BigD

@Le ecureuil - что такое BFD в данном случае, и как его включить? Это же вроде про циску и BGP? И нельзя ли сделать чуть побезопаснее? Могу предложить пару простых вариантов.

А какова максимальная длина пароля? Чтобы он и в веб пускал админа.

@Le ecureuil - подскажите плиз, что тут можно сделать?

Логично, но мне нужен ssh именно как альтернатива VPN (с работы работает и т.д.)

Ну там три варианта: public | private | protected - надо четко все же понимать разницу между тремя.

блин, ну это такая дыра получается..

Приветствую. Я очень обрадовался добавлению SSH сервера с возможностью настроить port forwarding. Стал настраивать, обновившись на 2.12, и понял, что не хватает информации, как настроить безопасно. С учетом того, что сервер будет смотреть в Интернет, и попыток подбора полно, а порт с 22 поменять не могу. Понятно, что lockout policy сразу выставил по максимуму - 4 60 10. Я правильно понимаю, что аутентифицироваться можно под любым заведенным на кинетике аккаунте? Нельзя (как для VPN) создать аккаунт только для SSH с длинным паролем и отсутствием привилегий? По ключу вместо пароля нельзя аутентифицироваться? На что влияет выбор ssh security-level? Нигде не нашел этой информации. Версия 2.12.A.4.0-0: добавлен компонент SSH-сервер service ssh — запуск сервиса ip ssh port {port} — поменять порт, по умолчанию 22 ip ssh security-level (public | private | protected) — политика доступа, по умолчанию private ip ssh lockout-policy {threshold} [{duration} [{observation-window}]] — блокировка перебора паролей threshold — количество попыток перебора, от 4 до 20, по умолчанию 5 duration — время блокировки, от 1 до 60 минут, по умолчанию 15 observation-window — окно от 1 до 10 минут, по умолчанию 3 ip ssh keygen (default | ...) — регенерация ключа заданного типа show ssh fingerprint — показать отпечатки текущих ключей

Хм, а как? Настроить как сервер, подключающийся к Онлайму, и представить его как транк моей внешней SIP PBX? Не, мне на 1-2 параллельных звонка максимум, без транскодинга, но юмор оценил.

Знатоки, а астериск нормально будет работать как sip proxy для вышеописанного сценария (дать внешнему sip серверу зарегистрироваться клиентом/шлюзом на sip сервере Онлайма, доступном только внутри сети)? Или все же нужен чистый sip proxy?

Подскажите, а роутер с NDMS может обслуживать SSH туннель? Прямой/обратный, чтобы получать доступ к ресурсам за ним, например RDP пробросить. Это пакеты надо ставить entware, или и так можно через cli?

А так надо? У меня Россия.

А можно подробнее? Тут же везде рекомендуется полный сброс сделать после возврата на старую или установки новой прошивки, и лучше через кнопку. Как их сохранить?

Получается, что нельзя откатиться на любую стабильную версию из прошлых, чтобы использовать только нужный набор компонентов. iOS style...

Нет, я реально поверить в это не могу. То есть при необходимости добавить или удалить любой компонент, всегда надо обновлять версию? Это ж......

Эмм, а вот это уже жесткая жесть.. А через консоль нельзя сделать?