Anleitung: SSH (Dropbear) und Etherwake auf der FRITZ!Box

[lord-of-linux]

hi,

kann ich über putty und FB mit Dropbear auch den kompletten http-Traffic eines Rechners leiten?
Ich kann in Schule nicht auf eMail zugreifen, da der Content Filter mich nicht auf die Seite lässt. Jetzt habe ich mir überlegt, ich könnte das einfach über die FB Zuhause machen.

 

[fritzchen]

ich weiß leider nicht ob putty port 80 auf das wan schicken kann.
was ich aber weiß, dass es mit openvpn geht , aber das wird wohl an der inst. des clients in der schule scheitern.

Bleibt mir nur eine Idee. Remotedesktop deines Rechners zu Hause

 

[lord-of-linux]

dann muss ich mir halt mal die OpenVPN-Config anschauen! ich kann schon installen, nur kann ich halt nichts runterladen, also VPN-Client auf CD und probieren.
Aber danke für die Hilfe, vieleicht hat ja doch jemand noch ne Idee wie ich SSH-Tunneln kann.

 

[olistudent]

Bräuchte man für solche Zwecke nicht einen Proxy-Server auf der Fritz?
Dann den Port 80 auf den Proxy tunneln?
Ich hab leider bei meinen Versuchen keinen Proxy auf der Fritz zum Laufen bekommen. Keine Ahnung warum...

MfG Oliver

 

[lord-of-linux]

schade, dann probier ich ob ich es auf eine Andere weiße zum laufen bringe
Aber danke für die schnelle antworten

 

[emsker]

openssh public keys

Ergänzung zur Diskussion von public keys (von Seite 3 dieses Threads), @jspies und @Knatterman:

Ich hatte jspies Script-Extensions bzgl. authorized_keys an den start gebracht, aber mein openssh (=von Linux) erzeugter Key wurde nicht vom dropbear akzeptiert. jspies berichtet, das es mit PuttyGen erzeugten Keys geht!

Inzwischen hab ich in "Using the dropbear SSH package" einen Hinweis auf das magische Programm "dropbearconvert" gefunden, dass wohl zwischen den verschiedenen Key-Formaten konvertieren kann.

Momentan kann ich das nicht durchtesten - ich berichte euch später dann mal, ob und wenn ja wie man den dropbear mit openssh keys fahren kann.

BTW. 2 andere Fragen:
a) Woher bekommt man ne neuere Version vom dropbear, aktuell ist 0.47, das Script benutzt 0.45.

b) Weiss jemand, wie man mittels firewall regeln den SSH Zugriff auf einen IP-Bereich/Subnetz einschränken kann? Ich würde z.B. nur Connects von 10.1.1.1 bis 10.1.1.126 erlauben...

Danke,
emsker

 

[jampr]

Public keys

Hi zusammen,

ich möchte auch gerne den Dropbear mit dem -s Parameter starten. Aber ich weiß nicht, welches der Public Key ist, den ich z.B. dem Putty gebe.

Bin laut Anleitung vorgegangen und habe mir jetzt einen RSA+DSS Hostkey für dropbear angelegt.

Korrigiert mich, wenn ich falsch liege. Muß ich nicht für den Server einen Public und einen Private Key erzeugen und den Public Key dem Client geben?

Grüße
jampr

 

[danisahne]

Umgekehrt. Du mußt auf dem Client ein Schlüßelpaar (public+private key) erzeugen und dann dem Server den public key in der authorized_keys mitteilen. Wie und wo Putty die Schlüßel generiert, weiß ich nicht so genau.

Die Hostkeys, die du erzeugt hast, braucht man aber schon auch. Das sind zwei verschiedene Dinge.

Mfg,
danisahne

 

[jampr]

Ok,

es gibt da ein puttygen.exe. Das sollte kein Problem sein. Nun habe ich aber noch eine Frage.

Wenn ich den Public Key habe, wie kann ich dem dropbear sagen, dass dies nun ein authorized key ist?

und mich würde auch eine Antwort auf Frage b) von emsker brennend interessieren:

b) Weiss jemand, wie man mittels firewall regeln den SSH Zugriff auf einen IP-Bereich/Subnetz einschränken kann? Ich würde z.B. nur Connects von 10.1.1.1 bis 10.1.1.126 erlauben...

Grüße
jampr

 

[danisahne]

Wenn ich den Public Key habe, wie kann ich dem dropbear sagen, dass dies nun ein authorized key ist?

Ich nehmen mal an, du hast keinen komplett-Mod installiert. Du mußt erst das Homeverzeichnis von root (oder von dem Benutzer, mit dem du dich einloggen willst) nach /var/ verlegen (z.B. /var/tmp/root/). Das kannst du mit sed in der /etc/passwd machen. Dann muss der Key in die Datei /var/tmp/root/.ssh/authorized_keys

und mich würde auch eine Antwort auf Frage b) von emsker brennend interessieren:

b) Weiss jemand, wie man mittels firewall regeln den SSH Zugriff auf einen IP-Bereich/Subnetz einschränken kann? Ich würde z.B. nur Connects von 10.1.1.1 bis 10.1.1.126 erlauben...

Mit iptables ist das möglich (dazu mußt du den Kernel neu kompilieren) oder du änderst den Dropbear-Quellcode, so dass er nur noch von den Adressen Verbindungen annimmt.

iptables und authorized_keys bekommst du übrigens im danisahne-mod (leider haben wir da gerade ein Problem mit dem Mod, siehe danisahne-mod Thread - Stand 22.12.05)

Gruß,
danisahne

 

[jampr]

Super,

ein großes danke

Bald ist Weihnachten. Da habe ich mal einen Tag Urlaub. Und wenn Die Familie weg ist, kann ich mir mal den mod anschauen.

Grüße
jampr

 

[emsker]

public keys / dropbear -s

Ich hatte jspies Script-Extensions bzgl. authorized_keys an den start gebracht, aber mein openssh (=von Linux) erzeugter Key wurde nicht vom dropbear akzeptiert. jspies berichtet, das es mit PuttyGen erzeugten Keys geht!

Mist, wenn man nicht richtig lesen kann, ich hab doch tatsächlich
<code>
# Aendern des Root Home-Dirs
cp -p /var/tmp/passwd /var/tmp/passwd.old
sed -e "/root:/s#:/:#:/var/tmp:#" /var/tmp/passwd.old > /var/tmp/passwd
</code>
übersehen - klar dass .ssh/authorized_keys nur geht, wenn es im $HOME von root liegt
rockt jetzt aber!

Anyway, weiss jemand, wie man ne aktuelle Version vom dropbear bauen kann oder wo es die zum download gibt?

Danke,
emsker

 

[mqth]

Hallo

dropbear sollte doch eigentlich laufen:

409 root 1408 S igdd
410 root 1408 S igdd
429 root 344 S /var/tmp/dropbear -p 22 -r /var/tmp/dropbear_rsa_host
446 root 344 S /var/tmp/dropbear -p 22 -r /var/tmp/dropbear_rsa_host
448 root 328 S init
453 root 424 S /var/tmp/dropbear -p 22 -r /var/tmp/dropbear_rsa_host
454 root 424 S /var/tmp/dropbear -p 22 -r /var/tmp/dropbear_rsa_host
455 root 412 S -sh
533 root 296 R ps /-a
#

warum komme ich per internet nicht drauf???

Bitte um Hilfe, da ich mich mit Linux nicht so gut auskenne...


Danke

Thomas

 

[lord-of-linux]

Hallo

dropbear sollte doch eigentlich laufen:
...
warum komme ich per internet nicht drauf???

Du must die SSH-Ports der FritzBox freigeben, damit du vom Internet aus drauf zugreifen kannst. Dabei muss man allerdings vorsichtig vorgehen, da falsche Einstellungen die ganze Box außer Gefecht setzen können.
Ich habe im Webinterface der Fritz auf ne beliebige Adresse eine Portfreigabe erstellt, da man die Fritz IP nicht verwenden darf.
Danach habe ich die IP in der ar7.cfg geändert. Dazu aber man die Suche verwenden. Denn in dieser Datei kannst alles zerstören.

 

[bosbi]

FBF 5070 und Wol

Hallo Leute,

zuerst mal frohe Weihnachten.
Nun bin ich seit Monaten der stolze Besitzer einer funktionierende WOL Funktion.
Ich habe jetzt mein alter Server abgeschaft und mir einen Barebone von Shuttle zugelegt.
WOL von Windowsrechner funktioniert.
Aber, WOL über FB funktioniert nicht.
Im debug.cfg habe ich die MAC Adresse korrigiert, sowie in dem Script im debug.cfg, daß mir eine wake.sh erzeugt um nicht die ganze MAC Adresse immer im Kopf zu behalten.
Weiß jemand einen Rat?
Ich weiß nähmlich nicht mehr weiter.
Ich wünsche euch noch ein Frohes Fest.

Gruß
bosbi

 

[supafly2k]

Ich weis jetzt nicht ob die 5070 zwei Lan Schnittstellen hat aber hast du evtl. jetzt eine andere Netzwerkschnittstelle an der Fritz!Box genommen?
Beim versenden eines WOL Packetes ist ja mit anzugeben ob über Lan1 oder Lan2 gesendet werden soll.

Gruß supafly2k

 

[bosbi]

Fbf 7050 Wol

Ja, klar...

wie doof...jezt geht es.
Danke für den Tipp.

Frohes Fest

 

[hiro]

hi,

kann ich über putty und FB mit Dropbear auch den kompletten http-Traffic eines Rechners leiten?
Ich kann in Schule nicht auf eMail zugreifen, da der Content Filter mich nicht auf die Seite lässt. Jetzt habe ich mir überlegt, ich könnte das einfach über die FB Zuhause machen.

Ich benutz genau das prinzip schon seit jahren!
Im mom is auf meinem Pc der normale openssh server drauf...
Von meiner Schule (da is komischerweise ALLES gesperrt, außer ssh mit port 22^^) connecte ich mit putty und mache nen socks proxy auf... die einzige einstellung die du brauchst is beim untermenu tunnel..
da musste dynamic anwählen und einen port vergeben, allerdings KEINE ip!
Jetzt kannste z.b. mit ie, miranda, firefox uw. einen socks einstellen... 127.0.0.1 und port - Fertig
wenne allerdings cs zocken willst oder irgendwas anderes was kein soks unterstützt musste eine einzelne ip-adresse forwarden...
is zwar schon was älter... aber ich hoffe ich kann deine schulzeit hiermit auch bereichern^^
besonders cs is geil*g

 

[lord-of-linux]

Ich benutz genau das prinzip schon seit jahren!
Im mom is auf meinem Pc der normale openssh server drauf...
Von meiner Schule (da is komischerweise ALLES gesperrt, außer ssh mit port 22^^) connecte ich mit putty und mache nen socks proxy auf... die einzige einstellung die du brauchst is beim untermenu tunnel..
da musste dynamic anwählen und einen port vergeben, allerdings KEINE ip!
Jetzt kannste z.b. mit ie, miranda, firefox uw. einen socks einstellen... 127.0.0.1 und port - Fertig
wenne allerdings cs zocken willst oder irgendwas anderes was kein soks unterstützt musste eine einzelne ip-adresse forwarden...
is zwar schon was älter... aber ich hoffe ich kann deine schulzeit hiermit auch bereichern^^
besonders cs is geil*g

Inzwischen ist mir auch sowas gelungen (Putty -> Fritz mit Dropbear)!
Was für Schule es doch gibt. *ironie*
Bisher habe ich allerdings nur http per proxy getunnelt. Wie hast du einzelne Protokolle wie ICQ oder so getunnelt? OpenVPN läuft leider noch nicht, sonst würde ich es damit versuchen.

 

[emsker]

Bisher habe ich allerdings nur http per proxy getunnelt. Wie hast du einzelne Protokolle wie ICQ oder so getunnelt? OpenVPN läuft leider noch nicht, sonst würde ich es damit versuchen.

Unter Linux baut man z.B. mittels

ssh -L 40080:192.168.178.1:80 root@meine_fritzbox.dyndns.org -N -f

(mit Putty analog) einen SSH-Tunnel via "meine_fritzbox.dyndns.org" zu 192.168.178.1, Port 80 (=Web-Oberfläche der FB) auf. Auf dem lokalem Rechner muß man "nur" gegen http://localhost:40080 connecten.

ICQ ist bei mir ein connect gegen login.icq.com:443, also z.B. 40443:login.icq.com:443 benutzen und im ICQ Client einstellen, dass localhost/127.0.0.1 und port 40443 benutzt wird, voila.