[technique] Acces equipements radio ubiquity tetaneutral.net

Laurent GUERBY laurent at guerby.net
Ven 27 Jan 21:39:13 CET 2012 

On Fri, 2012-01-27 at 16:45 +0100, Davy Rangom wrote:
> Bonjour, 

Bonsoir,

> Après avoir accédé en ssh à la machine h2,nous avons tenté d'accéder à
> l'interface d'administration de l'équipement wifi, mais en vain. 
> Nous avons envisagé plusieurs solutions qui n'ont pas abouti :
>       * Utilisation de h2 comme proxy http, vu que h2 a un accès
>         direct au réseau privé 172.31.31.0. Mais en lançant notre
>         navigateur, nous avons un message nous disant que le serveur
>         est temporairement indisponible -> certainement que h2 n'est
>         pas configuré en tant que proxy .......???

h2 n'a pas de proxy web en effet.

>       * Une autre solution qui me semblait plus probable était la
>         création d'un tunnel ssh de notre connexion vers le serveur
>         ssh autorisé (en occurrnteence h2). échec !!!!!!! Je pense que
>         c'est la meilleure des solutions, cependant j'ai du me tromper
>         quelque part. Voila la commande que j'ai essayé :    ssh -L
>         2080:localhost:80 -i keyRangom -p 2222
>         root at h2.tetaneutral.net

Ce n'est pas tres loin de ce qu'il faut faire, en regardant
la documentation de ssh pour -L :

<<
     -L [bind_address:]port:host:hostport

Specifies that the given port on the local (client) host is to be
forwarded to the given host and port on the remote side.  This works by
allocating a socket to listen to port on the local side, optionally
bound to the specified bind_address. Whenever a connection is made to
this port, the connection is forwarded over the secure channel, and a
connection is made to host port hostport from the remote machine.  Port
forwardings can also be specified in the configuration file.  IPv6
addresses can be specified with an alternative syntax:
[bind_address/]port/host/hostport or by enclosing the address in square
brackets.  Only the superuser can forward privileged ports.  By default,
the local port is bound in accordance with the GatewayPorts setting.
However, an explicit bind_address may be used to bind the connection to
a specific address.  The bind_address of “localhost” indicates that the
listening port be bound for local use only, while an empty address or
‘*’ indicates that the port should be available from all interfaces.
>>

La bonne commande pour passer de votre machine a l'interface
web d'un equipement ubiquity a travers un ssh sur h2 est donc :

ssh -L 2080:172.31.31.10:80 -p 2222 root at h2.tetaneutral.net

Ensuite sur votre machine locale 

http://localhost:2080/

Devrait vous donner la page ubiquity.

A noter :

- ajouter "-N -f" aux arguments permets d'eviter d'ouvrir
un shell sur h2 et passe ssh en "background" immediatement.

- on peut ajouter plusieurs directives "-L" sur la meme commande

- on peut aussi utiliser la directive LocalForward
dans son fichier $HOME/.ssh/config c'est documenté dans
le man de ssh_config

Un exemple de $HOME/.ssh/config :

Host h2
  Port 2222
  Hostname 91.224.149.152
  User root
  IdentityFile /home/guerby/.ssh/id_rsa
  LocalForward 65010 172.31.31.10:80
  LocalForward 65009 172.31.31.9:80
  LocalForward 65008 172.31.31.8:80

De ma machine "ssh h2" me donne un shell root et je peux utiliser
http://localhost:65009/ pour acceder a 172.31.31.9

Au passage nous avons un sujet de projet de developpement web pour
rendre l'acces independant de ssh :

http://chiliproject.tetaneutral.net/issues/65

A formaliser :).

>       *  Il y a une autre solution qui consiste à importer l'interface
>         graphique mais nous en sommes moins surs car cette machine ne
>         doit pas avoir d'interface graphique.

Cette machine n'a en effet pas d'interface graphique.

> Sinon, grâce à un nmap du réseau 172.31.31.0/24 , nous avons repéré
> tous les équipements WIFI parmi 31 hosts dans ce réseau. 
> Nous avons également visualisé le contenu du fichier de config de la
> nanostation mais le plus intéressant serait d'avoir accès à
> l'interface d'administration.
> Nous n'avons pas encore identifié les communications entre chaque
> accès wifi mais j'espère vraiment que nous avancerons sur ce point
> rapidement. J'espère également que nous partirons sur des axes
> différents dès le début de la semaine.

Bon week-end en attendant !

Laurent

Plus d'informations sur la liste de diffusion technique