Hlavní navigace

Názory k článku
Mosh: trochu jiné SSH

Otto Šabart aura:81

Podekovani

celé vlákno

Dekuji za zajimavy clanek. Popravde jsem vubec nevedel, ze nejaky mosh existuje :-). Jen tak dal.

Mokry Martin aura:98

Re: Podekovani

celé vlákno

Tiez dakujem autorovi za pekny a zaujimavy clanok. Program mosh ma tiez zaujal.

Vít Šesták (v6ak) aura:75

SSHFS

celé vlákno

Je to jen na terminál, nebo tudy půjde protunelit třeba i SSHFS?

Ondřej Caletka aura:97
23. 4. 2012 7:55 Nový

Re: SSHFS

celé vlákno

Zatím je to jen terminál. Pro přenos souborů by mosh nepředstavoval žádné zlepšení, TCP tam funguje docela dobře.

Nicméně je v plánu přidat podporu přesměrování SSH agenta a možná i X serveru.

31
31 (neregistrovaný) 2001:67c:1220:----:----:----:----:----
23. 4. 2012 8:15 Nový

Re: SSHFS

celé vlákno

U SSHFS bych to teda ocenil víc než u SSH. Se SSH jsem měl problémy asi jen jednou, když jsem byl připojený přes satelit a byla vyšší odezva, ale nebylo to nic extra hrozného.

U SSHFS jsem už narazil na problémy s vypršením dočasné adresy (RFC 4941), uspáním apod. U SSH to jednoduše řeší screen - návažu nové spojení a připojím se k běžícímu screenu. U SSHFS to znamená, že jádro si zamkne nějaký zámek a je problém přistoupit k file systému a tedy i odmountovat vytimoutovaný svazek se SSHFS.

Michal sjx aura:56

pokud jde pouze o spatnou konektivitu

celé vlákno

Pokud nepotrebujete stabilitu pri zmene IP, tak stejne dobre pomuze VPN postavena na udp packetech. Pouzivam ssh pres OpenVPN(udp) a pocitove je to mnohem prijemnejsi.

Ondřej Caletka aura:97
23. 4. 2012 13:00 Nový

Re: pokud jde pouze o spatnou konektivitu

celé vlákno

Nenapadá mě žádný důvod, proč by se pocit z používání SSH měl zlepšit*, když jeho TCP spojení zabalíte do UDP. Přibude jen jedna slupka navíc. Jediné, co se dá pomocí OpenVPN vyřešit, je právě ta mobilita - při změně adresy se adresy uvnitř VPN nezmění a TCP spojení (s trochou štěstí) zůstane navázáno.

*) Jedině snad, pokud by byl TCP provoz omezován traffic shapingem víc, než UDP provoz. Ale to je pak spíše záležitost konkrétní sítě.

Karel
Karel (neregistrovaný) 93.90.162.---
23. 4. 2012 17:12 Nový

Re: pokud jde pouze o spatnou konektivitu

celé vlákno

Nevím jak obecně, ale námi používané VPN běžící přes UDP předpokládá chyby na kanále a je poměrně agresivní při přeposílání paketů. Takže u "zaneřáděných sítí" je to opravdu rozdíl oproti TCP, které má timeout na intenzivní full duplex službu příliš dlouhý. Nevýhodou pak je, že se těch dat přenese kolikrát i řádově více, protože klient i server "spamují" i 10x za sekundu, což v případě pingu nad 100ms znamená stoprocentní přítomnost duplicit.

Toto neřeší přetíženou síť, ale nespolehlivou síť. My jsme to využili jedinkrát a to ve chvíli, kdy jeden z routerů začal náhodně zahazovat packety. Bylo potřeba změnit konfiguraci serveru, ale na ten se díky zmatenému routeru přes TCP prakticky nedalo dostat, protože při ztrátě několika packetů za sebou jdou timeouty k nekoneču a efektivní přenosová rychlost k nule. To ani na ten vim nestačilo. Lidé z IBM nám doporučili zkusit to přes VPN. Sice chvíli trvalo než nás přesvědčili (také jsme si klepali na čelo jak by tohle mohlo pomoci), ale opravdu to fungovalo.

Michal sjx aura:56

Re: pokud jde pouze o spatnou konektivitu

celé vlákno

Jsem rad, ze si dan nekdo tu praci to vysvetlit :). Ano, ja tim resim nespolehlivou WiFi (packet loss ~20%).

Kaacz
Kaacz (neregistrovaný) ---.2.broadband10.iol.cz
23. 4. 2012 13:40 Nový

NAT problem

celé vlákno

Je sice hezke zminit, ze kdyz je server za klasickou NAT maskaradou N:1, je treba provest zvenku portNAT. Ale to je standardni zalezitost bezna pro vsechny servery takto umistene.
Dulezitejsi mi spis prijde problem toho skriptu pusteneho pres SSH. Server oznami IP na ktere se pustil, coz je ale interni IP. Tato predana IP je klientu zhola k nicemu. Ten potrebuje verejnou IP.

Ondřej Caletka aura:97
23. 4. 2012 14:09 Nový

Re: NAT problem

celé vlákno

Kdepak, mosh-client se připojuje na IP adresu, kterou oznámí místně spuštěný skript mosh v netcat režimu, tedy na tu samou, na kterou se navazuje SSH spojení. Ze vzdálené strany se zjišťuje jen číslo UDP portu a šifrovací klíč.

Jenom je potřeba, aby čísla portů na externí adrese odpovídala interním číslům portů.

Kaacz
Kaacz (neregistrovaný) ---.2.broadband10.iol.cz
23. 4. 2012 14:48 Nový

Re: NAT problem

celé vlákno

Aha, dik za upresneni ..

jaromrax aura:73

pitfalls a autossh

Taky si pochvaluju tenhle aktualni clanek. Zahledl jsem to pred par dny a trochu pohledal:
-pokud klient a server neni na verejny ip, musite zajistit pruchod udp na vysokejch portech, coz je muj problem
-protokol je dost novinka,neni to vyzkouseny casem
-tunely jsou otazka
-X forward zatim neni
-nekdo to castecne srovnava s autossh
A to je to, co se chci zeptat - ma tu nekdo zkusenosti s autossh? Zkusil jsem to jednou, ale vysledkem bylo, ze mi viselo okno s heslem a neslo zabit

Pavel Šlechta aura:98

Číslování paketů

S tím číslováním paketů je to docela chytře vyřešené, protože OCB používá sůl a ta je použitá jako sekvenční číslo, které se inkrementuje.

"OCB requires that each plaintext be paired with a
unique 128-bit nonce over the life of the encryption key.
We use an incrementing 63-bit sequence number and di-
rection flag for this purpose."
Zdroj: http://mosh.mit.edu/mosh-paper-draft.pdf

Majales
Majales (neregistrovaný) ---.64.broadband3.iol.cz
24. 4. 2012 8:03 Nový

Obrázek

celé vlákno

Nevíte v čem je nakreslený ten obrázek? Musím dnes nakreslit nějaké vývojový diagramy.

Ondřej Caletka aura:97
24. 4. 2012 9:01 Nový

Re: Obrázek

celé vlákno

V Inkscape :)

vks aura:33

Re: Mosh: trochu jiné SSH

celé vlákno

tak dik. chtel jsem tenhle mosh vyzkouset, protoze nas provider nezvlada vecerni vytizeni site a sit je dost nestabilni...

no ale denyhostu na serveru to prislo podezrele a bannul mi domaci IPcko... ted nemuzu pracovat z domu:(

Ondřej Caletka aura:97
25. 4. 2012 9:27 Nový

Re: Mosh: trochu jiné SSH

celé vlákno

Proto je dobré mít domácí adresu na whitelistu, nebo nějakou jinou záchrannou cestu. :-)

Radek Hladik
Radek Hladik (neregistrovaný) 2001:1528:224:----:----:----:----:----
25. 4. 2012 11:30 Nový

Re: Mosh: trochu jiné SSH

celé vlákno

Upřímně řečeno, já jsem na podobné auto banovací věci dost opatrný. Ono se samozřejmě špatně pozná, jak přispěly, ale tak nějak subjektivně mám pocit, že zatím jsem s nimi měl víc starostí, než jaký mají přínos. Vždycky proto vyžaduju nějakou možnost, jak to co nejjednodušeji (a hlavně ne přes zabanované spojení) odblokovat.

Jako extrémní variantu řešení bych poradil pořídit si nějaký virtuální počítač (hodně firem nabízí na zkoušku zadarmo nebo za pár šupů) a přihlásit se z něj (pokud se používá denyhost, předpookládám, že SSH nebude omezené jen na předem definované IP).

Deafboy - aura:51

funguje to niekomu?

Nahodil som na server aj na PC, a netvari sa ze by to fungovalo.
mosh: Connecting... (257 s without contact.) [To quit: Ctrl-^ .]

Po manualnom spusteni mosh-server vypise:
[mosh-server detached, pid = 14702]

ale ziadny proces 14702 sa nespusti.

Zasílat nově přidané příspěvky e-mailem