ä¿®å¤ä»£ç†å¼•èµ·çš„ SSH 挂起问题 | AI生æˆå’Œç¿»è¯‘
问题:为什么我的 SSH 连接 OpenWrt 路由器(192.168.2.1)会å¡æ»ï¼ˆåœç•™åœ¨ “Connecting to…“),而 ping å´æ˜¯æ£å¸¸çš„,该如何修å¤ï¼Ÿ
回ç”:
æ ¹æœ¬åŽŸå› ï¼šä½ çš„ HTTP/HTTPS Proxy 拦截了 SSH
ä»”ç»†è§‚å¯Ÿä½ çš„ç»ˆç«¯è¾“å‡ºï¼Œæœ€å…³é”®çš„è¯æ®å°±åœ¨å¼€å¤´ï¼š
🚀 Proxy Settings Detected:
- HTTP_PROXY: http://127.0.0.1:7890
- HTTPS_PROXY: http://127.0.0.1:7890
SSH 使用 TCP port 22。当设置了 HTTP_PROXY 或 HTTPS_PROXY 环境å˜é‡æ—¶ï¼ŒæŸäº› Proxy 工具(如è¿è¡Œåœ¨ 7890 端å£çš„ Clashã€V2Rayã€Shadowsocks å®¢æˆ·ç«¯ï¼‰ä¼šæ‹¦æˆªæ‰€æœ‰ä¼ å‡ºçš„ TCP 连接,包括 SSH。Proxy å°è¯•é€šè¿‡ HTTP CONNECT 隧é“转å‘ä½ çš„ SSH è¿žæŽ¥ï¼Œä½†ç›®æ ‡ 192.168.2.1 是ç§æœ‰ LAN IP,导致 Proxy è¦ä¹ˆæ‹’ç»è¿žæŽ¥ï¼Œè¦ä¹ˆæ— 法路由,或者干脆å¡æ»ã€‚
Ping (ICMP) ä¸å—å½±å“ï¼Œå› ä¸º ICMP ä¸æ˜¯ TCP,Proxy ä¸ä¼šå¤„ç†å®ƒâ€”—这æ£æ˜¯ä¸ºä»€ä¹ˆ ping æ£å¸¸ä½† SSH ä¸é€šçš„åŽŸå› ã€‚
ä¿®å¤æ–¹æ¡ˆ
✅ 方案 1:针对ç§æœ‰/LAN IPs 绕过 Proxy(最佳长期方案)
æ·»åŠ NO_PROXY æ¥æŽ’除所有ç§æœ‰ç½‘段:
export NO_PROXY="localhost,127.0.0.1,192.168.0.0/16,10.0.0.0/8,172.16.0.0/12"
然åŽé‡è¯• SSH:
ssh root@192.168.2.1
è‹¥è¦æ°¸ä¹…生效,请将该 export è¯å¥æ·»åŠ åˆ°ä½ çš„ ~/.zshrc 或 ~/.bashrc ä¸ã€‚
✅ 方案 2ï¼šä»…ä¸ºæ¤ SSH 命令临时å–消 Proxy å˜é‡
env -u HTTP_PROXY -u HTTPS_PROXY ssh root@192.168.2.1
这会在ä¸æ”¹å˜å½“å‰çŽ¯å¢ƒçš„情况下,临时清除该命令的 Proxy 设置。
✅ 方案 3:在 ~/.ssh/config ä¸ä½¿ç”¨ ProxyCommand none
ä½ çš„ SSH config ä¸å·²ç»æœ‰ä¸€ä¸ªä¸ºæ‰€æœ‰ Host 应用选项的 * 模å—ã€‚è¯·ä¸ºä½ çš„è·¯ç”±å™¨æ·»åŠ ä¸€ä¸ªç‰¹å®šçš„è¦†ç›–è§„åˆ™ï¼š
Host 192.168.2.1
ProxyCommand none
User root
这会告知 SSH 直接连接,绕过任何å¯èƒ½è®¾ç½®çš„ ProxyCommand。
✅ 方案 4:é…ç½®ä½ çš„ Proxy 应用绕过 LAN
å¦‚æžœä½ ä½¿ç”¨çš„æ˜¯ Clash, V2Ray, Mihomo 或类似工具(7890 端å£é€šå¸¸æ˜¯ Clash):
打开 Proxy 应用的é…ç½®å¹¶æ·»åŠ LAN bypass 规则。以 Clash 为例:
bypass:
- localhost
- 127.*
- 10.*
- 172.16.*
- 192.168.*
- "*.local"
å¦‚æžœä½ å¸Œæœ›æ‰€æœ‰å·¥å…·ï¼ˆSSH, curl ç‰ï¼‰éƒ½èƒ½è‡ªåŠ¨ç»•è¿‡ LAN 地å€çš„ Proxy,这是最彻底的解决办法。
ä¸ºä»€ä¹ˆä½ çš„ SSH Config 让情况å˜å¾—更糟
æ ¹æ®ä½ çš„ verbose 输出:
debug1: /Users/lzwjava/.ssh/config line 4: Skipping Host block because of negated match for 192.168.*.*
debug1: /Users/lzwjava/.ssh/config line 6: Applying options for *
ä½ åœ¨ SSH config ä¸è®¾ç½®äº†ä¸€ä¸ªå¦å®šè§„则 !192.168.*.*,接ç€æ˜¯ä¸€ä¸ªé€šé…符 * 模å—。这个 * 模å—很å¯èƒ½è®¾ç½®äº† ProxyCommand 或相关的 Proxy 选项(这在é…ç½® SSH 通过 SOCKS Proxy 连接所有主机时很常è§ï¼‰ã€‚由于匹é…到了通é…符规则,它被应用到了 192.168.2.1,导致 SSH æ¡æ‰‹é€šè¿‡ä½ çš„ Proxy 进行。
永久解决方案(结åˆä»¥ä¸Šä¸¤ä¸ªé—®é¢˜ï¼‰ï¼š
# ~/.ssh/config
# 为所有 LAN 地å€ç»•è¿‡ Proxy
Host 192.168.* 10.* 172.16.*
ProxyCommand none
ServerAliveInterval 30
# ä½ åŽŸæœ‰çš„é€šé…符é…ç½®ï¼ˆåŒ…å« Proxy 设置)放在下方
Host *
...ä½ çŽ°æœ‰çš„é€‰é¡¹...
快速总结
TL;DR —— è¿è¡Œ env -u HTTP_PROXY -u HTTPS_PROXY ssh root@192.168.2.1 æ¥ç¡®è®¤è¿™æ˜¯å¦æ˜¯åŽŸå› 。如果能立å³è¿žæŽ¥ï¼Œè¯·æ·»åŠ 永久的 NO_PROXY 或修å¤ä½ çš„ ~/.ssh/config。
å‚考资料:
- https://discussions.apple.com/thread/255263733
- https://www.theregister.com/2020/04/01/apples_macos_catalina_ssh/