Автоматично відновлюваний тунель TCP

У мене ненадійний мережевий зв’язок між двома машинами: іноді активні TCP-з'єднання випадають з причин, що не знаходяться під моїм контролем. Я хочу встановити надійний TCP-зв’язок між двома машинами.

Якби мережа була надійною, я б просто запустив ssh -L 1234:localhost:1234 remotehost, із прослуховуванням сервера на порту 1234 remotehostі вкажу клієнта на localhost:1234. Але якщо ssh-з'єднання вмирає, то і переадресоване з'єднання. Як я можу організувати автоматичне відновлення зв'язку між клієнтом і сервером?

Не рішення:

• Це не для інтерактивних додатків, тому екран не застосовується.
• Йдеться не лише про автоматичне підключення тунелю SSH, la autossh . Я хочу продовжувати використовувати те саме тунельоване TCP-з'єднання, а не запускати нове.
• В принципі, VPN зробив би свою справу. Але це здається непосильним, коли я просто хочу одне TCP-з'єднання, і я хотів би рішення, яке працює, навіть якщо у мене немає дозволів root на будь-якій стороні.

У мене тьмяна пам'ять програми, яка називається rocksсаме це, але вона, схоже, впала з обличчя в Інтернеті. Мене найбільше цікавлять Linux з обох сторін (хоча я б очікував, що програма на цьому рівні переноситься для інших програм), але якщо ви знаєте про програму, яка працює між QNX та VMS, тим краще.

Чи шукаєте старі непорушені надійні розетки ( скелі )?

Єдиний стандартний протокол, про який я знаю з цією можливістю, - це MPTCP . Він прозорий для додаткового шару, тому SSH поверх MPTCP повинен просто працювати. Він може запускати базові TCP-з'єднання по різних трасах з різними IP-адресами, тому в принципі він міг би використовуватися для міграції вашого SSH-з'єднання в і з VPN-з'єднання, залежно від того, підключено VPN-з'єднання.

Я не знаю багато про зрілість реалізації MPTCP, але дизайн протоколу виглядає досить надійним.

Це повинно захищати ваші SSH-з'єднання від втрати через невміле підключення до мережі. Це не захистить вас від mitm, який хоче перервати ваш SSH-з'єднання. Mitm все ще може вводити пошкоджені дані, які SSH виявить і порушить з'єднання.

Вбудований у протокол SSH метод, подібний до MPTCP, як повторне з'єднання, був би методом, який я міг би уявити, щоб зберегти з'єднання живим якнайдовше. Але я не думаю, що така функція була розроблена для протоколу SSH.

Ви можете використовувати daemontoolsдля збереження ssh-порта вперед; не обов'язково тримати програми в залежності від з'єднання живими, поки воно не працює (як імовірно, коли ssh від'єднає локальний порт, почне відмовлятися від з'єднань), але це початок.

Я підозрюю, що є деякі iptablesхитрощі, як-от викликати цей порт до DROP-пакетів, як тільки ssh вперед відходить, тому програми, що підключаються, просто знають, що пакети зникають, і не відмовляються їм. Я просто навчаюсь daemontools(знову), тому я не впевнений, чи можна запускати користувальницький сценарій, коли служба вмирає, але я підозрюю, що ви можете це зробити.

TCP робить це автоматично. Вам потрібно лише відключити або послабити типові практичні хаки очищення, які використовуються для вбивства moribund TCP-з'єднань. Вимкніть збереження TCP для вашого з'єднання та значно збільшите обмеження для надмірної повторної передачі. Наприклад, в Linux записуйте велику кількість /proc/sys/net/ipv4/tcp_retries2.

Однак у сучасній мережі надзвичайний брандмауер для перевірки пакетів, ймовірно, забуде про TCP-з'єднання, яке не вдається регулярно обмінюватися пакетами, тому на вашому параді може піти дощ.