Ist der Lancom R883VAW als SSH JumpHost zu einem NAS nutzbar?

[ams_tschoening]

Hallo zusammen,

ich habe einen Lancom R883VAW, hinter dem aktuell eine Linux basierende Firewall hängt, die mir SSH und OpenVPN zur Verfügung stellt. Im internen Netz der Firewall hängt ein NAS, auf das ich entweder direkt per OVPN zugreifen kann oder indem ich die Firewall selbst in PuTTY als SSH JumpHost konfiguriere. Diese Firewall soll nach Möglichkeit weg und das NAS direkt an den Lancom, aber nicht einfach so öffentlich erreichbar sein. Da der Lancom prinzipiell einen Login per SSH unterstützt, hatte ich gehofft, den wie die Firewall als JumpHost verwenden zu können.

Das funktioniert aber nicht. Ich komme zwar per SSH-Schlüssel über PuTTY auf den Lancom und kriege eine Shell, wenn ich diese funktionierende Verbindung in PuTTY aber als ProxyCommand für die NAS-Session konfiguriere, wird die Verbindung beendet. Im Log des Lancom sehe ich keine Fehlermeldung, nur die An-/Abmeldung dessen SSH-Tunnels. Im Log von PuTTY steht aber folgendes:

Code: Alles auswählen

Event Log: Opening connection to 192.168.[...].[...]:22 for main channel
Outgoing packet #0x7, type 90 / 0x5a (SSH2_MSG_CHANNEL_OPEN)
Outgoing raw data at 2021-11-12 09:34:39
Incoming raw data at 2021-11-12 09:34:39
Incoming packet #0x8, type 92 / 0x5c (SSH2_MSG_CHANNEL_OPEN_FAILURE)
Event Log: Server refused to open main channel: Unknown channel type [out of memory]

Das sieht mir ein bisschen danach aus, dass "PermitOpen" für SSH einfach deaktiviert sein könnte. Denn eigentlich sollte noch genügend RAM frei sein:

Code: Alles auswählen

Interface/Port	State/Mode	Information
CPU-Load	
Current:	28.54%
Memory	
Total:	443.3 MBytes
Free:	338.6 MBytes

Ich finde aber keine entsprechende Einstellung:



Unterstützt der Lancom solche Tunnel/JumpHosts also einfach gar nicht oder muss ich das irgendwo aktivieren oder ...?

Danke!

[eagle1900]

Hallo,

ich nutze genau das selbe zu einem Synology NAS , auf dem lancom einfach ssh user@host , ssh key mit "yes" bestätigen, fertig, läuft ohne Probleme,

Grüße

[ams_tschoening]

Das ist ja aber kein JumpHost, du startest einfach nur auf dem LANCOM eine eigene interaktive SSH-Session. Mein Setup ist ein anderes:

https://dev.to/claudiohigashi/ssh-tunne ... -host-2b5d

Darüber kann ich dann z.B. die Weboberfläche des NAS auf meinem Client erreichen und so. Dafür muss das SSH auf dem LANCOM aber eben so konfiguriert sein, dass es "PermitOpen" erlaubt und selbst Verbindungen zum NAS aufbauen kann. Das scheint nicht der Fall zu sein oder es gibt irgendein anderes Problem.

[ams_tschoening]

Ich habe "ssh user@root" aber mal auf der Shell getestet und dabei festgestellt, dass mein internes Netz der Firewall vom LANCOM aus gar nicht erreichbar war. Also die Route nachgetragen und schwupps, kann ich das NAS erfolgreich pingen. SSH auf der Shell funktioniert aber immer noch nicht und ebenso wenig die Nutzung der Session als JumpHost, mit der gleichen Fehlermeldung wie vorher. Wahrscheinlich ist das SSH einfach viel zu eingeschränkt für sowas:

Code: Alles auswählen

> ssh -?
usage: ssh [-?] [-h] [-<a|b> loopback-address] [-p port] [-C] [-j keepalive-interval] [-l login_name] [user@]host

Gleichzeitig fiel mir ein, dass man "permitopen" auch in der "authorized_keys" konfigurieren und die wiederum in den LANCOM laden kann. Wenn ich das mache, funktioniert der Login per SSH auf dem LANCOM selbst aber schon gar nicht mehr per Schlüssel, sondern ich werde nach Benutzername+Passwort gefragt. Wenn ich "permitopen" wiederum raus nehme und die Datei neu hochlade, funktioniert der Login per Schlüssel auch wieder.

Code: Alles auswählen

permitopen="192.168.[...].[...]:22" ssh-rsa AAA[...]== root

Das sieht mir alles sehr danach aus, dass SSH auf dem Gerät einfach die nötigen Funktionen nicht bietet. :-/

[ams_tschoening]

Ein Workaround müsste noch bleiben: Letztendlich soll das NAS ja direkt an den Router, nur halt nicht komplett öffentlich zur Verfügung stehen. Es sollte also reichen, über Port Forwarding einfach irgendeinen Port für SSH von außen direkt zum NAS forwarden zu lassen. Dort dann Schlüssel und/oder starke Passwörter und das dürfte sicher genug sein. Ich brauchte bisher auch nur SSH+Web-UI, das müsste dann darüber auch ohne SSH vom LANCOM gehen. In PuTTY konfiguriert man dann einfach für SSH einen Tunnel, der remote auf localhost:5000 für die Web-UI geht. Das ist das NAS selbst und der dortige Webserver lauscht auch lokal.