Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 3822 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSH as a VPN

Bob M
No I do NOT mean SSH's IPsec client or server products.

I mean good old SSH tunneling.

I have used SSH tunneling for SMTP, POP3, HTML, and VNC for quite some time.  Works wonderful when I am at a client's site that is NATed and needing SOCKs and other nasties.

My SSH tunnel server, behind my ASL firewall is an old 486/25 system running Debina LINUX and SSH.  It has no other purpose in life.

And its life is ending, it seems.  I just replaced the network card with my last old 3C507TP (3COM) card.  The fan had stopped and the unit was HOT, I gave the fan smoe WD40 and it is turning, but slowly.  So either I replace this box or I eliminate it.

I tried a while ago to get SSH tunneling working in ASL 2, and eventhough I hacked things to add another UNIX user, and uploaded my SSH key, I could not get any tunnels working.

So I need a bit of help here.

AGAIN, this is NOT IPsec.  Rather SSH tunneling.

Can it be done?  Does it work with ASL 3?


This thread was automatically locked due to age.
Parents
  • 0
    hi bob,

    I'm not 100% sure, but I think this is a problem. At work we use ssh-tunneling of X through a proxy-firewall with NAT. Everything works fine and was easy to configure, because this firewall supports transparent generic proxies. ASL has no facilities for generating generic proxies. 
    As a workaround maybe the use SNAT/DNAT could help you, but I can imagine, that this is a lot of configuration stuff.

    Regards

    Arne
  • 0 in reply to Arne Fischer
    I am having no problem of SSH going across the firewall to my SSH server on an internal network (I have all public addresses so no NATs needed).

    I want the SSH tunnel to TERMINATE on the ASL firewall, using the SSH code they supply for SSH logins to the system.

    It SHOULD work, even for ASL 2, but id doesn't.  IT MIGHT be an SSH config item (they might have turned this option off.  I am NOT a UNIX heavy to research things like this)....
  • 0 in reply to Bob M
    Hey, it works!!!

    Don't know what if anything changed; it might have been with the 2.026 update that was SSH specific.

    Anyway, I can prepare an FAQ for how to do SSH tunneling with 2.206, and then perhaps someone can tell me how to do it with 3.2 so I will know when I upgrade!!!!

    For the short version:

    Start with your SSH client using password login.
    SSH to ASL using the ID, LOGINUSER.
    SU
    Hack in a new user, e.g. George
    SSH to ASL using the ID, George.
    Upload George's Public Key; this is a cut and paste process, as the automagic secure file transfer seems to be disabled.
    switch your client to using public key login
    setup your tunnel definitions on your client
    point the client apps to LOCALHOST
    reconnect your SSH client using the public key

    It works!

    Remember that SSH tunneling is NOT as functional as IPsec.  But SSH tunneling works easily through firewalls, over NATs, and with SOCKS.
  • 0 in reply to Bob M
    Oh, left off why I tried it again.

    Tortoise (my 486/25 SSH server) has been acting quite badly these past few days, so I got desparate and decided to research why ASL SSH tunneling did not work before.

    I set my client back up and telneted to port 25 on localhost, and SUPPRISE, I got the SMTP hello from my server.

    I am sooo excited.

    Tortoise is soup tonight.  

    but I still have enough systems here behind ASL not to have to change my vote!
  • 0 in reply to Bob M
    Stranger and Stranger.

    Port 25 works through the tunnel and port 110 doesn't.

    It did work, but after a client reboot it stopped.  Now I cannot get it working.

    I DO NOT have SMTP proxy on on ASL, yet 25 goes through and 110 (POP3) does not.

    I have done a lot of testing, I do not have packet analysers available, but it appears that something is going wrong.

    perhaps more to follow.
Reply
  • 0 in reply to Bob M
    Stranger and Stranger.

    Port 25 works through the tunnel and port 110 doesn't.

    It did work, but after a client reboot it stopped.  Now I cannot get it working.

    I DO NOT have SMTP proxy on on ASL, yet 25 goes through and 110 (POP3) does not.

    I have done a lot of testing, I do not have packet analysers available, but it appears that something is going wrong.

    perhaps more to follow.
Children
No Data