root 的 SSH 隧道错误：sys_tun_open：配置隧道失败（模式 1）：不允许操作

Question

创建网络接口需要 root（或至少CAP_NET_ADMIN）权限。错误消息告诉客户端 ssh 命令无法创建 tun0 接口，正如运行客户端 ssh 时的 strace 摘录所证实的那样：

21510 open("/dev/net/tun", O_RDWR)      = 4
21510 ioctl(4, TUNSETIFF, 0x7fff5f9f1530) = -1 EPERM (Operation not permitted)
21510 close(4)                          = 0
21510 write(2, "Tunnel device open failed.\r\n", 28) = 28
21510 write(2, "Could not request tunnel forward"..., 38) = 38

最简单的是以 root 身份运行它，例如（配置和）使用sudo或su -c并可能提供正确的 ssh 密钥-i（或者它可以选择 root 的 ssh 密钥）。在 Debian 客户端上，这有效：

su -c 'ssh -i ~myuser/.ssh/id_rsa -NTCf -w 0:0 root@server-ip'

您应该在测试时替换-w 0:0为-w any以避免冲突。

另一种方法仍然需要 root（或CAP_NET_ADMIN），即按照通用命名约定提前创建接口（tunX，其中 X 是稍后在 ssh 参数中重用的数字），但授予 ssh 用户对此接口的访问权限：

# ip tuntap add name tun0 mode tun user myuser
# ip address add 192.0.2.10/24 dev tun0
# ip link set dev tun0 up

如果远程 ssh 用户不是 root，则可以在远程服务器上（通过 root）执行相同的操作。

然后，ssh 命令（以 myuser 身份运行，例如：）ssh -NTCf -w 0:0 remoteuser@server-ip将能够通过使用具有匹配名称的预先存在的隧道接口来对流量进行隧道传输。

如果您在客户端没有任何权限，也不允许运行具有服务器 IP 网络访问权限的虚拟机或容器，那么您可能无法成功。

注意：在本问答时，OP 发现，在 Debian buster（此时测试）中，包 openssh-client 和 openssh-server 版本 1:7.7p1-2 有一个阻止使用 tun/tap 隧道的错误。这在 Debian 中修复自 (Debian) 版本 1:7.7p1-3 起可用。

Answer 1