Translate

domingo, mayo 07, 2017

Conexión por red de datos movil 2G, 3G y 4G tunel inverso por SSH, usando Orange Pi 2G IoT


Tipo Conexión 2: Usando SSH, tunel inverso:

Orange Pi (equipo1) ---P1234--router (ip publica) --P22-----Raspberry Pi (equipo 2)
                                     <------p2222:localhostp22---->
En mi afán de tener conexión ssh por red movil (uso freedompop), he probado esta conexión ssh y asi poder usar la conexión ssh a mi Orange Pi 2G IoT remota sin ip publica.

Esta forma es algo mas complicada que la anterior pero es mucho mas rapida y bajo mi punto de vista se comporta bastante mejor:

1 Necesitamos tener nuestra Orange Pi 2G IoT y otro equipo remoto que hará las veces de ssh inverso, yo uso una raspberry pi, asi que en adelante Llamaré al equipo 1 Orange pi (remoto) y equipo dos lo llamare Raspberry pi (equipo local, detras de mi router).

2.Lo primero es hacer un mapeo de puertos en nuestro router (NAT) de tal marera que toda conexion entrante por nuestra ip pública al puerto 1234 vaya directamente al puerto 22 de nuestra lan interna:

192.168.1.100TCP&UDP221234

3En la raspberry pi (equipo 2) debemos disponer de un usuario con acceso ssh, este usuario lo incluiremos en el siguiente fichero alojado en la Orange pi (equipo 1):

/etc/ssh/sshd_config

Lo editamos e incluiremos al principio del mismo al usuario :

AllowUsers pi

Podemos hacer pruebas desde la orange pi para probar que podemos logearnos en la raspberry pi

ssh pi@IP_PUBLICA_NUESTRO_ROUTER -p 1234


Luego instalaremos  sshpass en la Orange Pi. Sshpass evita la solicitud de contraseña ssh interactiva para que la conexión se pueda establecer automáticamente.

sudo apt-get install sshpass

Necesitamos crear el siguiente script que iniciará la conexión inversa entre nuestra orange Pi (equipo 1) y la raspberry Pi (equipo 2):

#!/bin/bash

REMOTE_PORT=1234
REMOTE_ADDRESS=pi@IP_PUBLICA_NUESTRO_ROUTER
PASSWORD="password_usuario_pi"

sshpass -p "$PASSWORD" \
ssh -o ServerAliveInterval=60 \
    -o ServerAliveCountMax=2 \
    -o StrictHostKeyChecking=no \
    -o UserKnownHostsFile=/dev/null \
    -o ConnectTimeout=15 \
    -N -R 2222:localhost:22 $REMOTE_ADDRESS -p $REMOTE_PORT

Desde la raspberry pi (equipo 2) ya podemos lanzar el siguiente comando para logearnos en Orange Pi (equipo 1):

ssh UsuarioOrangePi@localhost -p 2222


Ya está, hemos conseguido establecer un tunel ssh entre las dos máquinas y acceder la la Orange Pi (equipo 1) por red de datos 2G, GPRS sin necesidad de que nuestro operador nos de una IP pública.
Por supuesto que realmente queremos que la Orange  Pi (equipo 1) inicie la conexión automáticamente. Así que hay que incluir la llamada anterior en un bucle y añadir una línea @reboot en el crontab para ejecutar este script en el inicio (creamos el script reverse_ssh.sh con el siguiente código):

#!/bin/bash

FWD_PORT=1234
WAIT_SECONDS=60

if [ "$#" != "3" ]; then
 echo "Maintain a reverse ssh connection, forwarding port $FWD_PORT on the remote machine."
 echo "If the connection fails or is dropped, wait $WAIT_SECONDS seconds and retry."
 echo "Usage: $(basename $0) [remote_user@]remote_server port password"
 echo "Then, on the remote ssh server: ssh $USER@localhost -p $FWD_PORT"
 exit
fi

REMOTE_ADDRESS=$1
REMOTE_PORT=$2
PASSWORD=$3

# By default the tunnel never seems to timeout. This is bad because if the connection to the
# server has been established once, then the server disconnects (link down, or maybe it's a laptop
# that doesn't run 24/7), it could never be re-established. So it's important to set a timeout for
# the tunnel. Note that keepalive is handled transparently by ssh; it does not mean any payload data
# has to be sent through the tunnel at these intervals.
SERVER_ALIVE_INTERVAL=60
SERVER_ALIVE_COUNT_MAX=2

while true; do
 sshpass -p "$PASSWORD" \
 ssh -o ServerAliveInterval=$SERVER_ALIVE_INTERVAL \
 -o ServerAliveCountMax=$SERVER_ALIVE_COUNT_MAX \
 -o StrictHostKeyChecking=no \
 -o UserKnownHostsFile=/dev/null \
 -o ConnectTimeout=15 \
 -N -R $FWD_PORT:localhost:22 $REMOTE_ADDRESS -p $REMOTE_PORT
 sleep $WAIT_SECONDS
done


Ahora debemos incluir esta entrada en crontab:

@reboot ./reverse_ssh.sh pi@IP_PUBLICA_NUESTRO_ROUTER 1234 passwordUsrPi


Hay que tener en cuenta que despues de reiniciar la Orange Pi (equipo 1) debemos  esperar hasta un minuto (o cualquier intervalo que hayamos elegido) antes de establecer la conexión.

Nota: Para hacer que nuestra orange pi Iot conecte automaticamente a nuestro proveedor sin intervenir nada mas simple que editar el fichero /etc/network/interfaces y agregar lo siguiente:

auto ppp0
iface ppp0 inet wvdial

sábado, mayo 06, 2017

Tunel Entre Orange Pi 2G IoT y servidor netcat remoto - SSH por GPRS -

Acceder a la Shell de nuestra Orange Pi 2G IoT mediante red de datos GPRS




Tipo conexión 1: Usando NetCat:
 El principal problema es que carecemos de IP pública en nuestras conexiones de datos moviles.
Para acceder a una shell remota, necesitamos dos equipos, el equipo 1 será nuestro servidor y el equipo 2 será nuestra Orange Pi 2G IoT conectada a internet por GPRS, yo uso los datos de freedompop (gratis).
Usaremos en ambos equipos el software netcat, si no disponemos de el lo instalaremos en ambos equipos:

$sudo apt-get install netcat

 Voy a usar el puerto 87, ya que es uno de los miles que están disponibles:

1- Lo primero es hacer un mapeo del puerto 87 en nuestro router de tal manera que apunte por TCP y UDP a nuestro servidor netcat:


2- Equipo 1 en nuestro servidor, ejecutar:

$ sudo nc -vlp 87



3-Equipo 2:, nuestro cliente, en este caso nuestra Orange Pi conectada a internet por GPRS, yo uso los datos de Freedompop:
Ejecutamos el siguiente comando:
 $bash -i &> /dev/tcp/Ip_Pública_Servidor_remoto/87 0>&1




De inmediato en nuestro equipo servidor podremos acceder a la shell de nuestra Orange Pi, para este caso, mediante un tunel de datos GPRS y sin necesidad de usar una IP pública:



Ahora solo falta crear un watchdog que nos permita automatizar esta conexión:
            1. Vigilar la conexión ppp0 y lanzarla de nuevo en caso de no estar disponible
            2.Conectar por netcat a nuestro servidor para abrir un tunel a la shell de orange pi 2G IoT

La aplicación de este tunel es muy útíl de cara a acceder a una vivienda remota por ejemplo, así dispondremos de acceso a todas las funciones que deseemos dar a nuestra orange pi 2G IoT: Sensores de temperatura humedad, gases, video vigilancai, termistato, etc... las impicaciones son muy elevadas.