Hab hinter der Fritzbox die dbox, auf deren Webinterface ich gern aus dem Internet (abgesichert) zugreifen möchte. Hab ich da eine Chance - wie geht das?
sichere Weiterleiten auf http ?
- Ersteller starbright
- Erstellt am
Möglichkeit 1: wenn du einen per SSL gesicherten Zugang willst, kannst du dafür entweder Stunnel oder matrixtunnel einsetzen. freetz und dsmod bieten schon entsprechende Pakete.
Ein Eintrag Dienst-Eintag für Stunnel würde dann etwa so aussehen:
... wobei 192.168.178.2 die Adresse der dbox wäre und entsprechend Port 32443 nach Außen hin freigegeben werden müsste.
Für weitere Infos zu diesen Paketen, bitte das entsprechende Wiki konsultieren oder im dsmod/freetz Forum vorbeisehen. Die Weiterleitung/Freigabe eines dbox Web-Interfaces funktioniert genauso, wie das Freigeben der Fritz!Box Web-Konfiguration mit Stunnel/matrixtunnel nach Außen hin. Du kannst dir also die entsprechenden Anleitungen durchlesen.
Möglichkeit 2 ist einen Socks-Proxy via SSH zu erstellen. Das funktioniert dann so, dass du dich per SSH zu deiner Fritz!Box verbindest, auf der dann natürlich ein SSH-Server laufen muss, der von Außen erreichbar ist. Dein SSH-Client erstellt dann für dich einen lokalen Socks-Proxy, den du dann bspw. in Firefox einstellst. Dann kannst du ganz normal von Außen mit Firefox auf das Web-Interface über die LAN IP zugreifen.
Möglichkeit 3: VPN verwenden, das inzwischen in den neueren Fritz!Boxen integriert ist.
Ein Eintrag Dienst-Eintag für Stunnel würde dann etwa so aussehen:
Code:
[dbox HTTPS Web-Interface]
client = no
cert = /tmp/flash/.stunnel/certs.pem
key = /tmp/flash/.stunnel/key.pem
accept = 32443
connect = 192.168.178.2:80Für weitere Infos zu diesen Paketen, bitte das entsprechende Wiki konsultieren oder im dsmod/freetz Forum vorbeisehen. Die Weiterleitung/Freigabe eines dbox Web-Interfaces funktioniert genauso, wie das Freigeben der Fritz!Box Web-Konfiguration mit Stunnel/matrixtunnel nach Außen hin. Du kannst dir also die entsprechenden Anleitungen durchlesen.
Möglichkeit 2 ist einen Socks-Proxy via SSH zu erstellen. Das funktioniert dann so, dass du dich per SSH zu deiner Fritz!Box verbindest, auf der dann natürlich ein SSH-Server laufen muss, der von Außen erreichbar ist. Dein SSH-Client erstellt dann für dich einen lokalen Socks-Proxy, den du dann bspw. in Firefox einstellst. Dann kannst du ganz normal von Außen mit Firefox auf das Web-Interface über die LAN IP zugreifen.
Möglichkeit 3: VPN verwenden, das inzwischen in den neueren Fritz!Boxen integriert ist.
Danke - gleich 3 Möglichkeit. Da muß ich mich erst noch schlau machen.
Möchte möglichst wenig an der Box ändern (über die mods und freetz zu lesen brauch ich noch'n paar tage) aber auch was von unterwegs Praktikables (putty z.B).
Daher fällt VPN vermutlich schon mal weg, das braucht ne Installation und admin Rechte, die krieg ich nicht auf nem Internet-Cafe Rechner.
Die Anleitung zu dropbear (ssh) hab ich schon mal gelesen - aber die mit den Socks ... noch böhmische Dörfer. Kann den dropbear TCP forwarding? Dann surf ich den putty client an, der gibt die Infos an den SSH Server (FB) weiter und dieser mit Forwarding an den HTTP Server?
Oder hab ich das mißverstanden?
Ich bleib dran - muß ja auch selbst was tun und meld mich bei Erfolg, aber gute Tips sind weiterhin gern gesehen.
PS.: Wieviel Platz ist den im Flash der 7170 für zusätzliche Programme ohne mods?
Möchte möglichst wenig an der Box ändern (über die mods und freetz zu lesen brauch ich noch'n paar tage) aber auch was von unterwegs Praktikables (putty z.B).
Daher fällt VPN vermutlich schon mal weg, das braucht ne Installation und admin Rechte, die krieg ich nicht auf nem Internet-Cafe Rechner.
Die Anleitung zu dropbear (ssh) hab ich schon mal gelesen - aber die mit den Socks ... noch böhmische Dörfer. Kann den dropbear TCP forwarding? Dann surf ich den putty client an, der gibt die Infos an den SSH Server (FB) weiter und dieser mit Forwarding an den HTTP Server?
Oder hab ich das mißverstanden?
Ich bleib dran - muß ja auch selbst was tun und meld mich bei Erfolg, aber gute Tips sind weiterhin gern gesehen.
PS.: Wieviel Platz ist den im Flash der 7170 für zusätzliche Programme ohne mods?
Zuletzt bearbeitet:
Das ist nie verkehrt ... wenn du trotz Wiki und Suche nicht zurecht kommst, kannst du immer noch fragen
Das mit dem SOCKS Proxy funktioniert so, dass dir dein SSH Client (bspw Putty) einen dynamischen Tunnel zum Server aufbaut durch den dann der Traffic geleitet werden kann. Den Tunnel kannst du dann lokal über einen SOCKS Proxy auf localhost ansprechen. D.h. für die Dienste die du über den Proxy ansprichst sieht es so aus, als kämst du vom SSH-Server (Fritz!Box) selbst. Wenn du in Firefox das entsprechend eingestellt hast, kannst du dann bspw. einfach über "http://192.168.178.1" auf die Fritz!Box zugreifen.
Kann ich dir nicht genau sagen, dropbear und Stunnel bekommst du aber bspw. ohne Probleme zusammen drauf. Vielleicht ist das hier noch interessant für dich.
So, hab jetzt meinen SSH server auf der FB laufen. Auch die Portfreigabe und dyndns geht.
Muß dann aber doch klein beigeben. Kannst Du mir genauer erklären wie ich wo was in Putty (da gibst so viel Menus) und im Firefox einzustellen hab? Und woher weiß der ssh Server das das was bei ihm ankommt an ein anderes Gerät weitergereicht werden soll. Kommt ja alles am ssh Port an und der ist auf die Fritzbox selbst umgeleitet.
Muß dann aber doch klein beigeben. Kannst Du mir genauer erklären wie ich wo was in Putty (da gibst so viel Menus) und im Firefox einzustellen hab? Und woher weiß der ssh Server das das was bei ihm ankommt an ein anderes Gerät weitergereicht werden soll. Kommt ja alles am ssh Port an und der ist auf die Fritzbox selbst umgeleitet.
Nicht so schnell mit den jungen Pferden
Ich empfehle noch den Beitrag in folgendem Wiki.
Mit dieser Methode kannst du jeden Dienst auf jedem TCP Port in deinem LAN über den SOCKS Proxy ansprechen (nicht nur die Fritz!Box Web-Oberfläche). Wobei die Aussage "unterschiedliche Sub-Netze für remote und lokales Netzwerk" benötigt nicht stimmt. Das kannst du ignorieren - und auch die entsprechende "No Proxy for" Regel, weil du ja sonst die IP-Adressen aus dem Ziel-LAN nicht ansprechen kannst.
Für Programme die keine Proxy Einstellung haben (wie bspw. die Microsoft Remote Desktop Verbindung), kannst du bspw. Freecap verwenden.
Ja, war zu schnell. Mit der von MaxMuster empfohlenen Seite klappte es prima mit http, aber ftp (Port21) ging von aussen nicht. Jedenfalls nicht mit dem Browser ftp://localhost . Jetzt hab ich gelesen, das da wohl noch ein zweiter Port gebraucht wird...
Oder kann es sein, das mir aus dem Firmennetz FTP verboten ist? Andererseits, das einzige was man vom WAN aus braucht und sieht ist das ssh, oder?
Die zweite Methode (DBRs Tip) hab ich ausprobiert, aber vermutlich nicht recht verstanden.
Ich hab gedacht, dass man mit diesen Settings dann im Firefox des Firmennetzes/I-Cafe so tun kan als wäre man daheim im LAN. Also bspw mit 192.168.1.1 die Fritzbox oder 192.168.1.9 die NAS adressieren. Aber das wäre wohl zu einfach ...
Oder kann es sein, das mir aus dem Firmennetz FTP verboten ist? Andererseits, das einzige was man vom WAN aus braucht und sieht ist das ssh, oder?
Die zweite Methode (DBRs Tip) hab ich ausprobiert, aber vermutlich nicht recht verstanden.
Ich hab gedacht, dass man mit diesen Settings dann im Firefox des Firmennetzes/I-Cafe so tun kan als wäre man daheim im LAN. Also bspw mit 192.168.1.1 die Fritzbox oder 192.168.1.9 die NAS adressieren. Aber das wäre wohl zu einfach ...
Genau das und FTP gehen mit einem dynamischen Tunnel --> SOCKS Proxy.
Du stellst bei PuTTY folgendes ein:
Session:
Code:
Host Name = xxxx.dyndns.org
Port = SSH PortConnection - SSH - Tunnels:
Code:
Source Port = 8088
DynamicDann baust du über diese Einstellungen eine SSH-Verbindung zu deiner Fritz!Box auf, wodurch ein SOCKS Proxy auf localhost:8088 verfügbar wird.
D.h. du stellst in Firefox als Proxy (Erweitert - Netzwerk - Einstellungen) ein:
Code:
SOCKS-Host = 127.0.0.1
SOCKS v5
Kein Proxy für: localhost, 127.0.0.1Dann kannst du in der Tat auf alle Web-/FTP-Dienste in deinem LAN per Firefox über die LAN-IP zugreifen. Also wenn dein NAS per 192.168.1.9 erreichbar ist, eben einfach über ftp://192.168.1.9.
Willst du ein anderes Programm als Firefox verwenden, das keine Proxy-Einstellungen von sich aus unterstützt, musst du wie gesagt ein Programm wie FreeCap einsetzen.
Danke fuer die Erklaerung- kling gut. Komm aber erst in 3 Wochen zum Testen.
Melde mich dann wieder.
Melde mich dann wieder.
Manchmal dauert es etwas länger. Wenn der Port in Putty auf 8088 steht, dann muß ich doch den auch im Firefox angeben, richtig? Also
SOCKS-Host = 127.0.0.1 Port 8088
Aber ist:
Kein Proxy für: localhost, 127.0.0.1
nicht doppelt gemoppelt? Localhost ist doch 127.0.0.1, oder nicht?
SOCKS-Host = 127.0.0.1 Port 8088
Aber ist:
Kein Proxy für: localhost, 127.0.0.1
nicht doppelt gemoppelt? Localhost ist doch 127.0.0.1, oder nicht?
Ja, richtig - den entsprechenden Port musst du natürlich auch in Firefox bei den Proxy-Einstellungen angeben.
localhost ist ein Domain-Name der in der Regel zu der IP-Adresse 127.0.0.1 aufgelöst wird. D.h. es ist nicht doppelt gemoppelt, weil dadurch der Proxy für http://localhost und http://127.0.0.1 umgangen wird.
localhost ist ein Domain-Name der in der Regel zu der IP-Adresse 127.0.0.1 aufgelöst wird. D.h. es ist nicht doppelt gemoppelt, weil dadurch der Proxy für http://localhost und http://127.0.0.1 umgangen wird.
Gern geschehen
Allen anderen möchte ich noch den "Server-Modus mit Client-Authentifikation" von hier wärmstens empfehlen. Ist DEUTLICH sicherer, als das was AVM da mit seiner Fernwartung macht.
Ich komm mir vor wie ein DAU. Eigentlich dachte ich, funktioniert es, aber das lag wohl daran, dass ich noch im eigenen Netz war. Jetzt bin ich mal wirklich ausserhalb. Ausgangslage:
Im Putty hab ich SSH Verbindung zu meiner Fritzbox aufgenommen und zwar mit im Reiter Tunnel der Einstellung "D 8888" im Forwarded Ports Feld.
Also dynamischer Forward, Port 8888 und Add gedrückt. So hab ich das verstanden.
Dazu hab im Firefox bei den Verbindungseinstellungen eingegeben:
Manuelle Proxy,
bei http: 127.0.0.1 Port 8888, Einstellung für alle Verwendungen, keine proxys für localhost und 127.0.0.1.
dann putty geöffnet, eingeloggt. dann wollte ich die entfernte locale Adresse der FB , in den Browser eingeben - in der Hoffnung, dass sich dann die Web-Seite der Box öffnet - sozusagen eine sicherer Fernwartung.
Aber es tat nicht. Die Seite im Browser blieb einfach weiß.
Was hab ich da falsch gemacht?
Im Putty hab ich SSH Verbindung zu meiner Fritzbox aufgenommen und zwar mit im Reiter Tunnel der Einstellung "D 8888" im Forwarded Ports Feld.
Also dynamischer Forward, Port 8888 und Add gedrückt. So hab ich das verstanden.
Dazu hab im Firefox bei den Verbindungseinstellungen eingegeben:
Manuelle Proxy,
bei http: 127.0.0.1 Port 8888, Einstellung für alle Verwendungen, keine proxys für localhost und 127.0.0.1.
dann putty geöffnet, eingeloggt. dann wollte ich die entfernte locale Adresse der FB , in den Browser eingeben - in der Hoffnung, dass sich dann die Web-Seite der Box öffnet - sozusagen eine sicherer Fernwartung.
Aber es tat nicht. Die Seite im Browser blieb einfach weiß.
Was hab ich da falsch gemacht?
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,439
- Punkte für Reaktionen
- 619
- Punkte
- 113
Hallo,
Weiter oben hast du doch schon selbst beschrieben: Es ist ein SOCKS Proxy, kein HTTP Proxy.
Ich finde nur die Zeile Socks-Host
Und dann bleibt die Frage, was in die anderen Zeilen (http, ssl.ftp ..) eintragen?
Ein Haken (für alles) macht da. dachte ich, schon das richtige, denn die Zeile
localhost 8888 wird ja dann auch für Socks Host gültig. Oder?
Und dann bleibt die Frage, was in die anderen Zeilen (http, ssl.ftp ..) eintragen?
Ein Haken (für alles) macht da. dachte ich, schon das richtige, denn die Zeile
localhost 8888 wird ja dann auch für Socks Host gültig. Oder?
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,439
- Punkte für Reaktionen
- 619
- Punkte
- 113
Hallo,
der Haken bei "für Alles" löst eine Katastrophe aus, da Firefox dann versucht, einen HTTP Proxy für HTTP zu finden, einen FTP Proxy für FTP usw. Die gibts aber alle nicht.
Ein Eintrag bei Socks und sonst nichts. Gerade probiert, klappt super.
der Haken bei "für Alles" löst eine Katastrophe aus, da Firefox dann versucht, einen HTTP Proxy für HTTP zu finden, einen FTP Proxy für FTP usw. Die gibts aber alle nicht.
Ein Eintrag bei Socks und sonst nichts. Gerade probiert, klappt super.
Du hast komplett recht! Jetzt endlich geht es. Und danke für die Erklärung.
Jetzt kann ich trotz proxy auch andere Seiten im Internet erreichen.
Aber das bedeutet dann auch, das mein Internetverkehr auch immer über meinen Internetzugang geht (tötlich ohne Flatrate).
Bedeutet das nicht sogar, dass ich mit diesen Einstellungen auch über offenes WLAN usw eine sichere Verbindung (Ich denke mal an gmx.de oder online-Banking) möglich ist? Oder ist das ssh-Passwort beim Putty Login eine Schwachstelle?
Jetzt kann ich trotz proxy auch andere Seiten im Internet erreichen.
Aber das bedeutet dann auch, das mein Internetverkehr auch immer über meinen Internetzugang geht (tötlich ohne Flatrate).
Bedeutet das nicht sogar, dass ich mit diesen Einstellungen auch über offenes WLAN usw eine sichere Verbindung (Ich denke mal an gmx.de oder online-Banking) möglich ist? Oder ist das ssh-Passwort beim Putty Login eine Schwachstelle?
Neueste Beiträge
-
Fritz!Box Telefon-dingsbums V5
- Letzte: l.gun
-
[Info] Update-Check über den neuen AVM-Service
- Letzte: bino
-
FRITZ!Box 7590 AX / FRITZ!OS 8.00 vom 16.09.2024
- Letzte: AugeK
-
FB 6591 verschiedenes- Letzte: Micha0815
-
[Problem] Berliner Altbau - Probleme mit der Verkabelung? VDSL Probleme mit FB 7590
- Letzte: KunterBunter
-
[Problem] Yealink T58V mit PIN geschützt und geändertem admin PW- Letzte: Charly II
