dropbear von aussen (VDSL) & knockd

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Massa

Massa

Mitglied
Mitglied seit
18 Dez 2004
Beiträge
224
Punkte für Reaktionen
4
Punkte
18
Hallo,

ich hätte zwei Fragen:
  1. wie mache ich dropbear prinzipiell von außen (d.h. aus dem Internet) verfügbar?
  2. und wie kann ich dann das ganze per knockd ein- und ausschalten (am besten ohne iptables)?

Ich habe hier im Forum bereits gesucht und alte Beiträge gefunden, die für die Freigave von aussen die ar7.cfg editieren und ein Eintrag in "forwardrules" unter "dslifaces" einfügen.
In meiner aktuellen ar7.cfg gibt es diese aber nicht mehr - oder heißt das jetzt "voip_forwardrule"?
Falls ja, muss ich dort dann soz. "von überall" (=0.0.0.0) auf die feste LAN-Adresse (z.B. 192.168.178.1) weiterleiten?
Und was, wenn die LAN-Adresse per DHCP bestimmt wird?
Geht das nicht auch über Interfaces (in der Art vom "WAN-" aufs "LAN"-Interface)
Und welches Interface ist denn das externe bei VDSL (d.h. LAN1-Port als WAN)?
Wenn ich auf der Box ifconfig aufrufe, kommen eine ganze Menge Interfaces,
aber die (für mich) logischen verdächtigen (dsl & wan) sehen nicht korrekt aus.
DSL hat eine IP-Adresse aus dem 169'er-Bereich mit PtP auf sich selber?
WAN hat überhaupt keine IP-Adresse..

Hat da jemand Erklärungen und Hilfe für mich?
Wäre super!

Gruß,
Matthias
 
mach es dir doch nicht so schwer!
Füge im Webinterface ein Portforwarding hinzu auf eine beliebige ip(z.b. 192.168.178.123, aber mit den Richtigen Ports und einer eindeutigen Beschreibung.
Dann editierst du die ar7.cfg,( nicht vergessen mit nvi) und sucht diesen Eintrag.
Dort änderst du dann die ZielIP deiner Auswähl(192.168.178.123) in 0.0.0.0 um!
und Fertig!
In der ar7.cfg kann es sein, das die "forwardrules" noch nicht existieren, wenn du noch keine Freigabe erstellt hast über das Webinterface.


Zu knockd kann ich dir nciht viel sagen, da ich es nicht benutze, aber ich glaub man kann mit ihn in erster linie scripte ausführen. Was bedeutet, das du das ganze ohne iptabels nur soweit steuern kannst, das du dropbear komplet ausschaltest und per knock anschaltest. Dann ist er aber von intern auch nicht erreichbar. Per scipt die ar7.cfg editieren ist nich so einfach :) und was anderes fällt mir jetzt nicht ein.
 
Hallo matze1985,

Danke für Deine Antwort!

Ich war der Meinung, dass es die forwardrules nicht mehr gäbe, weil ich sie bei mir nicht gefunden habe.
Mir war nicht bewusst, dass diese nur angelegt werden, wenn in der Web-Oberfläche Einträge unter "Freigabe" gemacht werden.
Peinlich :rolleyes:

Mit dem knockd muss ich wohl noch etwas experimentieren.
Mir wäre aus Sicherheitsgründen schon lieber, wenn der ssh-Port (den ich natürlich auf einen "unbekannten" Port gelegt habe ;) ) von außen nur dann aufgemacht wird, wenn ich ein entsprechendes knock-Kommando gebe.

Alternativ habe ich schon überlegt, die Schlüssel für dropbear einzuschränken (z.B. per from="192.168.178.*" vor dem Schlüssel), so dass von außen nur bestimmte (passphrase) Schlüssel funktionieren und von innen auch andere (ohne passphrase).
Das Feature scheint dropbear aber nicht zu unterstützen :(
Schade!

Eine andere Alternative wäre, zwei dropbear laufen zu lassen, einen für internen Zugriff und einen für außen.
Der von außen könnte dann per knockd gestartet und gestoppt werden...

Was ich immer noch nicht verstanden habe: welches ist denn das Interface, das für den Außen-Zugriff zuständig ist?

Gruß,
Matthias
 
das interface für außen würde ich nicht anfassen. starte dropbear einfach auf port 2222(nur als bsp), dass müsste mit
Code: 
dropbear -p 2222
gehen oder du schaust dir mal
Code: 
/etc/init.d/rc.dropbear
da siehst du viellcht noch ein paar interessante sachen.

diesen Port kannst du je dann einfach nach außen weiterleiten und gut ist!
kannst dir ja das startscript kopieren und dann man schauen, ob du für knock ein schönes bekommst, das du dann benutzen kannst.
 
@matze1985:
Danke für Deine Tipps - ich werde mir das ganze mal in einer ruhigen Minute anschauen und dann wahrscheinlich ein eigenes dropbear-Startscript schreiben,
das den dropbear für Nutzung von aussen startet.
Und das dann per knockd ausführen lassen...

Gruß,
Matthias
 
hallo zusammen
ich hab das selbe problem (dropbear vom internet nicht erreichbar, aber intern funzt) nur das es bei mir nicht funktioniert hat mit dem eintrag in der ar7.cfg.

habe einen fakeeintrag als portforwarding eingerichtet und diesen eintrag dann in der ar7.cfg auf 0.0.0.0:22 gesetzt als zieladresse. beim versuch den ssh server vom internet aus zu verbinden bekomm ich immer noch nur ein timeout. noch eine idee?

muss noch davor sagen das ich grad in die linux materie eingestiegen bin und so gut wie keinen blassen schimmer davon habe. also wenn ihr als tip nen befehl habt dann schreibt ihn bitte so, dass ich ihn nur copy&paste machen muss ;)

ps: hier ist ein super forum das mir in den vergangenen tagen schon bei der installation gut geholfen hat :D hoffe ihr könnt mir jetzt auch helfen


EDIT: ich habe eine FritzBox 7270 mit einem pseudo image von "the-construct" mit dropbear und wake on call. beides wird über die debug.cfg korrekt installiert und gestartet
 
dann poste doch mal doch mal deinen eintrag aus der ar7.cfg!

hast du die box rebootet, oder was hast du gemacht nachdem du den eintrag in der ar7.cfg verändert hast?

Ich bin mir bei internen regeln, also regeln mit 0.0.0.0 nicht sicher, was hilft um die zu übernehmen, aber nen reboot tuts auf jeden fall. :)
 
oje ich etz wirds peinlich für mich...ich hab etz wirklich nicht die ahnung von linux bzw. scripting aber selbst das ist mir aufgefallen. hier ist mein eintrag der ar7.cfg datei

"# tcp 0.0.0.0:22 0.0.0.0:22 0 # DropBear";

und ja ich hab den fehler gefunden, die raute "#" am anfang vor dem tcp ist zuviel und hat den eintrag ungültig gemacht...
nach dem entfernen der raute und einem reboot funktioniert dropbear etz auch von aussen. aber danke euch nochmal für den denkanstoss ;)
 
Dann ändere doch bitte den Threadtitel auf "[gelöst]..."

danke
 
ich bin nicht der Thread ersteller und kann den Titel nicht ändern ;)
 
Silent-Tears schrieb:
Dann ändere doch bitte den Threadtitel auf "[gelöst]..."
danke
Zum Vergrößern anklicken....
Die Frage nach dropbear-Start (oder Freischaltung/Sperrung der Firwall-Regeln) per knockd ist aber noch nicht gelöst ;)
(wobei ich zugeben muss, dass ich noch keine Zeit gefunden habe, mich etwas mehr darum zu kümmern und nachzuforschen)...
 
also die dtmf box kann das...damit kannst du ports per event(anruf z.b.) öffnen oder schliessen...leider bringt sie auch ne menge andere sachen mit...daher..nur nehmen wenn du bnoch genug platz hast...ich weiß nämlich nciht was alles benötigt wird davon damit es geht...habe es halt immer komplett mit drinw enn ich es brauche...

wobei...vieleicht kann man diese funktion ja auch auslagern für den kleinen bedarf nebenebi ;-)
*WINKINRICHTUNGENTWICKLER*
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 668 (Mitglieder: 40, Gäste: 628)

Neueste Beiträge

Statistik des Forums

Themen
246,473
Beiträge
2,252,682
Mitglieder
374,242
Neuestes Mitglied
leoleoleo22
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück