Перестал работать ssh через proxy (http)

[Sanych]

Годами пользовал ssh через компанейские proxy. Обычно скрипты и оттуда вылавливал сам http proxy.
Но с этой недели это дело больше не работает.
Просто интересно, "лавочка накрылась" и забыть или можно еще что-то поднастроить?
Исходные данные:
- трафик через ssh минимальный
- SSH server дома работает на внешний порт 443
- В конторе windows7/putty c proxy настройкой в putty. Теперь сразу выкидывает проблему, лога не дает. Что на десктопе что на лапе-топе.
- web access через браузеры нормальный
- proxy адреса внешне не изменились
- доступ к ssh server с других мест со своих девайсов - без проблем.

"Может что в консерватории подправить?"(с)

[helg]

Надо смотреть по месту.

1. Возможно, вместо proxy, который https берёт через SOCKS, теперь стоит стоит "казахский фаервол" - proxy сам представляется https-сервером и предъявляет вашему браузеру фальшивый сертифткат сайта, куда вы идёте. А сам идёт на запрошенный https, расшифровывает трафик с него, - и зашифровывает его для Вас с фальшивым сертификатом. Понятно, что через такое putty/SOCKS на 443 домой не пролезет.

2. На Windows с клиентской стороны можно запретить выходить в Интернет некоторым программам - например, установкой Group Policy. Среди программ, которым может быть оставлен доступ, может быть ssh.exe из cygwin - и подобное. Чем у Вас люди в github коммитят? Попробуйте ssh -P 443 -D9876 sanych@sanychevo.com - и в браузере ставьте socks на localhost:9876.

[Sanych]

1. proxy перечислены в pac-файле, все в виде HTTP bla.bla.bla.com:80 (которые MAIN и еще чего-то). То есть НЕ SOCKS если я правильно понимаю. Пробовал пробить curl'ом, вроде входит в прокси, а на удаленном сервере потом вижу следы в логе типа "неопознаный протокол". Но это только после curl. А putty никаких следов не оставляет.

2. сигвиновский ssh требует нечто чтобы пробить прокси (в putty отдельный таб для этого). -Dxxxx меня не волнует и не интересует на данный момент потому как SSH-коннекшн сам не может соединиться. Мне бы это добить.
То есть нечто типа
ssh -P443 sanych@xxxx.com -o "ProxyCommand=any_kind_of_nc xxxxxxxxxxxxxx %h %p"
но оно вообще не работает: "ssh_exchange_identification: Connection closed by remote host"
Поскольку в нашем локейшене я остался один SW и хочу переползти с локального SVN на глобальный GIT - этот факт меня и беспокоит

Короче говоря, речи о тоннеле нет вообще, поскольку нужно не создать SOCKS proxy, а очень даже наоборот - используя существующие HTTP прокси выйти на сервер.

[uncle_Pasha]

Putty с скофигурированным прокси должен работать, если только его специально не фильтровать.
Я бы трассу снял - будет яснее. Wireshark или что-нибудь подобное.

[Flash-04]

А что за прокси у вас? У нас к примеру Blue Coat и чтобы себе любимому открыть ssh наружу, мне пришлось во первых получить разрешение чтобы меня прописали в соотв полиси, во вторых поставить open text socks proxy локально, и только после этого оно стало работать. Давным давно было как у вас через 443, но потом это зарезали и перестало работать совсем. Сильно умный у нас прокси оказался.

[Sanych]

Putty с скофигурированным прокси должен работать, если только его специально не фильтровать.
Я бы трассу снял - будет яснее. Wireshark или что-нибудь подобное.

Putty и работал с прокси как и положено. Больше года без проблем. До понедельника.
За WireShark боюсь меня уроют. Проверю, если разрешен конторой.
Могу кинуть дамп когда пытался через curl и прокси соединиться с сервером. Сделать?
Что заметил - порт 22 точно забанили. Надеюсь на 443 но пока не получается. Раньше получалось.

А что за прокси у вас? У нас к примеру Blue Coat и чтобы себе любимому открыть ssh наружу, мне пришлось во первых получить разрешение чтобы меня прописали в соотв полиси, во вторых поставить open text socks proxy локально, и только после этого оно стало работать.

Для браузеров настройка:
Use automatic configuration script: http://bla.nasha.kontora.com/pac.pac
Оттуда выковыриваю из

Code: Select all

var [b]Main_Proxy[/b]        = "PROXY [i]bla-zscaler-bla.proxy.bla.kontora.com:80[/i]";
var Other_Proxy       = ....
.......................
if (findHostInArray(host, kakojto.spisok)) {
        return ....;
    }

    return [b]Main_Proxy[/b];
}
//Endfunction FindProxyForURL

За больше года скрипт почти не поменялся. Во всяком случае Main_Proxy.
Потому bla-zscaler-bla.proxy.bla.kontora.com:80 был и остается прописан как HTTP proxy в Putty.

Собственно в предыдущих 2-х конторах был такой же подход и тоже всегда все у меня работало.

От Putty можно добиться какого нить вменяемого лога? Кроме такого:

Code: Select all

=~=~=~=~=~=~=~=~=~=~=~= PuTTY log 2017.11.20 15:19:32 =~=~=~=~=~=~=~=~=~=~=~=
Will use HTTP proxy at bla-zscaler-bla.proxy.bla.kontora.com:80 to connect to xxxx.com:443
Looking up host "bla-zscaler-bla.proxy.bla.kontora.com" for proxy
Connecting to HTTP proxy at 11.22.33.44 port 80

[Palych]

За WireShark боюсь меня уроют. Проверю, если разрешен конторой.

Извиняюсь за оффтопик, но если есть вероятность что уроют за WireShark - IMHO за доморощенные тоннели уроют поглубже...
У нас одного вывели буквально под руки с рабочего места до парковки...

[Sanych]

Извиняюсь за оффтопик, но если есть вероятность что уроют за WireShark - IMHO за доморощенные тоннели уроют поглубже...

Putty не запрещен. Опять таки git и прочая. Wireshark - надо прояснить в Corporate.
Cитуевина: подразделение в основном из электриков и механиков + factory floor. Софт - было нас двое, теперь полтора (один - скорее тестер на labview). IT-шник одна штука, но все эти вопросы идут через Corporate. Help desk по всем вопросам... да, да, в Индии. Чем меньше с ними, тем больше сами
Не, варианты должны быть, но это уже гораздо муторней.

[uncle_Pasha]

Putty не запрещен. Опять таки git и прочая.

Дык, одно дело не запрещено внутри, и совсем другое - ползать тайком наружу.
Если ssh нужен для личных трудов, то безопаснее коннектиться через телефон и т.п.
Если для конторского блага - официально открывать на фареволе.
Иначе, как правильно заметили, выведут. И какой-нибудь <бип> себе очередную медаль на грудь повесит.

[Flash-04]

Кстати, авторизацию прокси требует?

[Loyder]

Возможно, стал проверяться трафик через прокси. Если он ssl - то пропускается, если ssh - то запрещается.
Можно попробовать установить sslh на удаленной стороне и настроить с использованием proxytunnel.
То есть схема будет выглядеть следующим образом:
ssh -> proxytunnel -e ----[ssh/ssl]---> stunnel ---[ssh]---> sslh --> sshd

Вот здесь это расписано подробнее: http://www.rutschle.net/sslh

[Sanych]

Кстати, авторизацию прокси требует?

Вроде нет. Попробовал cntlm proxy на лаптопе - вроде не требует, пропускает на HTTP proxy как есть.

Можно попробовать установить sslh на удаленной стороне и настроить с использованием proxytunnel.

Интересный вариант, возможно как раз мой случай, но городить такое на рабочем виндовом компе я бы пока не стал.

Если ssh нужен для ...

Лично-конторских. Фильмы качать не требуется и ходить на фривольные сайты тоже не надо.

Если для конторского блага - официально открывать на фареволе.

Нуууу... типа да. В теории можно. Вы не пробовали делать это в очень крупных компаниях? Вот и хочется попытаться малой кровью если это еще возможно.

[uncle_Pasha]

В теории можно. Вы не пробовали делать это в очень крупных компаниях? Вот и хочется попытаться малой кровью если это еще возможно.

Пробовал, и не раз. Если это действительно большая компания, то срезать углы я бы не советовал.
В большой компании исключения - не редкость, и в 99% случаев существует стандартная процедура, как исключение получить.

[Sanych]

Пробовал, и не раз. Если это действительно большая компания, то срезать углы я бы не советовал.

Насчет углов соглашусь. Насчет процедуры - попытка не пытка. Попытка пойдет через Хайдарабад или Мумбай, помаринуется, потом 2-3 недели тупого пинг-понга, затем ответит "гуру" с рабочим временем 2am-8am EST... Как то так. А тут еще праздники на носу...
Надо будет с IT-шником потрещать. Может чего попроще изобретем.

[Flash-04]

Нуууу... типа да. В теории можно. Вы не пробовали делать это в очень крупных компаниях? Вот и хочется попытаться малой кровью если это еще возможно.

Да, и вполне успешно. Но время занимает.

[Sanych]

Да, и вполне успешно. Но время занимает.

Размер конторы >10-15 тыс. душ?
И много времени занимает. И мозги неплохо выносит. Если с нуля. Правда если дойти до конца, можно попутно бонусов огрести в виде того что не заказывал...

[Flash-04]

Больше размерчик.

[Sanych]

Больше размерчик.

Понял. Мы часом не в одной конторе?

[Flash-04]

Если вы не в Канаде, то вряд ли

[Sanych]

Если вы не в Канаде, то вряд ли

Мы везде, но я не в Канаде.
А у вас саппорт тоже в Азиях?

[Flash-04]

Нет. Все местное.

[Sanych]

Везунчик...

[Flash-04]

Политика компании такая. А то потом концов не найдёшь.

[Sanych]

А штаты вон как захлестнуло индосорсингом лет 10+ назад, так не отобьешься теперь...
Нашел таки wireshark в списке допустимых к использованию в конторе. Но пожалуй с айтишником потрещу, чтобы не было потом разборок.

[Flash-04]

Зависит от компании. Несколько конкурентов таки оутсорсят IBM, а те индусов любят. 10 лет назад IBM к нам приходило, обещали золотые горы. Сказали в итоге нет. Но договорщики из IBM были такие настырные, что злые языки говорят что их чуть ли насильно выводили за территорию