Удалённый доступ по SSH через интернет

[beowulf0208]

Для дистанционного управления Entware через мобильный интернет пробовал использовать клиент JuiceSSH для Android. Думал что будет достаточно прописать проброс портов, но JuiceSSH так и не захотел подключаться по SSH к Entware.

Нашёл в инете статью, но она похоже написана для старых версий Entware. Попробовал использовать инструкцию из этой статьи, но это тоже не помогло дистанционно подключиться к Entware по SSH.

 

 

1. Требования первого пункта по IP адресу (либо «пробросу» портов) - сугубо организационные и решаются с домашним провайдером на стадии заключения договора подключения к сети Интернет. Если провайдер не предоставляет такой услуги, то описанными в этой статье способами получить доступ из интернета к роутеру и домашней локальной сети невозможно.

2. Подробно установка системы opkg (в том числе и ssh сервера dropbear) описана в статье "Установка системы opkg." Сервер dropbear может быть запущен не только на порту по умолчанию (порт 22), но и на любом другом. Чтобы изменить порт по умолчанию (22), прослушиваемый сервером dropbear на нужный порт (например 45017), через PuTTy по ssh заходим на роутер и любым удобным способом корректируем файл /media/DISK_A1/system/etc/init.d/S10dropbear . Строка запуска dropbear в секции «start» должна выглядеть так:

$DROPBEAR -p 45017 -d $DSS -r $RSA

ВНИМАНИЕ !!! В дальнейшем везде в статье предполагаем, что dropbear у нас будет запущен на порту 45017.

Чтобы изменения вступили в силу - перегружаем роутер. После перезагрузки роутер будет доступен из домашней сети по установленному порту 45017 (не забудьте откорректировать свойства соединения в PuTTy ). Для еще большей защиты и удобства возможно настроить авторизацию по приватным ключам.

3. Для настройки доступа из интернета к роутеру по ssh протоколу добавляем в автозапуск следующие строки:

iptables -I INPUT -p tcp --dport 45017 -j ACCEPT
iptables -I INPUT -i lo -j ACCEPT

Первое правило позволяет роутеру принимать входящие соединения по порту 45017, второе правило необходимо для нормального хождения пакетов внутри роутера между интерфейсами. В «автозапуск» их можно добавить двумя способами:

• добавить правила в секцию start скрипта запуска dropbear /media/DISK_A1/system/etc/init.d/S10dropbear
• создать исполняемый файл /media/DISK_A1/system/etc/firewall.d/fw.sh следующего содержания:

#!/bin/sh
 
iptables -I INPUT -p tcp --dport 45017 -j ACCEPT
iptables -I INPUT -i lo -j ACCEPT
 

Второй способ является более правильным. Главное отличие между ними:

• при корректировке скрипта запуска dropbear правила iptables добавляются каждый раз при старте ssh сервера dropbear.
• при корректировке скрипта fw.sh правила iptables добавляются каждый раз при поднятии соединения на интерфейсе роутера. Если у вас pptp, l2tp и т.п. соединение с провайдером, то используйте именно этот вариант.

Чтобы изменения вступили в силу - необходимо перегрузить роутер.

На этом настройка Zyxel Keenetic/Keenetic Giga закончена, проверяем доступность роутера по ssh из интернета и переходим к настройке удаленной машины, с которой планируем подключаться к домашней сети.

 

 

Может кто-нибудь написать инструкцию как дистанционно через интернет управлять Entware по SSH?

[Heimdall]

трансляция входящих снаружи на порт 22 в ipРоутера что не работает?

или можно принимать входящие на порт 10500 и транслировать на ipРоутера на новый порт 22. чтобы никто не догадался.

[vasek00]

Чтоб ни кто не догадался лучше посмотрите на http://wiki.enchtex.info/howto/iptables/ssh-guard

[thefox]

ой, а расскажите, в актуальных версиях entware куда надо пихать исполнимый скрипт(chmod +x) для Iptables что бы при установлении pppoe/pptp открывал нужный порт? /media/DISK_A1/system/etc/firewall.d/  явно устарело

upd: сам спросил - сам ответил, chmod +x opt/etc/ndm/netfilter.d/w.sh

Edited January 26, 2019 by thefox