Подключение к SSH-серверу, находящемуся за VPN

Да, вы можете подключиться к ПК Ubuntu вне вашей домашней сети, даже если ваш Ubuntu PC подключен к соединению OpenVPN - только если вы находитесь за маршрутизатором NAT (который я собираюсь предположить, потому что вряд ли кто-либо подключается непосредственно к Interwebs в эти дни).

Когда вы подключаете свое соединение OpenVPN, создается виртуальный «сетевой интерфейс» (возможно, называемый tun0). Этот интерфейс будет иметь свой собственный IP-адрес (вероятно, что-то вроде 10.xxx), а клиент OpenVPN достаточно умен, чтобы настроить «правила маршрутизации» (то есть, какой трафик отправляется через какой интерфейс), чтобы местный трафик не отправлялся по VPN-туннель.

Это все в двух словах. Большинство домашних маршрутизаторов имеют функцию «переадресации портов». Для «внешнего» порта вашего маршрутизатора я бы рекомендовал использовать что-то другое, кроме стандартного (TCP-порт 22). Например, вы можете настроить правило переадресации портов, например: «Перенести входящий трафик на внешний TCP-порт 9922 на внутренний TCP-порт 22». Как только вы откроете TCP-порт 22 в Интернете, многие люди придут в нокаут :). Простое изменение порта не является «упрочнением» как таковое - вы также должны настроить свой SSH-сервер на использование аутентификации ключа и вообще отключить пароли.

Я не могу предоставить вам более подробную информацию, поскольку все домашние маршрутизаторы (и их интерфейсы) различны. Вам нужно будет посмотреть, как настроить переадресацию портов на вашем конкретном маршрутизаторе. Вот несколько скриншотов интерфейсов переадресации портов для разных маршрутизаторов. Независимо от интерфейса, концепция одинаков: вы вводите внешний порт (или, в некоторых случаях, «диапазон портов»), и IP-адрес и порт назначения. С точки зрения маршрутизатора это можно подумать на простом английском языке: «... когда я получаю внешний трафик на TCP-порт 9922, переходите к TCP-порту 22 на локальный компьютер 192.168.0.2 ...» (это предполагает, что вы мы установили TCP-порт 9922, который будет перенаправлен в ваш Ubuntu, который имеет IP-адрес 192.168.0.2 и SSH-сервер, прослушивающий TCP-порт 22).

Если вы публикуете свой SSH-сервер для внешнего мира , вы должны ожесточить его как можно больше. Как было сказано выше, один быстрый выигрыш состоит в том, чтобы полностью отключить аутентификацию паролей и включить аутентификацию с открытым ключом.

открывает мое VPN-соединение, поэтому он больше не безопасен?

уверен, как ответить на это. Во-первых, вы должны просто предположить, что вы «безопасны» только потому, что вы подключены к VPN. Я видел, как некоторые VPN-провайдеры оставляют все открытые порты (службы) своего пользователя открытыми для всех в одной подсети VPN. Например, VPN-пользователь-A может получить доступ к файлам samba VPN-User-B, которые не защищены паролем.

Если вы устанавливаете и открываете FTP для внешнего мира, то вы должны быть уверены, что ваши компьютеры / устройства защищены (в зависимости от ваших возможностей). определенно не будет «безопасным». Лучше всего держать ваш «открытый порт» настолько малым, насколько это возможно. Вы можете сделать что-нибудь по SSH. Например, SSH имеет «подсистему», называемую «SFTP». Чтобы увидеть это в действии, вы можете открыть свой файловый менеджер и ввести его в адресную строку:

Да, вы можете подключиться к ПК Ubuntu вне вашей домашней сети, даже если ваш Ubuntu PC подключен к соединению OpenVPN - только если вы находитесь за маршрутизатором NAT (который я собираюсь предположить, потому что вряд ли кто-либо подключается непосредственно к Interwebs в эти дни).

Когда вы подключаете свое соединение OpenVPN, создается виртуальный «сетевой интерфейс» (возможно, называемый tun0). Этот интерфейс будет иметь свой собственный IP-адрес (вероятно, что-то вроде 10.xxx), а клиент OpenVPN достаточно умен, чтобы настроить «правила маршрутизации» (то есть, какой трафик отправляется через какой интерфейс), чтобы местный трафик не отправлялся по VPN-туннель.

Это все в двух словах. Большинство домашних маршрутизаторов имеют функцию «переадресации портов». Для «внешнего» порта вашего маршрутизатора я бы рекомендовал использовать что-то другое, кроме стандартного (TCP-порт 22). Например, вы можете настроить правило переадресации портов, например: «Перенести входящий трафик на внешний TCP-порт 9922 на внутренний TCP-порт 22». Как только вы откроете TCP-порт 22 в Интернете, многие люди придут в нокаут :). Простое изменение порта не является «упрочнением» как таковое - вы также должны настроить свой SSH-сервер на использование аутентификации ключа и вообще отключить пароли.

Я не могу предоставить вам более подробную информацию, поскольку все домашние маршрутизаторы (и их интерфейсы) различны. Вам нужно будет посмотреть, как настроить переадресацию портов на вашем конкретном маршрутизаторе. Вот несколько скриншотов интерфейсов переадресации портов для разных маршрутизаторов. Независимо от интерфейса, концепция одинаков: вы вводите внешний порт (или, в некоторых случаях, «диапазон портов»), и IP-адрес и порт назначения. С точки зрения маршрутизатора это можно подумать на простом английском языке: «... когда я получаю внешний трафик на TCP-порт 9922, переходите к TCP-порту 22 на локальный компьютер 192.168.0.2 ...» (это предполагает, что вы мы установили TCP-порт 9922, который будет перенаправлен в ваш Ubuntu, который имеет IP-адрес 192.168.0.2 и SSH-сервер, прослушивающий TCP-порт 22).

Если вы публикуете свой SSH-сервер для внешнего мира , вы должны ожесточить его как можно больше. Как было сказано выше, один быстрый выигрыш состоит в том, чтобы полностью отключить аутентификацию паролей и включить аутентификацию с открытым ключом.

открывает мое VPN-соединение, поэтому он больше не безопасен?

уверен, как ответить на это. Во-первых, вы должны просто предположить, что вы «безопасны» только потому, что вы подключены к VPN. Я видел, как некоторые VPN-провайдеры оставляют все открытые порты (службы) своего пользователя открытыми для всех в одной подсети VPN. Например, VPN-пользователь-A может получить доступ к файлам samba VPN-User-B, которые не защищены паролем.

Если вы устанавливаете и открываете FTP для внешнего мира, то вы должны быть уверены, что ваши компьютеры / устройства защищены (в зависимости от ваших возможностей). определенно не будет «безопасным». Лучше всего держать ваш «открытый порт» настолько малым, насколько это возможно. Вы можете сделать что-нибудь по SSH. Например, SSH имеет «подсистему», называемую «SFTP». Чтобы увидеть это в действии, вы можете открыть свой файловый менеджер и ввести его в адресную строку: