Как включить ssh на роутере asus

Обновлено: 06.07.2024

Генерируем ключи:
mkdir -p /usr/local/etc/dropbear
dropbearkey -t dss -f /usr/local/etc/dropbear/dropbear_dss_hos t_key
dropbearkey -t rsa -f /usr/local/etc/dropbear/dropbear_rsa_hos t_key

Данная прошивка при выполнении некоторых действий пытается исполнить следующие файлы:
* /usr/local/sbin/pre-boot - исполняется до основной инициализации, в момент, когда ещё не подгружены никакие модули ядра, но уже развёрнут flashfs и скопирован начальный образ для /etc из /usr/etc.
* /usr/local/sbin/post-boot - исполняется после того, как устройство закончило загрузку и запустило все сервисы, за исключением связанных с веб-камерой и usb дисками (они запустятся примерно через 10 секунд после этого при "обработке" hot plug событий, когда АСУСовский обработчик до них доберётся)
* /usr/local/sbin/post-mount - отрабатывает, когда устройство завершает монтирование usb дисков, с тем чтобы Вы могли запустить свои сервисы, которые эти диски используют
* /usr/local/sbin/pre-shutdown - работает перед перезагрузкой системы
* /usr/local/sbin/post-firewall - исполняется всякий раз, после того как устройство меняет внутренние правила с помощью команд iptables, с тем, чтобы Вы могли внести свои изменения в firewall

Однако, изначально эти файлы не созданы. Создаём их:
mkdir -p /usr/local/sbin/
touch /usr/local/sbin/pre-boot
touch /usr/local/sbin/post-boot
touch /usr/local/sbin/post-firewall
touch /usr/local/sbin/post-mount
touch /usr/local/sbin/pre-mount
touch /usr/local/sbin/pre-shutdown
chmod +x /usr/local/sbin/*

dropbear может быть запущен и не только на порту по умолчанию (т.е. 22), но и на любом другом. Для запуска на порту 24853 строка в post-boot должна выглядеть так:
dropbear -p 24853

После чего сохраняем изменения и делаем рестарт роутера:
flashfs save && flashfs commit && flashfs enable && reboot

После перезагрузки проверяем есть ли процесс dropbear в выводе команды ps.

Идём в папку с созданными нами скриптами:
cd /usr/local/sbin/

logger "post-firewall started"

Заполняем их следуюшим образом:
12.34.56.78 разрешить / запретить доступ с одиночного IP
87.65.43.0 / 24 разрешить / запретить доступ с подсетки
адрес стоит в начале строки, потом пробел, потом любой комментарий.

Как всегда, сохраняем изменения и делаем рестарт роутера:
flashfs save && flashfs commit && flashfs enable && reboot

опция для включения ssh доступ к этому маршрутизатору недоступен в стандартной версии прошивки?

Я вижу только "Включить Telnet" администрирование -> система.

Это немного неубедительно. Telnet передается по сети в виде обычного текста и не является безопасным. У меня версия прошивки 3.0.0.4.376_1071 и это последние версии ПО Проверить наличие обновлений на роутер.

Если вы Google вокруг, другие люди говорили о доступе SSH в этот популярный маршрутизатор. Они используют какую-то пользовательскую прошивку?

они используют какую-то пользовательскую прошивку?

Да, большинство владельцев этого маршрутизатора используют пользовательскую прошивку, например помидор или моды оного.

несмотря на то, что это год назад я хотел, чтобы перезвонить с тем, что я нашел, потому что я только что пытался получить sshd работает на том же маршрутизаторе после чтения подобных страниц.

Я использую версию 3.0.0.4.376_3861, и они все еще не добавлены в sshd. Я получил смешок из скрытых опций SSH в меню. Они все еще там, но не работают. Я telnetted и сделал nvram show | grep ssh . Ничего не было уже там, но я все равно попробовал ответ shinji14. Я тоже пробовал с перезагрузкой, но nmap все еще не показал SSH на сканирование портов. Я тогда telnetted обратно и попытался ls -alR --color=always | more и после сканирования результатов я увидел, что они используют BusyBox. Я не мог вспомнить, если BusyBox был sshd встроенный, так что я сделал busybox --help и не отображается в списке.

сайт BusyBox упоминает Dropbear для sshd здесь, поэтому похоже, что они, вероятно, используют вариант WRT, такой как 0xC0000022L, упомянутый или они могут положить на него Dropbear. Я, вероятно, в конечном итоге попытаюсь Пакет dropbear себя. Если это сработает, я бы сказал, что это будет путь, потому что можно было бы в значительной степени сохранить его запас, а затем просто вернуть его в любое время, когда будет установлено официальное обновление.

Опция включения доступа SSH к этому маршрутизатору недоступна в стандартной версии прошивки?

Я вижу только « Включить Telnet » в разделе «Администрирование» -> «Система».
Это немного отстойно. Telnet отправляется по сети в виде простого текста и не является безопасным. У меня версия встроенного ПО 3.0.0.4.376_1071, и это последняя версия в соответствии с функцией проверки наличия обновлений на маршрутизаторе.

Если вы просматриваете Google, другие люди говорят о SSH-доступе к этому популярному маршрутизатору. Они используют какую-то кастомную прошивку?

Я не знаком с этим конкретным маршрутизатором, но вы проверили, чтобы убедиться, что SSH не всегда включен (поэтому нет возможности включить / отключить его)? Да, я проверил. Я действительно мог telnet, но SSH-соединения отказались.

они используют какую-то кастомную прошивку?

Да, большинство владельцев этого роутера используют кастомные прошивки вроде томата или его модов .

Несмотря на то, что это год, я хотел присоединиться к тому, что нашел, потому что я только сейчас пытался заставить sshd работать на том же маршрутизаторе после прочтения похожих страниц.

Я использую версию 3.0.0.4.376_3861, и они до сих пор не добавлены в sshd. Я посмеялся над скрытыми опциями ssh в меню. Они все еще там, но не работают. Я вошел и сделал nvram show | grep ssh . Ничего уже не было, но я все равно попытался ответить на вопрос Синдзи14. Я тоже пытался с перезагрузкой, но nmap все еще не показывал SSH при сканировании порта. Затем я снова подключился и попытался, ls -alR --color=always | more после сканирования результатов увидел, что они используют BusyBox. Я не мог вспомнить, встроил ли BusyBox sshd, поэтому я busybox --help не увидел его в списке.

Сайт BusyBox упоминает Dropbear для SSHD здесь , так что похоже , что они, вероятно , используя вариант WRT как 0xC0000022L упомянуто или они могут положить Dropbear на него. Я, вероятно, в конечном итоге попробую Dropbear сам. Если это сработает, то я бы сказал, что так будет лучше, потому что можно было бы сохранить его в запасе, а затем просто вернуть его в любое время, когда будет установлено официальное обновление.

headerimage

Подключение к Интернету из точек доступа Wi-Fi, на работе или в любом другом месте вне дома подвергает ваши данные ненужному риску. Вы можете легко настроить маршрутизатор для поддержки безопасного туннеля и защиты трафика удаленного браузера — читайте дальше, чтобы узнать, как это сделать.

Что такое и зачем настраивать безопасный туннель?

Вам может быть любопытно, почему вы даже захотите установить безопасный туннель между вашими устройствами и домашним маршрутизатором, и какие преимущества вы получите от такого проекта. Давайте рассмотрим несколько различных сценариев, в которых вы используете Интернет, чтобы проиллюстрировать преимущества безопасного туннелирования.

Сценарий первый: вы находитесь в кафе, используя свой ноутбук, чтобы просматривать Интернет через их бесплатное соединение Wi-Fi. Данные покидают модем Wi-Fi, передаются по воздуху в незашифрованном виде на узел Wi-Fi в кафе, а затем передаются в большой интернет. Во время передачи с вашего компьютера в большой интернет ваши данные широко открыты. Любой, у кого есть Wi-Fi-устройство, может прослушать ваши данные. Это так больно легко, что мотивированный 12-летний подросток с ноутбуком и копией Firesheep может получить ваши учетные данные на все случаи жизни. Вы словно находитесь в комнате, где говорят только на английском и разговаривают по-китайски по-китайски. В тот момент, когда кто-то говорит на китайском (мандаринском) языке, входит (сниффер Wi-Fi), ваша псевдо-конфиденциальность разрушается.

Сценарий второй: вы находитесь в кафе, используя свой ноутбук, чтобы снова просматривать Интернет через их бесплатное соединение Wi-Fi. На этот раз вы установили зашифрованный туннель между вашим ноутбуком и домашним маршрутизатором, используя SSH. Ваш трафик направляется через этот туннель напрямую с вашего ноутбука на домашний маршрутизатор, который работает в качестве прокси-сервера. Этот конвейер недоступен для анализаторов Wi-Fi, которые не видят ничего, кроме искаженного потока зашифрованных данных. Независимо от того, насколько быстрым является создание, насколько небезопасно соединение Wi-Fi, ваши данные остаются в зашифрованном туннеле и покидают его только после того, как они достигли вашего домашнего интернет-соединения и вышли в большой интернет.

В первом сценарии вы занимаетесь серфингом широко; во втором сценарии вы можете войти в свой банк или на другие частные веб-сайты с той же уверенностью, что и со своего домашнего компьютера.

Хотя в нашем примере мы использовали Wi-Fi, вы можете использовать SSH-туннель для защиты жесткого соединения, например, запустить браузер в удаленной сети и пробить дыру в брандмауэре, чтобы работать в Интернете так же свободно, как при домашнем соединении.

Звучит хорошо, не так ли? Его невероятно легко настроить, поэтому нет времени, подобного настоящему, — вы можете настроить SSH-туннель в течение часа.

Что вам нужно

whatyouneed

Существует много способов настроить SSH-туннель для обеспечения безопасности при просмотре веб-страниц. В этом уроке мы сконцентрируемся на настройке туннеля SSH самым простым способом с наименьшим количеством суеты для пользователя с домашним маршрутизатором и компьютерами на базе Windows. Чтобы следовать нашему уроку, вам понадобятся следующие вещи:

  • Маршрутизатор под управлением модифицированной прошивки Tomato или DD-WRT .
  • Клиент SSH, такой как PuTTY .
  • SOCKS-совместимый веб-браузер, такой как Firefox .

Для нашего руководства мы будем использовать Tomato, но инструкции почти идентичны тем, которые вы будете использовать для DD-WRT, поэтому, если вы используете DD-WRT, не стесняйтесь следовать. Если у вас нет модифицированной прошивки на вашем роутере, прежде чем продолжить, ознакомьтесь с нашим руководством по установке DD-WRT и Tomato .

Генерация ключей для нашего зашифрованного туннеля

2011-07-12_154823

Хотя может показаться странным переходить к созданию ключей еще до того, как мы настроим SSH-сервер, если у нас есть готовые ключи, мы сможем настроить сервер за один проход.

Загрузите полный пакет PuTTY и распакуйте его в папку по вашему выбору. Внутри папки вы найдете PUTTYGEN.EXE. Запустите приложение и нажмите « Ключ» -> «Создать пару ключей» . Вы увидите экран, очень похожий на изображенный выше; переместите вашу мышь вокруг, чтобы генерировать случайные данные для процесса создания ключа. Как только процесс завершится, окно PuTTY Key Generator должно выглядеть примерно так; вперёд и введите надежный пароль:

2011-07-12_155057

После того, как вы ввели пароль, нажмите « Сохранить закрытый ключ» . Спрятать полученный файл .PPK в безопасном месте. Скопируйте и вставьте содержимое поля «Открытый ключ для вставки…» во временный TXT-документ.

Если вы планируете использовать несколько устройств с вашим SSH-сервером (например, ноутбук, нетбук и смартфон), вам необходимо сгенерировать пары ключей для каждого устройства. Создайте пароль и сохраните дополнительные пары ключей, которые вам нужны сейчас. Обязательно скопируйте и вставьте каждый новый открытый ключ во временный документ.

Настройка вашего роутера для SSH

2011-07-12_161125

И Tomato, и DD-WRT имеют встроенные SSH-серверы. Это потрясающе по двум причинам. Во-первых, когда вы вручную устанавливали SSH-сервер и настраивали его, вам было очень трудно подключиться к вашему маршрутизатору через telnet. Во-вторых, поскольку вы используете свой SSH-сервер на своем маршрутизаторе (который, вероятно, потребляет меньше энергии, чем лампочка), вам никогда не придется оставлять основной компьютер включенным только для облегченного SSH-сервера.

Вставьте открытый ключ (ключи), сгенерированный в последней части руководства, в поле « Авторизованные ключи» . Каждый ключ должен быть отдельной записью, разделенной переводом строки. Первая часть ключа ssh-rsa очень важна. Если вы не включите его в каждый открытый ключ, они будут недействительными для сервера SSH.

Нажмите Start Now, затем прокрутите вниз до нижней части интерфейса и нажмите Save . На этом этапе ваш SSH-сервер запущен и работает.

Настройка удаленного компьютера для доступа к вашему SSH-серверу

Здесь происходит волшебство. У вас есть пара ключей, у вас есть запущенный и работающий сервер, но ничего из этого не имеет значения, если вы не можете удаленно подключиться с поля и туннеля к маршрутизатору. Время разрушить нашу надежную сетевую книгу под управлением Windows 7 и приступить к работе.

Сначала скопируйте созданную вами папку PuTTY на другой компьютер (или просто загрузите и распакуйте ее снова). Отсюда все инструкции сосредоточены на вашем удаленном компьютере. Если вы запустили PuTTy Key Generator на своем домашнем компьютере, убедитесь, что вы переключились на свой мобильный компьютер до конца учебника. Прежде чем начать, вам также необходимо убедиться, что у вас есть копия созданного вами файла .PPK. Как только вы извлечете PuTTy и получите .PPK, мы готовы продолжить.

Запустите PuTTY. Первый экран, который вы увидите, это экран сеанса . Здесь вам нужно будет ввести IP-адрес вашего домашнего интернет-соединения. Это не IP-адрес вашего маршрутизатора в локальной сети, это IP-адрес вашего модема / маршрутизатора, видимый внешним миром. Вы можете найти его, просмотрев главную страницу состояния в веб-интерфейсе вашего маршрутизатора. Измените порт на 2222 (или на то, что вы подставили в процессе настройки демона SSH). Убедитесь, что SSH проверен . Идите вперед и дайте вашей сессии имя, чтобы вы могли сохранить ее для будущего использования. Мы назвали наш томатный SSH.

2011-07-12_164342

Перейдите через левую панель вниз к Connection -> Auth . Здесь вам нужно нажать кнопку «Обзор» и выбрать файл .PPK, который вы сохранили и перенесли на удаленный компьютер.

2011-07-12_164236

Находясь в подменю SSH, перейдите к SSH -> Tunnels . Именно здесь мы собираемся настроить PuTTY для работы в качестве прокси-сервера для вашего мобильного компьютера. Установите оба флажка под Переадресацией портов . Ниже в разделе « Добавить новый перенаправленный порт » введите 80 для порта источника и IP-адрес маршрутизатора для пункта назначения . Проверьте Авто и Динамический, затем нажмите Добавить .

2011-07-12_165154

2011-07-12_171145

В терминале вам нужно будет сделать только две вещи. В командной строке введите root . В командной строке введите пароль RSA keyring — это пароль, который вы создали несколько минут назад, когда генерировали свой ключ, а не пароль вашего маршрутизатора. Оболочка маршрутизатора загрузится, и вы закончите в командной строке. Вы установили безопасное соединение между PuTTY и вашим домашним маршрутизатором. Теперь нам нужно указать вашим приложениям, как получить доступ к PuTTY.

Примечание. Если вы хотите упростить процесс за счет небольшого снижения уровня безопасности, вы можете сгенерировать пару ключей без пароля и настроить PuTTY на автоматический вход в корневую учетную запись (вы можете переключить этот параметр в «Подключение» — «Данные» -> «Автоматический вход»). ). Это сокращает процесс подключения PuTTY до простого открытия приложения, загрузки профиля и нажатия кнопки «Открыть».

Настройка вашего браузера для подключения к PuTTY

2011-07-12_201109

На этом этапе в учебнике ваш сервер запущен, ваш компьютер подключен к нему, и остается только один шаг. Вы должны указать важным приложениям использовать PuTTY в качестве прокси-сервера. Любое приложение, поддерживающее протокол SOCKS , можно связать с PuTTY, например Firefox, mIRC, Thunderbird и uTorrent, если вы не уверены, что приложение поддерживает SOCKS, копаться в меню параметров или обращаться к документации. Это важный элемент, который не следует упускать из виду: весь ваш трафик не направляется через прокси-сервер PuTTY по умолчанию; он должен быть подключен к серверу SOCKS. Например, у вас может быть веб-браузер, в котором вы включили SOCKS, и веб-браузер, в котором вы этого не сделали — оба на одной машине — и один будет шифровать ваш трафик, а другой — нет.

Для наших целей мы хотим защитить наш веб-браузер Firefox Portable, который достаточно прост. Процесс настройки Firefox транслируется практически в любое приложение, для которого вам нужно подключить информацию SOCKS. Запустите Firefox и перейдите к « Настройки» -> «Дополнительно» -> «Настройки» . В меню « Параметры подключения» выберите « Настройка прокси-сервера вручную» и в разделе «Подключите хост SOCKS 127.0.0.1» — вы подключаетесь к приложению PuTTY, работающему на локальном компьютере, поэтому необходимо указать IP-адрес локального хоста, а не IP-адрес маршрутизатора, так как до сих пор вы вставляли в каждый слот. Установите порт на 80 и нажмите ОК.

2011-07-12_202336

Введите about: config в адресную строку, затем нажмите «Я буду осторожен, обещаю!», Если вы получите строгое предупреждение о том, как вы можете испортить свой браузер. Вставьте network.proxy.socks_remote_dns в поле Filter: и затем щелкните правой кнопкой мыши запись для network.proxy.socks_remote_dns и установите для нее значение True . Отсюда и ваш просмотр, и ваши DNS-запросы будут отправляться через туннель SOCKS.

Несмотря на то, что мы постоянно настраиваем наш браузер для SSH, вы можете легко изменить настройки. У Firefox есть удобное расширение FoxyProxy , которое позволяет очень легко включать и выключать прокси-серверы. Он поддерживает множество вариантов конфигурации, таких как переключение между прокси-серверами в зависимости от домена, который вы посещаете, сайтов, которые вы посещаете, и т. Д. Если вы хотите иметь возможность легко и автоматически отключать службу прокси-сервера в зависимости от того, находитесь ли вы в например, дома или в гостях, FoxyProxy покрывает вас. Пользователи Chrome захотят проверить Proxy Switchy! за аналогичный функционал.

Посмотрим, все ли работает так, как было запланировано? Чтобы проверить это, мы открыли два браузера: Chrome (слева) без туннеля и Firefox (справа), недавно настроенный для использования туннеля.

2011-07-12_163523

Слева мы видим IP-адрес узла Wi-Fi, к которому мы подключаемся, а справа, благодаря нашему SSH-туннелю, мы видим IP-адрес нашего удаленного маршрутизатора. Весь трафик Firefox направляется через сервер SSH. Успех!

Есть совет или хитрость для обеспечения безопасности удаленного трафика? Использовать SOCKS сервер / SSH с конкретным приложением и любить его? Нужна помощь в выяснении, как зашифровать ваш трафик? Давайте послушаем об этом в комментариях.

Читайте также: