Zyxel Speedlink 5501 IAD - Freischalten des ssh-Zugangs
Da die Deutsche Telekom nun auch unser Ortsnetz auf All-IP umstellt und die bestehenden ISDN-Verträge gekündigt hat, war Ersatz für den Thomson ST585v6, der bisher unsere ADSL2-Annex-J-Verbindung recht zuverlässig betrieb, fällig, da hier jetzt auch VDSL verfügbar ist.
Die Deutsche Telekom hat unter anderem den Zyxel (vormals Sphairon) Speedlink 5501 im Programm, ein Kombinationsgerät, das neben dem V/ADSL-Modem mit PPOE-Passthrough u.a. auch noch einen WLAN-AP, VOIP, eine Telefonanlage, einen S0-Bus zum Anschluß von ISDN-Geräten oder -Telefonanlagen, 2x100Mb und 2x1Gb LAN-Ports bietet.
Leider ist bei diesem Gerät im Auslieferungszustand der ssh-Zugang deaktiviert.
Warnung: Dieses Howto fußt auf undokumentierten Funktionen, die sich mit jeder Firmwareänderung verändern können. Es ist möglich, daß Euer Device durch die hier beschriebene Methode 'gebrickt' wird oder auf andere Weise kaputt geht. YMMV/YHBW!. Weiterlesen auf eigene Gefahr!
Update März 2021(war: April 2017): Versteckte Option in der Benutzeroberfläche
Es existiert (Update September 2020: Der Originallink zur dieser Methode ist leider nicht mehr zugänglich) auch eine versteckte Option in der Benutzeroberfläche, mit der sich auf diesem Gerät ein Entwicklermodus freischalten läßt, der ebenfalls den ssh-Zugang aktiviert, direkt über das Webinterface des Routers.
Kurz gefaßt: die versteckte Option liegt unter
/webng.cgi?sid=auto&controller=WebConfig&action=hiddenDevActivation
auf dem Speedlink, dort die Checkbox markieren, Save, dann den Resetbutton am Speedlink drücken, was als Sicherheitsfeature dient (bis die Power-LED rot wird). Wenn nach Neuladen der Benutzeroberfäche oben Ansicht: ENTWICKLER steht, hat das geklappt.
In dieser Ansicht gibt es einige vorher versteckte Menüeinträge zu sehen, unter anderem unter System den Eintrag SSH. Dort könnt Ihr Nutzer eintragen, Rechte definieren und auch einstellen, ob der SSH-Zugang übers WAN-Interface aktiv sein und damit von außen erreichbar sein soll (womit ich sehr vorsichtig wäre).
Damit könnt Ihr Euch dann über ssh einloggen. Falls Ihr dabei die Meldung
no matching host key type found. Their offer: ssh-dss
bekommt, hilft die Option
ssh -oHostKeyAlgorithms=+ssh-dss
Nun sollte der ssh-Zugang möglich sein; um den (veralteten) Verschlüsselungsalgorithmus auf Dauer zu konfigurieren, die Datei ~/.ssh/config mit dem Inhalt
Host $IP-Adresse-des-Speedlink
HostkeyAlgorithms ssh-dss
erzeugen.
So habt Ihr Zugriff auf das Linux, was auf dem Speedlink läuft (und sogar die ASCII-Art wurde gefixt :-) ). Aber: hic sunt leones. Ihr könnt jetzt alles konfigurieren und damit auch alles kaputtmachen. Ein vorheriges Backup der funktionierenden Einstellungen sollte selbstverständlich sein, so wie auch der Grundsatz, Änderungen nur vorzunehmen, wenn klar ist, was sie bewirken.