Synology NASでSSHポートフォワーディングを有効にする

Tera TermでNASのSSHサーバーへアクセスし、SSHポート転送してみようと思いましたが、「administratively prohibited(1) : open failed」のエラーで上手くいきませんでした。

原因は、sshd_configの設定で、AllowTcpForwardingがrootとadmin以外許可されてなかったので、Synology NASのSSHサービスを有効にし、ポートフォワーディング出来る様に設定します。

DSMでSSHを有効にする

DSMにログインし、コントロールパネルを開きます。

コントロールパネル内の下部、アプリケーショングループの「端末とSNMP」アイコンをクリックします。

SSHサービスを有効化する

ターミナルタブで、「SSHサービスを有効化する。」にチェックを入れます。
ポートは、初期で22番となっており、外部からSSHでアクセスする場合、22番のポートへアクセスできるよう、ポートの開放が必要です。

ですが、外部からSSHでアクセスをする場合は、セキュリティー的にポート番号を22番以外に変更した方が良いようです。
もしくは、設定が出来るルーターであれば、ここではポート変更せず、22番へポート転送されるようにしても良いと思います。

SSHサービスの設定を変更する

SSHクライアントでNASにアクセスする

SSHクライアント、Windowsであれば「Tera Team」、MacOSXではターミナルなどから、NASのadministrator権限を持ったユーザー名とパスワードで接続します。

vimでsshd_configを編集

SSHクライアントからNASへアクセスし、sshd_configを編集します。
下記コマンドを入力するとパスワードを要求されるので、ログイン時に使用したパスワードを入力します。

sudo vim /etc/ssh/sshd_config

問題が無ければ、vim（ヴィム）と言うテキストエディタが起動し、sshd_configが表示され編集できる状態になります。下記は一部抜粋ですが、何も表示されずvimが起動した場合は、ファイル名が間違っている可能性があります。
その時は、焦らず：ｘと入力しＥｎｔｅｒキーを入力することでvimが終了できます。

#   $OpenBSD: sshd_config,v 1.100 2016/08/15 12:32:04 naddy Exp $


# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.


# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin


# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

カーソルキーで最下部までスクロールすると、下記内容が記載されている部分があると思います。

Match User root
    AllowTcpForwarding yes
Match User admin
    AllowTcpForwarding yes
Match User anonymous
    AllowTcpForwarding no
    GatewayPorts no

ここで、ユーザー別の設定が出来るようなので、既存の設定は弄らず使用しているユーザーの記述を追加します。
ｉキーを押してインサートモードに切り替えると、編集できるようになるので、下記内容を書き足します。

Match User ユーザー名
    AllowTcpForwarding yes

ユーザー名は、SSHクライアントで使用したユーザー名にして下さい。
書き足したら、ＥＳＣキーを押しインサートモードを終了します。
：ｗと入力しＥｎｔｅｒキーを押すと上書き保存されます。
：ｘと入力しＥｎｔｅｒキーでvimが終了します。

vim(ヴィム)はGUIのテキストエディタに慣れていると使いずらいですが、少しは使い方を覚えておくと良いですね。

DSMでSSHサービスを再起動

SSHクライアントからsshdの再起動をしたかったのですが、なぜか上手くいかず・・・
なので、DSMにログインし、SSHサービスを有効化のチェックを外し一度適用を押してから、再度SSHサービスを有効化してsshd_configの編集内容を反映させてください。

これで、Synology NASのSSHを利用した、ポートフォワーディングが使用できます。

応用・まとめ

なぜ、Synology NASのSSHを利用してポートフォワーディングをしてみたかったのかと言うと、外部からNASへSSH接続し、踏み台にしてLAN内のNVR510の設定を開けたら便利で楽しいだろうなと・・・
実は、sshd_configを編集しなくても、SSHクライアントからNVR510へSSHで接続することは可能ですし、きっと、セキュリティー的には、もっと安全にアクセスする方法あると思います。

でも、SSH接続からポート転送とかって、ロマン感じませんか！？