反向 SSH 隧道所需的信息/帮助（命名约定等）

Question 1

这是使用 OpenSSH >= 6.7 + 的解决方案索卡特:

OpenSSH >= 6.7 可以使用Unix 域套接字转发

这意味着反向隧道端点将是UNIX 监听套接字而不是传统的 TCP 监听套接字。然后，您可以使用简单的命名方案更轻松地管理 RPI 群：套接字的名称将是 RPI 选择（和固定）的名称，例如OfficeDevice1991。只要它是有效的文件名，它甚至可以是 RPI 的唯一属性（因为 unix 套接字名称遵循文件名约定）。例如它的主机名、以太网或 wifi 卡的 MAC 地址......

SSH 可以处理用于隧道的 unix 套接字，而不是用于连接本身。它将需要 a 的帮助ProxyCommand才能作为 unix-socket 客户端工作。索卡特可以处理多种连接，包括unix套接字。

更新：
还有一个需要处理的具体问题：unix 套接字文件在干净退出时不会被删除，也不会被删除，例如在崩溃后。这需要选项StreamLocalBindUnlink=yes。我最初并没有发现，正如名称所暗示的那样，必须在创建 unix 套接字的节点上设置此选项。所以最后是在客户端设置了本地转发( -L)要不然sshd_config在具有远程转发 ( )的服务器 (in ) 上-R。奥普找到了那里。该解决方案使用远程转发。

VPS上的配置：
```
mkdir /rpi-access
```
（以 root 身份）编辑sshd_config文件 ( /etc/ssh/sshd_config)。它需要这个附加选项：
```
StreamLocalBindUnlink yes
```
根据默认选项，它可能还需要AllowStreamLocalForwarding yes

UPDATE2：
也在sshd_config参数ClientAliveInterval和中进行设置ClientAliveCountMax，从而允许在合理的时间内检测到断开连接，例如：
```
ClientAliveInterval 300
ClientAliveCountMax 2
```
然后，应尽早在 VPS 上检测到过时的 ssh 连接（示例中约为 1000 万个），然后相应的 sshd 进程将退出。

RPI 上的用法：
```
ssh -fN -R /rpi-access/OfficeDevice1991:localhost:22 -i /privatekeyfile useraccount@ip
```
在配置文件中，这将类似于：
```
Host ip
User useraccount
RemoteForward /rpi-access/OfficeDevice1991:localhost:22
IdentityFile /privatekeyfile
```
再次重复一遍：StreamLocalBindUnlink yes sshd在VPS端设置选项很重要：即使正常退出，刚刚创建的套接字也不会被删除。此选项可确保在使用之前删除套接字（如果存在），从而允许重新使用以进行进一步的重新连接。这也意味着不能仅将套接字的存在视为 RPI 已连接（但请参阅下文）。

现在可以在 VPS 上执行以下操作：
```
ssh -o 'ProxyCommand=socat UNIX:/rpi-access/%h -' rpiuseraccount@OfficeDevice1991
```
作为配置文件，考虑到例如 RPI 的名称均以办公设备:
```
Host OfficeDevice*
    User rpiuseraccount
    ProxyCommand socat UNIX:/rpi-access/%h -
```
要保留链接，只需使用循环

无论何时连接结束，RPI 都可以运行循环将 ssh 重新连接到 VPS。为此，它不能使用后台模式（ no -f）。还应该使用保活机制。 TCPKeepAlive（系统级别）或 ServerAliveInterval（应用程序级别）可用。我认为 TCPKeepAlive 仅在服务器（接收连接的一侧）上有用，所以我们宁愿使用 ServerAliveInterval。

它的值（以及 ServerAliveCountMax）可能应该根据各种标准进行调整：防火墙在一定时间后丢弃不活动的连接，希望的恢复延迟，不生成无用的流量，......这里假设 300 秒。

OfficeDevice1991 RPI：
```
#!/bin/sh
while : ; do
    ssh  -N -o ConnectTimeout=30 -o ServerAliveInterval=300 -R /rpi-access/OfficeDevice1991:localhost:22 -i /privatekeyfile useraccount@ip
    sleep 5 # avoid flood/DDoS in case of really unexpected issues
done
```
即使远程端尚未检测到先前的连接故障，并且旧的 ssh 连接仍在运行一段时间，StreamLocalBindUnlink yes无论如何都会强制将 unix 套接字刷新到新连接。
它已经被 1 处理了。

没有customcommandsearch必要啊在 1. 中设置正确的设置后，只需使用ssh OfficeDevice1991即可连接到 OfficeDevice1991。

如果需要在 VPS 上，root仅以用户身份执行以下命令：
```
fuser /rpi-access/*
```
可以显示当前有哪些RPI已连接（当然除了那些最近在检测前失去连接的RPI）。它不会显示过时的 unix 套接字文件，因为没有进程与它们绑定。

Answer

这是使用 OpenSSH >= 6.7 + 的解决方案索卡特:

OpenSSH >= 6.7 可以使用Unix 域套接字转发

这意味着反向隧道端点将是UNIX 监听套接字而不是传统的 TCP 监听套接字。然后，您可以使用简单的命名方案更轻松地管理 RPI 群：套接字的名称将是 RPI 选择（和固定）的名称，例如OfficeDevice1991。只要它是有效的文件名，它甚至可以是 RPI 的唯一属性（因为 unix 套接字名称遵循文件名约定）。例如它的主机名、以太网或 wifi 卡的 MAC 地址......

SSH 可以处理用于隧道的 unix 套接字，而不是用于连接本身。它将需要 a 的帮助ProxyCommand才能作为 unix-socket 客户端工作。索卡特可以处理多种连接，包括unix套接字。

更新：
还有一个需要处理的具体问题：unix 套接字文件在干净退出时不会被删除，也不会被删除，例如在崩溃后。这需要选项StreamLocalBindUnlink=yes。我最初并没有发现，正如名称所暗示的那样，必须在创建 unix 套接字的节点上设置此选项。所以最后是在客户端设置了本地转发( -L)要不然sshd_config在具有远程转发 ( )的服务器 (in ) 上-R。奥普找到了那里。该解决方案使用远程转发。

VPS上的配置：
```
mkdir /rpi-access
```
（以 root 身份）编辑sshd_config文件 ( /etc/ssh/sshd_config)。它需要这个附加选项：
```
StreamLocalBindUnlink yes
```
根据默认选项，它可能还需要AllowStreamLocalForwarding yes

UPDATE2：
也在sshd_config参数ClientAliveInterval和中进行设置ClientAliveCountMax，从而允许在合理的时间内检测到断开连接，例如：
```
ClientAliveInterval 300
ClientAliveCountMax 2
```
然后，应尽早在 VPS 上检测到过时的 ssh 连接（示例中约为 1000 万个），然后相应的 sshd 进程将退出。

RPI 上的用法：
```
ssh -fN -R /rpi-access/OfficeDevice1991:localhost:22 -i /privatekeyfile useraccount@ip
```
在配置文件中，这将类似于：
```
Host ip
User useraccount
RemoteForward /rpi-access/OfficeDevice1991:localhost:22
IdentityFile /privatekeyfile
```
再次重复一遍：StreamLocalBindUnlink yes sshd在VPS端设置选项很重要：即使正常退出，刚刚创建的套接字也不会被删除。此选项可确保在使用之前删除套接字（如果存在），从而允许重新使用以进行进一步的重新连接。这也意味着不能仅将套接字的存在视为 RPI 已连接（但请参阅下文）。

现在可以在 VPS 上执行以下操作：
```
ssh -o 'ProxyCommand=socat UNIX:/rpi-access/%h -' rpiuseraccount@OfficeDevice1991
```
作为配置文件，考虑到例如 RPI 的名称均以办公设备:
```
Host OfficeDevice*
    User rpiuseraccount
    ProxyCommand socat UNIX:/rpi-access/%h -
```
要保留链接，只需使用循环

无论何时连接结束，RPI 都可以运行循环将 ssh 重新连接到 VPS。为此，它不能使用后台模式（ no -f）。还应该使用保活机制。 TCPKeepAlive（系统级别）或 ServerAliveInterval（应用程序级别）可用。我认为 TCPKeepAlive 仅在服务器（接收连接的一侧）上有用，所以我们宁愿使用 ServerAliveInterval。

它的值（以及 ServerAliveCountMax）可能应该根据各种标准进行调整：防火墙在一定时间后丢弃不活动的连接，希望的恢复延迟，不生成无用的流量，......这里假设 300 秒。

OfficeDevice1991 RPI：
```
#!/bin/sh
while : ; do
    ssh  -N -o ConnectTimeout=30 -o ServerAliveInterval=300 -R /rpi-access/OfficeDevice1991:localhost:22 -i /privatekeyfile useraccount@ip
    sleep 5 # avoid flood/DDoS in case of really unexpected issues
done
```
即使远程端尚未检测到先前的连接故障，并且旧的 ssh 连接仍在运行一段时间，StreamLocalBindUnlink yes无论如何都会强制将 unix 套接字刷新到新连接。
它已经被 1 处理了。

没有customcommandsearch必要啊在 1. 中设置正确的设置后，只需使用ssh OfficeDevice1991即可连接到 OfficeDevice1991。

如果需要在 VPS 上，root仅以用户身份执行以下命令：
```
fuser /rpi-access/*
```
可以显示当前有哪些RPI已连接（当然除了那些最近在检测前失去连接的RPI）。它不会显示过时的 unix 套接字文件，因为没有进程与它们绑定。

Question 2

这是对这种情况的几种不同看法。我在这里省略了一些细节，因为没有什么可以阻止你提出进一步的问题如果您尝试其中任何一种路线，请了解具体信息。

1.更换OpenVPN接入服务器

如果 OpenVPN 访问服务器的成本是一个令人望而却步的问题，请考虑部署您自己的 OpenVPN 服务器。该软件免费使用；您只需要一个服务器端点（如果本地没有任何东西，则需要一个 VPS 或同等设备）和设置它的技能。有许多教程可用于此目的，因此您无需从零开始。

设置完成后，您可以使用 DNS 或/etc/hosts定义主机名（例如您的主机名）OfficeDevice1991来指向服务器上相应的 VPN 端点地址。

2. 使用autossh而不是OpenVPN

一旦您拥有了自己的端点，您就可以autossh在每个 Pi 系统上使用类似于ssh启动时的“众所周知”端点（VPS 或同等设备，如果您本地没有任何端点）。

每个 Pi 上都带有反向隧道 ( ssh -R)，这样每个 Pi 都会呈现服务器的不同端口号，映射回其自己的ssh端口 22。

明智地使用中的条目~/.ssh/config可以让您运行ssh OfficeDevice1991并自动映射到类似的内容ssh -p 12345 localhost，这反过来又对应于ssh与代表 OfficeDevice1991 的 Pi 的正常连接。

回答您在编辑中添加的一组问题，

who或者finger会给你每个树莓派的连接时间。

端口 49152 至 65535是你的
这就是autossh做的事
主机名

和

如上面#1
一个短for x ... do ... done循环可以为您自动生成文件。我也不想手动创建 1000 个条目。

Answer