[Ran] pb ssh sur freifunk (le retour)

v rac Fabrice.Verrac at free.fr
Dim 4 Mar 22:35:53 CET 2012


Le 23/02/2012 19:47, Didier Lebrun a écrit :
>
> Pourquoi pas simplement un tunnel dynamique à travers le ssh port 22 du
> routeur gateway ? Voir:
> * http://www.makeuseof.com/tag/how-to-tunnel-traffic-with-ssh/
> * http://www.dd-wrt.com/wiki/index.php/Easy_SSH_tunnels

Salut Didier
Une semaine laborieuse, et un week-end consacré à ce soucy, voilà les 
résultats: les tunnels ssh -L ne conviennent pas: impossible de se 
connecter en ssh + clé  privée à un autre routeur en faisant un jump par 
la gateway. J'ai d'abord copié la clé privée dans les routeurs mais j'ai 
eu des erreurs de string trop long (moins élégant que Borat, tu meurs ! 
), et après conversion de la clé avec dropbearconvert et scp dans les 
routeurs, une erreur style "ze serveur did not blahblah".
Gââve grââve, c'est un problème de clientdropbear. Je pense que si 
j'avais un vrai client SSH dispo derrière la gw, j'aurais pu m'en servir 
comme tu suggères grâce à un tunnel vers le serveur de sa propre machine 
depuis chez moi. Le bear n'est pas en forme, je me prends les pieds dans 
la bear, je compense avec une beer.
Bon alors je me lance dans la modif du firewall gateway:
Preusio, en entrée pour me chauffer les doigts, dans S70secureadmin:
xrelay ...-d PortPasStandard ....
et dans S45firewall, ligne d'origine 83 modifiée:
case $(nvram get ff_wanhttps) in 1)iptables -A INPUT -i $WANDEV -p tcp 
-s mon.ip.at.home  --dport `grep "xrelayd -p" ./S70secureadmin | cut -d" 
" -f9` --syn -j ACCEPT;;esac

Ensuite pour ssh comme j'ai bataillé la galère, je m'étais bricolé un 
S51dropbear conditionné à la présence d'une clé publique dans ff_pubkey 
: idée de base:
if clé; then dropbear -s -p xxxxx; exit
else (pas clé) => dropbear normal ... disons fail safe :)
fi
Pendant la mise au point, j'ai rencontre ça:
http://forum.ubuntu-fr.org/viewtopic.php?id=841771
C'est malin, dire que je faisais mes tests avec -n !... enfin, basta.
Maintenant j'ai plus qu'à faire marcher (correctement) ce S51 et la 
ligne S45fw de ssh correspondante... et voir ce dont il y a besoin sur 
les routeurs non-gateway... faut que je me méfie, en plus j'ai 2 .mid 
wan-wan dans le réseau...
Je sens que je faire des petits progrès en iptables!

Allez @+ et bonne nuit, je reviens au rapport quand j'aurai du nouveau

Bye

Fabrice



More information about the Ran mailing list