.
- Ersteller carlito
- Erstellt am
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,511
- Punkte für Reaktionen
- 636
- Punkte
- 113
Hallo,
eine gute Möglichkeit, (TCP-)Verbindungen zu tunneln, ist SSH. SSH Server gibt es auch für Windows, im cygwin Paket (www.cygwin.com) oder auch den freeSSHd (http://freesshd.com/). Die kann man auch so konfigurieren, dass sie auf Port 80 (HTTP) oder 443 (HTTPS) lauschen. Cygwin stellt eine nahezu komplette Unix-Userspaceumgebung in Windows zu Verfügung und ist für deine Zwecke wahrscheinlich überdimensioniert. Allerdings setze ich persönlich das ein, deshalb kann ich sagen, dass es gut funktioniert.
Als Client bietet sich Putty (http://www.chiark.greenend.org.uk/~sgtatham/putty/) an. Portweiterleitungen lassen sich bequem konfigurieren, und das Executeable ist nur sagenhafte 420 kByte groß und passt damit sogar locker auf eine Diskette.
Um z.B. RemoteDesktop oder VNC zu machen, eignet sich das hervorragend. Eine deutsche Anleitung gibts zum Beispiel hier. Zwar für einen fli4l, aber die Anleitung lässt sich verhältnismäßig einfach auf ein Szenario Windows XP hinter Fritzbox umlegen. In Englisch gibts auch direkt passende Anleitungen, einfach mal bei Google suchen.
Beachte, dass man sinnvoll nur TCP über SSH tunneln kann. UDP Verbindungen klappen nicht. Brauchst du UDP, solltest du eine OpenVPN Umsetzung ins Auge fassen, aber da bin ich kein Experte. Ich könnte mir z.B. vorstellen, dass man dafür Administrator Rechte auch auf dem Client braucht.
Für Wake on Lan müsstest du die Fritzbox patchen, im DaniSahne Mod ist das drin, aber auch da bin ich kein Experte.
Viele Grüße
Frank
eine gute Möglichkeit, (TCP-)Verbindungen zu tunneln, ist SSH. SSH Server gibt es auch für Windows, im cygwin Paket (www.cygwin.com) oder auch den freeSSHd (http://freesshd.com/). Die kann man auch so konfigurieren, dass sie auf Port 80 (HTTP) oder 443 (HTTPS) lauschen. Cygwin stellt eine nahezu komplette Unix-Userspaceumgebung in Windows zu Verfügung und ist für deine Zwecke wahrscheinlich überdimensioniert. Allerdings setze ich persönlich das ein, deshalb kann ich sagen, dass es gut funktioniert.
Als Client bietet sich Putty (http://www.chiark.greenend.org.uk/~sgtatham/putty/) an. Portweiterleitungen lassen sich bequem konfigurieren, und das Executeable ist nur sagenhafte 420 kByte groß und passt damit sogar locker auf eine Diskette.
Um z.B. RemoteDesktop oder VNC zu machen, eignet sich das hervorragend. Eine deutsche Anleitung gibts zum Beispiel hier. Zwar für einen fli4l, aber die Anleitung lässt sich verhältnismäßig einfach auf ein Szenario Windows XP hinter Fritzbox umlegen. In Englisch gibts auch direkt passende Anleitungen, einfach mal bei Google suchen.
Beachte, dass man sinnvoll nur TCP über SSH tunneln kann. UDP Verbindungen klappen nicht. Brauchst du UDP, solltest du eine OpenVPN Umsetzung ins Auge fassen, aber da bin ich kein Experte. Ich könnte mir z.B. vorstellen, dass man dafür Administrator Rechte auch auf dem Client braucht.
Für Wake on Lan müsstest du die Fritzbox patchen, im DaniSahne Mod ist das drin, aber auch da bin ich kein Experte.
Viele Grüße
Frank
Was meinst du damit? Ich verstehe das nicht ganz. Was verstehst du unter Auswerten?carlito schrieb:
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,511
- Punkte für Reaktionen
- 636
- Punkte
- 113
Hallo,
Wichtig ist schließlich nur, dass die Ports von HTTPS oder HTTP benutzt wird, damit du reibungslos durch eure Firewall raus kommst. Welches Protokoll du dabei benutzt, ist wahrscheinlich egal. Also würde SSH sich anbieten, das ist der Quasi-Standard in dem Bereich.
). Aber wie gesagt - cygwin ist mächtig und entsprechend aufwendig einzurichten. Aber wenn es erst mal läuft - ist es was für Feinschmecker.
Viele Grüße
Frank
Das Problem mit HTTPS ist, dass ich nicht weiß, ob man darüber ohne weiteres andere Dienste tunneln kann, wie RemoteDesktop. Auf jeden Fall müsstest du einen HTTP Server (IIS z.B) aufsetzen, viel Aufwand.carlito schrieb:
Wichtig ist schließlich nur, dass die Ports von HTTPS oder HTTP benutzt wird, damit du reibungslos durch eure Firewall raus kommst. Welches Protokoll du dabei benutzt, ist wahrscheinlich egal. Also würde SSH sich anbieten, das ist der Quasi-Standard in dem Bereich.
Ja, eigentlich richtig. Es gibt aber die Möglichkeit, einige Serverdienste von cygwin als Windows Dienste zu starten. Ein SSH Server gehört dazu, genau wie u.a. ein NFS Server (den benutze ich, um Videos von meiner d-Box auf meinen PC zu streamencarlito schrieb:
). Aber wie gesagt - cygwin ist mächtig und entsprechend aufwendig einzurichten. Aber wenn es erst mal läuft - ist es was für Feinschmecker.Genau. Auf deinen dyndns Account und den Port, auf dem du den SSH Server eingerichtet hast. Vergiss nicht, eine entsprechende Portweiterleitung in der Fritzbox für den Server einzurichten.carlito schrieb:
Klappt bestimmt - ist aber nicht kostenlos, wie meine beiden Vorschläge. Dafür ist es bestimmt einfacher einzurichten (mit weniger Handarbeit).carlito schrieb:
RDP geht über TCP. UDP braucht man häufig für Streamingdienste, wie VoIP oder Videostreaming.
Viele Grüße
Frank
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,511
- Punkte für Reaktionen
- 636
- Punkte
- 113
Hallo,
.
Bezgl. der Abhörsicherheit: Wenn man Protokolle mit Ende-zu-Ende Verschlüsselung benutzt (wie SSH), dann ist Abhören nach heutigem Stand der Technik nicht möglich. Der Port ist dabei egal.
Gleiches gilt umgekehrt aber auch: Unverschlüsselte Übertragungen sind auf jedem Port abzuhören, auch auf denen, auf denen "normalerweise" verschlüsselt übertragen wird.
Putty stellt als Client die SSH Verbindung zum SSH Server her. Damit besteht zwischen den beiden Rechnern quasi eine verschlüsselte Punkt-zu-Punkt Verbindung.
Der Trick dabei ist, dass ein Port für einen anderen Dienst durch diese SSH Verbindung "getunnelt" wird. Eine recht gute Erklärung gibt es hier: http://top10.physik.uni-freiburg.de/Einfuehrung/ssh-forwarding/
Tunnelt man den RDP Port durch SSH, so passiert folgendes:
Der RDP Client greift auf den durch den SSH Client lokal zur Verfügung gestellten Port zu. Diese Anfrage wird durch die SSH Verbindung zum SSH Server übertragen, der sie seinerseits an den RDP Server übergibt. Die Antwort läuft den gleichen Weg zurück.
Viele Grüße
Frank
Das ist wichtig, wenn es darum geht, problemlos durch eure Firewall zu kommen. Wenn alle anderen Ports außer 443 und 80 gesperrt sind, dann muss man die halt nehmencarlito schrieb:
.Bezgl. der Abhörsicherheit: Wenn man Protokolle mit Ende-zu-Ende Verschlüsselung benutzt (wie SSH), dann ist Abhören nach heutigem Stand der Technik nicht möglich. Der Port ist dabei egal.
Gleiches gilt umgekehrt aber auch: Unverschlüsselte Übertragungen sind auf jedem Port abzuhören, auch auf denen, auf denen "normalerweise" verschlüsselt übertragen wird.
Genau das.carlito schrieb:
Zum einen ist Putty nicht auschließlich für die Kommandozeile, sondern bietet auch eine grafische Oberfläche.carlito schrieb:
Putty stellt als Client die SSH Verbindung zum SSH Server her. Damit besteht zwischen den beiden Rechnern quasi eine verschlüsselte Punkt-zu-Punkt Verbindung.
Der Trick dabei ist, dass ein Port für einen anderen Dienst durch diese SSH Verbindung "getunnelt" wird. Eine recht gute Erklärung gibt es hier: http://top10.physik.uni-freiburg.de/Einfuehrung/ssh-forwarding/
Tunnelt man den RDP Port durch SSH, so passiert folgendes:
Der RDP Client greift auf den durch den SSH Client lokal zur Verfügung gestellten Port zu. Diese Anfrage wird durch die SSH Verbindung zum SSH Server übertragen, der sie seinerseits an den RDP Server übergibt. Die Antwort läuft den gleichen Weg zurück.
Viele Grüße
Frank
wichard
IPPF-Promi
- Mitglied seit
- 16 Jun 2005
- Beiträge
- 6,954
- Punkte für Reaktionen
- 0
- Punkte
- 36
Bedenke bitte bei all diesen Gedankenspielen: Sollte dann doch jemand merken, daß Du Dich durch die Firewall tunnelst, so kann Dir der Arbeitgeber fristlos kündigen.
(Nein, ich bin kein Moralapostel - wollte es nur vorsichtshalber mal erwähnt haben.)
Gruß,
Wichard
(Nein, ich bin kein Moralapostel - wollte es nur vorsichtshalber mal erwähnt haben.)
Gruß,
Wichard
DonaldDuck
Neuer User
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 9
- Punkte für Reaktionen
- 0
- Punkte
- 0
Remote auf Dreambox?!
Jetzt mal ne noch schwierigere Situation: WIe würde ich das hinkriegen wenn ich übers Internet auf meine Dreambox zugreifen will? Die hat ja keine vorinstallierten Remotetools...Jemand ne Idee?
DonaldDuck
Jetzt mal ne noch schwierigere Situation: WIe würde ich das hinkriegen wenn ich übers Internet auf meine Dreambox zugreifen will? Die hat ja keine vorinstallierten Remotetools...Jemand ne Idee?
DonaldDuck
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,511
- Punkte für Reaktionen
- 636
- Punkte
- 113
Hallo,
wenn du auf deiner Drembox einen SSH Server laufen hast, ist das kein Problem. Du musst dir ein Image suchen, dass einen drin hat.
Ich mache das so mit einer d-Box. Die ist eh an, wenn es mal was aufzuzeichnen gibt. Der SSH Server läuft dauerhaft auf der d-Box, und ich kann von da aus per Wake on LAN meine Rechner anwerfen. Die haben dann ihrerseits auch wieder SSH Server (Linux und Windows), erforderlichenfalls kann man darüber VNC tunneln. Für den Datenaustausch funktioniert scp oder sshfs auch direkt, ohne VNC.
Einziges Problem: Wenn man hinter einem dyndns-Account mehrere SSH Server hat. Ein "normaler" SSH Client beschwert sich dann, dass auf dem Host plötzlich ein anderer Host Key aktiv ist. Mit ein wenig Know-How kann man aber die Host Keys aller SSH Server "harmonisieren", so dass diese Fehlermeldung nicht mehr auftritt.
Viele Grüße
Frank
wenn du auf deiner Drembox einen SSH Server laufen hast, ist das kein Problem. Du musst dir ein Image suchen, dass einen drin hat.
Ich mache das so mit einer d-Box. Die ist eh an, wenn es mal was aufzuzeichnen gibt. Der SSH Server läuft dauerhaft auf der d-Box, und ich kann von da aus per Wake on LAN meine Rechner anwerfen. Die haben dann ihrerseits auch wieder SSH Server (Linux und Windows), erforderlichenfalls kann man darüber VNC tunneln. Für den Datenaustausch funktioniert scp oder sshfs auch direkt, ohne VNC.
Einziges Problem: Wenn man hinter einem dyndns-Account mehrere SSH Server hat. Ein "normaler" SSH Client beschwert sich dann, dass auf dem Host plötzlich ein anderer Host Key aktiv ist. Mit ein wenig Know-How kann man aber die Host Keys aller SSH Server "harmonisieren", so dass diese Fehlermeldung nicht mehr auftritt.
Viele Grüße
Frank
Zuletzt bearbeitet:
DonaldDuck
Neuer User
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 9
- Punkte für Reaktionen
- 0
- Punkte
- 0
Danke!
Vielen dank für für die echt schnelle Antwort! Is ja wie im Chatroom hier :-D ! Gemini 2.9 müsste sowas haben oder? Naja ich werd mich ma schlau machen....Aber son direkt Zugriff auf das Webinterface oder so wäre nicht möglich?
Vielen dank für für die echt schnelle Antwort! Is ja wie im Chatroom hier :-D ! Gemini 2.9 müsste sowas haben oder? Naja ich werd mich ma schlau machen....Aber son direkt Zugriff auf das Webinterface oder so wäre nicht möglich?
Zuletzt bearbeitet:
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,511
- Punkte für Reaktionen
- 636
- Punkte
- 113
Hallo,
@DonaldDuck: Wenn du einen direkten (ungeschützten) Zugriff auf die Weboberfläche der Dreambox möchtest: Kein Problem, einfach Port 80 in der Fritzbox auf die IP der Dreambox weiterleiten, und schon kann jeder über z.B. einen dyndnsaccount darauf zugreifen, aber wie gesagt: Ungeschützt! Dafür braucht man nicht mal SSH. Natürlich ist ein verschlüsselter Zugang über SSH auch ohne weiteres möglich. Einfach einen Tunnel auf Localhost Port 80 (wenn der SSH Server auf der Dream ist) und fertig: Zugriff verschlüsselt über SSH auf die Weboberfläche der Dream. Sieh in die Anleitungen, deren Links ich in den vorigen Beiträgen gepostet habe, das ist leicht zu adaptieren. Oder suche danach in Google, da finden sich sicherlich haufenweise Anleitungen.
@carlito: Ob du Ports umbiegst oder direkt verwendest, ist bei einem SSH Tunnel egal: Der öffentliche Port ist nur der des SSH Servers, standardmäßig Port 22 TCP, aber natürlich ist auch ein anderer möglich (Beachte den Hinweis von wichard, da ist was dran!)
Cygwin hat eine OpenSSH Implementierung, es gab auch mal ein Komplettpaket, basierte aber auch auf cygwin. Es gibt aber auch haufenweise andere SSH Server für Windows.
In deinem Beispiel:
Mache eine Portweiterleitung von der Fritz Port 443 auf den PC Port 22, dann sieht das ganze so aus:
Client1 mit Remotedesktop -> Putty (beliebiger lokaler Port) -> Port 443 auf der Fritzbox -> SSH Server auf dem PC (Port 22) -> Zugriff auf Remotedesktop auf dem PC (Port 3389).
Der letzte rot markierte Pfeil geht vollkommen automatisch, davon bekommst du gar nichts mit. Du brauchst nur den SSH Server laufen zu lassen, wenn im Client der entsprechende Port angefordert wird, macht der Server ohne weitere Konfiguration den Zugriff auf den gewünschten Port (3389).
Die Übertragung ist sicher, die Verschlüsselung ist Ende zu Ende. Einzige Möglichkeit: Man sieht deine dyndns Domain in irgendwelchen Logs und das es SSH ist, mehr nicht. Aber das lässt sich generell nicht verhindern.
OpenVPN ist eine Möglichkeit, wie ich auch schon in meinem ersten Posting schrieb. Die Lösung ist sehr viel mächtiger als ein einfaches Porttunneling über SSH, dein PC am Arbeitsplatz verhält sich dann quasi so, als würde er selbst auch hinter deiner Box hängen, der Zugriff auf deinen PC Zuhause hönnte erfolgen, wie aus dem LAN heraus. Lies dich mal bzgl. VPNs schlau, da gibt es bestimmt auch bei Wiki was. In einer der letzten c'ts gabs einen ausführlichen Artikel zu OpenVPN. Das wäre die Luxus Variante.
Viele Grüße
Frank
@DonaldDuck: Wenn du einen direkten (ungeschützten) Zugriff auf die Weboberfläche der Dreambox möchtest: Kein Problem, einfach Port 80 in der Fritzbox auf die IP der Dreambox weiterleiten, und schon kann jeder über z.B. einen dyndnsaccount darauf zugreifen, aber wie gesagt: Ungeschützt! Dafür braucht man nicht mal SSH. Natürlich ist ein verschlüsselter Zugang über SSH auch ohne weiteres möglich. Einfach einen Tunnel auf Localhost Port 80 (wenn der SSH Server auf der Dream ist) und fertig: Zugriff verschlüsselt über SSH auf die Weboberfläche der Dream. Sieh in die Anleitungen, deren Links ich in den vorigen Beiträgen gepostet habe, das ist leicht zu adaptieren. Oder suche danach in Google, da finden sich sicherlich haufenweise Anleitungen.
@carlito: Ob du Ports umbiegst oder direkt verwendest, ist bei einem SSH Tunnel egal: Der öffentliche Port ist nur der des SSH Servers, standardmäßig Port 22 TCP, aber natürlich ist auch ein anderer möglich (Beachte den Hinweis von wichard, da ist was dran!)
Cygwin hat eine OpenSSH Implementierung, es gab auch mal ein Komplettpaket, basierte aber auch auf cygwin. Es gibt aber auch haufenweise andere SSH Server für Windows.
In deinem Beispiel:
wäre der SSH Server auf der Fritzbox (geht auch, würde aber einen Firmware MOD auf der Fritz erfordern). Mein Vorschlag:carlito schrieb:
Mache eine Portweiterleitung von der Fritz Port 443 auf den PC Port 22, dann sieht das ganze so aus:
Client1 mit Remotedesktop -> Putty (beliebiger lokaler Port) -> Port 443 auf der Fritzbox -> SSH Server auf dem PC (Port 22) -> Zugriff auf Remotedesktop auf dem PC (Port 3389).
Der letzte rot markierte Pfeil geht vollkommen automatisch, davon bekommst du gar nichts mit. Du brauchst nur den SSH Server laufen zu lassen, wenn im Client der entsprechende Port angefordert wird, macht der Server ohne weitere Konfiguration den Zugriff auf den gewünschten Port (3389).
Die Übertragung ist sicher, die Verschlüsselung ist Ende zu Ende. Einzige Möglichkeit: Man sieht deine dyndns Domain in irgendwelchen Logs und das es SSH ist, mehr nicht. Aber das lässt sich generell nicht verhindern.
OpenVPN ist eine Möglichkeit, wie ich auch schon in meinem ersten Posting schrieb. Die Lösung ist sehr viel mächtiger als ein einfaches Porttunneling über SSH, dein PC am Arbeitsplatz verhält sich dann quasi so, als würde er selbst auch hinter deiner Box hängen, der Zugriff auf deinen PC Zuhause hönnte erfolgen, wie aus dem LAN heraus. Lies dich mal bzgl. VPNs schlau, da gibt es bestimmt auch bei Wiki was. In einer der letzten c'ts gabs einen ausführlichen Artikel zu OpenVPN. Das wäre die Luxus Variante.
Viele Grüße
Frank
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,511
- Punkte für Reaktionen
- 636
- Punkte
- 113
Hallo,
Generell bekommt man aber bei einem Portscan von einer Fritzbox nur wenig Antworten: Kommen zu viele Anfragen in kurzer Zeit von nur einem Absender, dann vermutet die Fritz einen Angriff und macht "alle Schotten dicht".
Das dort Daten ausspioniert oder in irgend einer Form missbraucht wird, kann ich mir nicht vorstellen. Die Sache wird verheimlicht, um "Nachahmer" nicht auf den Plan zu rufen. Aber ist eine kleine - unschöne - Randnotiz.
Es funktioniert aber offensichtlich gut.
Viele Grüße
Frank
Auf Port 22 bekommt er ach bei einem Portscan keine Antwort, nur auf 443.carlito schrieb:
Generell bekommt man aber bei einem Portscan von einer Fritzbox nur wenig Antworten: Kommen zu viele Anfragen in kurzer Zeit von nur einem Absender, dann vermutet die Fritz einen Angriff und macht "alle Schotten dicht".
Der freeSSHd geht recht gut.carlito schrieb:
Davon hab ich auch mal gehört. Leider ist ein wenig unklar, was beim Verbindungsaufbau "hinter den Kulissen" passiert. Auch in der c't sind sie der Sache mit Sniffer Tools nicht so richtig auf die Spur gekommen. Das würde mich stören.carlito schrieb:
Das dort Daten ausspioniert oder in irgend einer Form missbraucht wird, kann ich mir nicht vorstellen. Die Sache wird verheimlicht, um "Nachahmer" nicht auf den Plan zu rufen. Aber ist eine kleine - unschöne - Randnotiz.
Es funktioniert aber offensichtlich gut.
Viele Grüße
Frank
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,511
- Punkte für Reaktionen
- 636
- Punkte
- 113
Hallo,
soweit ich weiß, kann man das Verhalten der Box, sich bei Portscans komplett abzuschließen, nicht beeinflussen. Vielleicht hat die Fraktion der Firmware-Modder eine Lösung, ich weiß mit Boardmitteln keine. Ich habe aber auch nie danach gesucht.
Viele Grüße
Frank
soweit ich weiß, kann man das Verhalten der Box, sich bei Portscans komplett abzuschließen, nicht beeinflussen. Vielleicht hat die Fraktion der Firmware-Modder eine Lösung, ich weiß mit Boardmitteln keine. Ich habe aber auch nie danach gesucht.
Viele Grüße
Frank
frank_m24
IPPF-Urgestein
- Mitglied seit
- 20 Aug 2005
- Beiträge
- 20,511
- Punkte für Reaktionen
- 636
- Punkte
- 113
Hallo,
die Anleitung ist wirklich prima.
Genau so würde ich es machen, wenn ich Remote Desktop nutzen würde. Ich habe es mit VNC eigentlich exakt so gemacht, halt nur für Port 5900 (VNC Server) statt 3389. Außerdem habe ich ein paar mehr Pakete in cygwin installiert, da ich es auch neben SSH oft brauche (NFS Server z.B.). Aber beides sind Nebensächlichkeiten.
Viele Grüße
Frank
die Anleitung ist wirklich prima.
Genau so würde ich es machen, wenn ich Remote Desktop nutzen würde. Ich habe es mit VNC eigentlich exakt so gemacht, halt nur für Port 5900 (VNC Server) statt 3389. Außerdem habe ich ein paar mehr Pakete in cygwin installiert, da ich es auch neben SSH oft brauche (NFS Server z.B.). Aber beides sind Nebensächlichkeiten.
Viele Grüße
Frank
Neueste Beiträge
-
[Problem] FritzBox 7590 2,4GHz WLAN nur noch sehr sehr schwach- Letzte: Erforderlich
-
Fritz!Box 7490 in Bootloop- Letzte: chips
-
[Frage] Fritzbox 7490 auf 7590 umziehen
- Letzte: Zonk666
-
[Erledigt] Verbindung zu 3000ax nur mit WPA2 weshalb
- Letzte: latte0815
-
[Info] FRITZ!WLAN Mesh Set 4200 (2er und 3er-Set)- Letzte: docbrown0_1
-
[Erledigt] ipv6 kostenpflichtig für Geschäftskunden?- Letzte: pete-patata