Túnel SSH a través del host bastión

tag-icon tag-icon linux ssh amazon-web-services bastion
Túnel SSH a través del host bastión

Tengo un problema al establecer un túnel ssh a través de un host bastión.

Después de haber analizado varias preguntas de SE que potencialmente resuelven el problema, nada lo ha hecho.

Mi archivo de configuración ssh (local)

Host www
    HostName ***
    IdentityFile ~/.ssh/key.pem
    ProxyCommand ssh root@bastion -W %h:%p

Host bastion
    HostName ***
    IdentityFile ~/.ssh/key.pem
    StrictHostKeyChecking      no
    ProxyCommand               none
    ForwardAgent               yes

He agregado las opciones de configuración necesarias en el servidor bastión (/etc/ssh/sshd_config):

PermitTunnel yes
AllowTCPForwarding yes
PermitOpen any
TCPKeepAlive yes

Pero me sale el siguiente error:

OpenSSH_7.2p2 Ubuntu-4ubuntu2.4, OpenSSL 1.0.2g  1 Mar 2016
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: /etc/ssh/ssh_config line 59: Applying options for www
debug1: Executing proxy command: exec ssh root@bastion -W ****:22
debug1: permanently_set_uid: 0/0
debug1: permanently_drop_suid: 0
debug1: key_load_public: No such file or directory
debug1: identity file ~/.ssh/key.pem type -1
debug1: key_load_public: No such file or directory
debug1: identity file ~/.ssh/key.pem-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.4
channel 0: open failed: administratively prohibited: open failed
stdio forwarding failed
ssh_exchange_identification: Connection closed by remote host

Hay una advertencia con esta configuración: el host de destino (www) está en una VPC de AWS y solo se puede acceder a él desde el bastión. Mi suposición es que esto no debería ser un problema ya que el enrutamiento se realiza desde el bastión, pero ese es mi último pensamiento como problema en este escenario.

Respuesta1

Eso es bastante molesto. ¡Resulta que AWS AMI deshabilita el reenvío de puertos en sus claves_autorizadas! Fue difícil depurar cuando todo en la configuración sshd parece correcto.

~/.ssh/claves_autorizadas

no-port-forwarding,no-agent-forwarding,no-X11-forwarding

información relacionada