Configuração

Inicialmente, no servidor local (ssh_local) onde serão criados os túneis, devemos gerar um par de chaves pública e privada que será utilizada na autenticação da nossa VPN, para isso execute o seguinte comando como root:

# ssh-keygen -t dsa -b 1024 -P "" -f ~/.ssh/vpnKey_dsa 

Note que esse servidor local não precisa necessariamente ser o gateway da rede local, pode ser qualquer máquina Linux que possa acessar o serviço ssh de outras através da Internet. Após a execução do comando mostrado acima, será criado um par de chaves no diretório /root/.ssh denominadas: vpnKey_dsa e vpnKey_dsa.pub.

Cuidado! Mantenha sua chave privada (vpnKey_dsa) guardada “a sete chaves”, pois ela dará acesso aos seus servidores remotos, sem senha, a qualquer um que a possua.

Em seguida, copie a chave pública para os servidores que serão acessados remotamente via ssh, no caso www.ssh_server.com.br:

# cat /root/.ssh/vpnKey_dsa.pub | ssh www.ssh_server.com.br -l root -p 22 \
> 'umask 007; [ -d .ssh ] || mkdir .ssh; cat >> ~/.ssh/authorized_keys'

Agora que já temos criada a infra-estrutura de autenticação para a nossa VPN, vamos criar os túneis para cada serviço solicitado através da sintaxe abaixo:

# ssh -f -N -C -p 22 \
> -i /root/.ssh/vpnKey_dsa \
> -o serverAliveInerval=120 \
> -L ip_local:porta_local:ip_remoto:porta_remota
> -l root
> www.ssh_server.com.br

Onde:

• -f = execução em segundo plano;
• -N = não executa comandos remotos;
• -C = comprime os dados ante de enviá-los (economia de banda);
• -p 22 = porta do serviço ssh no servidor remoto;
• -i /root/.ssh/vpnKey_dsa = chave privada usada na autenticação;
• -o serverAliveInerval=120 = mantém a conexão sempre ativa (a cada 2 minutos);
• -L ip_local:porta_local:ip_remoto:porta_remota = cria o túnel.

Para acessar o serviço MySQL em www.ssh_server.com.br teríamos:

# ssh -f -N -C -p 22 \
> -i /root/.ssh/vpnKey_dsa \
> -o serverAliveInerval=120 \
> -L 192.168.1.254:3306:200.200.200.200:3306 \
> -l root
> www.ssh_server.com.br

Pronto! agora basta informar aos usuários que acessem ssh_local (192.168.1.254) na porta 3306 que a conexão será redirecionada automaticamente para www.ssh_server.com.br, ou seja, para os usuários será como se o serviço remoto estivesse sendo executado em ssh_local (192.168.1.254); facílimo, não?

E o serviço VNC? bem, para acessar o VNC como indicado na figura, devemos criar um novo túnel da seguinte maneira:

# ssh -f -N -C -p 22 \
> -i /root/.ssh/vpnKey_dsa \
> -o serverAliveInerval=120 \
> -L 192.168.1.254:5900:172.16.1.100:5900 \
> -l root
> www.ssh_server.com.br

e conectar em ssh_local (192.168.1.254) através da porta 5900. Observe que agora utilizamos o IP do host_remoto (172.16.1.100). Poderíamos ter utilizado qualquer porta em ssh_local, desde que superior a 1023 e que não estivesse sendo utilizada por outros serviços.

O interessante é que os serviços remotos podem ser acessados de qualquer estação da rede local, independente do sistema operacional utilizado, de maneira totalmente transparente para os usuários, e que os túneis podem ser criados em qualquer uma das estações locais (Linux claro), desde que a estação utilizada tenha permissão para acessar o servidor SSH remoto, ou seja, não é necessária a utilização de um servidor gateway para isso, embora seja o ideal (no exemplo acima, criamos nossos túneis no servidor gateway da rede local).

Fique atento, os túneis serão “quebrados” caso a máquina seja reiniciada ou a conexão fique off-line por mais de 120 segundos.