Wstęp
Stworzymy ten tunel SSH szyfruje komunikację tylko wtedy, gdy konfigurujemy serwer proxy w naszej przeglądarce, czyli w programie, który posiadamy, w naszych testach użyliśmy Mozilli Firefox, ale każda przeglądarka jest kompatybilna. Ta metoda nie szyfruje usług, które nie pozwalają na konfigurację proxy, takich jak Dropbox (zainstalowany na naszym komputerze) lub inne programy, które wymagają połączenia z Internetem, ale nie mają menu konfiguracji proxy. Każdy program, który ma możliwość skonfigurowania serwera proxy SOCKS, będziemy mogli przenieść cały jego ruch przez tunel SSH i uzyskać dostęp do Internetu przez publiczny adres IP, który powiedział, że serwer SSH ma cały ruch naszego komputera L serwer SSH będzie szyfrowany i uwierzytelniany za pomocą algorytmów szyfrowania symetrycznego używanych przez serwer SSH, chociaż zwykle będzie to AES-256-GCM, jak ma to miejsce w przypadku usług VPN.
Bardzo ważnym szczegółem jest to, że jeśli chcesz szyfrować absolutnie cały ruch, musisz skonfigurować serwer VPN, Otwórz VPN my WireGuard.ten Protokół OpenVPN jest szeroko stosowany w środowiskach domowych, zwłaszcza że główne serwery NAS zawierają go domyślnie, a nawet niektóre routery, takie jak ASUS, również zawierają ten protokół. WireGuard to zupełnie nowy protokół VPN, który nie pochodzi jeszcze od głównych producentów NAS, takich jak QNAP, Synology czy ASUSTOR, ale można go znaleźć na serwerze Linux, który stworzyliśmy, a nawet dystrybuujemy do zastrzeżonych systemów operacyjnych. na zaporze lub routerze, takim jak między innymi DD-WRT i pfSense. Dzięki integracji WireGuard z jądrem Linuksa uzyskamy doskonałą wydajność pod względem szybkości połączenia i opóźnień.
Aby poprawnie uruchomić tunel SSH, znany również jako tunel SSH, pierwszą rzeczą, o której należy pamiętać, jest musimy mieć serwer SSH dostępny z internetu jeśli nie mamy serwera SSH, nie będziemy mogli połączyć się, aby osadzić i zaszyfrować cały ruch. Ten serwer SSH może znajdować się na serwerze NAS, na naszym routerze lub bezpośrednio na serwerze zdalnym.
Musisz najpierw skonfigurować serwer SSH za pomocą instrukcji „Zezwalaj na transfer TCP”, jeśli korzystasz z OpenSSH, instrukcja, którą musisz określić to:
AllowTcpForwarding
Musisz także zezwolić na przekierowanie ruchu na swój serwer, czyli musisz uwzględnić:
sysctl net.ipv4.ip_forward=1
Po uruchomieniu serwera SSH przystępujemy do konfiguracji programu klienckiego. Możemy jednak również skonfigurować ten serwer SSH z lepszym szyfrowaniem symetrycznym, korzystając z następującej instrukcji:
Ciphers [email protected],[email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
Możesz także poprawić bezpieczeństwo, włączając MAC i algorytmy bezpiecznej wymiany kluczy, możesz dodać następujące instrukcje do OpenSSH, aby zwiększyć bezpieczeństwo:
KexAlgorithms [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256MACs [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,[email protected]
Konfigurowanie programu klienta SSH w systemie Windows
Program, którego użyjemy, to Putty, jest to program Windows, ale w systemie Linux działa dobrze z narzędziem WINE (wybrane). Jeśli jednak używasz Linuksa, lepiej użyć polecenia ssh bezpośrednio do wykonania tej konfiguracji, jest to znacznie łatwiejsze niż w Windows.
Możesz pobrać Putty z jego własnego Oficjalna strona internetowa ten Nie musisz go instalować, ponieważ jest to program przenośny, otwieramy Putty i mamy następujący ekran:
Właśnie SSH/tunel jak pokazano w koncepcji. Taniec Port źródłowy umieszczamy port, który zamierzamy wykorzystać do tunelu (np. 8081), Miejsce docelowe pozostaw puste i wpisz je w następujących opcjach Dynamiczny oraz SAMOCHÓD ten Następnie wybierz DODAJ (aby dodać konfigurację).
Następnie łączymy serwer SSH normalnie za pomocą Putty, w sekcji Konferencje ten
I robimy połączenie SSH, na zdjęciu widać serwer SSH mojego routera z Tomato RAF.
Nie musimy nic więcej dotykać, wystarczy pozostawić otwarte połączenie i nie zamykać programu, powtarzam, że cały proces działa dla Ciebie w Windows i Linux z WINE. Przejdźmy teraz do konfiguracji Firefoksa.
Skonfiguruj Mozilla Firefox dla proxy
Wchodzimy wybory , ZAAWANSOWANE , sieci i kliknij KONFIGURACJA.
Na poniższym obrazku konfigurujemy korzystanie z serwera proxy.
Ręczna konfiguracja proxy , Serwer SOCKS: 127.0.0.1 itp. Port 8081 (co zdefiniowaliśmy wcześniej), wybraliśmy SKARPETKI v5 jak pokazano na zrzucie ekranu.
Kliknij Akceptuj i przejdź do głównego ekranu przeglądarki, otwórz dowolną stronę i przejdź do serwera SSH. Jeśli mamy dostęp do lokalnego adresu IP, zadziała bez problemów:
Możesz użyć dowolnej usługi, aby sprawdzić swój publiczny adres IP, a zobaczysz, że masz to samo, co serwer SSH.
Konfiguracja programu klienta SSH w systemie Linux (przez konsolę)
Jeśli użytkownicy Linuksa chcą zapisać konfigurację Putty, po prostu wpisz ją w konsoli i kontynuuj:
ssh -D 8081 -p 22 usuario@ip_publica
- 8081 = port do użytku w tunelu
- 22 = port serwera ssh, jeśli używany jest port 22, -p 22 nie musi być określane, ponieważ port 22 jest domyślny.
- użytkownik = użytkownik serwera do połączenia
- ip_publica = dynamiczny adres IP, adres domeny lub adres hosta.
pytania i odpowiedzi
Pytanie: Jeśli serwer SSH ulegnie awarii lub jeśli przypadkowo wyłączymy klienta ssh, czy będziemy niepewni, nie zdając sobie z tego sprawy?
- Odpowiedź: Nie, ponieważ Firefox wyświetli błąd wskazujący, że serwer proxy nie odpowiada i nie może załadować żadnych stron internetowych.
Pytanie: Co jest bezpieczniejsze lub utwórz taką sieć VPN w instrukcji?
- Odpowiedź: VPN po zaszyfrowaniu wszystkiego po zmianie routingu sprzętowego może początkowo wydawać się cięższy, ale po skonfigurowaniu VPN bardzo wygodnie jest kliknąć dwukrotnie i to wszystko.
Mamy nadzieję, że dzięki temu samouczkowi możesz bezpiecznie nawigować, tworząc tunel SSH na swoim NAS, routerze lub innym serwerze, na którym masz SSH.