Dinamikus SSH-alagút vs. Mikrotik Winbox

Hálózatok általános

Üdvözletem,
adott az alábbi két hálózat. Az "A" hálózat egyik Linuxos gépéről el akarom érni a "B" hálózatban levő Mikrotik eszközt.

Ez okból kifolyólag GSTM-mel létrehozok egy dinamikus-alagútat - ez parancssorból ugyebár így nézne ki: 

ssh -p 22 -N -D 3128 alagut@123.45.67.89

Ezt remekül tudom használni Mozilla Firefoxban Foxyproxy kiegészítővel a Mikrotik webes felületének eléréséhez vagy proxychains esetén - részlet a /etc/proxychains.conf állományból: 

[ProxyList]
socks5 	127.0.0.1 3128

szóval így símán el tudom érni SSH-n keresztül: 

proxychains ssh admin@192.168.0.10

Viszont telhetetlen vagyok és Winbox segítségével szeretném elérni a Mikrotiket.
Próbálkozom a jól bevált proxychains segítségével: 

proxychains wine ./winbox.exe

winbox megjelenik, de a csatlakozáskor "could not request plugin index!" hibaüzenetet kapom, miközben úgy néz ki sikeres a csatlakozás, ugyanis a proxychains visszajelez: 

ProxyChains-3.1 (http://proxychains.sf.net)
|S-chain|-<>-127.0.0.1:3128-<><>-192.168.0.10:8291-<><>-OK
DLLLoader::fetch
fetching index

Ha viszont lokális SSH alagútat használok: 

ssh -p 22 -N -L8291:192.168.0.10:8291 alagut@123.45.67.89

akkor viszont a wine-ból indított Winbox segítségével a localhost:8291 címen elérem a Mikrotiket.

A kérdés: hogyan tudnám dinamikus SSH-alagút használatával elérni Winboxon keresztül a Mikrotiket?

  • 8921 megtekintés

( wpeople v | 2012. 02. 12., v – 10:23 )

egy tipp: kikapcsolod a secure módot?
ps: a winbox-ROS kapcsolat biztos, hogy http-proxy -val átvihető?

"egy tipp: kikapcsolod a secure módot?"
Ugyanazt csinálja.

"ps: a winbox-ROS kapcsolat biztos, hogy http-proxy -val átvihető?"
Socks5-tel vinném át - lásd topiknyitó hozzászólásomban a mutatott /etc/proxychains.conf állományt. De a felvetésed jó - lehet, hogy a proxychains elfog valami forgalmat.

"továbbra is fenntartanám, hogy a winbox protokollja nem felétlen proxyzható."
Ha nem is proxyzható, de "alagútazható" SSH-n keresztül - lásd topiknyitó hozzászólásom.
Szóval ha létrehozok a Mikrotiknek egy lokális alagútat, azon keresztül elérem.

De ha van több Mikrotik-eszközöm, kényelmetlen létrehozni mindegyiknek külön-külön egy lokális alagútat. Ezért gondoltam volna a dinamikus SSH-alagút használatára.

Update: közben kipróbáltam Windows alól MyEnTunnel segítségével létrehozott dinamikus SSH-alagút és Freecap segítségével - ugyanaz a helyzet. Egy Freecap-ból indított Google Chrome, vagy Putty eléri a Mikrotiket, de a Winbox invalid address - 192.168.0.10 hibaüzenetet adja. De a MyEnTunnelben létrehozott lokális alagúton keresztül meg szépen megy a Winbox.

"Az már jobb jel, mert ilyenkor a MAC alapján már működni szokott..."
Itt SSH-alagútról van szó, ami a 4. rétegbeli dolog a MAC-cím meg 2. rétegbeli. Az ICMP (3. réteg) sem megy át.

De egyébként Windows alatt némi kísérletezgetéssel rájöttem a dolog nyitjára: a Freecap beállításainál (File/Settings menüpont) ki kell kapcsolni az alapértelmezetten bekapcsolt "Use advanced hooking technic (for ASProtect'ed programs)" opciót - és működik a dinamikus SSH-alagúton keresztül. ;)

Sőt, továbbmegyek: ha Linux alatt, Wine-nal elindítom a Freecap-et (az SSH-klienssel létrehozott dinamikus-alagúthoz - a topiknyitó hozzászólásban ez a 127.0.0.1:3128 - csatlakozva), és abból futtatom a Winboxot, sikerül elérni a távoli Mikrotiket. Kicsit nyakatekert megoldás, de egynek jó.

( vl v | 2012. 02. 12., v – 17:04 )

proxychains wine

Ezt a kombinációt nem erőltetném. A proxychains buta, egyszerű, mezei alkalmazásokra való, akik nem használnak semmit bonyolult dolgot. A wine, az egy komplett oprendszer API-t szimulál, az ezzel szerintem sose fog menni.

A megoldás az lehet, hogy a wine-on belül a programnak (winbox) megmondod, hogy SOCKS proxyd van, és használja azt. Ha nem tud ilyet, akkor ne akarjál vele SOCKS proxyt használni.

( hg2ebh | 2012. 02. 13., h – 09:57 )

Elég jól bevált és működő megoldás, hogy a mikrotik eszközökkel azonos alhálón van egy linux, amin az NMS rendszer fut...
ssh -L 127.0.5.1:8291:10.0.5.1:8291 user@serverip
Ezután 127.0.5.1-es címen látja a winbox a távoli alhálón 10.0.5.1-es IP-n csücsülő mikrotiket...

"Elég jól bevált és működő megoldás, hogy a mikrotik eszközökkel azonos alhálón van egy linux, amin az NMS rendszer fut.."
Aha, csak olyan NMS rendszer kellene, ami
- Linux alatt, parancssorban/daemonként fut
- a könnyebb kezelhetőség okából webes kezelőfelülettel rendelkezik
- képes a Mikrotik eszközök Winbox által kezelhető funkcióinak kezelésére

Oké, ott van:
- a The Dude - csak az Windowsos (Wine-ot és X-et ezért egy Linuxos szerverre felrakni...)
- a Webfig - ennek már elég kellemes kezelőfelülete van, csak az lokálisan fut a Mikrotik RouterOS 5.x-et futtató eszközökön
- az API - ez már érdekes egy eset, RouterOS 3.x-től elérhető, és vannak már rá kezdeményezések - lásd phpMikBox

"ssh -L 127.0.5.1:8291:10.0.5.1:8291 user@serverip
Ezután 127.0.5.1-es címen látja a winbox a távoli alhálón 10.0.5.1-es IP-n csücsülő mikrotiket.."
Erre hasonló megoldást már említettem a lokális SSH-alagút kapcsán. A problémám ezzel az, hogy minden egyes eszközhöz külön-külön alagutat kell csinálni/fenntartani, ami egy kissé kényelmetlen. Ezért forszírozom a dinamikus SSH-alagutat.