Шифры, перечисленные в Ciphers
директива должна пойти первым соответствием, таким образом, помещает шифр клиента жулика в последний раз в списке. Другие клиенты в Вашей сети согласуют шифры выше в списке сначала, если способный, и Ваш клиент жулика должен упасть до более слабого шифра.
К сожалению, это все еще позволит другим клиентам использовать более слабые шифры, если установлено явно. Вы не можете поместить a Ciphers
директива внутри a Match
блок, печально. Другая опция, о которой я могу думать, выполняется другой сервер на другом порте для odd-client-out, и ограничьте доступ к второму экземпляру sshd к тому хосту.
Отвечая на свой вопрос:
В качестве дальнейшего фона, эти машины размещены на Linode. Оказывается, они используют статические карты в своих коммутаторах для маршрутизации трафика к определенным узлам в локальной сети. Поскольку исходные IP-адреса VPN не являются частью этих статических карт, трафик никуда не маршрутизировался.
Таким образом, оказывается, что это проблема, специфичная для Linode, но, надеюсь, это поможет другим узнать об этом.
Поскольку вы обнаружили, что соединение между машиной A и машиной B на самом деле не является коммутируемым Ethernet, и что оно может обрабатывать трафик только с использованием назначенных вам IP-адресов, вам необходимо найти другое Решение.
Это может быть достигнуто за счет использования туннеля. Существуют различные типы туннелей, которые можно использовать. Один из них - использовать VPN, что может быть самым простым, поскольку машина A уже является сервером VPN. Затем вам просто нужно сделать машину B клиентом VPN, а затем добавить записи в таблицу маршрутизации для пересылки необходимых префиксов через это VPN-соединение.
Другой вариант - использовать туннель GRE или просто IP поверх IP. Эти туннели и связанные маршруты могут быть настроены статически, что даст им преимущество перед подходом VPN.
На машине A у вас есть правило NAT, которое заставляет его изменять IP-адрес клиента перед маршрутизацией пакетов на машину B. Первое, что вам нужно сделать, это удалить это правило NAT, чтобы пакеты пересылаются на машину B.
Это изменение может привести к прекращению работы соединений, если таблица маршрутизации на машине B не заполнена. В этом случае происходит то, что пакеты доставляются правильно на машину B, но у нее нет маршрута для доставки ответов обратно. Это либо заставит его вообще не отвечать, либо отправит ответы в Интернет, а не на сервер VPN.
На компьютере B вы можете попробовать добавить маршрут с помощью следующей команды ip route add 10.200.200.0/24 через 192.168.0.10