Reverzní ssh tunel na Mikrotiku

[radekpaos]

Ahoj,
dá se nějak v routeros vytvořit reverzní ssh tunel? Myšleno z mikrotiku na ssh server na veřejné IP s tím, abych mohl přistoupit z tohoto ssh serveru k mikrotiku. Mikroik není na veřejné ip dostupný a potřebuji se k němu občas dostat. Povolit porty pro přístup z vnějšku nejde. V záloze pak mám na mikrotiku openvpn klienta, ale to mi příjde složitější a robustnější řešení na to co potřebuju. Díky

[Cheprer]

Tunel považují za více secure.

[radekpaos]

?

[Machca]

máš možnost přihlásit se přes winbox tam dáš tool ssh ip adresu vnitřního mk a uživatele,
nebo si ve firewallu přenatuj libovolný port na port 22 vnitřního mikrotiku
a připojuj se na tomto portu třeba přes putty

Kód: Vybrat vše

 add chain=dstnat action=dst-nat to-addresses=XXX.XXX.XXX.XXX to-ports=22 protocol=tcp dst-address=XXX.XXX.XXX.XXX dst-port=2222 log=no log-prefix=""

[ludvik]

bych řekl, že jsi ho naprosto vůbec nepochopil.

[radekpaos]

přesně, nepochopil. já potřebuji iniciovat to spojení z mikrotiku, ke kterému se nedostanu z vnějšího světa:) proto reverzní ssh...

[ludvik]

ssh je secure shell. A jako takový je pro tento účel nepoužitelný. Sice lze používat forwarding portů, čili v podstatě VPN, ale nevím o tom jak to použít v ROS.
Nevymýšlej šílenost, použij něco co je na to přímo stavěné ROS toho umí docela dost.

[radekpaos]

Jde i o jednoduchost a reverzni ssh je bezna vec. Jen jak se zda ros jej neumi. Asi skoncim na openvpn klientovi na strane mikrotiku. Ale to mi prijde fakt kanon na vrabce. Neco co jde vyresit jedim prikazem bez zbytecnych prenosu okolo resit velkou vpnkou.

Nebo mas na mysli neco jineho vyjma vpn?

[Matess]

delam to pres vpn...

[radekpaos]

v této souvislosti se zeptám ještě na jednu věc, neřešili jste někdo spuštění openvpn klienta na základě nějaké podmínky, třeba že na stránce na veřejném webu je nějaká hodnota? Prostě spustit openvpn klienta jen pokud je splněna nějaká vnější podmínka.

[Machca]

I am sorry za nepochopení, co zkusit to nějakym scriptem ? Blbě jsem četl

[radekpaos]

Skriptem asi jo. Blbě jsem to možná napsal - jde mi o to, aby ten openvpn klient běžel jen tehdy, pokud chci. jenže jedinou možností je nastavit něco vně, kam si může mikrotik šáhnout. Něco jako skript v cronu:

1. zkontroluj něco (hodnota na webu??? někde uložené něco třeba na ftp??)
2. pokud je podmínka splněna, spusť open vpn
3. pokud není podmínka splněna, končím

Dá se to různě zesložiťovat, ale princip je tento

[ludvik]

To už napsat určitě jde. Příkaz fetch existuje. Ale možná bych neshazoval VPNku celou, ale jen ovlivňoval firewall (např. address-listem).

[radekpaos]

dík, pustím se do toho:)

[rsaf]

Příklad jak použít fetch je přímo na wiki Mikrotiku https://wiki.mikrotik.com/wiki/Manual:T ... a_variable

Kód: Vybrat vše

{
    :local result [/tool fetch url=http://mujserver.net/vpnenable.php as-value output=user];
    :if ($result->"status" = "finished") do={
        :if ($result->"data" = "1") do={
            /interface ethernet set ovpn-out1 disabled=no;
        } else={
            /interface ethernet set ovpn-out1 disabled=yes;
        }
    }
}


To už napsat určitě jde. Příkaz fetch existuje. Ale možná bych neshazoval VPNku celou, ale jen ovlivňoval firewall (např. address-listem).

Mohu se zeptat proč neshazovat VPN klienta jednoduchým enable/disable toho interface a komoplikovat si to nějakými fw pravidly ?