SSH-Tunnel durch Bastion-Host

tag-icon tag-icon linux ssh amazon-web-services bastion
SSH-Tunnel durch Bastion-Host

Ich habe ein Problem beim Einrichten eines SSH-Tunnels durch einen Bastion-Host.

Ich habe mir verschiedene SE-Fragen angesehen, die das Problem möglicherweise lösen könnten, aber keine Lösung gefunden.

Meine SSH-Konfigurationsdatei (lokal)

Host www
    HostName ***
    IdentityFile ~/.ssh/key.pem
    ProxyCommand ssh root@bastion -W %h:%p

Host bastion
    HostName ***
    IdentityFile ~/.ssh/key.pem
    StrictHostKeyChecking      no
    ProxyCommand               none
    ForwardAgent               yes

Ich habe die erforderlichen Konfigurationsoptionen auf dem Bastion-Server hinzugefügt (/etc/ssh/sshd_config):

PermitTunnel yes
AllowTCPForwarding yes
PermitOpen any
TCPKeepAlive yes

Ich erhalte jedoch die folgende Fehlermeldung:

OpenSSH_7.2p2 Ubuntu-4ubuntu2.4, OpenSSL 1.0.2g  1 Mar 2016
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: /etc/ssh/ssh_config line 59: Applying options for www
debug1: Executing proxy command: exec ssh root@bastion -W ****:22
debug1: permanently_set_uid: 0/0
debug1: permanently_drop_suid: 0
debug1: key_load_public: No such file or directory
debug1: identity file ~/.ssh/key.pem type -1
debug1: key_load_public: No such file or directory
debug1: identity file ~/.ssh/key.pem-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.4
channel 0: open failed: administratively prohibited: open failed
stdio forwarding failed
ssh_exchange_identification: Connection closed by remote host

Bei diesem Setup gibt es einen Vorbehalt, da sich der Zielhost (www) in einem AWS VPC befindet und nur von der Bastion aus adressierbar ist. Ich gehe davon aus, dass dies kein Problem sein sollte, da das Routing von der Bastion aus erfolgt, aber das ist mein letzter Gedanke, was das Problem in diesem Szenario sein könnte.

Antwort1

Das ist ziemlich ärgerlich. Es stellt sich heraus, dass das AWS AMI die Portweiterleitung in seinen autorisierten Schlüsseln deaktiviert! Das war schwierig zu debuggen, da in der SSHD-Konfiguration alles korrekt aussieht.

~/.ssh/autorisierte_schlüssel

no-port-forwarding,no-agent-forwarding,no-X11-forwarding

verwandte Informationen