stefan3110
Goto Top

SSH Zugriff über Port 443 und hinter Firewalls

Hallo,

ich habe mehrere Linux Server, welche sich hinter Firewalls befinden. Auf die Firewalls besitze ich keinen Zugriff. Die Linux Server sind per Port 443 erreichbar, besitzen aber keine public IP. Wie kann ich einen SSH Zugang zu den Linux Server aufbauen. Am liebsten wäre es mir wenn sich die Server an einer zentralen Stelle melden und über die zentrale Stelle der SSH Zugang aufgebaut wird. Wie kann ich das Umsetzen?

Danke für Eure Unterstützung
Stefan

Content-ID: 667280

Url: https://administrator.de/contentid/667280

Ausgedruckt am: 25.11.2024 um 22:11 Uhr

StefanKittel
StefanKittel 03.06.2021 aktualisiert um 10:26:16 Uhr
Goto Top
Moin,


Zitat von @Stefan3110:
Wie kann ich das Umsetzen?
vermutlich gar nicht.

Da Du auf die Firewall nicht zugreifen kannst, kannst Du kein eingehendes VPN oder Port-Weiterleitung einrichten.

Du könntest ein ausgehendes VPN erstellen.
Dabeei verbinden sich die Server per VPN mit einem Server im Internet und darüber kannst Du dann zugreifen.
Eine Anleitung habe ich nicht, aber such mal nach VPN ohne öffentliche IP.

Die Chance ist aber gering wenn die Firewall ihren Namen verdient.

Also frage gleich den Netzwerk-Administrator.
Die sind über solche Spezial-Lösungen meist "wenig glücklich".

auch Stefan
BirdyB
BirdyB 03.06.2021 um 10:20:34 Uhr
Goto Top
Hi,
wie wäre es mit Guacamole?
Alternativ mit einem Reverse-SSH zu einem Server auf den du Zugriff hast.

Grundsätzlich gilt aber:
Es wird schon einen Grund geben, warum derjenige, der die Firewall konfigurieren darf den Zugriff nicht zulässt. Also solltest du vielleicht denjenigen zuerstmal kontaktieren.
Des Weiteren kann das Überwinden der IT-Sicherheit des Arbeitgebers eine (fristlose) Kündigung rechtfertigen. Also OBACHT!

Viele Grüße
Stefan3110
Stefan3110 03.06.2021 aktualisiert um 10:56:53 Uhr
Goto Top
Danke für Eure Unterstützung.

Es ist intern alles abgesprochen, somit umgehe ich keine IT Security. Ein Ziel ist es auch die Lösung sehr universell zu haben. So das einfach neue Server hinzukommen können.

Es dient einem Versuchsaufbau. Die Linux Server sind einzelne Kubernetes Cluster, welche mit Rancher überwacht werden. Mit Rancher kann ich das gesamte Kubernetes Cluster monitoren und administrieren. Nur um Docker upzudaten oder für Probleme wird der SSH Zugang benötigt.

Die Server selber sind in Microsoft Azure mit Azure Arc eingebunden und werden hier überwacht.

Guacamole werde ich mir mal anschauen. Danke

Grüße
Stefan
Lochkartenstanzer
Lochkartenstanzer 03.06.2021 aktualisiert um 11:00:37 Uhr
Goto Top
Zitat von @Stefan3110:

Es ist intern alles abgesprochen, somit umgehe ich keine IT Security. Ein Ziel ist es auch die Lösung sehr universell zu haben. So das einfach neue Server hinzukommen können.

Moin,

Wenn es intern abgesprochen ist, spricht ja nichts dagegen, auf der Firewall eine VPN-Server einzurichten und per VPN reinzugehen. Das ist universell und ganz leicht einzurichten und birgt das kleinste Risiko im Gegensatz zu anderen Lösungen.

Mann muß nicht immer Umwege gehen.

lks
ChriBo
ChriBo 03.06.2021 um 11:46:59 Uhr
Goto Top
Hallo,
du benötigst:
1. einen (Linux)Server mit einer festen IP Addresse, du mußt Zugriff auf die Firewall dieses Servers haben, dies wird der VPN Hub.
2. Die Linux Server welche per SSH erreicht werden sollen, müssen ausgehend einen Port auf der vorgelagerten Firewall erlaubt haben.
Welche(r) Port(s) freigeschaltet sein müssen, hängt von der Wahl des VPN Clienten ab.
Auf diesen Servern installierst du dann einen VPN Client (Wireguard oder openVPN, ggf. auch IPsec) und die Server verbinden sich dann automatisch per VPN mit dem VPN Hub.
Dann kannst du SSH durch das VPN tunneln und dich mit den Servern per SSH verbinden.
Kein Zauberwerk.
@aqui hat hier eine Anleitung für ein ähnliches Szenario dazu geschrieben.
Dani
Dani 03.06.2021 um 12:27:20 Uhr
Goto Top
Moin,
Ein Ziel ist es auch die Lösung sehr universell zu haben.
wir nutzen dafür The Bastion von OVH.

So das einfach neue Server hinzukommen können.
Wir deployen neue Server mit Ansible. Über das Playbook werden die notwendigen Public Keys der Gruppen hinzugefügt. Im Anschluss fügt Ansible auf dem Bastion Host den neuen Server in die jeweilige Gruppe hinzu. Damit verbunden erfolgt auch gleich ein Connection Test. face-smile


Gruß,
Dani
it-fraggle
Lösung it-fraggle 03.06.2021 aktualisiert um 13:19:21 Uhr
Goto Top
Zitat von @Stefan3110:
Am liebsten wäre es mir wenn sich die Server an einer zentralen Stelle melden und über die zentrale Stelle der SSH Zugang aufgebaut wird. Wie kann ich das Umsetzen?
Das nennt sich Reverse SSH. Der Server baut einen Tunnel zu einem anderen Server auf. Sobald der Tunnel steht, wird ein Rücktunnel aufgebaut.
Th0mKa
Th0mKa 03.06.2021 um 12:53:24 Uhr
Goto Top
Zitat von @Stefan3110:
Es dient einem Versuchsaufbau. Die Linux Server sind einzelne Kubernetes Cluster, welche mit Rancher überwacht werden. Mit Rancher kann ich das gesamte Kubernetes Cluster monitoren und administrieren. Nur um Docker upzudaten oder für Probleme wird der SSH Zugang benötigt.

Die Server selber sind in Microsoft Azure mit Azure Arc eingebunden und werden hier überwacht.

Wenn das alles in Azure ist gibts da was von Ratiopharm.
Azure Bastion
Stefan3110
Stefan3110 03.06.2021 um 15:53:49 Uhr
Goto Top
Danke für Eure Antworten.

An Azure Bastion dachte ich auch schon. Nutze es auch für die VMs in Azure.

Bei Azure Arc werden die Server nicht im Azure gehostet. Auf dem Server wird durch ein Script eine Erweiterung deployet und dieses Erweiterung gibt die Möglichkeit die Maschine in Azure zu Verwalten, Administrieren und Monitoren (alles läuft verschlüsselt über Port 443). Für diese Aufgaben werden über Azure Policys Erweiterungen auf der VM / Server installiert.
Azure Arc

Was mir jetzt noch fehlt ist ein SSH Zugang. Da die Server keine lange Lebenszeit besitzen oder hinteren mehren Firewalls stehen, soll an den Firewalls nichts gemacht werden. Es funktioniert auch alles bis auf den SSH Zugang.

Die von Euch beschriebenen Lösungen werde ich mir nochmal durch denken. Vielen Dank.