Callmonitor Aktionen im Knockd benutzen

[DG279]

Ist es möglich die Callmonitor Aktionen im Knockd zu nutzen, wie z.B.:

[opencloseVPN]
sequence = 1234,2345,3456
seq_timeout = 15
tcpflags = syn
start_command = config forward 1 on # 1. VPN
cmd_timeout = 10
start_command = config forward 2 on # 1. VPN

Leider funktioniert dies mit diesem scrip nicht.

Gruß, Dieter*

 

[buehmann]

Hallo,

stell noch ein "callaction" voran; dann dürfte es funktionieren:

       start_command = callaction config forward 1 on # 1. VPN

Andreas

 

[DG279]

Hallo Andreas,
erst mal vielen Dank. Werde das heute Abend ausprobieren.
Gruß, Dieter*

 

[DG279]

Hallo Andreas,
mit dem Knockd komme ich nicht von Aussen auf die Fritz.Box. Ich benutze jetzt eine spezielle VOIP-Nr. zusammen mit deinem Callmonitor und öffne kurz die VPN-Ports. Funktioniert bestens, vielen Dank für dieses tolle Tool.

Gruß, Dieter*

 

[Darkyputz]

Hallo!

Sowas suche ich auch seit ewig...
Wie hast du das jetzt im Listener des Callmonitors beschrieben???
Und wie machst du die Ports wieder zu??
Würde gern auf Anruf an Nr. 08154711 von Nummer 47110815 den Port 21 öffnen und beim 2 Anruf den Port wieder zumachen...
Machst du das so in etwa??
Wenn ja WIE? ;-) (iptables??)
Danke im voraus!!

 

[cuma]

Zuerst ein normales Portforwarding auf 22/tcp

Beim booten:

iptables -A INPUT -i dsl -p tcp --syn --dport 22    -j REJECT

bei Anruf

iptables -D INPUT -i dsl -p tcp --syn --dport 22    -j REJECT

nach einem Timeout zB mit sleep, bei knock ist es einfach "stop_command". Nur bei Verbindungsaufbau braucht Port offen zu sein

iptables -A INPUT -i dsl -p tcp --syn --dport 22    -j REJECT

Wobei das mit knockd besser funktioniert, da kann man den Port nur für eine IP öffnen

 

[DG279]

Callmonitor

@darkyputz

In der FB habe ich die 3 benötigten Ports für VPN auf meinem Server eingerichtet und deaktiviert

Ich rufe mit meinem Handy 01701234567 die in der FB registrierte 0123987654321 VoipNr (nicht an ein Tel/Fax/AB weitergeleitet) an und lass es so lange "klingeln", bis ich die VPN-Verbindung hergestellt habe und beende das Gespräch. Während des "Klingelns" werden die Ports aktiviert und durch das Beenden des Gesprächs deaktiviert.

Config Callmonitor:

in:request ^01701234567$ ^0123987654321$ config forward 1 on # 1. VPN
in:request ^01701234567$ ^0123987654321$ config forward 2 on # 2. VPN
in:request ^01701234567$ ^0123987654321$ config forward 3 on # 3. VPN
in:cancel ^01701234567$ ^0123987654321$ config forward 1 off # 1. VPN
in:cancel ^01701234567$ ^0123987654321$ config forward 2 off # 2. VPN
in:cancel ^01701234567$ ^0123987654321$ config forward 3 off # 3. VPN

CALLMONITOR ein SUPERTOOL

Gruß, Dieter*

 

[buehmann]

Hallo Dieter,

du könntest die Konfiguration für den Callmonitor übrigens so vereinfachen. Man kann auch mehrere Aktionen bei einer Regel angeben:

in:request ^01701234567$ ^0123987654321$ config forward 1 on; config forward 2 on; config forward 3 on
in:cancel ^01701234567$ ^0123987654321$ config forward 1 off; config forward 2 off; config forward 3 off

Andreas

 

[DG279]

. . . und schon geändert . . . Danke für den Tip.

Dieter*

 

[Darkyputz]

wie?? du lässt die gesammte vpn session das teelfon "klingeln"???
weil wenn du auflegst müsste doch sofort die verbindung gekappt werden, oder?

 

[DG279]

Nein, die geöffneten Ports funktionieren weiter, obwohl die Tel-Verbindung beendet wurde.. Bei der FB werden die Haken bei Aktiv entfernt und sobald ich die VPN-Verbindung auf meinem OS X Server schließe, sind die Ports gesperrt.

Funktioniert schnell und zuverlässig.

Dieter*

 

[Darkyputz]

Ui...das ja cool...das teste ich gleich mal

 

[trinkfix]

hallo zusammen,

ich hatte auch überlegt den knockd zu nutzen aber das ist immer problematisch über die Proxys und zusätzlicher Aufwand
von euren tollen Ideen mit dem Callmonitor inspiriert habe ich die Sache für meinen Anwendungsfall etwas umgebaut.

ich rufe jetzt von woher auch immer eine zusätzlich in der FB registrierte VoipNr an (nicht an ein Tel/Fax/AB weitergeleitet) und sobald es klingelt wird der ssh server für eine gewisse Zeit gestartet (bei mir 30min).
über den dropbie kann ich dann alles machen WoL oder Ports weiterleiten...RDP...

sehr kompfortable ist, wenn der dropbie nach 30 min gekillt wird laufen bestehende Sessions weiter...

also ist das große Loch in der Firewall nur von kurzer dauer

also der CALLMONITOR ist echt geil!
und vielen Dank für die vielen super Vorlagen

viele Grüße
trinkfix

 

[B0B]

Hi Leute,

das ist im Prinzip genau das was ich suche:

habe aber das Problem das es, aus welchem Grund auch immer bei mir nicht funktioniert. Hier mal das LOG

Listeners

in:request ^ ^93xx35$ dboxmessage 192.168.0.21
in:request ^017xxxxx649$ ^93xx35$ config forward 5 on
in:cancel ^017xxxxx649$ ^93xx35$ config forward 5 off

[0:0] processing rule 'in:request' '^' '^93xx35$' 'dboxmessage 192.168.0.21'
[0:0] event 'in:request' matches pattern 'in:request'
[0:0] parameter SOURCE='017xxxx649' matches pattern '^'
[0:0] parameter DEST='93xx35' matches pattern '^93xx35$'
[0:0] SUCCEEDED
[0:0] ACTION: 'dboxmessage 192.168.0.21'
[0:1] processing rule 'in:request' '^017xxxxx649$' '^93xx35$' 'config forward 5 on'
[0:1] event 'in:request' matches pattern 'in:request'
[0:1] parameter SOURCE='017xxxx649' matches pattern '^017xxxxx649$'
[0:1] parameter DEST='93xx35' matches pattern '^93xx35$'
[0:1] SUCCEEDED
[0:1] ACTION: 'config forward 5 on'
[0:2] processing rule 'in:cancel' '^017xxxxx649$' '^93xx35$' 'config forward 5 off'
[0:2] event 'in:request' does NOT match pattern 'in:cancel'
[0:2] FAILED
HTTP/1.0 200 OK
Content-Type: text/plain
Cache-Control: no-cache
Server: nhttpd/3.1.8 (yhttpd_core/1.2.0)
Date: Thu, 24 Dec 2009 09:19:03 GMT
Connection: close
Last-Modified: Thu, 24 Dec 2009 09:19:03 GMT
Content-Length: 2

Ich habe ehrlich gesagt keinen plan warum das nicht funktionieren sollte. muss der befehlt "config forward" irgendwie spezifiziert werden?

Ich habe auch gelesen wie man das ganze ein und auschalten der Ports für den einen oder anderen hier eleganter gestalten könnte:

Listeners

in:request ^017xxxxx649$ ^93xx35$ config forward 5 toggle

dies sollte bewirken, dass bei jedem Anruf das Häkchen umgeschaltet wird.

 

[joelxy]

Hallo,

seit langer Zeit mit Dropbear und droptoggle:

# Dropbear starten oder beenden mit droptoggle
# 1. Anruf einschalten, 2. Anruf ausschalten
# ---------------------------------------

in:request ^0170123456$ ^111111$ droptoggle

Grüße Joel!

 

[buehmann]

@B0B: Dein Log sieht gut aus. Die Regeln wurden richtig angewendet; die HTTP-Antwort unten stammt von der DBox und hat mit dem "config forward" nichts zu tun.

muss der befehlt "config forward" irgendwie spezifiziert werden?

Das war schon richtig: config forward <Nummer der Weiterleitung> [on|off|toggle]

Du musst natürlich die richtige Nummer erwischen. Was sagt dir die Abfrage des Status auf der Kommandozeile?

config forward 5

Andreas

 

[B0B]

Was sagt dir die Abfrage des Status auf der Kommandozeile?

da kommt bei mir:

-sh: config: not found

ist der befehl config nicht vorhanden?

 

[buehmann]

Sorry, ich hätte genauer sein müssen: "config" ist nur im Kontext des Callmonitors vorhanden. So kannst du den Befehl von der Kommandozeile aufrufen:

callaction config forward 5

 

[B0B]

Ah danke,

das macht auch sinn. Jetzt funktioniert die ganze sache bei Forwardings auf andere Rechner im LAN. Jedoch nicht bei Forwardings auf die Box mit 0.0.0.0. Idee woran das liegen könnte?

 

[buehmann]

Was funktioniert jetzt plötzlich und warum? Von der Kommandozeile aus funktioniert das An-/Abschalten der Forwardings und aus den Listeners nicht?