Translate

domingo, mayo 07, 2017

Conexión por red de datos movil 2G, 3G y 4G tunel inverso por SSH, usando Orange Pi 2G IoT


Tipo Conexión 2: Usando SSH, tunel inverso:

Orange Pi (equipo1) ---P1234--router (ip publica) --P22-----Raspberry Pi (equipo 2)
                                     <------p2222:localhostp22---->
En mi afán de tener conexión ssh por red movil (uso freedompop), he probado esta conexión ssh y asi poder usar la conexión ssh a mi Orange Pi 2G IoT remota sin ip publica.

Esta forma es algo mas complicada que la anterior pero es mucho mas rapida y bajo mi punto de vista se comporta bastante mejor:

1 Necesitamos tener nuestra Orange Pi 2G IoT y otro equipo remoto que hará las veces de ssh inverso, yo uso una raspberry pi, asi que en adelante Llamaré al equipo 1 Orange pi (remoto) y equipo dos lo llamare Raspberry pi (equipo local, detras de mi router).

2.Lo primero es hacer un mapeo de puertos en nuestro router (NAT) de tal marera que toda conexion entrante por nuestra ip pública al puerto 1234 vaya directamente al puerto 22 de nuestra lan interna:

192.168.1.100TCP&UDP221234

3En la raspberry pi (equipo 2) debemos disponer de un usuario con acceso ssh, este usuario lo incluiremos en el siguiente fichero alojado en la Orange pi (equipo 1):

/etc/ssh/sshd_config

Lo editamos e incluiremos al principio del mismo al usuario :

AllowUsers pi

Podemos hacer pruebas desde la orange pi para probar que podemos logearnos en la raspberry pi

ssh pi@IP_PUBLICA_NUESTRO_ROUTER -p 1234


Luego instalaremos  sshpass en la Orange Pi. Sshpass evita la solicitud de contraseña ssh interactiva para que la conexión se pueda establecer automáticamente.

sudo apt-get install sshpass

Necesitamos crear el siguiente script que iniciará la conexión inversa entre nuestra orange Pi (equipo 1) y la raspberry Pi (equipo 2):

#!/bin/bash

REMOTE_PORT=1234
REMOTE_ADDRESS=pi@IP_PUBLICA_NUESTRO_ROUTER
PASSWORD="password_usuario_pi"

sshpass -p "$PASSWORD" \
ssh -o ServerAliveInterval=60 \
    -o ServerAliveCountMax=2 \
    -o StrictHostKeyChecking=no \
    -o UserKnownHostsFile=/dev/null \
    -o ConnectTimeout=15 \
    -N -R 2222:localhost:22 $REMOTE_ADDRESS -p $REMOTE_PORT

Desde la raspberry pi (equipo 2) ya podemos lanzar el siguiente comando para logearnos en Orange Pi (equipo 1):

ssh UsuarioOrangePi@localhost -p 2222


Ya está, hemos conseguido establecer un tunel ssh entre las dos máquinas y acceder la la Orange Pi (equipo 1) por red de datos 2G, GPRS sin necesidad de que nuestro operador nos de una IP pública.
Por supuesto que realmente queremos que la Orange  Pi (equipo 1) inicie la conexión automáticamente. Así que hay que incluir la llamada anterior en un bucle y añadir una línea @reboot en el crontab para ejecutar este script en el inicio (creamos el script reverse_ssh.sh con el siguiente código):

#!/bin/bash

FWD_PORT=1234
WAIT_SECONDS=60

if [ "$#" != "3" ]; then
 echo "Maintain a reverse ssh connection, forwarding port $FWD_PORT on the remote machine."
 echo "If the connection fails or is dropped, wait $WAIT_SECONDS seconds and retry."
 echo "Usage: $(basename $0) [remote_user@]remote_server port password"
 echo "Then, on the remote ssh server: ssh $USER@localhost -p $FWD_PORT"
 exit
fi

REMOTE_ADDRESS=$1
REMOTE_PORT=$2
PASSWORD=$3

# By default the tunnel never seems to timeout. This is bad because if the connection to the
# server has been established once, then the server disconnects (link down, or maybe it's a laptop
# that doesn't run 24/7), it could never be re-established. So it's important to set a timeout for
# the tunnel. Note that keepalive is handled transparently by ssh; it does not mean any payload data
# has to be sent through the tunnel at these intervals.
SERVER_ALIVE_INTERVAL=60
SERVER_ALIVE_COUNT_MAX=2

while true; do
 sshpass -p "$PASSWORD" \
 ssh -o ServerAliveInterval=$SERVER_ALIVE_INTERVAL \
 -o ServerAliveCountMax=$SERVER_ALIVE_COUNT_MAX \
 -o StrictHostKeyChecking=no \
 -o UserKnownHostsFile=/dev/null \
 -o ConnectTimeout=15 \
 -N -R $FWD_PORT:localhost:22 $REMOTE_ADDRESS -p $REMOTE_PORT
 sleep $WAIT_SECONDS
done


Ahora debemos incluir esta entrada en crontab:

@reboot ./reverse_ssh.sh pi@IP_PUBLICA_NUESTRO_ROUTER 1234 passwordUsrPi


Hay que tener en cuenta que despues de reiniciar la Orange Pi (equipo 1) debemos  esperar hasta un minuto (o cualquier intervalo que hayamos elegido) antes de establecer la conexión.

Nota: Para hacer que nuestra orange pi Iot conecte automaticamente a nuestro proveedor sin intervenir nada mas simple que editar el fichero /etc/network/interfaces y agregar lo siguiente:

auto ppp0
iface ppp0 inet wvdial

Publicar un comentario