Aus SSH auf ein (AVM) router zugreifen

[john5]

Guten Abend,
Welche Möglichkeit besteht über ssh ein Rasperrpi anzusteuern um von dort aus auf den Router zuzugreifen?

Ich weiß es das Router eine Fernwartung Option besitzen aber diese schlägt neuerdings fehl und eigentlich möchte mich damit nicht aufhalten...vielleicht gibt es eine einfache Lösung wie ich aus meinem Raspi mit root aktiv werden kann.

Danke für Eure Hilfe

 

[musv]

http://www.wehavemorefun.de/fritzbox/Tastencodes

Du musstest mit dem Telefon (oder über die interne Anruffunktion) #96*7 wählen, um den telnetd zu starten. Dann konntest du Dich mit Putty auf der Fritzbox einloggen.

"musstest" bedeutet, dass AVM diese Möglichkeit mit Firmware 6.35 gesperrt hat.
http://www.wehavemorefun.de/fritzbox/Starten_von_telnetd

Warum du den RPi zwischenschalten willst, erschließt sich mir jetzt nicht so ganz.

 

[mathmos]

Telnet würde ich so oder so nicht mehr nutzen, da hier alles unverschlüsselt übertragen wird.

Auf der gleichen Seite, die musv schon verlinkt hat, gibt es eine Anleitung um Dropbear zu installieren. Das wäre deutlich besser als Telnet. Aber dazu bräuchte man Anfangs halt wieder Telnet...

Was aus dem Bauch heraus funktionieren sollte wäre:

- Portweiterleitung für SSH für den Raspberry im Router einrichten
- DyndDNS-Adresse besorgen und einrichten (afraid.org in Verbindung mit DDclient)
- Am Raspberry SSH und z. B. VNC einrichten oder X-Forward (http://42bots.com/tutorials/access-raspberry-pi-terminal-and-desktop-remotely-with-ssh-and-vnc/ bzw. https://thomas-leister.de/allgemein/raspberry-pi-bildschirmausgabe-ueber-ssh-weiterleiten/).
- Sich über SSH mit dem Raspberry verbinden und von dort aus dann einen Browser starten und die Konfigurationsoberfläche der Fritzbox starten

Alternativ könnte man auch mal schauen, ob es für die verwendete Fritzbox Freetz gibt. Das ist eine alternative Software, welche mit SSH zurecht kommt. Wobei die letzte Version auch schon wieder ein paar Jahre alt ist. Und somit eigentlich auch nicht empfehlenswert ist.

Von daher würde ich eher versuchen das Problem mit der vorhandenen Fernwartung zu lösen (wenn ich den ersten Beitrag richtig verstehe wurde die Funktion ja schon genutzt).

 

[john5]

- Portweiterleitung für SSH für den Raspberry im Router einrichten
- DyndDNS-Adresse besorgen und einrichten (afraid.org in Verbindung mit DDclient)
- Am Raspberry SSH und z. B. VNC einrichten oder X-Forward (http://42bots.com/tutorials/access-raspberry-pi-terminal-and-desktop-remotely-with-ssh-and-vnc/ bzw. https://thomas-leister.de/allgemein/raspberry-pi-bildschirmausgabe-ueber-ssh-weiterleiten/).
- Sich über SSH mit dem Raspberry verbinden und von dort aus dann einen Browser starten und die Konfigurationsoberfläche der Fritzbox starten

jetzt kommen wir dem thema näher. ja ich habbe alles ausser der GUI u. browser....wahrscheinlich wäre eine gui mit browser das einfachste.
weiss einer von euch wie ich das minimalistisch einrichte? danke

 

[Metal_Warrior]

@john5: GUI brauchst du ja nicht, es reicht ein Minimalsystem aufm Raspi mit SSH-Zugang von außen (kleiner Tipp: Port 22 würd ich nur ohne Passwort-Authentication nach Außen durchleiten, d. h. Key-Authentication only). Danach startest du von deinem Rechner einfach eine SSH-Verbindung mit SOCKS und hast ein VPN, über das du mit deinem lokalen Browser direkt auf die FritzBox zugreifen kannst:
http://www.linux-community.de/Internal/Artikel/Print-Artikel/LinuxUser/2012/09/Beinahe-VPN-per-SSH

 

[sia]

Warum macht ihr euch das alles so kompliziert?

Sobald man auf den Raspi per SSH zugreifen kann (ich denke, das ist gegeben?), kann man mit folgendem Kommando den Port 80 der Fritzbox weiterleiten:

[src=bash]
ssh -N -L 8080:192.168.178.1:80 raspberrypi
[/src]
(Erklärung von explainshell.com)


Da braucht man nichts im Browser einzustellen, sondern gibt einfach http://localhost:8080 ein und schwupps, landet man auf der Konfigurationsseite.

 

[virtus]

Du musstest mit dem Telefon (oder über die interne Anruffunktion) #96*7 wählen, um den telnetd zu starten. Dann konntest du Dich mit Putty auf der Fritzbox einloggen.

Nein, nein und nein. Telnet ist kein SSH und Telnet darf heute nicht mehr verwendet werden, wenn es nicht um Leben und Tod und ein von der Außenwelt zu 100% abgeschirmtes System geht.



Wenn ich die Frage richtig verstanden habe und so hat es phre4k ja ebenfalls interpretiert, soll ein SSH Tunnel hergestellt werden, um sich von Außerhalb des Heimnetzwerks auf den SSH-Server des Pi und dann zur FritzBox zu verbinden. - Ja, das funktioniert:

Schritt 1: Auf dem Pi muss ein SSH Server eingerichtet werden.
Schritt 2: Deine Routerfirewall muss den Port 22 (Standardport für SSH) an deinen Pi weiterleiten.
Schritt 3: Dein externer Rechner, z.B. Laptop, muss eine spezielle SSH Verbindung zum Pi herstellen.

Die Schritte 1 und 2 sollten trivial sein, solltest du dennoch Fragen haben, kannst du dich hier noch mal melden.
Zum Schritt 3 gibt es auf askubuntu.com eine sehr schöne ausführlich erklärende Anleitung. Grob gesagt das, was phre4k ebenfalls schon gepostet hat, nur noch mal erklärt, was genau passiert.

Warum du den RPi zwischenschalten willst, erschließt sich mir jetzt nicht so ganz.

Ich glaube du hast sein Problem missverstanden.

 

[Metal_Warrior]

@phre4k: Das ist jetzt auch nicht unendlich viel anders als das, was ich gepostet hab, aber ja, geht auch. Ist halt nur doof, wenn die FritzBox dann meint, zwecks Sicherheit auf SSL und 443 umzuschwenken, weil dann funktioniert nämlich nur noch der SOCKS-Weg (oder man leitet den Port auch noch um, ist aber halt ein Befehl mehr...)

 

[sia]

Dafür nehme ich dann gerne SSH-uttle.

 

[musv]

Ähm, um mal hier mit ein paar Missverständnissen aufzuräumen.

Ich konnte die Idee: Portforwarding zum Pi -> Pi mit Tunnel zu Fritzbox-Webseite nicht nachvollziehen. Kann ich immer noch nicht. Warum gehst du nicht von außen direkt auf die Seite der Fritzbox? Die Seite kannst du auch auf einen anderen Port legen, wenn es das ist, was du mit dem SSH-Tunnel erreichen willst. Das kriegt die Fritzbox auch ganz alleine hin.

Und Telnet war die einzige Möglichkeit, auf die Konsole der Fritzbox zu kommen. SSH ist auf dem Ding nicht installiert. Ich vermutete, dass er den Zugriff auf die Fritzbox haben will.

 

[Metal_Warrior]

Warum gehst du nicht von außen direkt auf die Seite der Fritzbox

Weil das hochgradig fahrlässig ist, diese Login-Seite ist nämlich alles, aber nicht als sicher einzustufen. SSH hat einen Grund: Eine gesicherte, verschlüsselte Verbindung hinter die Firewall des Routers, um von dort aus den Router "von innen heraus" konfigurieren zu können. SSH ist im Gegenzug zu einer einfachen Login-Maske in der Lage, gesichert auch komplexe Authentifikationsverfahren (wie etwa das von mir angesprochene Key-Authentication-System mit RSA/ECDSA-Schlüsseln) durchzuführen. Ein Passwort ist schnell geknackt (Zeitraum: wenige Minuten). Ein RSA-Key mit 4096bit - reden wir da mal in 25 Jahren nochmal drüber...

 

[musv]

Naja, mit Kanonen auf Spatzen geschossen und für das Anzünden der Lunte noch Boxhandschuhe angezogen.

Ich seh irgendwie die Gefahr nicht so ganz. Die meisten Angriffe sind doch eh Standardattacken. Ich hatte mal früher den SSH-Port meines Rechners per Forwarding nach außen durchgereicht. Da konnte man stundenlang das Log beobachten und die ganzen Attacken mitlesen. Damals hatte ich noch denyhosts im Einsatz. Mit Systemd und Journald fehlte dann für denyhosts das Log. Ich legte daraufhin den SSH-Daemon auf einen anderen Port. Und seitdem war Ruhe. Kein einziger Angriff mehr.

Bei der Weboberfläche der Fritzbox ist das nicht anders. Liegt bei mir auf Port 456. Da sucht kein Scriptkiddie. Dazu pausiert der Logindialog auch erstmal für 3 Sekunden, wenn man ein falsches Passwort eingibt. Nach dem 3. falschen Versuch muss man noch länger warten.

Und will man unbedingt die Seite nicht öffentlich zugänglich machen, kann man auch ein VPN über die Fritzbox mit 2 Klicks zusammenbasteln. Auf der Gegenseite gibt's den Shrew-Softclient für Linux-Rechner und VPNZilla fürs Android-Handy. Und schon ist man mindestens genauso sicher wie mit der SSH-Forward-Methode und braucht keinen RPi dazu. Und als Bonus hat man damit Zugriff auf das gesamte lokale Netz.

 

[virtus]

Naja, mit Kanonen auf Spatzen geschossen und für das Anzünden der Lunte noch Boxhandschuhe angezogen.

Richtig, genau deshalb sind Router auch beliebteste Angriffsziele für Hacker.
Ein Router wird in der Regel, bis auf Zwangsdisconnects, kaum vom Netz genommen.
Ein Router enthält weitere interessante Informationen, wie beispielsweise Zugangsdaten zu VoIP-Anschlüssen.
Ein Router lässt es zu gleich auf einen Schlag alle Computer dahinter anzugreifen.
Router werden quasi nie auf Malware überprüft.

Ich seh irgendwie die Gefahr nicht so ganz. Die meisten Angriffe sind doch eh Standardattacken. Ich hatte mal früher den SSH-Port meines Rechners per Forwarding nach außen durchgereicht. Da konnte man stundenlang das Log beobachten und die ganzen Attacken mitlesen. Damals hatte ich noch denyhosts im Einsatz. Mit Systemd und Journald fehlte dann für denyhosts das Log. Ich legte daraufhin den SSH-Daemon auf einen anderen Port. Und seitdem war Ruhe. Kein einziger Angriff mehr.

Security by obscurity ist keine Lösung.

 

[sia]

@musv: Wenn niemand auf die Logs guckt, kann man auch jahrelang rumprobieren.

Telnet ist unverschlüsselt.

 

[john5]

Vielen Dank für die Zahlreichen Beiträge.
Genau, ich würde gern auf das AVM Webinterface von der Rapi (die sich logischer weise auch im selben Netzwerk sich befindet) zugreifen um mir alles andere zu ersparen.
Das mit Portforwarding über ssh klingt interessant und erleichtert mir somit eine Einrichtung eines Browsers und einer GUI (die Pi diese nicht hat).
Wie dem auch sei für alle diese Basteleien ist die PI auch da (und wird sonst nicht genutzt )

"ssh -N -L 8080:192.168.178.1:80 raspberrypi"

Ich werde versuchen mich damit auseinander zu setzen (bin noch unerfahren in der Shell)

 

[sia]

Was für ein Client-Betriebssystem benutzt du auf dem PC, mit dem du auf das Webinterface zugreifen willst? Welche Software benutzt du für SSH?

PuTTY (und dessen "besserer" Abkömmling KiTTY) unterstützen nämlich Tunnels und bieten eine einfache GUI-Einrichtung dafür:
https://howto.ccs.neu.edu/howto/windows/ssh-port-tunneling-with-putty/

 

[musv]

Telnet ist unverschlüsselt.

Ach!? Ist schon klar, dass Telnet unverschlüsselt ist. Wie ich schon oben schrieb (ein paar Mal), war ich der Annahme, dass john5 auf der Fritzbox rumhacken will, z.B. irgendwelche Configdateien ändern. Und da kam man nur über Telnet ran.

john5: Was spricht gegen der VPN?

 

[virtus]

Stimmt, das haben wir noch gar nicht gefragt. Du kannst natürlich auch direkt auf der Fritzbox einen externen Zugang einrichten. Dann verbindest du dich via VPN direkt auf die Fritzbox, kannst folglich natürlich auch auf das Webinterface der Fritzbox und natürlich ebenso auf das heimische Netzwerk zugreifen.
Ich bin mir nicht sicher, ob das mittlerweile alle Fritzbox-Modelle unterstützten, aber wenn deine FB es unterstützt, wäre das sicher auch eine akzeptable Lösung. Wenn gleich ich es bedenklich finde den VPN-Server direkt auf der FB zu realisieren. Da fehlt mir ein wenig die logische Trennung kritischer Systeme.

 

[musv]

Wenn gleich ich es bedenklich finde den VPN-Server direkt auf der FB zu realisieren. Da fehlt mir ein wenig die logische Trennung kritischer Systeme.

Die Funktion ist sogar seit einigen Jahren fest eingebaut in der Fritzbox. Und seit Version 6.50 brauchst du nicht mal mehr 'ne externe Software, um das VPN-Netz einzurichten.

Für DynDNS kann man die MyFritz-Funktion verwenden. Ich hab dafür aber TwoDNS im Einsatz.

 

[john5]

Guten Tag die Herren
DynDNS ist schon drauf (siehe oben...sowie den ssh Port, VNC...nur habe ich keine GUI sonst hätte ich das alles über WebGUI erledigt).

Klar, VPN ist eine interessante Sache und wird von der 7170 unterstützt ... was brauche ich dafür...ah ja das Webinterface(der AVM 7170)

Frage mich wie man mit Putty portforward macht ^^
Das habe ich eingegeben nach dem ich mich angemeldet habe.

Spoiler

ssh -N -L 8080:192.168.178.1:80 DynDNS
Could not create directory '/home/pi/.ssh'.
The authenticity of host 'DynDNS (DynDNS IP)' can't be established.
ECDSA key fingerprint is IPv6Adresse.
Are you sure you want to continue connecting (yes/no)? yes
Failed to add the host to the list of known hosts (/home/pi/.ssh/known_hosts).
pi@cenobite.spdns.de's password:***