SSH/Dropbear

From Fritz!Box

Jump to: navigation, search

Statt telnet kann auf die Fritz Box auch mit ssh (putty, openssh) zugegriffen werden. Als SSH Server wird hier Dropbear eingesetzt. Es gibt einige Artikel die dies Vorgehen beschreiben. Hier eine Beschreibung für FRITZ!Box Fon WLAN 7141 (UI), Firmware-Version 40.04.25. Dazu wird die Datei /var/flash/debug.cfg so modifiziert, dass die benötigen Programme beim Start der Box aus dem Internet geladen und konfiguriert werden. Hier die benötige /var/flash/debug.cfg Datei : 

sleep 20
cd /var
#
# download der Software
#
/usr/bin/wget http://www.spblinux.de/fbox/cfg_dropbear

# für neuere Firmware diese Zeile einkommentieren, obige wget - Zeile auskommentieren
#/usr/bin/wget http://www.spblinux.de/fbox.new/cfg_dropbear

sleep 5
chmod 755 /var/cfg_dropbear
#
# config und Start (modus: onlykey -> kein password authentication, nur public key)
#
/var/cfg_dropbear install
/var/cfg_dropbear start onlykey

/var/dropbear/bin/dropbearkey -t rsa -f /var/tmp/dropbear_rsa_hostkey -s 768
#
# diese Zeilen sind als Alternative zu public key  authentication zu sehen
# Falls gewünscht muß oben auch "onlykey" entfernt werden!
#

#cp -p /var/tmp/shadow /var/tmp/tmp_shadow
#sed -e "/root:/s#^root:[^:]*:#xxxxxxxxx:#" /var/tmp/tmp_shadow > /var/tmp/shadow


cd /var/tmp
# # # # # # # # # Installation Etherwake
#
# Etherwake ist bereits auf der Box installiert!
# Damit kann man andere Maschinen per Netzwerk booten 
# (nur MAC Adresse nötig; password als Parameter möglich)
#
# Hier das Interface der Fritzbox und die MAC-Adresse des PCs eintragen
echo "/usr/bin/ether-wake -i eth0 00:XX:XX:XX:XX:XX" > /var/tmp/start_script_host1
chmod  x /var/tmp/start_script_host1


# add fritz box itself in resolv.conf to resolv dhcp attached machines in your network
echo "nameserver 192.168.178.1" >> /var/tmp/resolv.conf

# create valid authorized_keys file
# hier muß der public key (openssh-keygen generiert) eingetragen werden,
# der ohne auf die Fritz Box per ssh zugreifen können soll:
#  ssh root@fritz.box
#
#
cat > /var/tmp/dropbear/authorized_keys <<END_OF_FILE
ssh-rsa 
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxx  hans@host1
END_OF_FILE

# Damit dropbear mit dem public key funktioniert muss die authorized_keys Datei
# per symbolischem Link noch bekannt gegeben werden:
rm /etc/dropbear/authorized_keys
ln -s /var/tmp/authorized_keys /etc/dropbear/authorized_keys

Für den Zugriff über das Internet über SSH sind noch Änderungen an /var/flash/ar7.cfg nötig: 

# [...]
dslifaces { 
           # [...]

          dsldpconfig {
                       # [...]

                       forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",                                                                                                  
                                      "udp 0.0.0.0:5023 10.1.1.1:5023 0 # OpenVPN",                                                                                   
                                      "tcp 0.0.0.0:22 10.1.1.2:22 0 # SSH",                                                                                           
                                      "tcp 0.0.0.0:10022 0.0.0.0:22 0 # SSH DIREKT FBOX";                                                                                    
                       shaper = "globalshaper";

Wichtig ist der "SSH DIREKT FBOX" Eintrag: "tcp 0.0.0.0:10022 0.0.0.0:22 0 # SSH DIREKT FBOX";

  • 10022 ist der Zielport, auf dem der SSH Server der Fritz!Box vom Internet aus erreichbar ist
  • 22 ist der Port, auf dem der SSH Server laeuft

Zugriff in diesem Fall also per 

ssh-client <ADRESSE_DER_FBOX>:10022

(In der hier beschriebenen ar7.cfg ist der normale SSH-Port auf einen anderen Rechner weitergeleitet, wenn man das so nicht haben will, kann man natürlich Port 22 statt 10022 beim Eintrag für "SSH DIREKT FBOX" verwenden.)

-- FraggeR, 12.03.2007 18:33 Uhr --
Nicht zwingend, habe einen weg gefunden ohne ar7.cfg zu ändern, hierbei war das Problem, dass jede Änderung wieder überschrieben wurde, nachdem man einen portforward bearbeitet hat, hier meine lösung:
Dies hier noch an die debug.cfg 

ifconfig lan:1 192.168.x.x netmask 255.255.255.0

Wichtig: Die IP muss frei sein, muss im Netz der FB sein und darf nicht im DHCP bereich liegen, z.B. 192.168.179.254
Nun erstellt man im webinterface noch einen port forward von port 22 auf 192.168.x.x port 22

-- phoney 30.01.2007 - 21:37 Uhr --
Seit Firmware - Version 29.04.49 (FRITZ!Box Fon WLAN 7170) gibt es ein neues Kompilat von Dropbear, welches dann auch mit der aktuellen Firmware funktioniert. Einfach wget - Zeile austauschen mit: 

/usr/bin/wget http://www.spblinux.de/fbox.new/cfg_dropbear

Eine detailierte Beschreibung über die Startoptionen ist zu finden unter: http://www.devicescape.com/docs/wip/package_guide/pkg_dropbear.php

Retrieved from "http://www.wehavemorefun.de/fritzbox/index.php/SSH/Dropbear"
Personal tools