SSH na Mikrotik s tunelováním do LAN

[jakub13]

Zdravím, dá se na Mikrotik routeru / zařízení na veřejné IP spustit SSH server tak aby "viděl" do LAN a bylo možno přes něj tunelovat na zařízení v LAN? Nebo je to SSH server jenom pro admin. routeru samotného a do LAN nevidí? Případně dá se to např. řesit dvěma Mikrotiky za sebou z nichž druhý,na kterém by to běželo by byl v režimu bridge?
Jednoznačnou odpověď na netu jsem zatím nenašel. Díky

[Reklama]

[matusK]

SSH klienta ma, takze to realizovat pujde:

• v6 - https://wiki.mikrotik.com/wiki/Manual:System/SSH_client
• v7 - https://help.mikrotik.com/docs/display/ROS/SSH#SSH-SSHClient

Kde si to hledal? dokumentace by mela byt prvni misto a tam to je...

[michaelscz]

Ano, jde. Používám SSH tunel a na WIN straně Proxifier.

[Jose D]

v podstatě by mě to taky zajímalo.

nešlo by to přes tu jejich socks proxy a dát si do ssh potom nějaký ProxyCommand?

SSH klienta ma, takze to realizovat pujde:

mhmm, spíš ne, vyhodí ti to:

debug1: Received SSH2_MSG_UNIMPLEMENTED for 11

[stevo54785]

Hľadaj portforward.

[Reklama]

[Jose D]

Hľadaj portforward.

portforward je něco jinýho než SSH jumphost / bastion host.

[matusK]

SSH klienta ma, takze to realizovat pujde:

mhmm, spíš ne, vyhodí ti to:

debug1: Received SSH2_MSG_UNIMPLEMENTED for 11

V jaké verzi RouterOS? Máš nainstalovány balíčky System a Security?
Jaká je verze a nastavení druhé strany (SSH2)?

[Jose D]

V jaké verzi RouterOS? Máš nainstalovány balíčky System a Security?

relativně recentní 7.14. System a Security balíčky už v myslím v RouterOS od 7.x nejsou..

[lajdak]

Ak myslis pouzit portforwarding (bud option -L alebo -R) tak to funguje uplne v pohode, sam to vyuzivam. Dokonca aj dynamicky SOCKS5 (option -D) funguje skvele a pouzivam velmi casto ak sa potrebujem sprtat vo vzdialenej sieti.

Defaultne ma ale SSH server na MK tuto funkcionalitu vypnutu, niekedy od verzie 6.pambochviekolko je potrebne povolit forwarding:

Kód: [Vybrat]

/ip ssh set forwarding-enabled=both

[jakub13]

Ahoj, díky všem... tak to funguje. Nevím, co jsem předtím dělal špatně.... ale zprovoznil jsem to nakonec až na tom druhém Mikrotiku. První je jako router s blacklisty a firewallem a druhý v podstatě jen jako switch. Tak na tom "switchi" nebo "bridgi" to běží. Ještě si to chce pohrát s nastavením, udělat klíče (zatím používám jen přihlášení heslem). Ale funguje to a zdá se to být dobré řešení. Dík

[jakub13]

Ještě k tématu - pokud by to také někdo řešil. Doporučuji si v Mikrotiku vytvořit na SSH samostatného uživatele a odebrat mu v routeru všechna práva vč. čtení a samozřejmě zápisu. Povolit pouze přihlášení přes konzoli, SSH a maximálně reboot routeru, nic víc. Ostatním uživatelům, kteří mohou nastavovat switch / router potom naopak SSH zakázat. Tohle má Mikrotik docela propracované a snad je to i další ochrana, pokud by se přes SSH povedlo (třeba v případě přihlašování přes hesla) do zařízení přihlásit nějakému utočníkovi. Pokud nebude znát topologii vnitřní sítě a adresy a porty v LAN, tak nic nemůže napáchat. Navíc na těch vnitřních zařízeních mohou být další ochrany. Dále Mikrotik nabízí různé "chytré blacklisty" atd. Na to, jak je to levné zařízení, ho mám rád. Samozřejmě nejbezpečnější je přihlašování s klíči...ale to také úplně vždy nejde aplikovat a navíc i klíče se dají ukradnout.