Címlap » Fórum » Hálózatok » Hálózatok általános

Dinamikus SSH-alagút vs. Mikrotik Winbox

 ( Dj_Faustus | 2012. február 11., szombat - 20:11 )

Üdvözletem,
adott az alábbi két hálózat. Az "A" hálózat egyik Linuxos gépéről el akarom érni a "B" hálózatban levő Mikrotik eszközt.

Ez okból kifolyólag GSTM-mel létrehozok egy dinamikus-alagútat - ez parancssorból ugyebár így nézne ki:
ssh -p 22 -N -D 3128 alagut@123.45.67.89

Ezt remekül tudom használni Mozilla Firefoxban Foxyproxy kiegészítővel a Mikrotik webes felületének eléréséhez vagy proxychains esetén - részlet a /etc/proxychains.conf állományból:

[ProxyList]
socks5 	127.0.0.1 3128

szóval így símán el tudom érni SSH-n keresztül:
proxychains ssh admin@192.168.0.10

Viszont telhetetlen vagyok és Winbox segítségével szeretném elérni a Mikrotiket.
Próbálkozom a jól bevált proxychains segítségével:
proxychains wine ./winbox.exe

winbox megjelenik, de a csatlakozáskor "could not request plugin index!" hibaüzenetet kapom, miközben úgy néz ki sikeres a csatlakozás, ugyanis a proxychains visszajelez:

ProxyChains-3.1 (http://proxychains.sf.net)
|S-chain|-<>-127.0.0.1:3128-<><>-192.168.0.10:8291-<><>-OK
DLLLoader::fetch
fetching index

Ha viszont lokális SSH alagútat használok:
ssh -p 22 -N -L8291:192.168.0.10:8291 alagut@123.45.67.89
akkor viszont a wine-ból indított Winbox segítségével a localhost:8291 címen elérem a Mikrotiket.

A kérdés: hogyan tudnám dinamikus SSH-alagút használatával elérni Winboxon keresztül a Mikrotiket?

‹ Felvettek :) Melyik szak/egyetem Angliaban Cisco 3550 SMI vs. EMI ›
 »
  • A hozzászóláshoz belépés szükséges
  • 4333 olvasás

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.
 ( peep | 2012. február 12., vasárnap - 1:01 )

http://forum.mikrotik.com/viewtopic.php?f=2&t=57534
Egy próbát megér!

 ( Dj_Faustus | 2012. február 12., vasárnap - 1:24 )

Próbáltam, sajnos nem nyert.
5.5-ös verziójú RouterOS-t tartalmazó Routerboard-on levőt illetve a Mikrotik oldaláról elérhetőt is (2.2.18-as verzió) próbáltam: mind a kettő ugyanazt csinálja. ;(

 ( wpeople | 2012. február 12., vasárnap - 11:23 )

egy tipp: kikapcsolod a secure módot?
ps: a winbox-ROS kapcsolat biztos, hogy http-proxy -val átvihető?

 ( Dj_Faustus | 2012. február 12., vasárnap - 12:30 )

"egy tipp: kikapcsolod a secure módot?"
Ugyanazt csinálja.

"ps: a winbox-ROS kapcsolat biztos, hogy http-proxy -val átvihető?"
Socks5-tel vinném át - lásd topiknyitó hozzászólásomban a mutatott /etc/proxychains.conf állományt. De a felvetésed jó - lehet, hogy a proxychains elfog valami forgalmat.

 ( wpeople | 2012. február 12., vasárnap - 17:38 )

továbbra is fenntartanám, hogy a winbox protokollja nem felétlen proxyzható.
Ellenben a legújabb fw-ek mintha tudnának SSH tunnelinget, szóval, belépsz SSH-val a mikrotik-re, és saját magára tunnelezel egy 8291-t? :-)

 ( Dj_Faustus | 2012. február 12., vasárnap - 19:29 )

"továbbra is fenntartanám, hogy a winbox protokollja nem felétlen proxyzható."
Ha nem is proxyzható, de "alagútazható" SSH-n keresztül - lásd topiknyitó hozzászólásom.
Szóval ha létrehozok a Mikrotiknek egy lokális alagútat, azon keresztül elérem.

De ha van több Mikrotik-eszközöm, kényelmetlen létrehozni mindegyiknek külön-külön egy lokális alagútat. Ezért gondoltam volna a dinamikus SSH-alagút használatára.

Update: közben kipróbáltam Windows alól MyEnTunnel segítségével létrehozott dinamikus SSH-alagút és Freecap segítségével - ugyanaz a helyzet. Egy Freecap-ból indított Google Chrome, vagy Putty eléri a Mikrotiket, de a Winbox invalid address - 192.168.0.10 hibaüzenetet adja. De a MyEnTunnelben létrehozott lokális alagúton keresztül meg szépen megy a Winbox.

 ( peep | 2012. február 12., vasárnap - 23:03 )

Az már jobb jel, mert ilyenkor a MAC alapján már működni szokott(*működhet)...nem szentírás, de tapasztalatom eddig ez volt!

 ( Dj_Faustus | 2012. február 13., hétfő - 0:03 )

"Az már jobb jel, mert ilyenkor a MAC alapján már működni szokott..."
Itt SSH-alagútról van szó, ami a 4. rétegbeli dolog a MAC-cím meg 2. rétegbeli. Az ICMP (3. réteg) sem megy át.

De egyébként Windows alatt némi kísérletezgetéssel rájöttem a dolog nyitjára: a Freecap beállításainál (File/Settings menüpont) ki kell kapcsolni az alapértelmezetten bekapcsolt "Use advanced hooking technic (for ASProtect'ed programs)" opciót - és működik a dinamikus SSH-alagúton keresztül. ;)

Sőt, továbbmegyek: ha Linux alatt, Wine-nal elindítom a Freecap-et (az SSH-klienssel létrehozott dinamikus-alagúthoz - a topiknyitó hozzászólásban ez a 127.0.0.1:3128 - csatlakozva), és abból futtatom a Winboxot, sikerül elérni a távoli Mikrotiket. Kicsit nyakatekert megoldás, de egynek jó.

 ( vl | 2012. február 12., vasárnap - 18:04 )

proxychains wine

Ezt a kombinációt nem erőltetném. A proxychains buta, egyszerű, mezei alkalmazásokra való, akik nem használnak semmit bonyolult dolgot. A wine, az egy komplett oprendszer API-t szimulál, az ezzel szerintem sose fog menni.

A megoldás az lehet, hogy a wine-on belül a programnak (winbox) megmondod, hogy SOCKS proxyd van, és használja azt. Ha nem tud ilyet, akkor ne akarjál vele SOCKS proxyt használni.

 ( Cozi | 2012. február 12., vasárnap - 20:31 )

[feliratkozás]

 ( hg2ebh | 2012. február 13., hétfő - 10:57 )

Elég jól bevált és működő megoldás, hogy a mikrotik eszközökkel azonos alhálón van egy linux, amin az NMS rendszer fut...
ssh -L 127.0.5.1:8291:10.0.5.1:8291 user@serverip
Ezután 127.0.5.1-es címen látja a winbox a távoli alhálón 10.0.5.1-es IP-n csücsülő mikrotiket...

 ( Dj_Faustus | 2012. február 13., hétfő - 21:23 )

"Elég jól bevált és működő megoldás, hogy a mikrotik eszközökkel azonos alhálón van egy linux, amin az NMS rendszer fut.."
Aha, csak olyan NMS rendszer kellene, ami
- Linux alatt, parancssorban/daemonként fut
- a könnyebb kezelhetőség okából webes kezelőfelülettel rendelkezik
- képes a Mikrotik eszközök Winbox által kezelhető funkcióinak kezelésére

Oké, ott van:
- a The Dude - csak az Windowsos (Wine-ot és X-et ezért egy Linuxos szerverre felrakni...)
- a Webfig - ennek már elég kellemes kezelőfelülete van, csak az lokálisan fut a Mikrotik RouterOS 5.x-et futtató eszközökön
- az API - ez már érdekes egy eset, RouterOS 3.x-től elérhető, és vannak már rá kezdeményezések - lásd phpMikBox

"ssh -L 127.0.5.1:8291:10.0.5.1:8291 user@serverip
Ezután 127.0.5.1-es címen látja a winbox a távoli alhálón 10.0.5.1-es IP-n csücsülő mikrotiket.."
Erre hasonló megoldást már említettem a lokális SSH-alagút kapcsán. A problémám ezzel az, hogy minden egyes eszközhöz külön-külön alagutat kell csinálni/fenntartani, ami egy kissé kényelmetlen. Ezért forszírozom a dinamikus SSH-alagutat.

 ( vl | 2012. február 13., hétfő - 22:04 )

A problémádra akkor a VPN lehet még megoldás. Ehhez kell a túloldalra valami VPN szerver (pl. openvpn, pptpd, meg hasonlók), meg persze az is, hogy az elérni kívánt túloldali címek ne ütközzenek a helyi címekkel.

 ( Dj_Faustus | 2012. február 13., hétfő - 23:20 )

"A problémádra akkor a VPN lehet még megoldás."
Persze az is lehetne, de elsődlegesen a dinamikus SSH-alagút is elegendő számomra - mint az a fentiekből látszik: megoldható.