Zugriff auf dropbear und Weboberfläche von aussen

full2000

Neuer User
Mitglied seit
8 Okt 2008
Beiträge
148
Punkte für Reaktionen
0
Punkte
16
Hallo,

ich versuche seit Tagen meine Fritz!Box 7270 gleichzeitig (!) von aussen mittels SSH (dropbear) und mittel Weboberfläche anzusprechen. Leider geht bei mir immer nur eins der beiden.

Die Weboberfläche erreiche ich über dyndns über Port 443. Den dropbear habe ich auch auf Port 443 eingestellt (wegen Firmen-Firewall), und das wird wahrscheinlich auch das Problem sein...

In der ar7.cfg habe ich folgenden eingetragen:

tcp 0.0.0.0:443 0.0.0.0:443 # HTTPS
tcp 0.0.0.0:443 192.168.178.250:22 # SSH

Die IP-Adresse 192.168.178.250 ist schon eine neu angelegte IP-Adresse für die Fritz!Box. Mit der obigen Einstellung kann ich mit Putty auf die Box zugreifen (von aussen). Die Weboberfläche ist dann aber nicht mehr erreichbar. Kommentiere ich die zweite Zeile aus, ist es umgekehrt (SSH läuft nicht, Weboberfläche läuft).

Hat einer eine Idee, wie man das machen kann? Offene Ports sind nur 80 und 443.
 
Versuch es doch einmal mit Folgendem:

Bei der Einstellung der Box, bei der du "mit Putty auf die Box zugreifen (von aussen)" kannst, starte auf deinem
Rechner folgendes Programm aus dem Putty-Paket [1]:

plink.exe -ssh -2 -v -L 127.0.0.2:80:192.168.178.1:80 -l USERNAME -pw PASSWORT DDDD.dyndns.org

Danach verbindest du dich mit der Weboberfläche deiner Box mit folgender Zeile in deinem Browser [2]:

127.0.0.2

Bejobe

[1] nennt sich IIRC "SSH-Tunneln".
[2] wg des zugrundeliegenden SSHs ist deine Verbindung zur Fritzbox genauso abgesichert wie bei der Verbindung per HTTPS
 
Zuletzt bearbeitet:
Jetzt kommt beim Aufruf von plink.exe folgende Fehlermeldung:

Code:
Looking up host "xxx.dyndns.org"
Connecting to xxx.xxx.xxx.xxx (<-- korrekte IP-Adresse!) port 22
Failed to connect to xxx.xxx.xxx.xxx: Network error: Connection timed out
Network error: Connection timed out
FATAL ERROR: Network error: Connection timed out

Kann es sein, dass trotzdem noch versucht wird, über Port 22 rauszugehen? Klappt ja nicht, da Firewall....
 
lass doch drobear einfach auf nem anderen port lauschen...muss ja nicht 443 sein...3000 wäre doch genausogut...dann kommt ihr euch nicht ins gehe...
 
Ok, also dropbear z.B. auf Port 12345 lauschen lassen (geht ja - glaube ich - mit der Option "dropbearport="12345" in der debug.cfg, oder?!). Dann würde ich eine Portfreigabe von Port 443 auf Port 12345 einrichten, was aber leider nicht funktioniert (--> Regel kollidiert mit einer internen Regel), da in der ar7.cfg ja schon eine Portfreigabe für Port 443 eingetragen ist (für die Weboberfläche).
 
was willst du denn immer mit dem port 443??
wenn dropbear auf 12345 lauscht, kannst du doch auch von draussen auf 12345 connecten...iss doch dann trotzdem veschlüsselt...
 
Um von aussen auf den Port 12345 zuzugreifen, muss ich ja auch über den Port 12345 rausgehen. Und das funktioniert wegen der Firewall leider nicht. Hier ist nur Port 80 und Port 443 möglich.

Also muss ich über den Port 443 raus (laut Netzwerksniffer antwortet die Fritz!Box dann auch mit einem ACK). Die Fritz!Box muss dann das Paket auf den internen Port 12345 weiterleiten, damit dropbear sich angesprochen fühlt. Wenn ich aber alle Pakete, die auf Port 443 reinkommen auf den Port 12345 umleite, funktioniert die Weboberfläche leider nicht mehr, denn die will ja auch den Port 443 (HTTPS).

Ganz schön kompliziert, aber irgendwie muss es doch klappen....
 
wenn dropbear auf 12345 lauscht, kannst du doch auch von draussen auf 12345 connecten
Hatte er nicht geschrieben, dass er wg Firmen-Firewall nur die Wahl zwischen Port 80 und 443 hat? Spricht etwas dagegen, dropbear auf Port 80 zu legen? (Vorausgesetzt, es soll nicht ein Webserver im lokalen Netz von aussen erreichbar sein.)

...iss doch dann trotzdem veschlüsselt...
Stümmt (auch bei Port 80).

Bejobe
 
Spricht etwas dagegen, dropbear auf Port 80 zu legen?

Keine Ahnung. Habe ich bisher noch nicht ausprobiert. Müsste man dann noch eine entprechende Freigabe einbauen (z.B. in der ar7.cfg --> tcp 0.0.0.0:80 0.0.0.0:80)?
 
nunja..intern wirst du so auf nen regelüberschnitt laufen da die box selber schon auf 80 lauscht...aber tcp 0.0.0.0:80 0.0.0.0:12345 sollte dann zu einem dropbear der auf 12345 lauscht fürhen...
von aussen wäre das ganze dann unter 80 verschlüsselt zu erreichen udn 443 wäre weiterhin dein ssh port...

ansosnten wie wäre s hiermit??
ein port raus alle draussen verfügbar...
http://www.xobztirf.de/selfsite.php?aktion=Putty
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.