March 23rd, 2011

对ssh和vpn代理服务进行二次中转的探讨

  现有北京和美国VPS各一个分别为VPS_BJ和VPS_CA,流量和配置都比较给力,xen虚拟化,从我所在的客户端直接访问北京VPS非常极速,但访问美国VPS有点偏卡,主要原因是我客户端所在的接入网不给力。另一方面,国内最近对https盯的很严,特别是对翻墙小白来说,访问Gmail等服务有点困难。人家方sir有6个vpn,俺不能比,俺只能把手头有限的几个服务发挥到极致。

  想法一:能通过53端口的OpenVPN蹭网,并且能蹭上后让翻墙小白无障碍访问Gmail等服务。做法是在VPS_BJ上搭建53端口的OpenVPN实现蹭网。然后在此VPS_BJ上另跑一个ssh -D进程连接到VPS_CA,实现动态端口转发,从而在VPS_BJ上创建了一个Socks5代理。客户端只要通过此OpenVPN蹭上网后,然后设置代理为VPS_BJ上创建的代理端口即可无障碍访问Gmail等服务。

 image

  其中VPS_BJ上的ssh进程参数是

1
ssh –CND 10.0.0.1:23 username@vps_ca

  这里有几点是需要注意的:首先,bind_address一定要写成VPN内网IP,这样Socks5代理就只在内网中有效,保证了这个代理只有连上OpenVPN后才能使用,极有效的防止了滥用。其次端口最好绑定一个1000以内的常见但不用的端口,如23 telnet,原因你懂的,不过绑定1024以内的端口需要root权限,谨慎操作。最后,为了防止这个ssh连接死掉或者网络故障挂掉,非常有必要结合inittab中的respawn或者自己写expect脚本实现ssh的自动重连,本文在此不做讨论。

  想法二:我从客户端直接ssh -D连接到VPS_CA有点卡,经常掉线很郁闷。希望VPS_BJ能在中间起个中转的作用,看似绕了一个弯,但实际上速度却更快。实现方法也非常简单明了,直接在VPS_BJ上起一个ssh -L的本地端口转发进程即可,千万不要忘了-g参数,以在所有的interfaces上监听被转发的端口:

1
ssh -g -L 7001:vps_ca:22 username@vps_ca

  之后从PC照旧ssh -D连接VPS_BJ的被转发端口即可。

image

  上述解决方案从VPS_CA通过ssh -R反向连回来也行,如下操作:

1
ssh –R *:7001:localhost:22 username@vps_bj

  需要注意的是,因为ssh -R也是默认只监听lookback这个网口的,需要修改VPS_BJ的sshd_config打开GatewayPorts,同时bind_address参数要写成*才行。

image

  显而易见,从复杂性上,反向远程端口转发不如正向的本地端口转发的方案。另外,上述两个方案也同样需要有对ssh连接进行断线或定时自动重连的考虑。

Tags: , , , , , ,

December 31st, 2009

搬家到theplanet

  感谢Paveo曾经提供的高速而为稳定的CPH/LampDrive,永远会记住这一美好的时光。

  在国内继续待下去真的太纠结了。这次选择了出国,位于Dallas的theplanet机房。提供ssh账号。ping值在230~300之间,速度不是特别理想,但比蜗居在国内要强得多。

  搬出来的第一件事情就是删除首页的备案号。备案备案,备你个头。

Tags: , , ,

June 4th, 2009

在CPH主机上尝试SSH

  自从从九州未来科技搬家到CPH后,一直对主机的访问速度和质量非常满意,特别是还提供了对SSH登录的支持,更加让我感到非常自豪。

  可是在实际使用过程中,有时候却让人十分恼火。最开始拿到ssh账号时是考虑想把自己写的Gmail新邮件短信提醒的程序放到主机上来跑,可是上面curl和wget都没有,然后因为没有root权限,也安装不了。于是第一试告罢。后来我把程序放到unix-center提供的主机上去了。

  第二试是给自己的一个目录做软链接,ssh上去直接搞定。

  然后前天下午中国gov公布了四个全球优秀网络公司名单,其中之一Twitter.com光荣上榜。然后我在http://www.lostleon.com/twitter搭建了dabr,用来临时访问和更新twitter。可是硬是登录不上。然后突然想明白了,我的主机也并不在国外啊,怎么可能登录上呢。于是又ssh上去,想改hosts文件,可是我又错了。因为CPH并给普通用户修改hosts的权限,连查看都不能。第三试又告终。

  与国外的那几大VPS相比,CPH提供的SSH支持真是太弱了,权限给的太少。不过,话又说回来,这种权限的不放开,在国内确实也是很有必要的。不然必然会造成管理上的混乱。前些日子备案风暴刮遍CPH,如Paveo所言,疾风知劲草,备案见人心。一个能保持稳定的主机服务,特别是非技术因素上稳定的主机,真的对大家都有益的。

以下是广告时间,敬请广大未成年读者忽略:六分靠打拼,四分天注定

Tags: , ,