LINUX.ORG.RU
ФорумAdmin

Доступ к массиву удаленных станций

 , , ,


0

2

Каким софтом или чем-то иным поддерживать доступ к серверам без GUI (raspberry pi) , которое клиенты будут сами устанавливать у себя?

Я буду только предоставлять образы для MicroSD, они сами будут образ писать на карту и загружать raspberry pi. Клиент лезть в консоль не будет и монитор подключать. Мне нужно будет заходить на каждое новое устройство и его админить. Вопрос, что мне предустановить на образ, чтоб оно беспроблемно дало мне доступ после первой загрузки без действий со стороны пользователя?

Пока додумался до

- Openvpn клиент без пароля, на сервере разрешено duplicate-cn, т.к. образ единый.
- ssh -R, проброс рандомного порта на локальный 22.

Еще варианты (уже бред, хотя..):

- «curl ..| bash» в кроне
- git clone && ansible-playbook
- zerotier (который self-hosted)
- tmate + периодичный репорт ID на почту или веб-запросом

Думаю, надо предусмотреть 2+ способа — вдруг один не сработает (например, зафаерволеная локалка).

Спасибо за советы.

★★★★★

Последнее исправление: Bers666 (всего исправлений: 1)

Так делай разные образы. Можешь в разметке указать раздел в конце, в fstab прописать, а потом генерировать squashfs с ключами и конфигом и подклеивать его к общему образу. Или пусть клиенты dd его в раздел. Раньше бы посоветовал не vpn, а tor, но его режут. Можешь в образ вписать «Мастер регистрации», который интерактивный, если они не совсем автономны.

boowai ★★★★
()
Ответ на: комментарий от kardjoe

И гуй?
И что если два клиента одновременно загрузят такую коробочку с одним паролем? Куда пойдет коннект?
Тимвюер не подходит.

Bers666 ★★★★★
() автор топика
Ответ на: комментарий от boowai

Ну камон, мне для 100 клиентов хостить 100 образов по гигу?
Никакого интерактива быть не должно. Клиент втыкает микросд, езернет кабель и этого достаточно должно быть.

Bers666 ★★★★★
() автор топика
Ответ на: комментарий от Bers666

Вообще нет особой проблемы с генерацией ключей и ID на месте, только ты не будешь знать какой ID к чему относится.

boowai ★★★★
()
Ответ на: комментарий от boowai

Это не проблема, сгенерить ключ и разобраться, какой клиент появился. Что по технологии доступа посоветуешь ?

Bers666 ★★★★★
() автор топика
Ответ на: комментарий от Bers666

Так у клиентов гуя нету? Добавь эту инфу в описание. Если гуя нет, я бы тоже по пути впн шел.

kardjoe
()
Ответ на: комментарий от Bers666

Я тебе предложил подклеивать. Вон, для смартфонов тоже часто оперируют несколькими кусками, собираемыми в один архив.

boowai ★★★★
()
Ответ на: комментарий от Bers666

Что по технологии доступа посоветуешь ?

Как я сказал, tor был неплох, пока не блокировали. openvpn жирноват, может, а сейчас в моде wireguard. Но это меньше половины от технологии доступа.

boowai ★★★★
()
Ответ на: комментарий от boowai

Ты имеешь в виду, сделать единый большой образ и выдавать каждому клиенту ещё дополнительно маленький блоб, по которому его потом и ловить?
Это как бы не проблема, отловить клиента. Меня больше волнует технология доступа, впн и ссш может быть с вероятностью 1% недоступно.

Bers666 ★★★★★
() автор топика

Клиент втыкает микросд, езернет кабель и этого достаточно должно быть.

В debian/ubuntu так и сделано. Сразу после установки можешь подключится по ssh по паролю.

Клиент за нат

Выкладывали на лоре сервис проброса ssh через нат. Поищи.

Aspid
()

не понял в чём вопрос, софта вагон - бери и делай, тебе нужен полный список всех утилит или нужно за тебя сделать чтобы работало?

zgen ★★★★★
()

Либо обычный OpenVPN по алгоритму, описанному вами, либо что-то более продвинутое через условный cloud-init.

Если вам не нужен никакой контроль доступа, то, пожалуй, OpenVPN будет наиболее лёгким вариантом в настройке и использовании.

ValdikSS ★★★★★
()
  • Openvpn клиент без пароля, на сервере разрешено duplicate-cn, т.к. образ единый.
  • ssh -R, проброс рандомного порта на локальный 22.

Пусть твоя удалённая станция ломится при первом включении по ssh на сервак и получает оттуда сертификат для openvpn, кладёт его в нужное место и поднимает openvpn туннель. Если сертификат уже получен и лежит где надо, то сразу запускай на удалённой станции openvpn клиента и всё.

Получишь сразу локалку из твоих удалённых станций без всяких проблем с натами и пр.

Stanson ★★★★★
()
Последнее исправление: Stanson (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.