Multihop ssh/scp

Computer: Software & Programmierung UNIX & Linux
#1

Hallo,

ich möchte gerne wissen, ob es möglich ist, mit vertretbarem Aufwand eine ssh- oder scp-Verbindung zu einem entfernten Host aufzubauen, die transparent über dazwischenliegende Hops läuft, also sowas:

,------. ,-----. ,-----. ,----- .
| ================================= |
|Client| |Hop 1| |Hop 2| |Target|
`------´ `-----´ `-----´ `------´

Ich möchte mich also mit einem Kommando auf dem Target einloggen können bzw. Dateien vom und zum Target kopieren können. SSH-Authentifizierung mit Public Key ist auf Hop 1, Hop 2 und Target eingerichtet (jeweils vom vorhergehenden Knoten aus, der Username ist auf allen Dreien derselbe).

Mir fallen da spontan nur irgendwelche perversen Tunneling-Geschichten ein, ich hätte da aber gern was „schöneres“.
Eine direkte Verbindung von Client zu Target ist nicht möglich.

Wer weiß was?

Gruß,

Malte.

#2

Hallo,

eine Frage dazu:

,------. ,-----. ,-----. ,----- .
| ================================= |
|Client| |Hop 1| |Hop 2| |Target|
`------´ `-----´ `-----´ `------´

Eine direkte Verbindung von Client zu Target ist nicht
möglich.

Warum nicht? Keine Route?

Was spricht dagegen, eine einzurichten?

Hmmm.

Grüße

CMБ

#3

Hi,

eine Frage dazu:

,------. ,-----. ,-----. ,----- .
| ================================= |
|Client| |Hop 1| |Hop 2| |Target|
------´ -----´ -----´ ------´

Eine direkte Verbindung von Client zu Target ist nicht
möglich.

Warum nicht? Keine Route?

Was spricht dagegen, eine einzurichten?

Die SecPol und die Tatsache, daß ich keinen Vollzugriff auf das Gateway habe, das zwischen Hop 1 und Hop 2 liegt. Genauer sieht das so aus: http://www.ruhrpott-rooters.net/multihop

Gate 2 lässt neben ein bißchen anderem Kleinkram nur SSH von Hop 1 zu Hop 2 durch. Quell-IP-Adressbeschränkung ist sicher nicht der Weisheit letzter Schluß, weiß ich, aber man erspart sich doch ein paar Lästigkeiten.

Gruß,

Malte.

#4

Hallo,

Hi,

ich möchte gerne wissen, ob es möglich ist, mit vertretbarem
Aufwand eine ssh- oder scp-Verbindung zu einem entfernten Host
aufzubauen, die transparent über dazwischenliegende Hops
läuft, also sowas:

Ich hab es zwar noch nie verwendet, aber mir scheint, ProxyCommand aus der manpage zu ssh_config koennte Dir helfen. Details musst Du selbst rausfinden, vielleicht so: http://www-doc.informatik.uni-tuebingen.de/user/html…

Danke fuer Feedback,
Gruss vom Frank.

#5

Moin,

Ich hab es zwar noch nie verwendet, aber mir scheint,
ProxyCommand aus der manpage zu ssh_config koennte Dir helfen.
Details musst Du selbst rausfinden, vielleicht so:
http://www-doc.informatik.uni-tuebingen.de/user/html…

Das geht schonmal nicht, weil die Website von connect.c down ist. Aber selbst wenn - das wäre immer noch ein klassisches Hopping, und keine durchgehende oder durchgereichte TCP-Verbindung. Das Problem, aufgrund dessen ich danach gesucht habe, hab ich mittlerweile anders gelöst.

Zum einen hab ich herausgefunden, daß man X11-Forwarding auch weiterreichen kann, allerdings nur, wenn auf allen hops xauth vorhanden ist (bis ich darauf [xauth required] gekommen bin… Puh.), zum anderen hab ich mir mit kaskadierten Portweiterleitungen via SSH was zusammengebastelt.

Über so eine Leitung (siehe Zeichnung) vnc zu fahren ist erstaunlich performant - kein Vergleich zu X jedenfalls, welches zwar hübscher, aber sowas von grottenlangsam ist…

Was den Dateitransfer angeht, muß es dann eben auch über mindestens einen Zwischenstop gehen - ist okay.

Die einfachste Variante, eine durchgehende Verbindung [ohne Einsatz zusätzlicher Software] zu schaffen ist wohl, sich per Portforwarding einen Tunnel zu bauen und dann auf dem Target einen weiteren SSH Daemon zu starten, der auf dem geforwardeten Port lauscht. Bei den heutigen CPU-Leistungen und Bandbreiten sollte der jeweilige Overhead erträglich sein. Ist dann halt ssh-over-tcp-over-ssh-over-tcp-over-ip-over-ppp-over-atm oder so. Da kann man zwar schon fast PPP-over-Flaggenalphabet sprechen, aber es geht.

Gruß,

Malte.