我可以使用SSH隧道作为VPN的替代品吗？

Question

我在家工作。

我需要进入办公室里的机器。该办公室有一个专用局域网(例如，192.168.0.0/16)，上面有100台机器。我希望能够从家里访问这些机器。

我们在gateway.example.org上有一个SSH堡垒(SSH网关)主机，我们可以将它用于SSH隧道。

我想做的是：

1. 从家里到gateway.example.org。不知何故，我需要设置适当的隧道(SSH隧道、SOCKS代理等)。
2. 如果请求是192.168.0.0/16上的IP，则强制它通过隧道或代理。
3. 如果请求的IP与192.168.0.0/16网络不匹配，则不要使用代理。有些人使用ssh来隧道所有TCP流量。但我只想将请求代理到192.168.0.0/16网络。

我可以使用SSH转发或代理来完成这个任务吗？

我可以在Linux/Unix上使用带有动态端口转发和OpenSSH的SOCKS代理(PuTTY支持类似的功能)：

ssh -v -D 3333  gateway.example.org.

但这只适用于网页浏览器和其他一些袜子感知应用程序。

我也想通过代理强制一些其他通信量(VNC端口5900/5901)。特别是，我试图弄清楚如何让戴尔DRAC和应用程序和一个超级微型IPMI KVM在局域网上工作在这个SSH隧道上。

我目前正在使用Mac (雪豹)笔记本电脑，虽然我正在寻找一个更通用的网络概念，将工作在多个操作系统。

Answer 1

我使用动态端口转发和智能代理的组合。

ssh -D 12345 me@work

这将设置一个SOCKS代理，它侦听端口12345上的本地机器，并代理传输到您的工作网络。

然后在火狐上安装"FoxyProxy“。FoxyProxy有规则允许它决定是直接向目的地发送HTTP请求，还是通过代理发送请求。

你想让vnc穿越隧道。一些观众喜欢xvncviewer有一个"-via“选项，它将打开他们自己的SSH隧道，只为该会话。或者您可以通过像"tsocks“这样的程序运行vnc查看器，这将使用我们前面设置的12345隧道。

Answer 2

我正在寻找一个更普遍的网络概念，将工作在多个操作系统。

更通用的选项是仅仅设置一个VPN。有许多不同的VPN技术。我非常喜欢OpenVPN。

有一些方法可以在SSH上构建VPN，但效果不太好，而且大多数方法往往采用许多模糊的配置，这些方法不会跨平台。