Junior Member
Ну и, хоть это будет и не по теме, опишу, как сделать так, чтобы заработал RDP, и поднимался SSH туннель как служба на Windows 2008 R2.
Для запуска SSh туннеля удобно использовать MyEnTunnel, версия 3.4.2.1 которого может устанавливаться в качестве службы Windows. Но что бы он заработал, нужно сделать 2 шага:
1. После инсталляции службы , заходим в управление службами, находим там MyEntunnel, и в его свойствах на вкладке "LogOn" ("Вход в систему") снимаем галочку "Allow service to interact with desktop" ("Разрешить взаимодействие с рабочим столом").
2. С помощью PyTTY хотя бы раз зайти на ваш SSH сервер и принять Host Key. После этого в реестре скопировать этот ключ из HKEY_CURRENT_USERS\Software\SimonTatham\PuTTY\SshH ostKeys в HKEY_USERS\.DEFAULT\Software\SimonTatham\PuTTY\Ssh HostKeys.
Все, настраиваем параметры туннеля через Edit Service Profile INI, и он будет подниматься автоматически при включении ПК.
(Решение было найдено тут: nemesis2.qx.net/forums/index.php?topic=57.0 )
А для работы RDP нужно сделать лиш одну вещь: в "Администрирование" -> "Службы удаленных рабочих столов" -> "Конфигурация узла удаленных рабочих столов" снимаем галочку с "Ограничить всех пользователей одиночными сеансами".
(Решение с картинками нашел вот тут: http://www.joe0.com/2011/11/04/fix-f...elcome-screen/ )
Коннект с вашим рабочим местом у вас дома обеспечен, даже если злой провайдер на работе посадил вас за NAT
Junior Member
конфигурация "извне"
Здравствуйте!
С помощью роутера организовал локальную сеть. Провайдер завёл в квартиру Ethernet, предоставил фиксированный IP-шник. Настроил Port Forwarding для доступа извне к одному из компов через RDP. Сейчас нахожусь ВНЕ дома. Какие-то настройки роутера сбились (возможно, что-то с DHCP), не могу достучаться до удалённого компа, проверить и поправить. Вопрос: роутер предоставляет свой веб-интерфейс "вовне"? Есть ли ещё какие-нибудь возможности его поконфигурить - Telnet и пр.?
Junior Member
Предоставляет, если эту возможность включить в настройках. Какая прошивка стоит? И, собственно, какое устройство? У тебя скорее всего проблема в том, что порты-то ты пробросил, но вот соответствие MAC-адреса компа, которым необходимо управлять, и IP-адреса, на который роутер пробрасывает порт, не установил.
Кстати, вследствие маразма у меня вообще все такие сервисы не видны напрямую извне. Я повесил дропбир на нестандартный порт, открыл его в настройках файервола, а все остальное закрыл напрочь. Ну и с помощью SSH-туннелей пробрасываю необходимые порты уже непосрелственно в SSH-клиенте. Так, у меня со смартфона на андроиде доступен и расшаренный самбой жесткий диск, и комп для работы через RDP. Преимущества в том, что мне не надо пробрасывать в настройках роутера тучи портов, а достаточно настроить клиент в зависимости от необходимости. Ну и плюс шифрованный по AES туннель тоже не помешает!)
Junior Member
Понял, рассказываю сначала.
Был роутер ASUS WL-500gp v2, работал у меня года 3. Прошивка была актуальная на тот момент, все настройки пучком. Но тут он неожиданно сдох. Я так понимаю, что дело может быть не в самом роутере, а в блоке питания. Но не важно. Суть в том, что на выходных я купил такой же. Однако перепрошить и восстановить настройки я не успел, поскольку надо было уезжать. Короче, "поднял" на стандартной прошивке и с минимумом конфигурации.
Как???Originally Posted by m0rtis
Верно. Когда настраивал, не смог установить фиксированный IP для MAC-адреса компа. Вернее, настройку эту он сохраняет, но при раздаче не учитывает. Мне кажется, это глюк стандартной прошивки. Проброску порта сдела на тот IP, который роутер раздал компу на тот момент. Но видимо, произошла пере-раздача, и мои запросы извне уходят вникуда.
Вот собственно и вопрос: можно ли пробраться к настройкам извне?
Здесь я почти ничего не понял. Очень много незнакомых слов...Я повесил дропбир на нестандартный порт, открыл его в настройках файервола, а все остальное закрыл напрочь. Ну и с помощью SSH-туннелей пробрасываю необходимые порты уже непосрелственно в SSH-клиенте. Так, у меня со смартфона на андроиде доступен и расшаренный самбой жесткий диск, и комп для работы через RDP. Преимущества в том, что мне не надо пробрасывать в настройках роутера тучи портов, а достаточно настроить клиент в зависимости от необходимости. Ну и плюс шифрованный по AES туннель тоже не помешает!
Last edited by Omega; 11-04-2012 at 12:40. Reason: читаем эту тему с самого начала ... :) а также поиск по тэгам ssh и rdp в помощь ;)
Junior Member
Если прошивка стандартная, то я, честно говоря, не помню. Можно посмотреть на официальном форуме Асуса. Но настройка наверняка должна быть. У меня даже в древнем Зухеле Р-330 такая была. А для него, ясное дело, никто кастомных прошивок не делалКак???
Я думаю, просто надо было отконнектить комп и приконнектить снова. DHCP бы выдал правильный IP. Ну или ребут роутера.Верно. Когда настраивал, не смог установить фиксированный IP для MAC-адреса компа. Вернее, настройку эту он сохраняет, но при раздаче не учитывает. Мне кажется, это глюк стандартной прошивки. Проброску порта сдела на тот IP, который роутер раздал компу на тот момент. Но видимо, произошла пере-раздача, и мои запросы извне уходят вникуда.
Если по внешнему IP веб-морда не отвечает, то без вмешательства изнутри, думаю, никак. Можно так же попробовать войти с помощью telnet или ssh. Вдруг что-то из этого включено по умолчанию. Если получится, то может помочь получить доступ к веб-морде командаВот собственно и вопрос: можно ли пробраться к настройкам извне?
Code:iptables -I INPUT -p tcp --dport 80 -j ACCEPTЕсли кратко, то это выглядит так:Здесь я почти ничего не понял. Очень много незнакомых слов... .
- настройками фаервола на доступ извне закрыты все порты, кроме одного (ну ладно, кроме двух, еще порт для торрент-клиента
- в настройках сервера SSH (называется dropbear) я указал порт из диапазона >1024, собственно это и есть один из открытых изве портов
- с помощью клиента типа Putty (для Windows) или ConnectBot (для Android) я подключаюсь к SSH-серверу и вхожу в систему.
- в настройках клиента указываю порты служб, которые необходимо пробросить (например, для удаленного доступа к расшаренному ресурсу нужен порт 139), либо динамический порт для использования с SOCKS-прокси.
- далее я подсоединяюсь любым нужным мне клиентом (будь то RDP, файлменеджер, браузер и т.д.) к IP 127.0.0.1 и указываю соответствующий порт. Вуаля! Имеем доступ к нужным сервисам по защищенному каналу.
Последний два пункта подробно описаны в первом сообщении данной темы, да и в теме вообще всё освещено очень подробно и понятно.
Junior Member
приветствую!
имеется wl500gp + WL500gp-1.9.2.7-rtn-r4051
сгенерировал public+private keys
но не могу зайти через kitty - ошибка Disconnected: No support authentication methods available (server sent: publickey)
подскажите, пож-та, в чем может быть дело...
Junior Member
Привет
У меня wl500gp. Я только что установили прошивка 1.9.2.7-RTN-r4051.
Через веб включен SSH и остановил FTP, Telnet, UPnP. Для тестирования firewall я пытался войти через WAN с SSH, и это было успешно. Я просмотрел порта с простой сканер, и это показывает, как порт 22 открыт. Это странно, поскольку я не позволил SSH извне. Я только что создал файлы в /usr /local/sbin, но все файлы пустые.(post-firewall, etc...)
Можете ли вы помочь мне понять, почему firewall позволяет SSH и показывает порт открыт. В моем понимании это должны быть закрыты от глобальной сети.
Вот те параметры firewall как показано на "Status & Log - Diagnostic Information" - я ничего не менял, и это должно быть по умолчанию
Code:IP Tables Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 9 360 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID 547 49666 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 320 28917 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 0 0 ACCEPT 2 -- * * 0.0.0.0/0 224.0.0.0/4 0 0 ACCEPT udp -- * * 0.0.0.0/0 224.0.0.0/4 udp dpt:!1900 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 3 156 BRUTE tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x17/0x02 454 47038 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 249 packets, 17722 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0 7 280 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID 0 0 ACCEPT udp -- * * 0.0.0.0/0 224.0.0.0/4 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT 0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 937 packets, 696K bytes) pkts bytes target prot opt in out source destination Chain BRUTE (1 references) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 recent: UPDATE seconds: 600 hit_count: 5 name: BRUTE side: source 3 156 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 recent: SET name: BRUTE side: source Chain MACS (0 references) pkts bytes target prot opt in out source destination Chain SECURITY (0 references) pkts bytes target prot opt in out source destination 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5 0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 Chain UPNP (0 references) pkts bytes target prot opt in out source destination Chain logaccept (0 references) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW LOG flags 39 level 4 prefix `ACCEPT ' 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 Chain logdrop (0 references) pkts bytes target prot opt in out source destination 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW LOG flags 39 level 4 prefix `DROP ' 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 -------------------------------------------------------------------------------- IP Tables NAT Chain PREROUTING (policy ACCEPT 719 packets, 73857 bytes) pkts bytes target prot opt in out source destination 206 25457 VSERVER all -- * * 0.0.0.0/0 192.168.11.2 Chain POSTROUTING (policy ACCEPT 22 packets, 1479 bytes) pkts bytes target prot opt in out source destination 129 8682 MASQUERADE all -- * vlan1 !192.168.11.2 0.0.0.0/0 0 0 MASQUERADE all -- * br0 192.168.10.0/24 192.168.10.0/24 Chain OUTPUT (policy ACCEPT 22 packets, 1479 bytes) pkts bytes target prot opt in out source destination Chain UPNP (0 references) pkts bytes target prot opt in out source destination Chain VSERVER (1 references) pkts bytes target prot opt in out source destination
Last edited by zerg; 05-06-2012 at 08:32.
Позволить или не позволить "SSH извне" в веб-интерфейсе вы не могли. Опция "Enable Web Access from WAN" для SSH не предусмотрена (в отличие от UPNP или доступа к веб-интерфейсу).
AFAIK, при включении SSH в веб-интерфейсе он всегда становился доступным по указанному порту на всех интерфейсах. И это логично, имхо. Для параноиков есть возможности в веб-интерфейсе запретить парольную авторизацию и включить защиту от брутфорса.
Исправляю свою ошибку, AlexeyS справедливо указал, что есть опция доступа только из LAN.
Last edited by MercuryV; 05-06-2012 at 10:40. Reason: исправлено, спасибо AlexeyS
Junior Member
Большое спасибо за быстрый ответ.Я был введен в заблуждение в связи с http://wl500g.info/showthread.php?10...Olegs-firmware - "16. Open SSH port to Internet (if directly connected)".
Но за это время Dropbear был установлен вручную.
Ваша не правда, для "Enable SSH access:" есть два значения "Yes" и "Yes, LAN Only" - второе запрещает доступ из WAN.
linuxnoob
Да, было б неплохо поменять Yes, на Yes (WAN), а то многие на автомате ставят Yes неосознанно.
Junior Member
Добрый день, не получается настроить доступ с роутера по ключу на линукс машину.
Что делаю: использую ключ в директории /usr/local/etc/dropbear/
вывод публичного залил на хост в ~/.ssh/autorized_keys
пробую ssh с роутера - спрашивает пароль.
одно но, это ssh туннель, тоесть вначале с удаленной машины был сделан туннель:
ssh -f -N user@router -R port_local:localhost:рort_router
потом подключаюсь командой c роутера ssh user@localhost -p port_local
и спрашивает пароль, хотелось бы настроить чтобы пароль не спрашивало.
на линукс машине доступ по ключам работает, проверил с виртуалки.
Прошивка от олега, роутер WL500 gp2
UPD: получилось подключиться с помощью опции -i и указанием конкретного ключа.
Last edited by Omega; 15-07-2013 at 17:17. Reason: 2 posts merged
Member
Здравствуйте!
Существует ли способ настроить и SSH и сервер OpenVPN на роутере, оба на 443 порт, и при подключении извне как-то иметь выбор, куда подключаться?
Задача ставится из такого условия, что не известно, из каких условий будет внешнее подключение к роутеру (если конкретнее, то из Поднебесной), т.е. обеспечить максимальную гибкость маневра. Еще лучше, если помимо вышесказанного обеспечить выбор подключения еще и к php прокси серверу, также запущенном на роутере, по https, также через 443 порт.
IP динамический через DynDNS (dlinkddns).
В репозитории Entware есть пакет sslh
Как раз для подобных целей. "Выбирать" куда подключаться не нужно, необходимый протокол определяется автоматически по первому пакету данных.
Forum Guru
Posting Permissions
Reply With Quote
