尾比例尺: SSH适用于手动编译的Openssh，而不是安装了Openssh的系统

Question

(这个问题应该加上“尾秤”的标签，但还不存在-需要掌握尾秤的知识)

我有一个标准的Ubuntu20.04笔记本电脑，通过ssh连接到远程的Raspberry Pi (端口22)。在远程位置，路由器上有端口转发(59995->22)。

注意:我在测试期间删除了~/.ssh/config。

SSH总是成功地连接，使用：

ssh user@public_ip -i ~/.ssh/id_rsa -p 59995

然而，当我使用Tailscale IP时，它从不连接，只挂120秒，然后超时：

ssh user@tailscale-ip -i ~/.ssh/id_rsa (不工作)

但是，如果我手动编译OpenSSH v8.2，并使用该版本，而不是/usr/bin/ssh二进制文件，那么它就完美地工作了！即使/usr/bin/ssh也是v8.2

./ssh user@tailscale-ip -i ~/.ssh/id_rsa (这很管用！)

重述:系统二进制在“正常”ssh上工作得很好，但是不适合使用ssh通过尾比例尺。然而，一个手动编译(相同)版本的Openssh工作正常的ssh，和ssh超尾随销售。有人知道是什么导致了这一切吗？

附加备注

我不认为尾秤网络有什么明显的问题:如果我通过尾比例尺IP进行探测，那么nmap扫描显示正确的端口是开放的，并且我可以直接netcat到tailscale_ip:22，它是接收和响应。

diff ~/openssh-8.2p1/ssh /usr/bin/ssh显示二进制的不同。(巨大的尺寸差异，大约3MB对0.7MB)

/usr/bin/ssh -V：OpenSSH_8.2p1 Ubuntu-4 ubuntu0.4，OpenSSL 1.1.1f 2020年3月31日

~/openssh-8.2p1/ssh -V：OpenSSH_8.2p1，OpenSSL 1.1.1f 2020年3月31日

/usr/bin/ssh -vvv user@tailscale_ip -i ~/.ssh/id_rsa日志(ip编辑)

OpenSSH_8.2p1 Ubuntu-4ubuntu0.4, OpenSSL 1.1.1f  31 Mar 2020
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: include /etc/ssh/ssh_config.d/*.conf matched no files
debug1: /etc/ssh/ssh_config line 21: Applying options for *
debug2: resolve_canonicalize: hostname 100.1.1.1 is address
debug2: ssh_connect_direct
debug1: Connecting to 100.1.1.1 [100.1.1.1] port 22.
< 2 minute hang here >
ssh: connect to host 100.1.1.1 port 22: Connection timed out

Answer 1

我也有类似的问题，因为我的ssh客户端没有显示Tailscale的2FA消息，默认的ssh/action策略设置为"check"。

尝试检查您的用户/标记的ACL设置吗？ssh的动作值是多少？如果它设置为"check" -尝试将其更改为"access"并尝试通过ssh访问主机。如果可以的话-我建议研究如何将2FA添加到ssh客户机中，以便显示"check"模式所需的Tailscale的身份验证链接。

一些链接帮助我调查并修复了类似的问题：

• https://tailscale.com/kb/1193/tailscale-ssh/#ssh-access-rules-in-default-acl
• https://github.com/tailscale/tailscale/issues/4766