Teknisk dokumentation för olika komponenter i AMPRNet - "HOWTOs". Bidrag välkomnas!

– Har du frågor eller önskemål? Vänligen skicka ett ebrev så återkopplar vi snarast.

Vissa artiklar i denna kategori kräver inloggning för åtkomst! – Inte medlem? Anmäl dig här

Managementnät

HOWTO: https/ssh-access genom ssh-tunnling till burk i privat nät (målburken) anslutet till gateway med global adress.

Förutsättning:
Målburken ska sitta på ett privat nät kopplat till en gateway som har publik adress och är nåbar via ssh, helst med icke-standard user (typ ubnt) och med rsa-nyckel istället för lösenord för att öka säkerheten.
Som privata nät rekommenderas användning av subnät ur 10.x.y.z/24 för burkar kopplade till nät 44.140.x.0/24 för att få en standard som funkar nationellt utan särskild samordning.

Accessen sker i två steg
1: uppsättning av ssh-tunnel till det privata nätets gateway
2: access till målburken genom den just uppsatta ssh-tunneln, antingen via a) https eller b) ssh
-----
1: Upsättning av ssh-tunnel (steg 1) sker genom kommandot

ssh -L proxyport:privatadress:port user@gateway-adress

där:
- Proxyport är valfritt ledigt portnummer. Användning av proxyport behövs eftersom de slutliga portnumren kan vara upptagna på den egna datorn. Kommandot översätter från proxyport till slutlig port.
- Privatadress är adressen till målburken.
- port är 22 för att skapa en tunnel för ssh-inloggning för att nå målburkens cli och 443 för att få https-access till målburkens web-gui
- user är användarnamn på gateway-burken

2: Access till den målburken sker nu genom:
a) url https://localhost:proxyport i valfri browser för att nå web-gui
b) kommandot ssh -p proxyport user@localhost (där user nu är usernamn på målburken)

Observera att man, genom att använda intranet-routing av lämplig del av det privata nätet (tex med ospf), även kan nå målburkar med privat adress som inte är direkt anslutna till en gateway. I region AB+I routar vi både 44.140.0.0/18 och 10.0.0.0/10 under ospf area 0.0.0.0.

-------------------------
Exempel A) sätt upp en tunnel för https-access till Web GUI på målburken med IP-adress 10.1.5.2 som sitter bakom gateway/router med adress 44.140.1.29

Texten nedan är kopierad från ett terminalfönster på den egna datorn:

(notera att publika nyckel används för access till routern med global adress för att slippa lösenord.)

1) sätt upp ssh-tunneln för https (port 443) mellan den egna datorn och routern router.amprnet.se med kommandot:

$ ssh -L 8083:10.1.5.2:443 Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den.
Welcome to EdgeOS
By logging in, accessing, or using the Ubiquiti product, you
acknowledge that you have read and understood the Ubiquiti
License Agreement (available in the Web UI at, by default,
http://192.168.1.1) and agree to be bound by its terms.

Linux sk0bu-gw 3.10.107-UBNT #1 SMP Fri Jun 22 14:27:52 UTC 2018 mips64
Welcome to EdgeOS
Last login: Wed Mar 20 20:31:21 2019 from 94.245.49.191

Tunneln är nu uppe tills utloggning sker i detta fönster

Om man vill kolla att burken man vill tunnla till svarar kan man i detta fönster pinga

sa0bxi@sk0bu-gw:~$ ping 10.1.5.2
PING 10.1.5.2 (10.1.5.2) 56(84) bytes of data.
64 bytes from 10.1.5.2: icmp_req=1 ttl=64 time=0.168 ms
64 bytes from 10.1.5.2: icmp_req=2 ttl=64 time=0.149 ms
64 bytes from 10.1.5.2: icmp_req=3 ttl=64 time=0.178 ms
64 bytes from 10.1.5.2: icmp_req=4 ttl=64 time=0.182 ms
^C
--- 10.1.5.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3015ms
rtt min/avg/max/mdev = 0.149/0.169/0.182/0.015 ms
sa0bxi@sk0bu-gw:~$

Om man så vill kan man i ett annat fönster på egna datorn konstatera att tunneln är uppe:

$ nmap localhost
Starting Nmap 7.01 ( https://nmap.org ) at 2019-03-20 21:42 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000071s latency).
Not shown: 989 closed ports
PORT STATE SERVICE
8083/tcp open us-srv
Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds
$

2) Access till web-gui på 10.1.5.2 erhålles nu genom att skriva urlen
https://localhost:8083 i godtycklig webbrowser på den egna datorn

=======================================================================
Exempel B) sätt upp en tunnel för ssh-access till CLI på målburken router.amprnet.se

1) Sätt först upp ssh-tunneln för ssh (port 22)

$ ssh -L 8022:10.1.5.2:22 Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den.
Welcome to EdgeOS

By logging in, accessing, or using the Ubiquiti product, you
acknowledge that you have read and understood the Ubiquiti
License Agreement (available in the Web UI at, by default,
http://192.168.1.1) and agree to be bound by its terms.

Linux sk0bu-gw 3.10.107-UBNT #1 SMP Fri Jun 22 14:27:52 UTC 2018 mips64
Welcome to EdgeOS
Last login: Wed Mar 20 20:38:00 2019 from 94.245.49.191

2) accessa sedan CLI genom ssh-inloggning via tunneln (måste ske i ett annat fönster!)

$ ssh -p 8022 ubnt@localhost>

ubnt@localhost's password:

BusyBox v1.19.4 (2018-01-18 13:14:41 EET) built-in shell (ash)
Enter 'help' for a list of built-in commands.

WA.v8.5.0#

============================================================

Kontaktinformation
Kategori: HOWTOs
Träffar: 2363