Hier noch ein paar Namen die ich verwende:

• jumphost.systemtechnics.de (günstiger vServer im Rechenzentrum)
• st-raspi (lokaler RaspberryPi Server über den wir Tunneln
• 10.0.0.0/24 ist das interne Netz an dem der RaspberryPi hängt.

Nach dem erfolgreichen anmelden per SSH auf dem Jumphost müssen ein paar vorarbeiten geleistet werden, damit eingehende Verbindungen in den SSH-Tunnel weiter geleitet werden.
Dazu öffnen wir die Datei /etc/ssh/sshd_config und schreiben ans das Ende (oder suchen uns die passenden Kommentarzeilen aus):

GatewayPorts yes
ClientAliveInterval 60
ClientAliveCountMax=2

Damit die Änderungen angewendet werden starten wir mit service sshd restart den Daemon neu. 

Melden wir uns nun bei dem RaspberryPi mit SSH an. 

Wir erstellen uns zuerst ein Public- & Private- Key damit wir keine Passwörter bei der Verbindung zu unserem Jumphost benötigen. Dies geht am schnellsten mit

ssh-keygen -t rsa -b 4096
cat /root/.ssh/id_rsa.pub

Diesen Public Key fügen wir auf dem Jumphost in die Datei /root/.ssh/authorized_keys ein.

Wir können nun mit folgender Syntax eine Verbindung von unserem RaspberryPi zu unserem Jumphost starten und den Port ins das interne Netz weiter leiten.

ssh -p 22 -N -R 5101:10.0.0.10:5001 root@jumphost.systemtechnics.de

Im obigen Befehl verbinden wir uns mit Port 22 (-p 22), öffnen auf dem Jumphost (jumphost.systemtechnics.de) den Port 5101 (5101:10.0.0.10:5001) und leiten diesen an die interne IP-Adresse 10.0.0.10 (5101:10.0.0.10:5001) an den Port 5001 (5101:10.0.0.10:5001) weiter.

Mit einem Browser kann ich nun im obigen Beispiel auf meine Synology NAS von extern zugreifen: https://jumphost.systemtechnics.de:5101

Diese Verbindung ist dann natürlich nur offen so lange die SSH Verbindung besteht. Möchte man diesen Tunnel nun dauerhaft erhalten, so kann man das Tool autossh verwenden. Dessen Installation erfolgt Debian typisch wie folgt:

apt install autossh

Setzen wir nun an obigen Befehl folgendes voran, dann wird der SSH Tunnel im Hintergrund gestartet und am „leben“ erhalten.

autossh -M 0 -f -o ConnectTimeout=10 -o ServerAliveInterval=60 -o ServerAliveCountMax=2 -p 22 -N -R 5101:10.0.0.10:5001 root@jumphost.systemtechnics.de

Wer mag kann dies gerne noch über den Cron ( @reboot) auf dem RaspberryPi bootfest machen.

pico /etc/crontab

@reboot root autossh -M 0 -f -o ConnectTimeout=10 -o ServerAliveInterval=60 -o ServerAliveCountMax=2 -p 22 -N -R 5101:10.0.0.10:5001 root@jumphost.systemtechnics.de

<0x0xcc5010[SOGoProductLoader]> SOGo products loaded from '/usr/lib64/GNUstep/SOGo':
<0x0xcc5010[SOGoProductLoader]>   PreferencesUI.SOGo, MailPartViewers.SOGo, Mailer.SOGo, ActiveSync.SOGo, Appointments.SOGo, Contacts.SOGo, SchedulerUI.SOGo, AdministrationUI.SOGo, MainUI.SOGo, CommonUI.SOGo, ContactsUI.SOGo, MailerUI.SOGo

Verantwortlich ist ein Eintrag im Cron des Nutzers sogo . Dieser führt folgenden Befehl minütlich aus, der natürlich anschliessend eine Statusmail versendet.

Zwei Varianten gäbe es dabei:
a) Den Befehl aus dem Cron nehmen, oder
b) die Ausgabe nach /dev/null umleiten.

Ich habe mich für Variante a) entschieden weil ich dann auch gleich den Befehl entfernen kann der die Ausgabe erzeugt, anstatt die Ausgabe erzeugen und dann nach /dev/null umzuleiten.