Raspberry.jpeg

Scenario

上图的树莓派里面跑着我用于Blockchain + IOT的一个小demo，但是就面临着内网穿透的问题，毕竟不可能为每个IOT分配IP地址的。

场景一：

假设你拥有大量的树莓派设备，有一台公网服务器，也有一台个人电脑。这时候你需要通过个人电脑控制大量的树莓派设备。

场景二：

假设你是一个很牛逼的AI实验室的成员，刚好你要到外地工作一段时间，刚好你需要实验室里的几张1080Ti显卡的服务器，但是实验室的服务器一般是局域网使用的，这个时候，你面临的问题就是如何在外地访问它。

解决这个场景的主要框架如下图，我们在IOT端反向映射到云服务器，然后在本机电脑正向映射到云服务器，这样就可以实现从本机访问内网的机器了。

MainFrameWork.png

具体的步骤是这样的：

一、Cloud Server Configuration

首先，我们创建为ssh的接入创建一个独立的用户。
（on the server)

sudo useradd -m tunnel

然后，我们使用tunnel用户登陆，然后创建相对应的ssh配置。
（on the server)

sudo su tunnel
mkdir ~/.ssh
chmod 700 ~/.ssh
touch ~/.ssh/authorized_keys

然后，我们需要切换出tunnel用户，为了安全起见，我们会禁掉tunnel用户执行命令的功能。
（on the server)

# if you are still logged in as tunnel, exit:
exit
sudo chsh -s /bin/false tunnel

然后，我们需要对/etc/ssh/sshd_config文件进行修改，控制tunnel用户的权限。把下面的内容加到文件的末尾。
（on the server)

...

Match User tunnel
    AllowAgentForwarding no
    AllowTcpForwarding remote
    GatewayPorts no
    AllowStreamLocalForwarding no

二、IoT (Raspberry Pi) Configuration

为了稳定的ssh连接，我采用了autossh对ssh进行稳定监控和管理。采用supervisord对autossh进行监控。 so，我们需要install这两个东西。

( on the Raspberry Pi）

sudo apt install autossh -y
sudo apt install supervisor -y

需要配置一下supervisord。
( on the Raspberry Pi）

[program:ssh-forward]
process_name=%(program_name)s_%(process_num)02d
command=/usr/bin/autossh -M 10001 -N -R 10000:localhost:22 tunnel
autostart=true
autorestart=true
user=root
numprocs=1
redirect_stderr=true
stdout_logfile=/var/log/ssh-forward.log

上述的配置可以通过启动带有监控端口10001和10002的autossh来监控ssh连接，从而tunnel可以在云服务器上通过打开10000端口来和IOT进行通信。

我们还需要创建私钥和公钥，而且需要由root来开启tunnel，因为ssh port是小于1024的而且无法前向。
( on the Raspberry Pi）

# login as root
sudo -i
ssh-keygen -t rsa

nano /root/.ssh/config

Add the following to the config file (replace 123.123.123.123 with your cloud server’s IP address):

Host tunnel
    Hostname 123.123.123.123
    User tunnel

然后把树莓派的公钥加到云服务器的/home/tunnel/.ssh/authorized_keys中，（这个就不用我讲了吧= =#）

Ok，我们需要先测试一下ssh的转发功能有没有效果。
( on the Raspberry Pi）

ssh -N -R 10000:localhost:22 tunnel

-N：表示转发功能，ssh会一直堵塞监听转发的。当执行这个命令的时候，ssh会对tunnel这个服务器的包进行tcp转发。假如看见一直堵塞，没有报错，说明树莓派的ssh配置好了。

然后，我们可以启动supervisor了。

service supervisor reload
service supervisor status

# login to your cloud server with your normal (NOT tunnel) user
netstat -tulpn | grep 10000

# and you will see
tcp        0      0 127.0.0.1:10000         0.0.0.0:*               LISTEN      -               
tcp6       0      0 ::1:10000               :::*                    LISTEN      -

三、Accessing your IoT Device remotely

最后在本地的机器上运行

（your pc）

ssh -N -L 9090:localhost:10000 youruser@yourserver

youruser是指云服务器上区别于tunnel的user，yourserver是指云服务器上的ip地址。

本地建立了ssh通道之后，通过执行一下命令就可以连到树莓派/内网服务器了。一定要注意的是！user指的是树莓派的用户，或者内网的用户！

（your pc）

ssh user@localhost -p 9090

随便一谈

对于我来说，掌握内网穿透和远程控制技术十分重要。特别是遇到blockchain + IOT的项目研发方向，我需要控制/唤醒大规模的物联网设备；遇到跨地域开发的时候，也需要用到各个地区的服务器资源来跑AI。Teamviewer无疑是一个好东西，但是lisences太贵了，作为吃饭都成问题的学生党，真的无法承受，只能从开源项目着手。（致敬开源精神。。。）

在搭建网络的过程中，会遇到很多很多的问题。本文也是避免描述这些问题的解决方案，在解决问题的过程中，需要各个小伙伴对TCP/IP的机制很熟悉，不然会容易疑惑为什么有时候能连上，有时候连不上。如果实在无法解决，可以发邮件一起讨论和学习。（再次致敬开源精神。。。）

Email: [email protected]

基于ssh的稳定内网穿透and远程控制

Scenario

一、Cloud Server Configuration

二、IoT (Raspberry Pi) Configuration

三、Accessing your IoT Device remotely

随便一谈

你可能感兴趣的:(基于ssh的稳定内网穿透and远程控制)