sophie
Goto Top

Error beim Leiten eines ssh Tunnels über einen Router

Hallo zusammen,

ich möchte übers Internet per ssh Tunnel einen Fernzugriff auf einen Server zugreifen. Der Server sitzt hinter einem Router auf dem ich einen Virtuellen Server eingerichtet habe, dieser leitet den Port 22 von außerhalb auf den Port 22 des Servers. Auf dem Server läuft freeSSHd. Wenn ich mit Shields Up meinen Port 22 scanne, wird mir dieser als Open angezeigt. (Wenn ich freeSSHd beende wird mir dieser Port als stealth angezeigt. Was doch eigentlich bedeuten müßte, dass der Virtuelle Server funktioniert und meine Anfrage durch den Router zum Server kommt, oder?). Wenn ich aber mit Putty eine Verbindung aufbauen will (über die WAN-Adresse und den Port) bekomme ich die Fehlermeldung "Putty Fatal Error - Network error: Connection refused".
Mein Putty sollte allerdings auch korrekt eingestellt sein, wenn ich nämlich zum aufbau der Verbindung nur meine LAN-Adresse verwende also nicht über den Router gehe funktioniert das ganze Spiel. Aber was kann ich an meinem Router machen außer den Virtuellen Server einzurichten?

Gruß Sophie

Content-ID: 75985

Url: https://administrator.de/forum/error-beim-leiten-eines-ssh-tunnels-ueber-einen-router-75985.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

creetz
creetz 14.12.2007 um 12:26:05 Uhr
Goto Top
Ich kenne den freeSSHd nicht - aber eventuell kann man da "zulässige IP-Adressen" konfigurieren. Dort sind vllt. bereits alle privaten RFC1918- IP-Adressen default als "gültig" eingetragen. Adressen aus dem Internet muss man vllt. aus Sicherheitsgründen erst freigeben. Nur so ne Idee ..
Arch-Stanton
Arch-Stanton 14.12.2007 um 12:42:42 Uhr
Goto Top
Sag mal,

was ist denn das für eine Konstruktion mit einem virtuellen Server. Ist der Router, bzw. die Firewall nicht eigenständig?

Für den Zugang würde ich ein VPN einrichten, da hast Du auf jeden Fall mehr Möglichkeiten.

Gruß,
Arch Stanton
aqui
aqui 14.12.2007 um 19:26:35 Uhr
Goto Top
Besser du testest den Zugang wirklich mal von aussen und NICHT von innen über den Umweg aussen wieder nach innen. Viele Router können das nicht, da es dann zu NAT Problematiken kommt.

Wenn du ein Notebook mit Telefon Modem hast kannst du dich schnell mal über einen Internet by Call Provider wie z.B. Arcor extern ins Internet einwählen mit den folgenden Zugangsdaten:

Rufnummer: 01920791
Benutzername: arcor
Passwort: internet

Dann eröffnest du mal deinen SSH Tunnel und testest das einmal unter wirklichen externen Bedingungen. Vermutlich funktioniert es dann.
Wenn nicht macht es Sinn mal einen Sniffer wie den Wireshark zwischen Router und freeSSHd schleifst und prüfst ob der Router die eingehenden TCP 22 Packete wirklich an die lokale IP forwardet. Tut er das nicht hast du ein problem im Router...andernfalls im Server !
Sophie
Sophie 15.12.2007 um 14:40:51 Uhr
Goto Top
Erstmal vielen Dank für eure schnellen Antworten! face-smile

was ist denn das für eine Konstruktion
mit einem virtuellen Server. Ist der Router,
bzw. die Firewall nicht eigenständig?

Doch der Router ist schon eigenständig, allerdings brauche ich doch ein Port forwarting und das heißt bei meinem Router Virtueller Server, denk ich zumindest oder sind das doch zwei paar Stiefel?


Für den Zugang würde ich ein VPN
einrichten, da hast Du auf jeden Fall mehr
Möglichkeiten.

Und wie würde das dann in der Praxis aussehen? Mit Hamachi, oder was gints da für Möglichkeiten? Brauche ich dann trotzdem noch SSH oder genügt dann das VPN und VNC?

Besser du testest den Zugang wirklich mal von aussen und NICHT von innen über den Umweg
aussen wieder nach innen. Viele Router können das nicht, da es dann zu NAT Problematiken
kommt.

Das werd ich dann am Montag gleich machen. Danke für den Tip.

Gruß Sophie
Arch-Stanton
Arch-Stanton 15.12.2007, aktualisiert am 18.10.2012 um 18:32:49 Uhr
Goto Top
Hallo Sophie,

Du hast recht, bei einigen Routern heißt die Portweiterleitung "virt. server", ich denke mal, daß Du einen D-Link Router hast.

Das Thema VPN ist für Dich vielleicht ein wenig zu fortgeschritten. Da ich Dir nicht zu PPTP-VPN, welches sich unter Windows recht einfach einrichten läßt, raten möchte, da die Sicherheit nur bedingt gewährleistet ist, empfehle ich Dir mal folgenden Vorschlag auszubrobieren:

VPN für Arme - TCP in SSH tunneln mit Putty

Da wird Dir von einem Forumsteilnehmer ein Weg gezeigt, wie Du mit ssh auf Deinen Server kommst. Ich habe dieses auch schon mal so ähnlich für Windows gelöst, man kann dann auch ganz bequem mit WinSCP (nettes Programm) Dateien hin- und herschieben, und ist dabei in einem sicheren Umfeld.

Hast Du keine Lust zum Basteln, geht das ganze auch mit dem Programm Teamviewer. Du installierst den Client auf dem Server und vergibst das Paßwort schon im Vorwege. Auf www.Teamviewer.de steht einiges dazu. Mit der Software, welche Du auf Deinem PC installierst, loggst Du Dich auf Deinem Server ein und steuerst diesen wie mit VNC. Seitdem ich dieses Programm habe, hat sich meine CO2-Bilanz erheblich gebessert, weil ich nicht für jeden Kleinkram zu meinen Kunden fahren muß.

Viel Spaß beim ausbrobieren,

Gruß,
Arch Stanton
creetz
creetz 15.12.2007 um 16:34:23 Uhr
Goto Top
@arch: Wo ist den genau das Sicherheitsproblem bei PPTP VPN ? Hat zwar nix mit dem Thema zu tun. Aber vergleiche mir bitte mal die Authentifzierung MS CHAP V2 mit dem Aggressiv Mode bei IPSec. Jetzt bin ich mal gespannt ... :D
Arch-Stanton
Arch-Stanton 15.12.2007 um 16:49:42 Uhr
Goto Top
Auf solch eine Diskussion habe ich schlichtweg keinen Bock!!!

Nur eine kurze Anmerkung: Da der Mensch ein Gewohnheitstier ist, wird er sich bei der Wahl der Paßwörter nicht viel Mühe geben. Ich benutze im übrigen auch PPTP und habe z.B. einen Zugang mit Service und passwd. service123 eingerichtet. Soll ich nun PPTP als sichere Option empfehlen?

Gruß,
Arch Stanton
creetz
creetz 15.12.2007 um 17:48:26 Uhr
Goto Top
Was hat die Wahl des Passworts mit der Sicherheit des Algorithmuses zu tun ? Du hast kein Bock auf die Diskussion - verbreitest aber das falsche Gerücht das PPTP unsicher sei. Das versteh ich nicht. Ich verwende übrigens IPSec .. nicht weil es sicherer ist sondern weil irgendwelche Pappnasen meinen Kunden mal erzählt haben PPTP sei so unsicher. face-wink Feste IP-Adressen haben etwa 60% meiner Kunden nicht, was wiederherum dafür führt dass sich die meisten für den IPSec Aggressive Mode entscheiden weil Zertifikate doch ne Nummer zu große sei. Also verwenden wir IPSec Aggressiv Mode. Im Gegensatz zum wirklich sicheren Main Mode kann da der Hashwert des PreShared Keys abgefangen werden. Nun kann jmd. versuchen offline den HashWert zu knacken. Viel Spass. Im Übrigen ist das bei MS Chap V2 ähnlich. Im schlimmsten Fall kommt der Angreifer nur an den Hash-Wert des Passwortes .. Im Prinzip also gleich sicher oder gleich unsicher .. aber was soll`s. IPSec kostet mehr Geld. Und das ist gut für die Wirtschaft :D
Arch-Stanton
Arch-Stanton 15.12.2007 um 17:56:35 Uhr
Goto Top
O.K, weil in wenigen Tagen Weihnachten ist: PPTP ist hundertprozentig sicher, genau wie die Rente!

zufrieden?

Gruß,
Arch Stanton
creetz
creetz 15.12.2007 um 18:03:54 Uhr
Goto Top
Das ist wieder so typisch. Sein Halbwissen in Foren verbreiten und dann angepisst sein wenn jmd. mal versucht etwas richtig zu stellen. Ich hab dich weder persönlich beleidigt noch sonst etwas. Ich habe dich lediglich korrigiert. Aber was soll`s. .. es kann mir ja auch egal sein.
ich denke ich werde mein Account hier eh löschen .. bei dem müll der hier größtenteils verbreitet wird bekomm ich nur herzrasen .. :D

frohes fest.
Sophie
Sophie 15.12.2007 um 18:22:06 Uhr
Goto Top
Das Thema VPN ist für Dich vielleicht
ein wenig zu fortgeschritten.

Drum informiere ich mich ja gerade, damit das nicht so bleibt! face-wink


Dir mal folgenden Vorschlag auszubrobieren:

Das werd ich mir auf jeden Fall mal genauer anschauen, vielen Dank für den Tip.


Hast Du keine Lust zum Basteln, geht das
ganze auch mit dem Programm Teamviewer. Du
installierst den Client auf dem Server und
vergibst das Paßwort schon im Vorwege.
Auf www.Teamviewer.de steht einiges dazu. Mit
der Software, welche Du auf Deinem PC
installierst, loggst Du Dich auf Deinem
Server ein und steuerst diesen wie mit VNC.
Seitdem ich dieses Programm habe, hat sich
meine CO2-Bilanz erheblich gebessert, weil
ich nicht für jeden Kleinkram zu meinen
Kunden fahren muß.

Hab ich mir schon angeschaut, war aber nicht so begeistert, mir hat CSpace besser gefallen. Und privat nutze ich das auch.
Außerdem scheidet Teamviewer in diesem Fall aus, da es nur privat kostenlos ist! Und da ich meine Sicherheit beim Teamviewer in die Hände eines dritten legen muss.

Gruß Sophie
Arch-Stanton
Arch-Stanton 15.12.2007 um 18:48:13 Uhr
Goto Top
Hallo Sophie,

ich wünsche Dir viel Erfolg beim Probieren, bei fragen einfach mal fragen.

Wenn der Router nicht unbedingt notwendig ist und eine Neuanschaffung ansteht, dann ist vielleicht der Einsatz eines ausgemusterten PC´s und die Installation von IP-COP eine interessante Alternative. Da gibt es eine richtig geniale VPN-Erweiterung, mit automatischer Clienterstellung für Windows (open VPN).

p.s. ich wollte nicht, daß sich wg. mir jemand hier abmeldet. Aber es ist sicher besser so. Der Kerl war ein absoluter Profi und solche Probleme, wie sie hier häufig vorkommen, waren unter seinem Niveau. Wir müssen dankbar sein, daß er uns gnädigerweise einige Weisheiten zukommen ließ.

Gruß,
Arch Stanton