SSH na Mikrotik s tunelováním do LAN

SSH na Mikrotik s tunelováním do LAN
« kdy: 06. 06. 2024, 08:31:12 »
Zdravím, dá se na Mikrotik routeru / zařízení na veřejné IP spustit SSH server tak aby "viděl" do LAN a bylo možno přes něj tunelovat na zařízení v LAN? Nebo je to SSH server jenom pro admin. routeru samotného a do LAN nevidí? Případně dá se to např. řesit dvěma Mikrotiky za sebou z nichž druhý,na kterém by to běželo by byl v režimu bridge?
Jednoznačnou odpověď na netu jsem zatím nenašel. Díky


Re:SSH na Mikrotik s tunelováním do LAN
« Odpověď #1 kdy: 06. 06. 2024, 08:50:53 »
SSH klienta ma, takze to realizovat pujde:

Kde si to hledal? dokumentace by mela byt prvni misto a tam to je...

Re:SSH na Mikrotik s tunelováním do LAN
« Odpověď #2 kdy: 06. 06. 2024, 09:57:52 »
Ano, jde. Používám SSH tunel a na WIN straně Proxifier.

Jose D

  • *****
  • 889
    • Zobrazit profil
Re:SSH na Mikrotik s tunelováním do LAN
« Odpověď #3 kdy: 06. 06. 2024, 10:26:20 »
v podstatě by mě to taky zajímalo.

nešlo by to přes tu jejich socks proxy a dát si do ssh potom nějaký ProxyCommand?

SSH klienta ma, takze to realizovat pujde:

mhmm, spíš ne, vyhodí ti to:

debug1: Received SSH2_MSG_UNIMPLEMENTED for 11



Re:SSH na Mikrotik s tunelováním do LAN
« Odpověď #4 kdy: 06. 06. 2024, 10:27:08 »
Hľadaj portforward.


Jose D

  • *****
  • 889
    • Zobrazit profil
Re:SSH na Mikrotik s tunelováním do LAN
« Odpověď #5 kdy: 06. 06. 2024, 10:31:26 »
Hľadaj portforward.
portforward je něco jinýho než SSH jumphost / bastion host.

Re:SSH na Mikrotik s tunelováním do LAN
« Odpověď #6 kdy: 06. 06. 2024, 12:07:10 »

SSH klienta ma, takze to realizovat pujde:

mhmm, spíš ne, vyhodí ti to:

debug1: Received SSH2_MSG_UNIMPLEMENTED for 11

V jaké verzi RouterOS? Máš nainstalovány balíčky System a Security?
Jaká je verze a nastavení druhé strany (SSH2)?

Jose D

  • *****
  • 889
    • Zobrazit profil
Re:SSH na Mikrotik s tunelováním do LAN
« Odpověď #7 kdy: 06. 06. 2024, 16:19:55 »
V jaké verzi RouterOS? Máš nainstalovány balíčky System a Security?

relativně recentní 7.14. System a Security balíčky už v myslím v RouterOS od 7.x nejsou..

Re:SSH na Mikrotik s tunelováním do LAN
« Odpověď #8 kdy: 06. 06. 2024, 19:06:56 »
Ak myslis pouzit portforwarding (bud option -L alebo -R) tak to funguje uplne v pohode, sam to vyuzivam. Dokonca aj dynamicky SOCKS5 (option -D) funguje skvele a pouzivam velmi casto ak sa potrebujem sprtat vo vzdialenej sieti.

Defaultne ma ale SSH server na MK tuto funkcionalitu vypnutu, niekedy od verzie 6.pambochviekolko je potrebne povolit forwarding:

Kód: [Vybrat]
/ip ssh set forwarding-enabled=both

Re:SSH na Mikrotik s tunelováním do LAN
« Odpověď #9 kdy: 07. 06. 2024, 08:32:06 »
Ahoj, díky všem... tak to funguje. Nevím, co jsem předtím dělal špatně.... ale zprovoznil jsem to nakonec až na tom druhém Mikrotiku. První je jako router s blacklisty a firewallem a druhý v podstatě jen jako switch. Tak na tom "switchi" nebo "bridgi" to běží. Ještě si to chce pohrát s nastavením, udělat klíče (zatím používám jen přihlášení heslem). Ale funguje to a zdá se to být dobré řešení. Dík

Re:SSH na Mikrotik s tunelováním do LAN
« Odpověď #10 kdy: 13. 06. 2024, 07:56:15 »
Ještě k tématu - pokud by to také někdo řešil. Doporučuji si v Mikrotiku vytvořit na SSH samostatného uživatele a odebrat mu v routeru všechna práva vč. čtení a samozřejmě zápisu. Povolit pouze přihlášení přes konzoli, SSH a maximálně reboot routeru, nic víc. Ostatním uživatelům, kteří mohou nastavovat switch / router potom naopak SSH zakázat. Tohle má Mikrotik docela propracované a snad je to i další ochrana, pokud by se přes SSH povedlo (třeba v případě přihlašování přes hesla) do zařízení přihlásit nějakému utočníkovi. Pokud nebude znát topologii vnitřní sítě a adresy a porty v LAN, tak nic nemůže napáchat. Navíc na těch vnitřních zařízeních mohou být další ochrany. Dále Mikrotik nabízí různé "chytré blacklisty" atd. Na to, jak je to levné zařízení, ho mám rád. Samozřejmě nejbezpečnější je přihlašování s klíči...ale to také úplně vždy nejde aplikovat a navíc i klíče se dají ukradnout. 
« Poslední změna: 13. 06. 2024, 07:58:13 od jakub13 »