Zwei ssh Zugriffe auf eine ip

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
D

da_new8i

Neuer User
Mitglied seit
5 Mrz 2008
Beiträge
35
Punkte für Reaktionen
0
Punkte
0
Hallo Leute,

ich möchte übers Internet zwei ssh Zugriffe auf meine Fritzbox daheim tätigen.
Der eine Zugriff auf das OS der Fritzbox ist bereits eingerichtet (dyndns, Portweiterleitung und alles was dazugehört). Nun möchte ich aber eine weitere ssh Sitzung mit putty öffnen die mich mit dem ssh Server meines neue NAS verbindet. Dieses NAS ist an der Fritzbox angeschlossen.
Aber wie kann ich nun unterscheiden zwischen den beiden SSH Servern. In putty kann ich schlieslich nur die dyndns Adresse eingeben und den Port.
Kann ich beide Verbindungen auf dem bereits offenen 22 Port laufen lassen (natürlich nicht gleichzeitig) oder muss ich für das NAS einen weiteren Port in der Fritzbox öffnen.

Gruß da_new8i
 
Bei gleicher IP-Adresse ist das nur möglich, wenn zwei unterschiedliche Ports in der Portweiterleitung entsprechend eingestellt werden...
 
Das zweite war richtig, du musst den SSH Port des NAS auf einem anderen öffentlichen Port weiterleiten.
In der Fritz sieht das dann ungefähr so aus:
Von Port z.b. 25
an IP 192.168.xx.yy
an Port 22

danach kannst du den SSH Server des NAS unter dein.dyndns.name:25 erreichen
 
Danke für die schnelle Antwort.

Hmm, hab ich mir schon gedacht. Ist es dann vielleicht möglich über dyndns dies zu ändern? Ich meine, dass eine weitere Adresse für diese Ip hinzugefügt wird und die Fritzbox dann erkennt auf welchen ssh Server ich nun möchte.

Auf die Art:

www.meine-ip/fritzbox Port 22 ==> Verbindung zur Fritzbox

www.meine-ip/nas Port 22 ==> Verbindung zum NAS

Der Grund wieso ich da nochmal nachfrag ist der, dass ich möglichst wenige offene Ports an meiner Fritzbox haben möchte. Da bin ich warscheinlich recht paranoid aber sicher ist sicher:rolleyes:
 
da_new8i schrieb:
Der Grund wieso ich da nochmal nachfrag ist der, dass ich möglichst wenige offene Ports an meiner Fritzbox haben möchte. Da bin ich warscheinlich recht paranoid aber sicher ist sicher:rolleyes:
Zum Vergrößern anklicken....
Nicht so paranoid sein.

Es müssen ja keine Standardports für SSH verwendet werden. Mach doch einfach xxx1 und xxx2 für die Weiterleitungen auf die jeweilige lokale IP-Adresse, jeweils auf Port 22. Dann kannst du noch die Schlüsselanmeldung aktivieren und die Kennwortanmeldung deaktivieren. Dann bist du den meisten Angriffen schon entgangen. Nicht komplizierter machen als es eigentlich ist...
 
Ok danke für die Hilfe.

Dann werd ich das mal so machen.
Bis auf die Sache mit der Schlüsselanmeldung.
Möchte mein Putty auf USBStick nicht überall hin mit schleppen müssen.:)
 
was haltet ihr davon über den ersten tunnel einfach ein zweiten aufzubauen, dafür den ersten als proxy nehmen und einfach die lokale IP des zweiten servers eintragen. DAmit ist nur eine Verbindung nach aussen sichtbar bzw ein port offen
 
Ist das Gleiche auch für eine sicherer HTTP verbindung möglich, also HTTPS? (Port 443)

Möchte meinen Server und die fritzbox sicher aus dem Internet erreichbar machen!
 
Du Kannst jedes PRogramm, was über einen Socks Proxy läuft damit über den SSH Tunnel laufen lassen...
 
Ein port sollte reichen ...

Man kann theoretisch beliebig viele Portumleitungen (jedesmal wieder) erst beim Anmelden am ssh-Server an diesen übergeben. Du kannst Dein NAS bei Bedarf also quasi "nebenbei" mit durch die gleiche Verbindung tunneln, die auch das HTTP des Freetzen transportiert.

Aufgedröselt werden die Ziele durch die verschiedenen Ports: was die FreetzBox per Portweiterleitung in der Ferne jeweils an ihre eigene und die AVM-Weboberflächen sowie z.B. die Konsole Deines NAS bindet, kommt auf dem Rechner vor Dir auch auf verschiedenen Ports an. Und so wie Du wahrscheinlich in Deinem Browser "http://localhost:[eine Zahl]" eingeben musst, um die Freetz-Konfigurationsseite zu betrachten, würdest Du dann eben im putty soetwas wie "da_new8i@localhost:[eine andere Zahl]" eintippen und würdest nach dem Passwort Deines NAS-Accounts gefragt.

Und zur Sicherheit solltest Du den ssh-Server Deiner FreetzBox auf einem hohen Port lauschen lassen; dann entgehst Du schon vielen automatischen Scans. Zum Gebrauch in kleinen Skripten z.B. funktioniert auch das Anmelden mit Zertifikaten auf der FreetzBox.

LG
 
albern schrieb:
Man kann theoretisch beliebig viele Portumleitungen (jedesmal wieder) erst beim Anmelden am ssh-Server an diesen übergeben. Du kannst Dein NAS bei Bedarf also quasi "nebenbei" mit durch die gleiche Verbindung tunneln, die auch das HTTP des Freetzen transportiert.
Zum Vergrößern anklicken....

Vesteh ich dich richtig? Du meinst das ich indem ich im Browser meine dyndns Adresse eingebe, auf meine Fritzbox gelange und der Port dann dem Router mitteilt wohin ich weiter will.
Das weis ich schon. Nur sind ja in dem Fall die beiden verschiedenen Ports für den ssh Zugang offen und wenn dann auch noch der ftp Zugang für Fritzbox und NAS hinzukommt sind das bereits 4 offene Ports. Aber ich vergess jetzt einfach mal meine Paranoia und leg die Ports einfach schön weit hoch. Dann noch jeden Zugriffsversuch loggen. Und wenn es doch mal einer wagen sollte ne Bruteforceattacke drauf laufen zu lassen. Kann ich mir ja immer noch was anderes überlegen.
 
da_new8i schrieb:
... indem ich im Browser meine dyndns Adresse eingebe, auf meine Fritzbox gelange und der Port dann dem Router mitteilt wohin ich weiter will [...]
... sind das bereits 4 offene Ports ...
Zum Vergrößern anklicken....

Wenn das funktionieren täte, wäre das überhaupt nicht sinnvoll, da dann das Passwort der Konfigurationsseite jedesmal von Dir praktisch im Klartext per Postkarte durch das Internet geschickt würde.
Du kontaktierst direkt besser *nur* den ssh-Server auf dem Router von Deinem lokalen Rechner aus mit einem ssh-Client (z.B. 'putty'). Diese Kommunikation über das Internet kann zwar theoretisch auch jeder mithören, aber im Idealfall versteht das eben keiner außer Client und Server.
Über diesen abhörsicheren Kommunikationskanal können nun Server und Client, neben ihren eigenen, auch 'fremde' Daten tunneln.

Die Anweisung für den ssh-Client (gehören ohne Kommentare alle hintereinander in eine Zeile!) könnten in etwa so lauten:
Code: 
   ssh 
   -p [Port auf dem der ssh-Server des Routers lauscht]
   -L [1. lokaler Port]:localhost:80     # FritzBox-Konfig
   -L [2. lokaler Port]:localhost:81     # Freetz-Konfigurationsseiten
   -L [3. lokaler Port]:[IP des NAS]:22     # hier wird ssh in einer ssh-Verbindung getunnelt
   -L [4. lokaler Port]:[IP eines Win-Rechners mit RDP]:3389     # Windows-Fernsteuerung
   -L [5. lokaler Port]:[IP im entfernten Netz]:[entfernter Port auf entsprechender IP]     # ... was Du willst
   [weitere Port-Weiterleitungen oder andere ssh-Optionen]
   root@[dynDNS-Adresse]
Weil das Anweisungen für den ssh-Server sind, steht 'localhost' an dieser Stelle für den Router.
Keine Angst: In 'putty' kannst Du alle Parameter in der Konfiguration zusammen klicken.

Auf Deinem Router muss dann auch immer nur *ein* Port für ssh nach aussen (in's Internet) freigegeben sein; egal wieviele Verbindungen durch diese eine ssh-Verbindung getunnelt werden. Insbesondere die Konfigurationsseiten sind *nicht* aus dem Internet sichtbar!

Nachdem Du eine ssh-Verbindung wie im Beispiel nach Eingabe des Passwortes hergestellt hast, kannst Du auf Deinem lokalen Rechner:
- ein Browserfenster mit "http://localhost:[1. lokaler Port]" öffnen und siehst die FritzBox-Konfiguration.
- im Browser mit "http://localhost:[2. lokaler Port]" die Freetz-Konfiguration öffnen.
- in einem weiteren ssh-Client (neues 'putty'-Fenster) mit "ssh -p [3. lokaler Port] [NAS-Benutzer]@localhost" die Konsole des NAS kontaktieren.
- mit einem RDP-Client, der auf "localhost:[4. lokaler Port]" eingestellt ist, Dich am Rechner [IP im entfernten Netz] anmelden.
- ...
Hier steht 'localhost' natürlich immer für den lokalen Rechner.

Wenn Du in dem ersten (während der ganzen Verbindung offenen) 'putty'-Fenster ein "exit" oder "logout" mit anschließendem ENTER eingibst, werden die ssh-Verbindung und mit ihr alle darin getunnelten Verbindungen abgebrochen.

Bei den Portnummern hast Du zwar prinzipiell freie Hand; Deine Wahl sollte aber nicht mit bereits auf dem selben Rechner vergebenen Ports kollidieren. Als Faustregel wählst Du am besten verschiedene Portnummern aus dem Bereich von 50000 bis 65500.
 
Achso, jetzt versteh ich.

Die Idee ist natürlich genial, dann müsste ich zwar immer eine Putty Session offen haben wenn ich nur auf den FTP Server möchte. Aber dafür ist nur ein einziger Port offen. Und die einzelnen Ports auf die gehorcht werden sollen kann man dann in einem Skript schnell ausführen lassen. Das ist echt super. :)
Nur muss ich grad feststellen das mein dropbear keinen Parameter -L hat. Mal schaun ob dieses Problem mit einer neuen Version behoben werden kann. Ansonsten probier ich mal OpenSSH aus.
Nochmal danke albern.:D
 
da_new8i schrieb:
... Nur muss ich grad feststellen das mein dropbear keinen Parameter -L hat. ...
Zum Vergrößern anklicken....

Egal, ob den hat oder nicht - Hauptsache, er versteht, was gemeint ist ... ;)

Der Parameter "-L ..." gehört zum Befehl, mit dem Du den Client ('putty') anweist, die Port-Weiterleitung mit dem Server auszuhandeln! Am 'dropbear' auf dem Router musst Du dazu meiner Meinung nach gar nichts weiter herum konfigurieren. (Es sei denn, Du änderst den Port, auf dem der 'dropbear' lauschen soll; das hat aber zunächst gar nichts mit der Port-Weiterleitung für alle anderen zu tunnelnden Verbindungen zu tun.)

<Edit> Die Entspechung zum Kommandozeilenbefehlsparameter "-L ..." heist in der 'putty'-Konfiguration vielleicht irgendwas mit "... tunnel ..." ???
Du könntst zum Testen aber auch ein 'putty'-Fenster ohne Vorkonfiguration öffnen und da hinein den Inhalt der Code-Box ohne Kommentare und Zeilenumbrüche, aber mit sinnvollen Entsprechungen für die eckigen Klammern abschreiben. <Edit>

Zumindest hatte ich bisher bei der geschilderten Vorgehensweise immer Erfolg mit den ssh-Servern auf den ds-gemoddeten oder verfreetzten Routern.


LG
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 676 (Mitglieder: 40, Gäste: 636)

Neueste Beiträge

Statistik des Forums

Themen
246,202
Beiträge
2,247,990
Mitglieder
373,768
Neuestes Mitglied
FBSepp
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück