Jump to content
  • 8
ITПавел

Запрос на добавление новой возможности (SSH Клиент)

Question

Всем привет. Первый раз на форуме, поэтому не знаю есть ли здесь разработчики прошивки, надеюсь да. В общем я программист, пользуюсь вашим роутером и бед не знаю, по качеству ПО полагаю это лучшее решение на рынке. Так же пересадил многих друзей и коллег IT-шников на ваши роутеры, мы все безумно ими довольны. Работают без единого разрыва, как говорится. Так вот, в эту пятницу, в баре за пивом зашел разговор о нашей работе, о наших кинетиках и о всяком IT-шном. И вот в чем вопрос, мы все пришли к выводу, что в кинетиках не хватает одной очень важной вещи SSH-Клиента. Есть куча всего для школьников и домохозяек, от торрент-клиента, до Яндекс-DNS и даже OpenVPN клиента. Но это всё для домашних хомячков. А программисты и IT-специалисты часто пользуются SSH тоннелями до своих рабочих серверов, баз данных, рабочих компьютеров и прочего оборудования. И им тоже нужны плюшки :-) Точнее нам) За пивом, с коллегами, мы поделились общей бедой, у многих дома постоянно открыты SSH тоннели, много к чему и как, у кого-то динамический прокси настроен и прочее. И для всего этого необходимо постоянно держать открытыми Putty, OpenSSH клиент, termius, kitty и прочие SSH клиенты, которые работают как тоннели или прокси, но без консоли (флаги -NT).

И вот на меня возложили обязанность написать сюда) Было бы неплохо добавить в стандартную прошивку полнофункциональный ssh-клиент (чтобы работали все пробросы портов, туннели и прокси) или хотя бы сделать такой пакет-расширение для установки. Чтобы можно было поднять прокси до рабочей машины командой типа этой ssh -NTFakx -R 127.0.0.1:22344:127.0.0.1:4444 -i privkey.sshkey -N root@workcomp.ru  на роутере и забыть о висящей программе на компьютере. Или допустим на роуетере через ssh-клиент у тебя будет поднят тоннель до базы MySQL на работе, и вот ты подключаешься на адрес 192.168.1.1:3315 и попадаешь на рабочий компьютер на порт 3306 по SSH тоннелю. Это же круто как удобно. Ребят, очень просим) очень надо) Вещь простая, даже SSH сервер в роутерах есть, а клиента нет, ну как так то:-)

 OPKG даже не предлагайте) Это для садомазохистов. Если добавите - респект от всего IT сообщества!

Edited by ITПавел
  • Thanks 3
  • Upvote 4
  • Y'r wrong 1

Share this post


Link to post
Share on other sites

19 answers to this question

Recommended Posts

  • 1
15 часов назад, ITПавел сказал:

Всем привет. Первый раз на форуме, поэтому не знаю есть ли здесь разработчики прошивки, надеюсь да. В общем я программист, пользуюсь вашим роутером и бед не знаю, по качеству ПО полагаю это лучшее решение на рынке. Так же пересадил многих друзей и коллег IT-шников на ваши роутеры, мы все безумно ими довольны. Работают без единого разрыва, как говорится. Так вот, в эту пятницу, в баре за пивом зашел разговор о нашей работе, о наших кинетиках и о всяком IT-шном. И вот в чем вопрос, мы все пришли к выводу, что в кинетиках не хватает одной очень важной вещи SSH-Клиента. Есть куча всего для школьников и домохозяек, от торрент-клиента, до Яндекс-DNS и даже OpenVPN клиента. Но это всё для домашних хомячков. А программисты и IT-специалисты часто пользуются SSH тоннелями до своих рабочих серверов, баз данных, рабочих компьютеров и прочего оборудования. И им тоже нужны плюшки :-) Точнее нам) За пивом, с коллегами, мы поделились общей бедой, у многих дома постоянно открыты SSH тоннели, много к чему и как, у кого-то динамический прокси настроен и прочее. И для всего этого необходимо постоянно держать открытыми Putty, OpenSSH клиент, termius, kitty и прочие SSH клиенты, которые работают как тоннели или прокси, но без консоли (флаги -NT).

И вот на меня возложили обязанность написать сюда) Было бы неплохо добавить в стандартную прошивку полнофункциональный ssh-клиент (чтобы работали все пробросы портов, туннели и прокси) или хотя бы сделать такой пакет-расширение для установки. Чтобы можно было поднять прокси до рабочей машины командой типа этой ssh -NTFakx -R 127.0.0.1:22344:127.0.0.1:4444 -i privkey.sshkey -N root@workcomp.ru  на роутере и забыть о висящей программе на компьютере. Или допустим на роуетере через ssh-клиент у тебя будет поднят тоннель до базы MySQL на работе, и вот ты подключаешься на адрес 192.168.1.1:3315 и попадаешь на рабочий компьютер на порт 3306 по SSH тоннелю. Это же круто как удобно. Ребят, очень просим) очень надо) Вещь простая, даже SSH сервер в роутерах есть, а клиента нет, ну как так то:-)

 OPKG даже не предлагайте) Это для садомазохистов. Если добавите - респект от всего IT сообщества!

Павел, а вы уверены, что вам это сильно нужно? Вопрос банально в том, что эта возможность может оказаться хорошей дыркой в безопасности сети. В роутере и без этого достаточно возможностей доступа к сети, находящейся за ним. Ну а для обоснования своих слов приведу простой факт: 4332 постоянно заблокированных уникальных ip адреса, заблокированных за попытки взлома SSH к моему NAS за примерно полгода. До этого блокировку ставил на сутки. Список продолжает расти, примерно, по 10 ip в день. Картинку с панели управления кинуть?

Share this post


Link to post
Share on other sites
  • 0
14 hours ago, ITПавел said:

Если добавите - респект от всего IT сообщества!

Зовите друзей, пусть голосуют. Оценим масштаб сообщества.

  • Thanks 1
  • Upvote 1
  • Y'r wrong 1

Share this post


Link to post
Share on other sites
  • 0
19 минут назад, Shadow87 сказал:

за попытки взлома SSH к моему NAS за примерно полгода.

И вы думаете взломают DSA или RSA, длина ключа 2048 бит ? 

Share this post


Link to post
Share on other sites
  • 0
4 hours ago, Shadow87 said:

Павел, а вы уверены, что вам это сильно нужно? Вопрос банально в том, что эта возможность может оказаться хорошей дыркой в безопасности сети. В роутере и без этого достаточно возможностей доступа к сети, находящейся за ним. Ну а для обоснования своих слов приведу простой факт: 4332 постоянно заблокированных уникальных ip адреса, заблокированных за попытки взлома SSH к моему NAS за примерно полгода. До этого блокировку ставил на сутки. Список продолжает расти, примерно, по 10 ip в день. Картинку с панели управления кинуть?

Ваши сомнения абсолютно беспочвенны. Вы сомневаетесь в надёжности защиты Keenetic или не дай бог SSH? Зачем мне картинки? SSH достаточно надёжен и используется по всему миру. Есть такое понятие как SSH-ключ, им почти все и пользуются, парольный доступ это плохой тон и он обычно вовсе отключается в случае использования ключа, поэтому любой доступ извне по подбору пароля даже мониторить не нужно, так как они там ничего не наподбирают. Ну а для подбора SSH-ключа понадобится наверное квантовый компьютер, который только-только пытаются изобрести и заставить нормально работать. Пока можно спать спокойно.

Если вы беспокоитесь за открытые порты, то тут тоже не о чем волноваться, т.к. порты будут подниматься на внутрисетевом интерфейсе 192.168.1.1 которая извне недоступна. Конечно криворукие настройщики маршрутизации и пробросов портов всегда найдутся, но и лезть их в это никто не заставляет, не умеешь пользоваться ssh-клиентом и настройками роутера - не берись.

Edited by ITПавел
  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
1 час назад, ITПавел сказал:

Ваши сомнения абсолютно беспочвенны. Вы сомневаетесь в надёжности защиты Keenetic или не дай бог SSH? Зачем мне картинки? SSH достаточно надёжен и используется по всему миру. Есть такое понятие как SSH-ключ, им почти все и пользуются, парольный доступ это плохой тон и он обычно вовсе отключается в случае использования ключа, поэтому любой доступ извне по подбору пароля даже мониторить не нужно, так как они там ничего не наподбирают. Ну а для подбора SSH-ключа понадобится наверное квантовый компьютер, который только-только пытаются изобрести и заставить нормально работать. Пока можно спать спокойно.

Если вы беспокоитесь за открытые порты, то тут тоже не о чем волноваться, т.к. порты будут подниматься на внутрисетевом интерфейсе 192.168.1.1 которая извне недоступна. Конечно криворукие настройщики маршрутизации и пробросов портов всегда найдутся, но и лезть их в это никто не заставляет, не умеешь пользоваться ssh-клиентом и настройками роутера - не берись.

Я вас понял. Просто сейчас авторизация по ключу не реализована совсем.

Я в Кинетиках не сомневаюсь. Просто именно важен нюанс, что авторизацию тогда лучше настроить на ключ, иначе первый же пролом пароля может принести массу неприятных моментов.

Да и мне всё же неясно, чем не угодил тот же старичок PPTP или иной VPN протокол.

Share this post


Link to post
Share on other sites
  • 0
19 минут назад, Shadow87 сказал:

Да и мне всё же неясно, чем не угодил тот же старичок PPTP или иной VPN протокол.

VPN это безопасный доступ к машине. А SSH к конкретному сервису на ней.

Как говорится, можно конечно и экскаватором картошку копать.

Или другая аналогия: зачем открывать огромные ворота, когда необходима всего лишь маленькая дверка.

Edited by keenet07

Share this post


Link to post
Share on other sites
  • 0

Иными словами. Задача в том, чтобы, не открывая порты на постоянную, иметь возможность пробросить в сеть временный туннель с нужным портом? Интересно.

Share this post


Link to post
Share on other sites
  • 0

Правильнее будет даже сказать VPN это доступ к целой сети и машинам внутри. А через SSH можно расшарить на локальный адрес роутера к примеру конкретно postgre работающую на VPS и любую другую службу.

В случае компроментации доступа к роутеру у злоумышленника будет гораздо меньше возможностей. А при правильном подходе и не будет вовсе. Имею в виду доступ по ключам дополнительно усиленным шифрованием паролем.

Edited by keenet07

Share this post


Link to post
Share on other sites
  • 0
33 minutes ago, Shadow87 said:

Иными словами. Задача в том, чтобы, не открывая порты на постоянную, иметь возможность пробросить в сеть временный туннель с нужным портом? Интересно.

Задача в том, чтобы поднять нужные прокси и туннели на роутере и перестать открывать кучу программ висящих в фоне на компьютере, ноутбуке, телефоне. И перестать думать о том включен компьютер или нет, не ушел ли он в сон, как с телефона зайти в рабочий софт через SSH и прочее. Любой нужный тоннель или прокси всегда будет доступен с любого устройства в домашней сети, даже если основной рабочий компьютер выключен, это же круто и очень удобно. Понятное дело, что простые потребители качающие торенты и играющие в доту или CS этим пользоваться не будут, но есть куча специалистов которым это необходимо.

Share this post


Link to post
Share on other sites
  • 0

Если бы это было настолько важно, как описываете, давно бы запустили нужное число туннелей при помощи Entware,

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
14 минуты назад, MercuryV сказал:

Если бы это было настолько важно, как описываете, давно бы запустили нужное число туннелей при помощи Entware,

Согласно первого поста, ТС не относит себя к разряду садо-мазохистов, не объясняя откуда и почему сделаны такие выводы сексуального характера... 

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Mamay сказал:

Согласно первого поста, ТС не относит себя к разряду садо-мазохистов, не объясняя откуда и почему сделаны такие выводы сексуального характера... 

Идея на самом деле здравая.

И да - описаные ТС термины вполне себе существуют без полового контекста😉

Share this post


Link to post
Share on other sites
  • 0

SSH шикарная технология. Кто недостаточно знаком с этим протоколом, почитайте, а лучше посмотрите ролики на YouTube с конкретными случаями применения. Это не просто какая-то там командная строка.

Я, за!

Edited by keenet07

Share this post


Link to post
Share on other sites
  • 0

Прокси и пробросы портов у нас с самого начала работают.

Клиенты.... Ну такое, честно вам скажу. Надо подумать, но скорее всего раньше, чем будет доступ по ключам, это не появится.

Share this post


Link to post
Share on other sites
  • 0

Идентификация по ключам конечно же нужна. Чтоб не париться с постоянным вводом пароля.

Share this post


Link to post
Share on other sites
  • 0

Искал реализовано ли возможность маршрутизации через ssh туннели на роутере .. и видимо нет.  С нетерпением жду, если такая возможность появиться 

Share this post


Link to post
Share on other sites
  • 0

Идея прямо отличная. Роутеры у меня третий день, развернул на даче, все действительно очень нравится. Лично я использую поднятие ssh c опцией -D чтобы получить локальный socks-прокси, что дает доступ к ресурсам целевой сети, а также, что уж таить, возможность посещать ресурсы в обход. По мне очень интересно было бы поднять такой туннель не с компьютера а прямо с роутера. 

Share this post


Link to post
Share on other sites
  • 0

ssh туннели отличная вещь, но только добавлением одного клиента на роутере здесь не обойтись. Туннели имеют свойство рваться. Для постоянно действующего туннеля на стороне ssh клиента полюбому нужен какой-то супервизор (на линуксе systemd или runit какой нибудь, а для винды что-то типа bitvise ssh клиента с автовосстановлением). А супервизор - это уже однозначно вариант не для прошивки. И лучший выход здесь entware или debian на роутере.

Share this post


Link to post
Share on other sites
  • 0

А вот мне неясно, чем opkg так не угодил. Если надо что-то сверху доставить, для этого как раз и есть opkg.

Второй момент. Почему программисты не могут сделать так, что на их компьютерах все эти putty и проч. запускались бы автоматически.

Третий момент. Домашняя сеть вовсе не является доверенной. Любое взломанные устройство будет иметь доступ на удалённую машину.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...