Sziasztok,
A segítséteket szeretném kérni egy hálózati okosságból adódó backup megoldásában.
Adott egy proxmox gép, rajta 4 VPS-el. A host kapott egy IP címet és port forward segítségével vannak a VPS szolgáltatások kihelyezve a világhálóra.
Természetesen a VPS-ek kaptam egy másik hálókártyát, amin belső ip címekkel elérik egymásikt. Illetve a VPS-ek kilátnak a netre direktbe.
Ezeket a VPS-eket, vagyis csak a rajtuk lévő egy-két mappát kellene mentenem egy Synology NAS-ra.
Eddig nem így volt a hálózati felépítés, akkor a VPS-eket is elértem , így gyártottam egy docker containert, ami rsync-en lehúzta a NAS-ra a dolgokat. A konténer a NAS futtatta ütemezetten.
Az átalakulás utána viszont nem tudom, hogy hogyan lehetne menteni, mert rsync ssh-n keresztül a hostig jut, de onnan nem tudok átmenni a VPS-re, hogy onnan szedje le az adatokat.
Eddig így mentettem:
/usr/bin/rsync -r --ignore-existing --bwlimit=${MAX_BWIDTH} -e "ssh -p ${SSH_PORT} -o StrictHostKeychecking=no -i /srv/id_rsa" ${SSH_USER}@${SERVER_IP}:${SOURCE_DIR}/ ${TARGET_DIR}
Viszont most a ${SSH_USER}@${SERVER_IP} csak a host.
Hogy tudnám a mentést megoldani úgy, hogy biztonságos maradjon a rendszer és semmi felesleges dolgot ne kelljen telepíteni és kinyitni a tűzfalon.
Ami még fontos infó, hogy a NAS ip-je nem fix és a routert nem én kezelem, így ott az SSH-t nem tudom kinyitni, hogy a VPS syncelje magát a NAS-ra.
Válaszaitokat és a segítséget előre is köszönöm.
Köszi: Zoli
Hozzászólások
Ha jól értem a problémát, akkor:
Hoston/router port forward: 1122 -> 1-es VM 22-es portjára
1222 -> 2-es VM 22-es portjára
stb
A NAS pedig másszon be a host gép publikus IP-jének 1122, 1222, stb portjára és szedje át a motyót.
nem szeretném kinyitni az ssh portokat a backup miatt, így se örülök, hogy a host kint ül
Jó elgondolás. Akkor csinálj iptablesben port kopogtatást, ami később nyitja az ssh portot.
És ha a NAS-ról és a VPS-ekről nyitsz egy közös VPN-t a hostra?
Csak pár kóbor ötlet:
"az ssh paraméterben/konfigban megadható, hogy adott hosthoz gateway-en keresztül kell kapcsolódni. Ebben az esetben az ssh kapcsolat első kanyarban a gateway hosthoz épül fel és onnan megy tovább a célgépre,"
ennek,
"a VPN-t már említették - ha nem akarsz telepíteni, az se baj, tud ilyen mókát is az ssh."
és ennek mi a hívó szava a google-be? Utána olvasnék....
Szerintem ez a 2 lesz:
https://manpages.debian.org/bookworm/openssh-client/ssh_config.5.en.htm…
https://manpages.debian.org/bookworm/openssh-client/ssh.1.en.html#D
utóbbinál egy proxy-t hoz létre, amit socks5-ként tudsz használni kliensekben
A proxy-s megoldás is jó, de én nem arra gondoltam.
man ssh
SSH-BASED VIRTUAL PRIVATE NETWORKS szekció szépen leírja, hogy hogy kell felhúzni a kapcsolatot a két oldalon. Anno működött..
Ez a "VPN" megoldás annyiban szimpatikusabb a többinél, hogy nem kell hozzá semmit se telepíteni.
lehet vpn-en is, pl. wireguard. elvileg fel lehet taknyolni synology-ra https://www.youtube.com/watch?v=Tf74tyE0YjQ&ab_channel=DigitalAloha
+1
Talán ez a legcélszerűbb.
eddig a VPN megoldás vezeti a "szavazást", köszi
még várok, hátha van más olyan megoldás, ami megy ssh-n is
SSH-hoz Port knock, és/vagy fingerprint, jelszó nélküli belépés. A szerveren meg fail2ban figyeli, ki akar a triviális 22-es porton bejönni, vagy jelszóval ssh-zni. elsőre mehet ban-ra.
"speciel a blockchain igenis hogy jó megoldás, ezért nagy erőkkel keressük hozzá a problémát"
"A picsat, az internet a porno es a macskas kepek tarolorandszere! : HJ"
vpn, wireguard, tailscale, headscale címszavakban.
tailscale megoldás triviális
Gábriel Ákos