Mikrotik.moscow [тема: Удалённое SSH-туннелирование (ssh -R)]

Удалённое SSH-туннелирование (ssh -R)

Fri, 09 Sep 2022 13:05:00 +0300

Удалённое SSH-туннелирование (ssh -R) RouterOS в форуме RouterOS.
Это создаёт слушатель на удалённом хосте через другой SSH-туннель, отличный от того, что вы использовали для подключения к удалённому серверу, так что он не будет проходить обратно через ваш файрвол. RouterOS поддерживает туннелирование в обоих направлениях, но по умолчанию это отключено. Нужно выполнить команду «/ip/ssh set forwarding-enabled=both» (или «local», или «remote»). Что он не умеет — так это самостоятельно создавать эти туннели. Эти настройки применяются к входящим SSH-подключениям: туннель нужно создавать с помощью OpenSSH на другой машине. Если у вас роутер на базе ARM, один из вариантов — установить OpenSSH в контейнер RouterOS и устроить запуск этого контейнера с нужной командой «ssh -R». Если бы дело касалось меня, я бы вообще не связывался с роутером. Имея удалённую систему, принимающую SSH-соединения, я бы строил обратный туннель через машину с OpenSSH, а не через урезанную SSH-реализацию в RouterOS. Это даже может быть компьютер с Windows 10 и выше, ведь Microsoft добавила OpenSSH в Windows как опциональный компонент.
09.09.2022 13:05:00, tangent.

Удалённое SSH-туннелирование (ssh -R)

Fri, 09 Sep 2022 11:29:00 +0300

Удалённое SSH-туннелирование (ssh -R) RouterOS в форуме RouterOS.
Привет, Нико, удалось разобраться с этим? Если я правильно понял, ты пытаешься запустить ssh -R прямо с маршрутизатора Mikrotik, чтобы иметь возможность делать обратный SSH к нему с удалённого хоста? Я пытаюсь сделать то же самое, но не могу, потому что не знаю, как выполнить ssh -R с самого Mikrotik, хотя между двумя Linux-серверами всё работает отлично. В качестве последнего варианта пробовал использовать аргумент «command», но без удачи: /system ssh XXX.XXX.XXX.XXX user=testuser command="ssh -R localhost:7894......" Кто-нибудь ещё сумел сделать это ИМЕННО с Mikrotik?
09.09.2022 11:29:00, chrisarzu.

Удалённое SSH-туннелирование (ssh -R)

Mon, 04 Mar 2019 17:57:00 +0300

Удалённое SSH-туннелирование (ssh -R) RouterOS в форуме RouterOS.
Нужно указать IP-адрес для удалённой привязки ssh, иначе ssh принимает соединения только с локального адреса и не разрешает удалённые подключения. Попробуйте: ssh admin@ -R 0.0.0.0:8080:localhost:80 Jiri
04.03.2019 17:57:00, jiri.

Удалённое SSH-туннелирование (ssh -R)

Fri, 15 Feb 2019 11:50:00 +0300

Удалённое SSH-туннелирование (ssh -R) RouterOS в форуме RouterOS.
Думаю, это случай «PEBKAC» — неправильно используете. Смотрите https://linux.die.net/man/1/ssh и https://wiki.mikrotik.com/wiki/Manual:IP/SSH. Сравните, как используется: ssh admin@ -R 8080:localhost:80 и в мануале: ssh remoteuser@remotehost -L port:remotehost:remoteport.

Первое — подключается к удалённому сокету/порту и перенаправляет на этот компьютер. Второе — перенаправляет локальный порт на удалённый. Так что «-L» не равно «-R».
15.02.2019 11:50:00, sebastia.

Удалённое SSH-туннелирование (ssh -R)

Fri, 15 Feb 2019 11:25:00 +0300

Удалённое SSH-туннелирование (ssh -R) RouterOS в форуме RouterOS.
Очень разочаровывает, что вы до сих пор не получили ответ на это. Наверное, в плане развития Mikrotik это уже заменили на openvpn, но всё же это отличный и простой способ получить доступ к ресурсам за stateful-файрволами. Не могли бы вы любезно рассказать, удалось ли у вас это настроить и если да, то как? Спасибо, Пола.
15.02.2019 11:25:00, Meeker.

Удалённое SSH-туннелирование (ssh -R)

Fri, 05 Jan 2018 19:23:00 +0300

Удалённое SSH-туннелирование (ssh -R) RouterOS в форуме RouterOS.
Всем привет! У меня на работе есть сервер за файрволом, на котором запущено несколько разных сервисов (web, ssh, ftp и т.д.). Сервер имеет доступ в интернет, но к нему нельзя подключиться из интернета. Я пытаюсь сделать SSH-соединение с сервера на мой Mikrotik дома и открыть порт удалённо, чтобы иметь доступ к внутренним сервисам, которые за файрволом, через SSH-туннель между Mikrotik дома и сервером за файрволом.

Я без проблем могу установить SSH-соединение, запустив на внутреннем сервере такую команду:
ssh admin@ -R 8080:localhost:80

Эта команда подключается по SSH к MK на порту 22, удалённо открывает порт 8080 на MK и слушает локально на порту 80, что позволяет мне через браузер с любого места в интернете зайти на :8080 и получить доступ к веб-серверу на сервере. Естественно, — это публичный IP-адрес MK, который он получил на WAN-порту (ether1).

Это классическое решение для такого сценария, и оно отлично работает с Linux-серверами вместо Mikrotik. Я сам проверял это много раз на разных Linux-дистрибутивах, платформах и архитектурах.

Проблема с MK как SSH-сервером в том, что соединение устанавливается нормально, CLI показывает баннер приветствия, но потом выводит предупреждение:
Warning: remote port forwarding failed for listen port 8080

Я пробовал открыть порт 8080 в файрволе MK — не помогает. Также включил форвардинг по инструкции https://wiki.mikrotik.com/wiki/Manual:IP/SSH, но не работает.
/ip ssh set forwarding-enabled=yes

Перерыл форум, там полно примеров и обсуждений по LOCAL (ssh -L) форвардингу, но ничего толком по REMOTE (ssh -R).

Я также тестировал ту же команду, но с ключом «-L»:
ssh admin@ -L 8080:localhost:80

И всё отлично работает, т.е. в обратную сторону, когда с сервера обращаешься к :8080, получаешь веб-интерфейс MK.

Вот характеристики моей платформы:
[admin@MikroTik] > system resource print
uptime: 1d12h55m51s
version: 6.35.4 (stable)
build-time: Jun/09/2016 13:12:02
free-memory: 85.2MiB
total-memory: 128.0MiB
cpu: MIPS 74Kc V4.12
cpu-count: 1
cpu-frequency: 600MHz
cpu-load: 4%
free-hdd-space: 99.0MiB
total-hdd-space: 128.0MiB
write-sect-since-reboot: 7859
write-sect-total: 1389949
bad-blocks: 0%
architecture-name: mipsbe
board-name: RB951Ui-2HnD
platform: MikroTik

Сервер, с которого я делаю SSH, — Ubuntu 16.04 LTS.

В чём я могу ошибаться для REMOTE SSH порт-форвардинга, или он просто не поддерживается?

Буду благодарен за помощь!
Спасибо!
Nico
05.01.2018 19:23:00, nicolino.