Kann ich feststellen ob ich einen Point-to-Point (Layer-3) oder einen Ethernet (Layer-2) SSH Tunnel habe?

SierraX

Well-Known Member
Ich hab vor einiger Zeit mal einen SSH Tunnel aufgebaut zwischen einer APU und einem Server hergestellt.
Eigentlich hab ich auf dem Server in der /etc/ssh/sshd_config ein "PermitTunnel yes" was ja Layer-3 und Layer-2 erlaubt.
Auf dem Client in der /etc/ssh/ssh_config ein "Tunnel ethernet" zur Host URI "Host fallia.plugiat.net" was ja einen Layer-2 Tunnel aufbauen sollte.
Es scheint aber zumindest gemäss ifconfig tun0 auf beiden Rechnern ein Point-to-Point tunnel aufgebaut zu sein:
Server:
Code:
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
    index 4 priority 0 llprio 3
    groups: tun
    status: active

Client:
Code:
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
    index 8 priority 0 llprio 3
    groups: tun
    status: active

Wie kann ich überprüfen oder sehen welches Tunnel-Protokoll ich habe? bzw. mach ich irgendwas falsch und ich sollte irgendwo in meine Einstellungen ändern um ein L2TP statt einem PtP hin hin zu bekommen?
 
Habe sowas noch nie gemacht, aber es sollte dann auch ein tap0 device erscheinen, wenn die config stimmt. Evtl. nochmal doppelt prüfen.

Edit:
Potential "gotchas" that could prevent the Layer-3 VPN tunnel from working:
PermitTunnel must be enabled (set to "yes") in /etc/ssh/sshd_config on boththe localhost and the remotehost. If it's disallowed, then SSH will fail to create and bind to the "tun0" device.
 

Anhänge

  • Taos-White-Paper_Advanced-SSH-Tunneling.pdf
    270,2 KB · Aufrufe: 1.095
Danke ich schau mir das .pdf im Zug an.
Eine erste überprüfung hat nix auffälliges gezeigt, was erklären könnte warum ein Layer 3 Tunnel zu sein scheint, wo man laut Einstellungen ein Layer 2 Tunnel erwarten sollte. Am WE mal gucken ob man dass irgendwie erzwingen kann. Und auch ob das überhaupt irgendeinen Vorteil hat.
 
Jeppa. Wenn das alles nichts bringt und du unnötig Zeit verballerst, kannst du das ganze Geschnuddel durch openvpn pressen. Finde das persönlich eh besser, als wenn man ssh dazu hinbiegt.
 
Ich halte OpenVPN aber trotzdem für meinen Anwendungsfall zu kompliziert und damit für ungeeignet. OpenVPN ist gut darin Desktops mit Netzwerken zu verbinden. Aber mehrere Netzwerke miteinander ohne das man mit Portfreigaben und Weiterleitungen über das pseudo IPv6 von Kabel Deutschland arbeiten muss da halte ich es für ungeeignet.
 
hi

also eigentlich sollltest du das ganze gut erkennen daran , layer3 via "routing anzeigen" netstat -rn

und layer 2 sollte per arp -a n zu erkennen sein .

holger
 
Aber mehrere Netzwerke miteinander ohne das man mit Portfreigaben und Weiterleitungen über das pseudo IPv6 von Kabel Deutschland arbeiten muss da halte ich es für ungeeignet.
Pseudo IPv6? Was macht Vodafone denn da? Ich dachte, die machen auch DS-Lite? Bei deutscher Glasfaser klappt das ganz gut, auch mit dem Zugriff von außen (abgesehen davon, dass auf dem externen Interface nur die link-local konfiguriert bleibt und die erste routebare Adresse auf dem internen Interface landet)
 
also eigentlich sollltest du das ganze gut erkennen daran , layer3 via "routing anzeigen" netstat -rn

und layer 2 sollte per arp -a n zu erkennen sein .
Danke für den Hinweis... gerade getestet... man erkennt sogar beides an netstat -rn : Bei layer3 steht als Gateway für die eigene IP die selbe IP drin und bei layer 2 die Ethernet Adress was man in der arp Tabelle dann verifizieren kann.

Code:
# netstat -rn | grep 172.17.45.1
172.17.45.0/28     172.17.45.1        Cn         0        3     -     4 tap3
172.17.45.1        fe:e1:ba:d1:af:cb  UHLl       0        4     -     1 tap3
172.17.45.15       172.17.45.1        Hb         0        0     -     1 tap3
# arp -a | grep "fe:e1:ba:d1:af:cb"
172.17.45.1                          fe:e1:ba:d1:af:cb    tap3 permanent l

Danke auch nochmal an @mr44er für das .pdf hat mich weiter gebracht.

Es war mir vorher nicht klar, dass man ein anderes pseudo Device verwenden muss (tap für Layer 2 und tun für Layer 3)
Und ich halte es immer noch für die bessere Alternative ... da man für ssh tunnel sogut wie nirgends einen eigenen Client braucht, also praktisch out-of-the-box mit der OpenBSD Installation hat.
 
Pseudo IPv6? Was macht Vodafone denn da? Ich dachte, die machen auch DS-Lite? Bei deutscher Glasfaser klappt das ganz gut, auch mit dem Zugriff von außen (abgesehen davon, dass auf dem externen Interface nur die link-local konfiguriert bleibt und die erste routebare Adresse auf dem internen Interface landet)
Vielleicht verwechsle ich da auch wieder was. Es war auf alle fälle so, dass als ich 2014 das Internet an einem meiner Standorte eingerichtet hatte OpenVPN zu meinem AG nicht gut funktionierte und deshalb zum wechsel zu einer IPv4 Adresse geraten wurde. Damals scheinbar ein riesen Akt und nur mit ner Fritzbox zusammen hat man beides gekriegt.
Jetzt sind halt nur noch die devices die shit sind...
Bin halt älter als 35 ... IPv6 ist die wurzel allen übels und stört die natürliche Ordnung ;-)
 
Vielleicht verwechsle ich da auch wieder was. Es war auf alle fälle so, dass als ich 2014 das Internet an einem meiner Standorte eingerichtet hatte OpenVPN zu meinem AG nicht gut funktionierte und deshalb zum wechsel zu einer IPv4 Adresse geraten wurde. Damals scheinbar ein riesen Akt und nur mit ner Fritzbox zusammen hat man beides gekriegt.
Jetzt sind halt nur noch die devices die shit sind...
Bin halt älter als 35 ... IPv6 ist die wurzel allen übels und stört die natürliche Ordnung ;-)
Ahja, die lieben Kabelbetreiber und OpenVPN, das ist auch bei UM teilweise nicht besser gewesen. Mittlerweile sollten aber v4 und v6 problemlos funktionieren.

Ich bin auch älter als 35, finde v6 aber einen deutlichen Fortschritt gegenüber v4 (endlich wieder ende-zu-ende Verbindungen und die unsägliche NAT-Krücke fliegt gleich mit weg, um nur einige Beispiele zu nennen)
 
Da liegt das Problem aber eher bei DS-Lite bzw. beim CGN.
Beim AG von SierraX dürfte auch das wahrscheinlich nicht vorhandene IPv6 ein Problem gewesen sein (ist?), ich hatte das selbe Problem bei einem Kunden, deren VPN nur IPv4 konnte und an einem Standort hatte ich nur v6 zur Verfügung.

Insgesamt finde ich es etwas schwierig, über die Ende-zu-Ende Verbindungen bin ich eigentlich sehr froh, aber v6 ist mit all den ganzen Bastelein zu komplex geworden. LLUA, SLU, ULU, Multicast, Global Unicast, SLAAC, Mobile/Roaming v6, Tunnelzeug und was sonst noch, da verliere ich irgendwie den Überblick.

Edit: Sorry fürs Offtopic :/
 
Zurück
Oben