So. Pro 21st, 2024

kvalitninavody.cz

Tutorials, Linux, Virtualizace, KVM, Mikrotik, Hardware i Retro

Linux Mikrotik Windows

Základy Mikrotiku #14 Mikrotik Port forwarding a SSH Tunneling z Windows na Linux pomocí putty

Avatar

Bymirra

Bře 22, 2022

Návod funguje na jakýchkoliv windows. Stáhněte si program putty např. z následujícího odkazu, který za vás stáhne a nainstaluje putty:

https://ninite.com/putty/

Zkusme si praktický příklad

Máme vzdálenou síť s veřejnou IP adresou 195.123.123.123, kde běží mikrotik, který má na WAN IP 195.123.123.123 a svoji vnitřní LAN gateway IP má 192.168.88.1. V síti máme Linuxový stroj s vnitřní ip 192.168.88.2, na který je nastaven portforward z mikrotik routeru z veřejné IP na jeho ip.

Tedy:

Router s PublicIP –> Linux PC s funkčním SSH

195.123.123.123:22 –> 192.168.88.2:22

Port Forwarding na vzdáleném Mikrotiku

Pozor, tady je nutné dostat se ke vzdálenému mikrotiku buď pomocí SSH, nebo telnetu, Winboxu, či webového rozhraní, v defaultním (z továrny) nastavení mikrotik nemá povolené jakékoliv ovládací rozhraní ven do internetu, takže musíte být v okamžiku konfigurace Port Forwardingu na mikrotiku připojeni ve vnitřní síti za mikrotikem. (Od nadpisu Stavíme Tunel už ve stejné síti být nemusíte). IP defaultní ip adresy Vašeho mikrotiku je http://192.168.88.1

Logneme na Winbox nebo do webového rozhraní / IP / Firewall/
V tabulce Firewall klikneme na záložku NAT a klikneme vlevo nahoře na Modré +, což vyvolá další dialogové okno.

Vyplníme Chain: dstnat , Dst: Address vkládám veřejnou IP adresu či WAN IP adresu routeru, v mém příkladu IP 195.123.123.123, Protocol: tcp (pokud byste potřebovali portforwardit nějakou udp hru, budete potřebovat vytvořit druhé stejné pravidlo, kde bude vše stejně, jen místo tcp tam bude udp), Dst Port: 22 (port na vzdálenou službu SSH, běžící na Linuxovém počítači za routerem)
Ve stejné tabulce pak klikneme na záložku Action, kde vybereme Action: dst-nat, To Addresses: vnitřní IP LInuxového počítače ve vzdálené síti, tedy 192.168.88.2 a na jeho porty ssh 22. Až to máme nastaveno, dáváme OK a z veřejného internetu se dostaneme na SSH vzdáleného linuxového serveru. (zabezpečte si ho prosím balíčkem fail2ban, ať vás nikdo nehackne)
po odkliknutí OK pravidlo v seznamu pravidel pro NAT vypadá jako na tomto obrázku. Jen v poli # budete mít jiné číslo (já už na routeru pár pravidel mám).

Mikrotik máme hotový, pojďme se připojit ze vzdálené sítě, abychom viděli web mikrotiku, který není zpřístupněný z veřejné sítě. Můžete si to nasimulovat tím, že si na vašem mobilním telefonu (pozor, potřebujete mít datový tarif, ať neprotočíte moc peněz za data) rozběháte wi-fi hotspot a přes váš notebook s Windows se zkusíte připojit vzdáleně, abyste viděli ovládací rozhraní mikrotiku.

Stavíme Tunel na Windows

Máme stažený a spuštěný program Putty na Windows.

Vyplníme připojení Host Name: 195.123.123.123 port 22, puntík máme označený správně u SSH.
Teorie – Source port si mohu dát cokoliv chci, Destination už musím vložit existující IP adresu a funkční destination (vzdálený) port ve vzdálené síti, takže když pak u sebe zadám localhost:8080 uvidím vzdálenou službu ve vzdálené síti.
Zde už ukázka, jak to mám vyplněno. Pro snadnější vysvětlení – tady si vyplním v Destination to, co nebo KAM chci vidět ve vzdálené síti.
Takto to vypadá po odkliknutí tlačítka Add a přidání pravidla do tabulky tunelů.

A tady už vidíme výsledek. U sebe na PC zadám http://localhost:8080 a dostanu se na ovládací rozhraní vzdáleného mikrotiku, na který se jinak z internetu nedostanu. Zde už můžete vidět jak můj mikrotik každý den stahuje hafo záloh. 🙂

SSH Tuneling na Linuxu

Pozor! V /etc/ssh/sshd_config musíte mít tato nastavení:

AllowTcpForwarding yes
GatewayPorts yes

A pokud máte v plánu forwarding x11 pomocí ssh -X tak se vám bude hodit i :

X11Forwarding yes

Tam je to trošku snadnější, když víte, co máte dělat. Otevřete si terminál (třeba lxterminal nebo xterm) a napíšete:

ssh -L 8080:192.168.88.1:80 -p22 uživatel@195.123.123.123

Přidal jsem i parametr -p22 (určující číslo portu 22 = SSH), takže pokud máte ssh na vašem stroji proforwarděn třeba na portu 3000, tak místo -p22 vložíte -p3000.
Pak stačí spustit firefox nebo jakýkoliv jiný prohlížeč, napsat http://localhost:8080 a jste tam. 😉

Zde už můžeme vidět výsledek na Linuxu:

Avatar

By mirra

Hardwaru a počítačům se věnuji již od roku 2003. Za tu dobu jsem poskládal stovky počítačů, opravil tisíce počítačů a vyřešil nespočetně problémů, vad a chyb, se kterými se setkávali uživatelé. Od roku 2005 se zabývám servery, zejména těmi herními, v roce 2007 jsem se začal věnovat Valve Source SDK level designu, který šel od roku 2009 k ledu kvůli studiu Informatiky na univerzitě. Podílel jsem se chvíli i na provozu síťové laboratoře MENDELU, dnes spravuji v jedné osobě cca 100 serverů/diskových polí na univerzitě, řeším IT v malých a středních firmách tak, aby firmy ušetřily nemalé částky při zlepšení kvality a soustředím se na snižování nákladů na IT od licencí až po hardware, software, provádím konsolidace a audity platnosti licencí, které firmám šetří rovněž nemalé peníze. Z velkých firem jsem měl příležitost s dalšími kolegy řešit správu 8000 serverů po celé západní Evropě s vysokou mírou automatizace a poznávání nejrůznějších evropských pracovních mentalit. Dále jsem řešil hybridní cloud ve velké firmě, orientované na trhy střední a východní Evropy. Posledních několik let se věnuji Devops pro velké zákazníky v Azure cloudu, spravuji kubernetes (AKS), Gitlab.

Related Post

Linux

Jak se rychle naučit BASH v Linuxu a nevyhodit majland za kurzy? 5 nejlepších odkazů

Lis 4, 2024 mirra
Windows

SCM Group Maestro CNC vyžaduje při spouštění Admin práva – bez nich chyba: Vstupní řetězec nemá správný formát. Řešení v článku

Zář 12, 2024 mirra
Linux

Dá se rozjet Autodesk License manager na Ubuntu-server 22.04 LTS? Ano dá, ale chce to trošku pomoct

Zář 4, 2024 mirra

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

You missed

kubernetes

Error: no matches for Id apps_v1_Deployment|~X| název-služby failed to find unique target for patch apps_v1_Deployment| název-služby

26.11.2024 mirra
AI

Úvod do umělé inteligence (AI): Díl 1.

14.11.2024 mirra
Linux

Jak se rychle naučit BASH v Linuxu a nevyhodit majland za kurzy? 5 nejlepších odkazů

4.11.2024 mirra
užitečné

Jak se nenechat napálit při výběru podlah

17.9.2024 mirra