Запрос на добавление новой возможности (SSH Клиент)

[ITПавел]

Всем привет. Первый раз на форуме, поэтому не знаю есть ли здесь разработчики прошивки, надеюсь да. В общем я программист, пользуюсь вашим роутером и бед не знаю, по качеству ПО полагаю это лучшее решение на рынке. Так же пересадил многих друзей и коллег IT-шников на ваши роутеры, мы все безумно ими довольны. Работают без единого разрыва, как говорится. Так вот, в эту пятницу, в баре за пивом зашел разговор о нашей работе, о наших кинетиках и о всяком IT-шном. И вот в чем вопрос, мы все пришли к выводу, что в кинетиках не хватает одной очень важной вещи SSH-Клиента. Есть куча всего для школьников и домохозяек, от торрент-клиента, до Яндекс-DNS и даже OpenVPN клиента. Но это всё для домашних хомячков. А программисты и IT-специалисты часто пользуются SSH тоннелями до своих рабочих серверов, баз данных, рабочих компьютеров и прочего оборудования. И им тоже нужны плюшки Точнее нам) За пивом, с коллегами, мы поделились общей бедой, у многих дома постоянно открыты SSH тоннели, много к чему и как, у кого-то динамический прокси настроен и прочее. И для всего этого необходимо постоянно держать открытыми Putty, OpenSSH клиент, termius, kitty и прочие SSH клиенты, которые работают как тоннели или прокси, но без консоли (флаги -NT).

И вот на меня возложили обязанность написать сюда) Было бы неплохо добавить в стандартную прошивку полнофункциональный ssh-клиент (чтобы работали все пробросы портов, туннели и прокси) или хотя бы сделать такой пакет-расширение для установки. Чтобы можно было поднять прокси до рабочей машины командой типа этой ssh -NTFakx -R 127.0.0.1:22344:127.0.0.1:4444 -i privkey.sshkey -N root@workcomp.ru  на роутере и забыть о висящей программе на компьютере. Или допустим на роуетере через ssh-клиент у тебя будет поднят тоннель до базы MySQL на работе, и вот ты подключаешься на адрес 192.168.1.1:3315 и попадаешь на рабочий компьютер на порт 3306 по SSH тоннелю. Это же круто как удобно. Ребят, очень просим) очень надо) Вещь простая, даже SSH сервер в роутерах есть, а клиента нет, ну как так то:-)

 OPKG даже не предлагайте) Это для садомазохистов. Если добавите - респект от всего IT сообщества!

Изменено 18 февраля, 2020 пользователем ITПавел

[Shadow87]

15 часов назад, ITПавел сказал:

Всем привет. Первый раз на форуме, поэтому не знаю есть ли здесь разработчики прошивки, надеюсь да. В общем я программист, пользуюсь вашим роутером и бед не знаю, по качеству ПО полагаю это лучшее решение на рынке. Так же пересадил многих друзей и коллег IT-шников на ваши роутеры, мы все безумно ими довольны. Работают без единого разрыва, как говорится. Так вот, в эту пятницу, в баре за пивом зашел разговор о нашей работе, о наших кинетиках и о всяком IT-шном. И вот в чем вопрос, мы все пришли к выводу, что в кинетиках не хватает одной очень важной вещи SSH-Клиента. Есть куча всего для школьников и домохозяек, от торрент-клиента, до Яндекс-DNS и даже OpenVPN клиента. Но это всё для домашних хомячков. А программисты и IT-специалисты часто пользуются SSH тоннелями до своих рабочих серверов, баз данных, рабочих компьютеров и прочего оборудования. И им тоже нужны плюшки Точнее нам) За пивом, с коллегами, мы поделились общей бедой, у многих дома постоянно открыты SSH тоннели, много к чему и как, у кого-то динамический прокси настроен и прочее. И для всего этого необходимо постоянно держать открытыми Putty, OpenSSH клиент, termius, kitty и прочие SSH клиенты, которые работают как тоннели или прокси, но без консоли (флаги -NT).

И вот на меня возложили обязанность написать сюда) Было бы неплохо добавить в стандартную прошивку полнофункциональный ssh-клиент (чтобы работали все пробросы портов, туннели и прокси) или хотя бы сделать такой пакет-расширение для установки. Чтобы можно было поднять прокси до рабочей машины командой типа этой ssh -NTFakx -R 127.0.0.1:22344:127.0.0.1:4444 -i privkey.sshkey -N root@workcomp.ru  на роутере и забыть о висящей программе на компьютере. Или допустим на роуетере через ssh-клиент у тебя будет поднят тоннель до базы MySQL на работе, и вот ты подключаешься на адрес 192.168.1.1:3315 и попадаешь на рабочий компьютер на порт 3306 по SSH тоннелю. Это же круто как удобно. Ребят, очень просим) очень надо) Вещь простая, даже SSH сервер в роутерах есть, а клиента нет, ну как так то:-)

 OPKG даже не предлагайте) Это для садомазохистов. Если добавите - респект от всего IT сообщества!

Павел, а вы уверены, что вам это сильно нужно? Вопрос банально в том, что эта возможность может оказаться хорошей дыркой в безопасности сети. В роутере и без этого достаточно возможностей доступа к сети, находящейся за ним. Ну а для обоснования своих слов приведу простой факт: 4332 постоянно заблокированных уникальных ip адреса, заблокированных за попытки взлома SSH к моему NAS за примерно полгода. До этого блокировку ставил на сутки. Список продолжает расти, примерно, по 10 ip в день. Картинку с панели управления кинуть?

[ndm]

14 hours ago, ITПавел said:

Если добавите - респект от всего IT сообщества!

Зовите друзей, пусть голосуют. Оценим масштаб сообщества.

[krass]

19 минут назад, Shadow87 сказал:

за попытки взлома SSH к моему NAS за примерно полгода.

И вы думаете взломают DSA или RSA, длина ключа 2048 бит ? 

[ITПавел]

4 hours ago, Shadow87 said:

Павел, а вы уверены, что вам это сильно нужно? Вопрос банально в том, что эта возможность может оказаться хорошей дыркой в безопасности сети. В роутере и без этого достаточно возможностей доступа к сети, находящейся за ним. Ну а для обоснования своих слов приведу простой факт: 4332 постоянно заблокированных уникальных ip адреса, заблокированных за попытки взлома SSH к моему NAS за примерно полгода. До этого блокировку ставил на сутки. Список продолжает расти, примерно, по 10 ip в день. Картинку с панели управления кинуть?

Ваши сомнения абсолютно беспочвенны. Вы сомневаетесь в надёжности защиты Keenetic или не дай бог SSH? Зачем мне картинки? SSH достаточно надёжен и используется по всему миру. Есть такое понятие как SSH-ключ, им почти все и пользуются, парольный доступ это плохой тон и он обычно вовсе отключается в случае использования ключа, поэтому любой доступ извне по подбору пароля даже мониторить не нужно, так как они там ничего не наподбирают. Ну а для подбора SSH-ключа понадобится наверное квантовый компьютер, который только-только пытаются изобрести и заставить нормально работать. Пока можно спать спокойно.

Если вы беспокоитесь за открытые порты, то тут тоже не о чем волноваться, т.к. порты будут подниматься на внутрисетевом интерфейсе 192.168.1.1 которая извне недоступна. Конечно криворукие настройщики маршрутизации и пробросов портов всегда найдутся, но и лезть их в это никто не заставляет, не умеешь пользоваться ssh-клиентом и настройками роутера - не берись.

Изменено 19 февраля, 2020 пользователем ITПавел

[Shadow87]

1 час назад, ITПавел сказал:

Ваши сомнения абсолютно беспочвенны. Вы сомневаетесь в надёжности защиты Keenetic или не дай бог SSH? Зачем мне картинки? SSH достаточно надёжен и используется по всему миру. Есть такое понятие как SSH-ключ, им почти все и пользуются, парольный доступ это плохой тон и он обычно вовсе отключается в случае использования ключа, поэтому любой доступ извне по подбору пароля даже мониторить не нужно, так как они там ничего не наподбирают. Ну а для подбора SSH-ключа понадобится наверное квантовый компьютер, который только-только пытаются изобрести и заставить нормально работать. Пока можно спать спокойно.

Если вы беспокоитесь за открытые порты, то тут тоже не о чем волноваться, т.к. порты будут подниматься на внутрисетевом интерфейсе 192.168.1.1 которая извне недоступна. Конечно криворукие настройщики маршрутизации и пробросов портов всегда найдутся, но и лезть их в это никто не заставляет, не умеешь пользоваться ssh-клиентом и настройками роутера - не берись.

Я вас понял. Просто сейчас авторизация по ключу не реализована совсем.

Я в Кинетиках не сомневаюсь. Просто именно важен нюанс, что авторизацию тогда лучше настроить на ключ, иначе первый же пролом пароля может принести массу неприятных моментов.

Да и мне всё же неясно, чем не угодил тот же старичок PPTP или иной VPN протокол.

[keenet07]

19 минут назад, Shadow87 сказал:

Да и мне всё же неясно, чем не угодил тот же старичок PPTP или иной VPN протокол.

VPN это безопасный доступ к машине. А SSH к конкретному сервису на ней.

Как говорится, можно конечно и экскаватором картошку копать.

Или другая аналогия: зачем открывать огромные ворота, когда необходима всего лишь маленькая дверка.

Изменено 19 февраля, 2020 пользователем keenet07

[Shadow87]

Иными словами. Задача в том, чтобы, не открывая порты на постоянную, иметь возможность пробросить в сеть временный туннель с нужным портом? Интересно.

[keenet07]

Правильнее будет даже сказать VPN это доступ к целой сети и машинам внутри. А через SSH можно расшарить на локальный адрес роутера к примеру конкретно postgre работающую на VPS и любую другую службу.

В случае компроментации доступа к роутеру у злоумышленника будет гораздо меньше возможностей. А при правильном подходе и не будет вовсе. Имею в виду доступ по ключам дополнительно усиленным шифрованием паролем.

Изменено 19 февраля, 2020 пользователем keenet07

[ITПавел]

33 minutes ago, Shadow87 said:

Иными словами. Задача в том, чтобы, не открывая порты на постоянную, иметь возможность пробросить в сеть временный туннель с нужным портом? Интересно.

Задача в том, чтобы поднять нужные прокси и туннели на роутере и перестать открывать кучу программ висящих в фоне на компьютере, ноутбуке, телефоне. И перестать думать о том включен компьютер или нет, не ушел ли он в сон, как с телефона зайти в рабочий софт через SSH и прочее. Любой нужный тоннель или прокси всегда будет доступен с любого устройства в домашней сети, даже если основной рабочий компьютер выключен, это же круто и очень удобно. Понятное дело, что простые потребители качающие торенты и играющие в доту или CS этим пользоваться не будут, но есть куча специалистов которым это необходимо.

[MercuryV]

Если бы это было настолько важно, как описываете, давно бы запустили нужное число туннелей при помощи Entware,

[Mamay]

14 минуты назад, MercuryV сказал:

Если бы это было настолько важно, как описываете, давно бы запустили нужное число туннелей при помощи Entware,

Согласно первого поста, ТС не относит себя к разряду садо-мазохистов, не объясняя откуда и почему сделаны такие выводы сексуального характера... 

[Joe]

1 час назад, Mamay сказал:

Согласно первого поста, ТС не относит себя к разряду садо-мазохистов, не объясняя откуда и почему сделаны такие выводы сексуального характера... 

Идея на самом деле здравая.

И да - описаные ТС термины вполне себе существуют без полового контекста😉

[keenet07]

SSH шикарная технология. Кто недостаточно знаком с этим протоколом, почитайте, а лучше посмотрите ролики на YouTube с конкретными случаями применения. Это не просто какая-то там командная строка.

Я, за!

Изменено 20 февраля, 2020 пользователем keenet07

[Le ecureuil]

Прокси и пробросы портов у нас с самого начала работают.

Клиенты.... Ну такое, честно вам скажу. Надо подумать, но скорее всего раньше, чем будет доступ по ключам, это не появится.

[keenet07]

Идентификация по ключам конечно же нужна. Чтоб не париться с постоянным вводом пароля.

[Adigo Buono]

Искал реализовано ли возможность маршрутизации через ssh туннели на роутере .. и видимо нет.  С нетерпением жду, если такая возможность появиться 

[Alexander Smirnov]

Идея прямо отличная. Роутеры у меня третий день, развернул на даче, все действительно очень нравится. Лично я использую поднятие ssh c опцией -D чтобы получить локальный socks-прокси, что дает доступ к ресурсам целевой сети, а также, что уж таить, возможность посещать ресурсы в обход. По мне очень интересно было бы поднять такой туннель не с компьютера а прямо с роутера. 

[laforsh]

ssh туннели отличная вещь, но только добавлением одного клиента на роутере здесь не обойтись. Туннели имеют свойство рваться. Для постоянно действующего туннеля на стороне ssh клиента полюбому нужен какой-то супервизор (на линуксе systemd или runit какой нибудь, а для винды что-то типа bitvise ssh клиента с автовосстановлением). А супервизор - это уже однозначно вариант не для прошивки. И лучший выход здесь entware или debian на роутере.

[dmitry.a]

А вот мне неясно, чем opkg так не угодил. Если надо что-то сверху доставить, для этого как раз и есть opkg.

Второй момент. Почему программисты не могут сделать так, что на их компьютерах все эти putty и проч. запускались бы автоматически.

Третий момент. Домашняя сеть вовсе не является доверенной. Любое взломанные устройство будет иметь доступ на удалённую машину.