====== Настройка AutoSSH‑туннеля с обратным проксированием (Ubuntu ≥ 20.04) ======

---

===== 📋 Вводные данные =====

* **Локальный сервер** — Ubuntu, где будет работать //autossh//.
* **Удалённый сервер** — **212.158.1.1**, SSH‑порт по умолчанию **22**.
* Требуемый туннель: **-R 8004\:localhost:8004** (открыть 8004 на удалённой стороне, прокинуть к локальному 8004).

---

===== 1. Создаём системного пользователя ===== 

<code bash>
sudo adduser --system --group --home /home/autossh autossh </code>

* создаётся класс "system" без пароля, логин только по ключу.

---

===== 2. Генерируем ключ и настраиваем разрешения ===== 
<code bash>
sudo -u autossh -H bash -c '
mkdir -p ~/.ssh && chmod 700 ~/.ssh
ssh-keygen -t ed25519 -f ~/.ssh/id\_ed25519 -N ""
' </code>

* будут файлы **id\_ed25519** и **id\_ed25519.pub**.

---

===== 3. Копируем публичный ключ на удалённый сервер ===== 
<code bash>
sudo -u autossh ssh-copy-id -i /home/autossh/.ssh/id\_ed25519.pub autossh\@212.158.1.1 </code>

* на удалённой стороне появится */home/autossh/.ssh/authorized\_keys*.
* если пользователя **autossh** там нет — создайте так же и убедитесь, что он может слушать порт 8004.

---

===== 4. Тестируем ручное соединение ===== 
<code bash>
sudo -u autossh ssh -i /home/autossh/.ssh/id_ed25519 -R 8004\:localhost:8004 autossh\@212.158.1.1 </code>

* подключение должно пройти без пароля.
* проверяем на удалёнке:

  <code bash>

ss -ltnp | grep 8004 </code>

---

===== 5. Создаём unit‑файл systemd ===== 
<code ini>

# /etc/systemd/system/autossh-tunnel.service

[Unit]
Description=AutoSSH Tunnel :8004→212.158.1.1
After=network-online.target
Wants=network-online.target

[Service]
User=autossh
Environment="AUTOSSH_GATETIME=0"
ExecStart=/usr/bin/autossh \
          -M 20000 \
          -N \
          -o "ServerAliveInterval=60" \
          -o "ServerAliveCountMax=3" \
          -o "ExitOnForwardFailure=yes" \
          -i /home/autossh/.ssh/id_ed25519 \
          -R 8004:localhost:8004 autossh@212.158.1.1
Restart=always
RestartSec=5
PrivateTmp=true
ProtectSystem=full

[Install]
WantedBy=multi-user.target 
</code>

---

===== 6. Активируем сервис ===== 
<code bash>
sudo systemctl daemon-reload
sudo systemctl enable --now autossh-tunnel.service </code>

==== Проверяем статус ==== <code bash>
systemctl status autossh-tunnel.service
journalctl -u autossh-tunnel.service -f </code>

---

===== 7. Настройки на удалённом сервере (по желанию) =====

* Чтобы порт **8004** был доступен всем интерфейсам, в */etc/ssh/sshd_config* пропишите:

<code>

GatewayPorts yes 
</code>
затем `sudo systemctl reload sshd`.

* Порты < 1024 требуют *root* или **CAP_NET_BIND_SERVICE** — здесь не нужно.

---

===== 8. Брандмауэр =====

* **Локальный**: ничего открывать не надо.
* **Удалённый**: разрешаем входящее TCP/8004:

  <code bash>

sudo ufw allow 8004/tcp </code>

---

===== 9. Обновление ключей =====
Перегенерируйте пару и повторите шаг 3.

---

==== Готово ====

Сервис работает от непривилегированного пользователя, автоматически восстанавливает туннель при разрывах.