Можно ли разрешить в SSH Mikrotik'a форвадить удаленные порты?

Question

[Сергей c0re]

речь про SSH Микротика.
локальные порты через SSH на него прокидывать можно, а вот удаленные порты с него на локальную машину не получается, пишет refused
может где-то что-то надо разрешить? что и где?

update:
PS: при соединении ssh клиентом (plink, putty, ssh on linux) на ssh сервер есть возможность создать ssh туннели, опции:
-L [listen-IP:]listen-port:host:port Forward local port to remote address
-R [listen-IP:]listen-port:host:port Forward remote port to local address

вот -L при соединении по SSH на микротик работает, а -R нет, refused...

PPS: удаленный порт в данном случае - это порт микротика, потому что он является удаленным по отношению к машине с которой происходит соединение по ssh

Comments

[Wexter]

что вы подразумеваете под "удалёнными портами"?

[Сергей c0re]

Wexter,

на пальцах...
возьмем plink (у команды ssh на linux по большинству такие же опции/ключи)

D:\Programs\putty>plink
PuTTY Link: command-line connection utility
Release 0.60
Usage: plink [options] [user@]host [command]
("host" can also be a PuTTY saved session name)
Options:
-V print version information and exit
-pgpfp print PGP key fingerprints and exit
-v show verbose messages
-load sessname Load settings from saved session
-ssh -telnet -rlogin -raw
force use of a particular protocol
-P port connect to specified port
-l user connect with specified username
-batch disable all interactive prompts
The following options only apply to SSH connections:
-pw passw login with specified password
-D [listen-IP:]listen-port
Dynamic SOCKS-based port forwarding
-L [listen-IP:]listen-port:host:port
Forward local port to remote address
-R [listen-IP:]listen-port:host:port
Forward remote port to local address
-X -x enable / disable X11 forwarding
-A -a enable / disable agent forwarding
-t -T enable / disable pty allocation
-1 -2 force use of particular protocol version
-4 -6 force use of IPv4 or IPv6
-C enable compression
-i key private key file for authentication
-noagent disable use of Pageant
-agent enable use of Pageant
-m file read remote command(s) from file
-s remote command is an SSH subsystem (SSH-2 only)
-N don't start a shell/command (SSH-2 only)
-nc host:port
open tunnel in place of session (SSH-2 only)

-L [listen-IP:]listen-port:host:port на микротик работает.
-R [listen-IP:]listen-port:host:port - нет... пишет refused

мне нужно посредством SSH прокинуть порт C микротика НА локальную машину, с которой я запускаю plink или ssh клиент.

PS: удаленный порт в данном случае - это порт микротика, потому что он является удаленным по отношению к машине с которой происходит соединение по ssh

[Wexter]

Сергей, стесняюсь спросить, а к чему такие извращения?
логика подсказывает что оно микротику нафиг не нужно и поэтому не работает

[Сергей c0re]

Wexter, ну как бы есть ssh туннели, решил попробовать... надо было на ОЧЕНЬ СКОРУЮ РУКУ прокинуть порты... С удаленной машины на локальную, НО, удаленная машина за NATом, с динамическим внешним IP, более того доступа к этому роутеру и нет для настройки... поэтому, хотел с удаленной машины запустить ssh Туннель на мой микротик (т.к. он имеет внешний белый IP) с перебросом порта микротика на нее... а самому цепляться соответственно на микротик, но не тут то было...
вышел из положения по другому, у меня стоит linux сервер, пробросил SSH на него, с удаленного сервера соединился на нее и прокинул уже с нее порт обратно, соответственно и соединялся на нее для работы )))
как-то так...
но хотелось бы решить вопрос через микротик.. могет он или все же нет!?

PS: если нет, то тогда VPN? какой? удаленный сервер оооочень старый RedHat Enterprise Linux 4 (не знаю что там вообще можно "запилить"), да и с VPN долго надо разбираться, а надо было сейчас...
ну а теперь уже - на будущее...

[Wexter]

Сергей,

более того доступа к этому роутеру и нет для настройки...

поэтому, хотел с удаленной машины запустить ssh

шта? как вы без доступа к ssh хотите поднять туннель? а ежели есть доступ так почему-бы не поднять простейший pptp, подключить комп к нему и прокинуть порты?

[Сергей c0re]

Wexter, к чему все эти вопросы на вопросы, а не ответ на поставленный вопрос - можно включить Forward remote port to local address в SSH микротика или нет?
я подключался амми админом на виндовую машину с нее через PuTTY на сервер, с сервера запускал SSH с туннелем на свой сервер за своим микротиком.
мне нужно было БЫСТРО, SSH это более чем быстро.
мне нужно было прокинуть порт на удаленную СУБД Oracle, для работы со своей машины.
pptp надо курить, как настраивать, особенно в RHEL 4.... без поддержки и обновлений... долго и нудно искать рпмки на репозиториях CentOSа и т.п. и т.д.

Answer 1

[Gregory]

полноценного "форвадить" нельзя
Но например rlink работает
https://habrahabr.ru/post/319158/
https://sourceforge.net/projects/rlink/?source=dir...

ЗЫ. ответ на ваш вопрос: НЕТ

Comments

[Сергей c0re]

Вот так я и подумал к сожалению... буду пробовать pptp на сервере настраивать.

[Gregory]

есть еще такой вариант если мироктик позволяет ваш
asp24.com.ua/blog/virtualnaja-mashina-metarouter-i...

ставите в него в виртуалку OpenWRT а там уже полноценынй ssh ^))

Answer 2

[CityCat4]

ssh на микротике - это всего лишь ssh на микротике - та же командная оболочка, что и winbox, только не графическая. У нее те же возможности, что и у других оболочек. Ну либо Вы как-то не так задаете вопрос.

Comments

[Сергей c0re]

а как его еще задать то?
на пальцах...
возьмем plink (у команды ssh на linux по большинству такие же опции/ключи)

D:\Programs\putty>plink
PuTTY Link: command-line connection utility
Release 0.60
Usage: plink [options] [user@]host [command]
("host" can also be a PuTTY saved session name)
Options:
-V print version information and exit
-pgpfp print PGP key fingerprints and exit
-v show verbose messages
-load sessname Load settings from saved session
-ssh -telnet -rlogin -raw
force use of a particular protocol
-P port connect to specified port
-l user connect with specified username
-batch disable all interactive prompts
The following options only apply to SSH connections:
-pw passw login with specified password
-D [listen-IP:]listen-port
Dynamic SOCKS-based port forwarding
-L [listen-IP:]listen-port:host:port
Forward local port to remote address
-R [listen-IP:]listen-port:host:port
Forward remote port to local address
-X -x enable / disable X11 forwarding
-A -a enable / disable agent forwarding
-t -T enable / disable pty allocation
-1 -2 force use of particular protocol version
-4 -6 force use of IPv4 or IPv6
-C enable compression
-i key private key file for authentication
-noagent disable use of Pageant
-agent enable use of Pageant
-m file read remote command(s) from file
-s remote command is an SSH subsystem (SSH-2 only)
-N don't start a shell/command (SSH-2 only)
-nc host:port
open tunnel in place of session (SSH-2 only)

-L [listen-IP:]listen-port:host:port на микротик работает.
-R [listen-IP:]listen-port:host:port - нет... пишет refused

мне нужно посредством SSH прокинуть порт C микротика НА локальную машину, с которой я запускаю plink или ssh клиент.

[CityCat4]

Сергей, так может это проблемы plink, а не микротика? Логи микротика глядели? В plink включите отладку, посмотрите, нет ли ошибок

[Сергей c0re]

Какие у Plink могут быть проблемы? у PuTTY тоже и у ssh на линухах тоже? при этом на другие сервера все нормально, порты кидаются в обе стороны.
нету в логах микротика про портфорвадинг ничего кроме открытия собственно ssh сессии.

Answer 3

[Vladimir Zhurkin]

Странно, что ответа так и нет

https://wiki.mikrotik.com/wiki/Manual%3AIP/SSH