基于ssh的稳定内网穿透and远程控制

基于ssh的稳定内网穿透and远程控制_第1张图片
Raspberry.jpeg

Scenario

上图的树莓派里面跑着我用于Blockchain + IOT的一个小demo,但是就面临着内网穿透的问题,毕竟不可能为每个IOT分配IP地址的。

场景一:

假设你拥有大量的树莓派设备,有一台公网服务器,也有一台个人电脑。这时候你需要通过个人电脑控制大量的树莓派设备。

场景二:

假设你是一个很牛逼的AI实验室的成员,刚好你要到外地工作一段时间,刚好你需要实验室里的几张1080Ti显卡的服务器,但是实验室的服务器一般是局域网使用的,这个时候,你面临的问题就是如何在外地访问它。

解决这个场景的主要框架如下图,我们在IOT端反向映射到云服务器,然后在本机电脑正向映射到云服务器,这样就可以实现从本机访问内网的机器了。

MainFrameWork.png

具体的步骤是这样的:

一、Cloud Server Configuration

首先,我们创建为ssh的接入创建一个独立的用户。
(on the server)

sudo useradd -m tunnel

然后,我们使用tunnel用户登陆,然后创建相对应的ssh配置。
(on the server)

sudo su tunnel
mkdir ~/.ssh
chmod 700 ~/.ssh
touch ~/.ssh/authorized_keys

然后,我们需要切换出tunnel用户,为了安全起见,我们会禁掉tunnel用户执行命令的功能。
(on the server)

# if you are still logged in as tunnel, exit:
exit
sudo chsh -s /bin/false tunnel

然后,我们需要对/etc/ssh/sshd_config文件进行修改,控制tunnel用户的权限。把下面的内容加到文件的末尾。
(on the server)

...

Match User tunnel
    AllowAgentForwarding no
    AllowTcpForwarding remote
    GatewayPorts no
    AllowStreamLocalForwarding no

二、IoT (Raspberry Pi) Configuration

为了稳定的ssh连接,我采用了autossh对ssh进行稳定监控和管理。采用supervisord对autossh进行监控。 so,我们需要install这两个东西。

( on the Raspberry Pi)

sudo apt install autossh -y
sudo apt install supervisor -y

需要配置一下supervisord。
( on the Raspberry Pi)

[program:ssh-forward]
process_name=%(program_name)s_%(process_num)02d
command=/usr/bin/autossh -M 10001 -N -R 10000:localhost:22 tunnel
autostart=true
autorestart=true
user=root
numprocs=1
redirect_stderr=true
stdout_logfile=/var/log/ssh-forward.log

上述的配置可以通过启动带有监控端口10001和10002的autossh来监控ssh连接,从而tunnel可以在云服务器上通过打开10000端口来和IOT进行通信。

我们还需要创建私钥和公钥,而且需要由root来开启tunnel,因为ssh port是小于1024的而且无法前向。
( on the Raspberry Pi)

# login as root
sudo -i
ssh-keygen -t rsa

nano /root/.ssh/config

Add the following to the config file (replace 123.123.123.123 with your cloud server’s IP address):

Host tunnel
    Hostname 123.123.123.123
    User tunnel

然后把树莓派的公钥加到云服务器的/home/tunnel/.ssh/authorized_keys中,(这个就不用我讲了吧= =#)

Ok,我们需要先测试一下ssh的转发功能有没有效果。
( on the Raspberry Pi)

ssh -N -R 10000:localhost:22 tunnel

-N: 表示转发功能,ssh会一直堵塞监听转发的。当执行这个命令的时候,ssh会对tunnel这个服务器的包进行tcp转发。假如看见一直堵塞,没有报错,说明树莓派的ssh配置好了。

然后,我们可以启动supervisor了。

service supervisor reload
service supervisor status

# login to your cloud server with your normal (NOT tunnel) user
netstat -tulpn | grep 10000

# and you will see
tcp        0      0 127.0.0.1:10000         0.0.0.0:*               LISTEN      -               
tcp6       0      0 ::1:10000               :::*                    LISTEN      -  

三、Accessing your IoT Device remotely

最后在本地的机器上运行

(your pc)

ssh -N -L 9090:localhost:10000 youruser@yourserver

youruser是指云服务器上区别于tunnel的user,yourserver是指云服务器上的ip地址。

本地建立了ssh通道之后,通过执行一下命令就可以连到树莓派/内网服务器了。一定要注意的是!user指的是树莓派的用户,或者内网的用户!

(your pc)

ssh user@localhost -p 9090

随便一谈

对于我来说,掌握内网穿透和远程控制技术十分重要。特别是遇到blockchain + IOT的项目研发方向,我需要控制/唤醒大规模的物联网设备;遇到跨地域开发的时候,也需要用到各个地区的服务器资源来跑AI。Teamviewer无疑是一个好东西,但是lisences太贵了,作为吃饭都成问题的学生党,真的无法承受,只能从开源项目着手。(致敬开源精神。。。)

在搭建网络的过程中,会遇到很多很多的问题。 本文也是避免描述这些问题的解决方案,在解决问题的过程中,需要各个小伙伴对TCP/IP的机制很熟悉,不然会容易疑惑为什么有时候能连上,有时候连不上。如果实在无法解决,可以发邮件一起讨论和学习。(再次致敬开源精神。。。)

Email: [email protected]

你可能感兴趣的:(基于ssh的稳定内网穿透and远程控制)