, 9581 bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 37 packets, 6921 bytes)
 pkts bytes target     prot opt in     out     source               destination

Anda harus mencari tahu di mana masalahnya. Lewati SSH the -v directive dan beri tahu kami apa yang dikatakannya. Juga, menyediakan salinan file / etc / ssh / sshd_config Anda dari server dan iptables -vnL akan memungkinkan kita untuk melihat konfigurasi sisi server dan aturan firewall dan mungkin menumpahkan beberapa masalah pada masalahnya. Masalahnya mungkin juga masalah MTU.
davidgo

hai terima kasih @davidgo. diposting info yang diminta. biarkan aku tahu apa yang Anda pikirkan!
Walrus the Cat

@davidgo menambahkan beberapa info: Terowongan VPN juga membuat mesin linux tidak responsif terhadap ping. Vm sebenarnya tidak bisa melakukan ping gateway sendiri.
Walrus the Cat

Saya menduga bahwa ketika Anda memunculkan terowongan IPSec mengubah perutean Anda, sehingga Anda tidak lagi dapat mengakses kotak melalui koneksi asli Anda. Salah satu solusinya adalah dengan mengawali perintah ipsec dengan perintah yang merutekan alamat rumah Anda (atau lokal / kantor) dari antarmuka ethernet, sehingga ketika gateway default diganti, rute masih menemukan jalan kembali.
davidgo

itu tampaknya memberi saya ip internal dari skema yang berbeda 10.0.0.26 yang saya bisa ping, dan saya bisa ping ip saya sendiri 192.168.1.27 tetapi saya tidak bisa melakukan ping 192.168.1.1 . perintah apa yang mungkin Anda ketik untuk diperbaiki?
Walrus the Cat
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.