ssh設定入門

 長尾です。

菅　雄一さん　おひさしぶりです。


ちょっとおねがいというか、バイトの打診なのですが、
samba のサーバ立てるのをリモートでいいので手伝ってもらえないでしょうか？

公務員の兼業禁止の話は誰でもご存じの話なのだが、
サラリーマンも安易に兼業を行うのは危険だ！

それは就業規則に「兼業禁止」にしている会社が多いためだ。
もし、勤務先に兼業がバレると、クビが飛ぶ事だってあるし、
裁判の判例で、クビが妥当という結果が出た事もある。

だが、サラリーマンの場合、勤務先の許可が降りれば問題なく
アルバイトができる。そのため隠れてバイトをするぐらいなら、
堂々と勤務先に申請すれば良い話で、もし、隠れてやったとしても、
市民税や住民税が給与天引きの場合、バイト収入の税金分が
差異として、会社にバレてしまいますよ〜 (^^)

最近は、残業手当や昇給ができない事から、副業を認める会社も
増えていますので、就業規則を照らし合わせて、勤務先に申請するなりして
堂々とバイトをしましょう！

長尾です。

お願いしたいのは、

samba サーバの設定です。iptables を設定しての運用です。

まずお願いしたいのは、
内側にあるサーバ設定で
次に、データセンター上にあるサーバです。

SSH1　ですが鍵をつけました。

ターゲットになる　サーバは、XXX.YYY.ZZZ です。
添付の鍵 パスワード **** で入れるはずです。
アカウントは、suga です。

ルートのパスワードはPGPで送りたいのですが、
PGPはお使いでしょうか？

ssh -1 -l suga XXX.YYY.ZZZ

 　長尾さん
 
 　こんばんわ。メールありがとうございます。

>  ssh -1 -l suga XXX.YYY.ZZZ
 
 　これをやりましたが、ダメでした。
 　ちなみにエラーの内容は以下の通りでした。
 
 ----------------------------------------------------------
 suga@jitaku[~]% ssh -1 -l suga XXX.YYY.ZZZ
 The authenticity of host 'XXX.YYY.ZZZ (xxx.yyy.zzz.aaa)' can't be
 established.
 RSA1 key fingerprint is XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.
 Are you sure you want to continue connecting (yes/no)? yes
 Warning: Permanently added 'XXX.YYY.ZZZ,xxx.yyy.zzz.aaa' (RSA1) to the
 list of known hosts.
 suga@XXX.YYY.ZZZ's password:
 Permission denied, please try again.
 -----------------------------------------------------------------

長尾です。

わ、すみません。linux に、秘密鍵を登録していませんね。
ssh -1 -i .ssh/秘密鍵  -l XXX.YYY.ZZZ

として、秘密鍵を、.ssh の中にいれてください。

この奮闘記を編集していて気づいた事だが、sshでのユーザ認証のための
秘密の呪文の事をパスワードでなく、パスフレーズと呼んでいたりする。

確かに、telnetやftpでの認証のパスワードとは別物なので区別するために
パスフレーズと呼んでいたりすると思われる。（あくまでも推測）

[suga@jitaku[~]% ssh -1 -l suga XXX.YYY.ZZZ -i suga.ppk
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for 'suga.ppk' are too open.
It is recommended that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: suga.ppk
Enter passphrase for RSA key 'suga.ppk': 

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for 'suga.ppk' are too open.
It is recommended that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: suga.ppk
Enter passphrase for RSA key 'suga.ppk': 

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for 'suga.ppk' are too open.
It is recommended that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: suga.ppk
Bad passphrase.
Connection closed by xxx.yyy.zzz.aaa

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0644 for 'suga.ppk' are too open.
It is recommended that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: suga.ppk
Enter passphrase for RSA key 'suga.ppk': 

赤い部分に注目してみた。
もしかして、鍵のファイルのパーミッションに問題があると考えた。

確かに、青い部分を読むと「秘密鍵を他人には見えないように」という意味が
書かれている。
その下には「この秘密鍵は無視するで〜」と書いている。

suga@jitaku[~/nagao]% ls -l
合計 12
-rw-r--r--    1 suga     users         528  1月 15日  22:30 suga.ppk

suga@jitaku[~/nagao]% ls -l
合計 12
-r--------    1 suga     users         528  1月 15日  22:30 suga.ppk

suga@jitaku[~]% ssh -1 -l suga XXX.YYY.ZZZ -i suga.ppk
Enter passphrase for RSA key 'suga.ppk': 

suga@jitaku[~]% ssh -1 -l suga XXX.YYY.ZZZ -i suga.ppk
Enter passphrase for RSA key 'suga.ppk': 
[suga@suga]$ 

クライアント側は秘密鍵を持っていて、その鍵を使って暗号化する。
そして、サーバー側の公開鍵でデータの復元化を行う。
データの暗号化によってデータの安全性が保たれる。

クライアント側は公開鍵を持っていて、サーバー側に秘密鍵があると
思い込んでいた。
そのため、長尾さんとのやりとりで、私の手元で使っていた鍵が
秘密鍵である事に、違和感を感じていた。

よくよく考えると、SSHの特徴として、例え、パスフレーズがバレても
本人しか知らない鍵で暗号化して送るため、簡単にはログインする事ができず
安全性が保たれるのだが、誰でも知っている公開鍵で暗号化すると、
その特徴が台無しになる。

どうやらPGPの送り手が公開鍵で暗号化して、受け手が秘密鍵で
復元化するのと混同していたようだ (^^;;

認証が終わり、実際にデータ通信が行われる際のデータの暗号化も
公開鍵暗号が使われていると誤解していた。

よくよく考えると、暗号化と復元化に時間がかかる公開鍵暗号を
使うわけないのだが、気がつかなかった (^^;;

青で囲んだ部分は、暗号の種類で、上から順番に使う際の優先度を表す。
SSH1の場合、AESは使えないので、2番目のBlowfishが使われる事を意味する。

もちろん、この順序の変更は可能で、3DESを使いたい人は、
1番目に、3DESをもってくれば良いのだ。

-c blowfish | 3des | des
        Selects the cipher to use for encrypting the session.  3des is
        used by default.  It is believed to be secure.  3des (triple-des)
        is an encrypt-decrypt-encrypt triple with three different keys.
        blowfish is a fast block cipher; it appears very secure and is
        much faster than 3des. des is only supported in the ssh client
        for interoperability with legacy protocol 1 implementations that
        do not support the 3des cipher.  Its use is strongly discouraged
        due to cryptographic weaknesses.

通信データの暗号化のために使われる共通鍵はクライアント側で生成される。

まずは、サーバー側で秘密鍵と公開鍵を生成する。
この2つの鍵は、クライアント側で生成される共通鍵を安全に運ぶために
共通鍵を暗号化するための鍵となる。
そして、公開鍵をクライアント側に渡す。

クライアント側でデータ暗号化のための共通鍵を生成した上で、
サーバーから渡された公開鍵を使って、生成した共通鍵を暗号化して
サーバーに渡す。共通鍵を暗号化する事により、途中の経路で
盗聴されるのを防ぐ事ができる。

実はsshのところで疑問に思うことがありまして、メールさせて頂きました。
sshについては、サーバ側に公開鍵と秘密鍵を持たせて、
公開鍵をクライアントに送って、クライアントで共通鍵を作成し、
公開鍵で暗号化して、サーバに送って、以降共通鍵での暗号通信と
認識していたのですが、「私が誤解していた事」で、
そういうことでなさそうなようですし、
また、実際、長尾さんからのメールで
　ssh -1 -i .ssh/秘密鍵  -l XXX.YYY.ZZZ　で
ログインするようにとのことですし、
PuTTYの設定でも秘密鍵の設定がありますし・・、
「秘密鍵はやはりクライアント？」　ってことなのかなと。
それで下の方を読み進めると「SSH1ので共通鍵の受け渡し方法」
ってところで、やはりこれらの鍵ペアーはサーバで
保持しとくものなのかな。って思ったりして

[suga@client]$ ssh-keygen -t rsa1
Generating public/private rsa1 key pair.
Enter file in which to save the key (/home/suga/.ssh/identity): suga
Enter passphrase (empty for no passphrase): パスフレーズを入力
Enter same passphrase again: 再度、パスフレーズを入力
Your identification has been saved in suga.
Your public key has been saved in suga.pub.
The key fingerprint is:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX  suga@xxx.yyy.co.jp
[suga@client]$ 

赤い部分はIDの意味ではなく、秘密鍵や公開鍵の名前になる部分だ。
そして、SSHでログインする際のパスフレーズを入力する。

すると、秘密鍵「suga」と公開鍵「suga.pub」が生成される。

[suga@server]$ cd .ssh
[suga@server]$ cp suga.pub authorized_keys
[suga@server]$ ls
authorized_keys  suga.pub
[suga@server]$ ls -l
合計 8
-rw-r--r--    1 suga     aaa           346  5月 13 15:40 authorized_keys
-rw-r--r--    1 suga     aaa           346  5月 13 15:38 suga.pub
[suga@server]$ 

[suga@client]$ ssh -1 -l suga xxx.yyy.zzz.aaa -i suga
The authenticity of host 'xxx.yyy.zzz.aaa (xxx.yyy.zzz.aaa)' can't be established.
RSA1 key fingerprint is xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'xxx.yyy.zzz.aaa' (RSA1) to the list of known hosts.
suga@xxx.yyy.zzz.aaa's password: 
Permission denied, please try again.
suga@xxx.yyy.zzz.aaa's password: 

[suga@client]$

[suga@client]$ ls -l
合計 4
-rw-------    1 suga     aaa          542  5月 13 18:20 suga
[suga@client]$ 

suga@jitaku[~/test]% ssh -1 -l suga xxx.yyy.zzz.aaa -i suga
Enter passphrase for RSA key 'suga': 
Last login: Sat May 14 09:29:53 2005 from aaa.bbb.ccc.jp
[suga@kaisha]$ 

社内LAN（プライベート側）への接続が成功したのだ。

ところで、私の自宅はプロバイダーが気前が良いのか、グローバルIPを8つ
持っている。そのため、グローバルIPを使って接続しているのだが
通常の自宅やホテルなどからのインターネット接続のように、
プライベートIPを持っているクライアントが、NAT越えを行い、
なおかつ、会社のNAT越えを行って接続ができるかについては
後述しています。

suga@jitaku[~/.ssh]% ls
known_hosts  suga.ppk*
suga@jitaku[~/.ssh]% 

suga@jitaku[~/.ssh]% ssh -1 -l suga XXX.YYY.ZZZ.AAA -i suga.ppk 
The authenticity of host 'XXX.YYY.ZZZ.AAA (XXX.YYY.ZZZ.AAA)' can't be established.
RSA1 key fingerprint is XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'XXX.YYY.ZZZ.AAA' (RSA1) to the list of known hosts.
Enter passphrase for RSA key 'suga.ppk': 

suga@jitaku[~/.ssh]% ssh -1 -l suga XXX.YYY.ZZZ.AAA -i suga.ppk
Enter passphrase for RSA key 'suga.ppk': 

1回目の接続で、クライアントはサーバーから公開鍵を貰う。

2回目以降の接続では、クライアントが持っている公開鍵をサーバーに送り
接続元のクライアントが正しいかどうかの確認に使われる。

suga@jitaku[~/.ssh]% ssh -1 -l suga XXX.YYY.ZZZ.AAA -i mayumi.ppk
suga@XXX.YYY.ZZZ.AAA's password: 
Last login: Sat May 21 12:54:59 2005 from aaa.bbb.ccc.jp
[suga@kaisha]$ 

別の秘密鍵で接続を行おうとしたら、接続拒否ではなく、
ログインパスワードを尋ねてくる。

折角、telnetなどをパケットフィルタリングで拒否しても、
SSHのポートさえ開いていれば、telnetと同じ形でログインができる。

 SSHには、rshと同様に、リモートシェルの働きや、ポートフォワーディング
という技が使えるぞという声があるかと思います。
 それを知ったのは、だいぶ後になってからです。

　この2つについては、後述しています。

お願いしたいことは、

1.バックアップ用の samba サーバをたてる。
　というかファイルサーバですね。
2.その samba サーバを、インターネット接続して、データをデータセンタに飛ばす。
というのをやりたいのです。

# default: on
# description: The rshd server is the server for the rcmd(3) routine and, \
# consequently, for the rsh(1) program.  The server provides \
# remote execution facilities with authentication based on \
# privileged port numbers from trusted hosts.
service shell
{
socket_type = stream
wait = no
user = root
log_on_success += USERID
log_on_failure += USERID
server = /usr/sbin/in.rshd
disable = yes
}

# default: on
# description: The rshd server is the server for the rcmd(3) routine and, \
# consequently, for the rsh(1) program.  The server provides \
# remote execution facilities with authentication based on \
# privileged port numbers from trusted hosts.
service shell
{
socket_type = stream
wait = no
user = root
log_on_success += USERID
log_on_failure += USERID
server = /usr/sbin/in.rshd
disable = no
}

[suga@remote moto]$ rsh XXX.YYY.ZZZ.AAA ls
test.dat
pro
pro2
pro3
pro4
pub

suga@jitaku[~/test]% scp -i suga file suga@XXX.YYY.ZZZ.AAA:file
suga@XXX.YYY.ZZZ.AAA's password: 
Permission denied, please try again.
suga@XXX.YYY.ZZZ.AAA's password: 
Permission denied, please try again.
suga@XXX.YYY.ZZZ.AAA's password: 
Permission denied (publickey,password,keyboard-interactive).
lost connection
suga@jitaku[~/test]%

suga@jitaku[~/test]% scp -i -1 suga file suga@XXX.YYY.ZZZ.AAA:file
Warning: Identity file -1 does not exist.
suga@XXX.YYY.ZZZ.AAA's password: 
Permission denied, please try again.

suga@jitaku[~/test]% scp -1 -i suga file suga@XXX.YYY.ZZZ.AAA:file
Enter passphrase for RSA key 'suga': 
file                            100%  532     0.5KB/s   00:00
suga@jitaku[~/test]% 

[suga@kaisha .ssh]$ scp -1 -i  suga.ppk file suga@192.168.XXX.YYY:file
scp: illegal option -- 1
usage: scp [-pqrvBC46] [-F config] [-S ssh] [-P port] [-c cipher] [-i identity]
           [-o option] f1 f2
   or: scp [options] f1 ... fn directory
[suga@kaisha .ssh]$ 

[suga@kaisha .ssh]$ scp -oProtocol=1 -i  suga.ppk file suga@192.168.XXX.YYY:file
Enter passphrase for RSA key 'suga.ppk': 
file                 100% |************************************************************************|    20       0
0:00    
[suga@kaisha .ssh]$ 

echo "パスフレーズ" ;
/usr/bin/scp -oProtocol=1 -i  suga.ppk file suga@192.168.XXX.YYY:file

/usr/bin/scp -oProtocol=1 -i  suga.ppk file suga@192.168.XXX.YYY:file ;
echo "パスフレーズ"

[suga@kaisha .ssh]$ ssh-agent
SSH_AUTH_SOCK=/tmp/ssh-XXdKi806/agent.22751; export SSH_AUTH_SOCK;
SSH_AGENT_PID=22752; export SSH_AGENT_PID;
echo Agent pid 22752;
[suga@kaisha .ssh]$ ssh-add
Could not open a connection to your authentication agent.

[suga@kaisha .ssh]$ eval `ssh-agent`
Agent pid 22762
[suga@kaisha .ssh]$ ssh-add
Enter passphrase for suga@xxx.yyy.co.jp: パスフレーズ
Bad passphrase, try again:
Bad passphrase, try again:

SYNOPSIS
     ssh-add [-lLdD] [file ...]
     ssh-add -s reader
     ssh-add -e reader

DESCRIPTION
     ssh-add adds RSA or DSA identities to the authentication agent, ssh-
     agent(1).  When run without arguments, it adds the files
     $HOME/.ssh/id_rsa, $HOME/.ssh/id_dsa and $HOME/.ssh/identity.  Alterna-
     tive file names can be given on the command line.  If any file requires a
     passphrase, ssh-add asks for the passphrase from the user.  The
     passphrase is read from the user's tty.  ssh-add retries the last
     passphrase if multiple identity files are 

[suga@kaisha .ssh]$ eval `ssh-agent`
Agent pid 22762
[suga@kaisha .ssh]$ ssh-add ./suga.ppk
Enter passphrase for suga@xxx.yyy.co.jp: パスフレーズ
Identity added: ./suga.ppk (suga@xxx.yyy.co.jp)

[suga@kaisha .ssh]$ scp -oProtocol=1 -i suga.ppk  test suga@XXX.YYY.ZZZ.AAA:file
file                 100% |*************************************************************************|    20       00:00  

suga@jitaku: foo=10
suga@jitaku: x=foo
suga@jitaku: y='$'$x 
suga@jitaku: echo $y
$foo

suga@jitaku: foo=10
suga@jitaku: x=foo
suga@jitaku: eval  y='$'$x 
suga@jitaku: echo $y
10

suga@jitaku:~$ eval `echo aaa=24`
suga@jitaku:~$ echo $aaa
24

suga@jitaku:~$ more test.dat 
evalって何かテストするファイルやで〜
suga@jitaku:~$
suga@jitaku:~$ LLL="cat test.dat"
suga@jitaku:~$ echo $LLL
cat test.dat
suga@jitaku:~$ eval $LLL
evalって何かテストするファイルやで〜
suga@jitaku:~$

suga@jitaku:~$ more kasetu.txt 
ls -l
suga@jitaku:~$ 

suga@jitaku:~$ eval `cat kasetu.txt `
合計 21840
drwxr-xr-x    2 suga     suga        4096  1月 30日  11:28 c/
drwxr-xr-x    2 suga     suga        4096 11月  3日 2004年 ccc/
-rw-r--r--    1 suga     suga           6  5月 29日  12:13 kasetu.txt
drwxr-xr-x    2 suga     suga        4096  5月 12日  21:35 kyodo/
drwxr-xr-x   10 suga     suga        4096  5月  1日  11:22 linux/
（以下、省略）

[suga@kaisha .ssh]$ ssh -1 -l suga 192.168.XXX.YYY -i suga.ppk ls
Enter passphrase for RSA key 'suga.ppk': 
aaa
data.c
global
nene
nenee
postfix-2.0.20.tar.gz
rlog
rlog-j
test
xinetd
xinetd-j
[suga@kaisha .ssh]$ 

[suga@kaisha .ssh]$ ssh -1 -l suga 192.168.XXX.YYY -i suga.ppk 'ls -l'
Enter passphrase for RSA key 'suga.ppk': 
total 1416
-rw-r--r--    1 suga     suga           111 Apr  9 11:45 aaa
-rw-r--r--    1 suga     suga           401 Mar 18 10:33 data.c
-rw-r--r--    1 suga     suga           445 Apr  4 15:18 global
-rw-r--r--    1 suga     suga          3703 May  3 17:33 nene
-rw-r--r--    1 suga     suga          3715 May  3 17:34 nenee
-rw-r--r--    1 suga     suga       1354414 Mar 17 10:31 postfix-2.0.20.tar.gz
-rw-r--r--    1 suga     suga          3780 Apr  2 17:27 rlog
-rw-r--r--    1 suga     suga          3948 Apr  2 17:28 rlog-j
-rw-r--r--    1 suga     suga            20 May 20 10:39 test
-rw-r--r--    1 suga     suga         26783 Apr  2 17:27 xinetd
-rw-r--r--    1 suga     suga         27299 Apr  2 17:28 xinetd-j
[suga@kaisha .ssh]$ 

メールの送信はポート25。受け取りは110というように、各ポート事に
通信するデータが違っていたりする。もちろんデータの暗号化はされない。

そこで、SSHの暗号化の技術を使い、クライアント側は、メールの送信の際
アクセスする所を、localhost（自分自身）にして、ポートを10025にしておく。
SSHは、ポート10025にやってくるデータを待ち受け、データが来ると
それを接続先までSSHを使った暗号化通信を行う。

接続先では、SSHがポート25宛の通信だと認識して、自分自身の
ポート25へ接続を行う。

AllowTcpForwarding yes

「Source port」の部分に1024以上の番号を入力。
わかりやすいように、本来のポート番号に10000を足した物を入れるのもOK

「Destination」の部分に、「localhost:25」を入れる。
この意味は、サーバー側のSSHがパケットをどこに転送するかを知らせる物で
この場合は、サーバー自身のポート25を意味している。

この設定で「localhost」がサーバー側で自分自身に接続する意味だと
理解したのは、しばらく経った後で、この設定を行った時点では、
クライアント自身の意味での「localhost」だと思っていた (^^;;

メールの送信はポート25。受け取りは110というように、各ポート事に
通信するデータが違っていたりする。もちろんデータの暗号化はされない。

そこで、SSHの暗号化の技術を使い、クライアント側は、メールの送信の際
アクセスする所を、localhost（自分自身）にして、ポートを10025にしておく。
SSHは、ポート10025にやってくるデータを待ち受け、データが来ると
それを接続先までSSHを使った暗号化通信を行う。

接続先では、SSHがポート25宛の通信だと認識して、自分自身の
ポート25へ接続を行う。

「Source port」の部分に1024以上の番号を入力。
わかりやすいように、本来のポート番号に10000を足した物を入れるのもOK

「Destination」の部分に、「192.168.XXX.YYY:23」を入れる。
この意味は、SSHで転送したい先のIPアドレス（192.168.XXX.YYY）と
telnetで使うポート23の意味だ。

telnet localhost 10023

札幌で、インターネットVPNに使っている回線の設定を変更すれば、
簡単にインターネット接続ができる。
以前、ADSLルーターとして使っていたヤマハのRTA55iを使って、
札幌でインターネット接続の状態にした。
もちろん、札幌のパソコンにはプライベートIPを割り当てている。

いかにもホテルなどでの接続形態にする事ができた。

14:24:39.674711 AAA.BBB.CCC.ZZZ.60145 > ssh.xxx.co.jp.ssh: S 2248062641:2248062641(0) win 16384 <mss1414,nop,nop,sackOK>
14:24:39.674897 ssh.xxx.co.jp.ssh > AAA.BBB.CCC.ZZZ.60145: S 3066171333:3066171333(0) ack 2248062642 win 5840 <mss 1460,nop,nop,sackOK> (DF)
14:24:42.640422 AAA.BBB.CCC.ZZZ.60145 > ssh.xxx.co.jp.ssh: S 2248062641:2248062641(0) win 16384 <mss 1414,nop,nop,sackOK>
14:24:42.640511 ssh.xxx.co.jp.ssh > AAA.BBB.CCC.ZZZ.60145: S 3066171333:3066171333(0) ack 2248062642 win 5840 <mss 1460,nop,nop,sackOK> (DF)
14:24:43.866487 ssh.xxx.co.jp.ssh > AAA.BBB.CCC.ZZZ.60145: S 3066171333:3066171333(0) ack 2248062642 win 5840 <mss 1460,nop,nop,sackOK> (DF)
14:24:48.660800 AAA.BBB.CCC.ZZZ.60145 > ssh.xxx.co.jp.ssh: S 2248062641:2248062641(0) win 16384 <mss 1414,nop,nop,sackOK>
14:24:48.660896 ssh.xxx.co.jp.ssh > AAA.BBB.CCC.ZZZ.60145: S 3066171333:3066171333(0) ack 2248062642 win 5840 <mss 1460,nop,nop,sackOK> (DF)
14:24:49.866503 ssh.xxx.co.jp.ssh > AAA.BBB.CCC.ZZZ.60145: S 3066171333:3066171333(0) ack 2248062642 win 5840 <mss 1460,nop,nop,sackOK> (DF)
14:25:02.066501 ssh.xxx.co.jp.ssh > AAA.BBB.CCC.ZZZ.60145: S 3066171333:3066171333(0) ack 2248062642 win 5840 <mss 1460,nop,nop,sackOK> (DF)
14:25:26.066503 ssh.xxx.co.jp.ssh > AAA.BBB.CCC.ZZZ.60145: S 3066171333:3066171333(0) ack 2248062642 win 5840 <mss 1460,nop,nop,sackOK> (DF)

インターネットVPNに使っている回線を使って、
いかにも外部からインターネット接続をしている形にする。

そして、本社にあるインターネットへつながる回線へ接続して
NAT越えをしてSSHサーバーに接続できるか確かめる事にした。

13:46:32.347353 XXX.YYY.ZZZ.AAA.60015 > ssh.xxx.co.jp.ssh: S 1056388070:1056388070(0) win 16384 <mss 1414,nop,nop,sackOK>
13:46:32.347467 ssh.xxx.co.jp.ssh > XXX.YYY.ZZZ.AAA.60015: S 929638769:929638769(0) ack 1056388071 win 5040 <mss 1260,nop,nop,sackOK> (DF)
13:46:32.348485 XXX.YYY.ZZZ.AAA.60015 > ssh.xxx.co.jp.ssh: R 1056388071:1056388071(0) win 0
13:46:35.322330 XXX.YYY.ZZZ.AAA.60015 > ssh.xxx.co.jp.ssh: S 1056388070:1056388070(0) win 16384 <mss 1414,nop,nop,sackOK>
13:46:35.322436 ssh.xxx.co.jp.ssh > XXX.YYY.ZZZ.AAA.60015: S 932613741:932613741(0) ack 1056388071 win 5040 <mss 1260,nop,nop,sackOK> (DF)
13:46:35.323445 XXX.YYY.ZZZ.AAA.60015 > ssh.xxx.co.jp.ssh: R 1056388071:1056388071(0) win 0
13:46:41.332984 XXX.YYY.ZZZ.AAA.60015 > ssh.xxx.co.jp.ssh: S 1056388070:1056388070(0) win 16384 <mss 1414,nop,nop,sackOK>
13:46:41.333132 ssh.xxx.co.jp.ssh > XXX.YYY.ZZZ.AAA.60015: S 938624430:938624430(0) ack 1056388071 win 5040 <mss 1260,nop,nop,sackOK> (DF)
13:46:41.334042 XXX.YYY.ZZZ.AAA.60015 > ssh.xxx.co.jp.ssh: R 1056388071:1056388071(0) win 0 

XXX.YYY.ZZZ.AAAは本社のVPNルーターに1個割り当てられているグローバルIP
ssh.xxx.co.jpは本社のSSHサーバーのアドレス

ピンクの数値は、SSHサーバーが出した応答パケットのMSS値。
これだとMTUサイズは1300になる。

ip fragment remove df-bit filter 100

ip route AAA.BBB.CCC.ZZZ gateway pp 1

ip pp address XXX.YYY.ZZZ.AAA/32