[Problem] 7362SL: SSH Tunnel über dropbear

fanste

Neuer User
Mitglied seit
13 Apr 2006
Beiträge
30
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich befasse mich seit kurzem mit Freetz, weil ich auf meine Box einen SSH-Server brauche. Funktioniert soweit eigentlich alles wunderbar und ist eine echte Bereicherung im Vergleich zu "manuell starten", wie es davor war. Danke schonmal an die Entwickler für die tolle Arbeit!

Nun ist mir im Alltag allerdings eine Sache aufgefallen: HTTPS-Verbindungen funktionieren nur bedingt.
  • Google kann ich überhaupt nicht über den Tunnel aufrufen. Egal welches Browser ich benutze (FF, Chome), bis auf eine einzige Ausnahme (englischsprachiger FF), funktioniert nichts.
  • Meinen eigenen Server bekomme ich im Browser per HTTPS aufgerufen. Per wget, was ich einfach interessehalber getestet habe, funktioniert das allerdings auch wieder nicht (Fehler wget: bad header line: <html><head>).

In der Dropbear-Version (2014.63), die ich vor Freetz eingesetzt hatte, hat das alles zuverlässig getan.

Hat einer eine Idee, wie ich der Ursache auf den Grund gehen kann? Im Syslog taucht leider keine Meldung auf.

Danke :)
 
Moins


Zumindest wget braucht SSL/TLS Unterstützung damit es damit klappt...
wget -h
Code:
HTTPS (SSL/TLS) options:
       --secure-protocol=PR     choose secure protocol, one of auto, SSLv2,
                                SSLv3, and TLSv1.
       --no-check-certificate   don't validate the server's certificate.
       --certificate=FILE       client certificate file.
       --certificate-type=TYPE  client certificate type, PEM or DER.
       --private-key=FILE       private key file.
       --private-key-type=TYPE  private key type, PEM or DER.
       --ca-certificate=FILE    file with the bundle of CA's.
       --ca-directory=DIR       directory where hash list of CA's is stored.
       --random-file=FILE       file with random data for seeding the SSL PRNG.
       --egd-file=FILE          file naming the EGD socket with random data.

Code:
~ # ./wget --no-check-certificate https://www.google.de
--2016-03-08 10:32:26--  https://www.google.de/
Resolving www.google.de... 2a00:1450:4001:80d::100f, 173.194.116.143, 173.194.116.159, ...
Connecting to www.google.de|2a00:1450:4001:80d::100f|:443... connected.
WARNING: cannot verify www.google.de's certificate, issued by '/C=US/O=Google Inc/CN=Google Internet Authority G2':
  Unable to locally verify the issuer's authority.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: 'index.html'

    [ <=>                                                                                                                                 ] 157,161     --.-K/s   in 0.1s

2016-03-08 10:32:27 (1.09 MB/s) - 'index.html' saved [157161]
 
Hallo,

danke für die Info. Dann scheint die mitgelieferte Version basierend auf BusyBox das wohl einfach nicht zu können. Wundert mich dann nur, warum die Fehlermeldungen so unterschiedlich ausfallen.

Vielleicht hat ja noch jemand eine Idee im Bezug auf Dropbear. Oder ist gar OpenSSH zu bevorzugen?
 
Tut mir leid, irgendwie komme ich da nicht so ganz mit. Wie ist denn das genaue Setup?

Wenn Du über das SSH Terminal verbunden mit der Box wget aufrufst, hat das ja nichts mit dem Tunnel zu tun. Dann wird die Operation ja direkt auf der Box ausgeführt?

Ansonsten ist es dem Tunnel ähnlich der Post völlig egal was Du da in Deinen Paketen transportierst. Der scheint ja wohl prinzipiell auch zu funktionieren, wenn Du Seiten direkt am anderen Ende aufrufen kannst.
 
Sorry, wenn mein Einstiegspost etwas verwirrend war. Ich versuch es nochmal anders zu erklären.

Ich habe meine Box mit Freetz geflasht, welches nur Dropbear zusätzlich enthält. Über Putty baue ich nun eine SSH-Verbindung zu meiner Box auf. Ebenfalls in Putty ist SOCKS-Proxy über die Box konfiguriert. Diesen Proxy habe ich in meinen Firefox eingetragen.

Wenn ich nun im Browser eine Adresse aufrufe, dann funktionieren alle HTTP-Seiten. Bei HTTPS-Seiten hakt es allerdings bei manchen. Dazu gehören z.B. Google, Facebook oder Wikipedia. Eigentlich alle, die ich getestet habe. Nur mein eigener Server macht hier eine Ausnahme, hat jedoch auch HTTPS konfiguriert (und Firefox zeigt auch an, dass die Verbindung verschlüsselt ist).

Wenn ich dann Versuche, ob das am SSH-Tunnel liegt, indem ich etwas direkt über die Box aufrufen will, dann scheitert es komplett. Das war das Beispiel mit wget. Aber da habe ich ja schon gelernt, dass die mitgelieferte Version das wohl einfach nicht unterstützt, sondern wget als eigenes Binary kompliert und ins Image gepackt werden muss.

Wenn das nun aber über den SSH-Tunnel mit meinem Server funktioniert, dann ist SSL Support doch grundstäzlich in Dropbear integriert. Oder muss ich da beim Imageerstellen in menuconfig noch was beachtet?
 
ich kann Dir zwar nicht helfen, aber deinen Fehler bestätigen. Witzigerweise kann ich Seiten per HTTP aufrufen, per HTTPS aber nicht.
Bei mir auch SSH tunnel von putty über freetz meet drobear, hat vorher alles funktioniert.
Ich habe als Lösung Drobbear auf einem DD-WRT router min meinem Heimnetz laufen lassen was dann auch wieder funktionierte.
Jetzt habe ich aber auch den router aktualisiert. Dort ist jetzt Dropbear SSH client v2016.73 drauf und das ssh tunneling funktioniert nur zu nicht verschlüsselten Servern.
Ich weiß nicht ob überhaupt Daten von den HTTPS fließen, ob ob einfach Firefox die HTTPS Zertifikate anmeckert, jedenfalls bekomme ich zu gmx.de eine Verbindung aber zu google.de nicht.
Meine Vermutung, die HTTPS Authentifizierung funktioniert nicht über den Weg
Firefox - socks5 - putty - ssh dropbear tunnel - fritzbox - www Welt

Warum hat es aber früher funktioniert?
 
Probleme wie z.B. mit https liegen meist an falschen MTU/MSS-Werten.
 
I use a tunnel on a daily basis with putty, Firefox and Freetz on the other side.
Never a problem...

# dropbear -V
Dropbear v2016.72
 
Zuletzt bearbeitet:
Hallo,

Genau dieses Problem habe ich jetzt auch. Gibt es schon neue Erkenntnisse? Bei mir ist auch Version 2016.73 installiert.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.