ssh statt vpn


Startseite Foren Installation ssh statt vpn

Verschlagwortet: , ,

12 Beiträge anzeigen - 1 bis 12 (von insgesamt 12)
  • Autor
    Beiträge
  • #4152
    joe33
    Teilnehmer

    Hallo,
    mir ist durch Umstellung von IPv4 auf IPv6 mein VPN Zugang verloren gegangen. Ich bin dann über die Suchfunktion auf einen alten Eintrag gestoßen: Einfacher Remote Zugriff für j-lawyer. Dort wird der externe Zugang zum Server per ssh auf einem Mac erklärt. Natürlich arbeite ich nicht mit Mac sondern mit Windows, aber in Verbindung mit einer J-Lawyer-box, die bei mir im Büro an der Fritzbox hängt.
    Der Anmeldebildschirm hat ja schon eine Option für einen ssh Zugang. Ich schaffe es abar nicht mich extern über ssh einzuloggen.
    Was ich schon geschaft habe ist:
    Portfreigabe für die J-Lawyer Box in der Fritz box
    Anmeldung an die Box über Kommandozeile per textbefehl über shh

    In diesem Setting habe ich versucht, über den Anmeldebildschirm ins Programm zu kommen. Leider Erfolglos.

    Muss ich, bevor ich mich über den Anmeldebildschirm anmelde, über die Kommandozeile einen ssh tunnel erzeugen?
    Ich hoffe, ich konnte mich verständlich ausdrücken.
    Vielleicht ist da draußen ja irgend jemand, der sich regemäßig über ssh von außen in das System einwählt und mir helfen kann.
    Vielen Dank im Voraus.

    Joe

    #4154
    j-lawyer.org
    Verwalter

    Der SSH-Tunnel im Login-Screen unterstützt kein IPv6.

    Ich kann unter Linux einen Tunnel herstellen wie folgt:

    ssh -L <lokaler-port>:localhost:<ziel-port> <ssh-nutzer>@<ipv6>%<netzwerkschnittstelle>

    bspw.

    ssh -L 8083:localhost:8080 root@fe80::d4e2:b3ff:fe34:7136%wlp4s0

    Dann im Logindialog zu localhost auf Port 8083 verbinden.

    Ich gehe davon aus dass ein gleichartiger Tunnel auch mit Putty unter Windows möglich ist.

    Grüße
    Jens / j-lawyer.org

    #4155
    joe33
    Teilnehmer

    Vielen Dank Jens,

    es klappt! schneller als vorher mit vpn.

    #4156
    j-lawyer.org
    Verwalter

    Es wäre toll wenn Du kurz beschreiben könntest wie das mit putty zu bewerkstelligen ist. Die anderen Anwender werden es Dir danken ?

    Grüße!
    Jens

    #4157
    joe33
    Teilnehmer

    Hallo,
    ich habe einfach die Anleitung aus dem Thread: „Einfacher Remote Zugriff für j-lawyer“ von iphhag genommen.
    Warum das alles funktioniert, kann ich aus technischer Sicht nicht sagen. Vieles von dem, was ich gemacht habe, ist das Ergebnis von try and error.
    Bei mir hängt im Büro eine j-lawyer-box an einer fritz box.
    Die Voraussetzungen aus dem alten Thread von iphhag lauten:
    „1. Euer Server muss in eurem Büronetzwerk eine feste IP-Adresse haben (im Beispiel hier: 192.168.0.5)
    2. Im Router des Büronetzwerks muss Port 22 (nur TCP) auf den Server weitergeleitet werden (SSH, weitere Portfreigaben sind nicht erforderlich)
    3. Ihr habt entweder eine feste (externe) IP-Adresse (wohl die wenigsten) oder einen Hostnamen für eine dynamische IP-Adresse definiert, die aktuell gehalten wird (ich mache das über einen cronjob auf dem Server; viele Router bieten diese Möglichkeit auch). Im Beispiel hier: kanzlei.no-ip.com“
    Die dynamische ip-adresse habe ich über my.fritz realisiert. Da gibt es sicherlich elegantere Lösungen. Für mich war es das Einfachste, weil mein VPN vorher auch darüber lief.
    Putty habe ich überhaupt nicht genutzt, da Windows 10 bereits einen ssh client standardmäßig an Bord hat.
    Zum Einloggen von außen rufe ich zunächst die windows power shell als Administrator auf.
    Dann gebe ich in der Kommandozeile ein:
    ssh -L 8083:localhost:8080 root@*******.myfritz.net
    Beim ersten mal wird man gefragt, ob man den Host Key Fingerprint akzeptieren möchte. Es besteht die Möglichkeit zwischen yes und no. Wenn man auf seinen Server möchte, bestätigt man durch die Eingabe von „yes“. In einer Putty Anleitung steht zu diesem Schritt:
    „Bei einer erfolgreichen Verbindung erhalten Sie das erste Mal immer eine Warnmeldung. Diese Meldung erfolgt, weil die Verbindung zum entfernten Rechner verschlüsselt ist und PuTTY den Schlüssel nicht kennt.
    Klicken Sie auf den Knopf Ja um sich am entfernten Rechner anmelden zu können.“
    Ohne Putty passiert das alles auf Kommandoebene, mit den oben genannten Alternativen yes/no.
    Zu guter Letzt wird man dann noch nach dem Passwort gefragt, das man dann eingibt, ohne dass es im Fenster wiedergegeben wird und abschließend mit Enter bestätigen.
    Es hat bei mir einige Versuche gebraucht, bis ich verstanden habe, welches Passwort abgefragt wird. Es ist das Passwort des Benutzers auf dem Server.
    Man befindet sich dann auf dem Server.
    Dann öffnet man den Client über die Anmelderoutine und wechselt in den Reiter „Verbindung“ und gibt dort unter „Server“: localhost ein und unter „port“: 8083 unter Sicherheit wählt man : Standard
    In dem Reiter „Login“ gibt man seine normalen Anmeldedaten ein und bestätigt durch drücken der Schaltfläche: „Anmelden“.
    Thats it.
    Nach beenden des Clients wechselt man dann wieder in die windows power shell und gibt schlicht und ergreifend „exit“ ein und der Tunnel wird geschlossen.
    Abschließend noch die Frage an dich Jens, ob es möglicher Weise sinnvoller (sicherer) ist, einen weiteren Nutzer auf dem Server einzurichten, der nicht vollen Zugriff auf den Server hat.
    Wie das geht, übersteigt jedoch meine Kenntnisse in Sachen linux.
    Das Ergebnis dieses externen Zugriffs ist auf jeden Fall schneller und m.E. auch unkomplizierter als über VPN.
    Vielleicht hat ja noch jemand Verbesserungsvorschläge für dieses Procedere.

    #4158
    j-lawyer.org
    Verwalter

    Ja, es ist sinnvoll einen eigenen Nutzer für den SSH-Tunnel zu verwenden. Die dafür notwendigen Kommandos findet man bereits in der Dokumentation. Ein so angelegter Nutzer darf sich dann nichtmal per interaktiver SSH anmelden, nur den Tunnel aufbauen.

    Grüße!
    Jens / j-lawyer.org

    #4159
    j-lawyer.org
    Verwalter

    Und Danke für die ausführliche Antwort!

    #4815
    mh.b
    Teilnehmer

    Hallo,

    das von joe33 dargestellte Vorgehen funktioniert (keine große Überraschung) auch unter Windows 11 mit der mitgelieferten Powershell wunderbar.

    Nachdem ich als root angemeldet war, habe ich mit dem in der Dokumentation zweitgenannten Befehl (sudo adduser <USER> –shell=/bin/false –no-create-home) einen neuen <USER> (als dedizierten User) für den SSH-Tunnel erstellt.

    Wenn ich allerdings mit diesem <USER> den SSH-Tunnel aufbauen möchte, funktioniert der Aufbau zunächst scheinbar, wird aber dann direkt wieder mit folgender Fehlermeldung geschlossen:

    „Could not chdir to home directory /home/<USER>: No such file or directory
    Connection to ***********.myfritz.net closed.“

    Bevor ich nun weiter herumfuhrwerke:

    Was kann ich anders machen, damit der Tunnelaufbau funktioniert und gehalten wird?

    Oder kann ich den von mir angelegten <USER> eventuell gleich wieder löschen, da (ohnehin) der mitgelieferte Nutzer ‚jlawyer‘ für den SSH-Tunnel-Aufbau gedacht war?

    Vielen Dank und viele Grüße

    Markus

    • Diese Antwort wurde vor vor 7 Monaten, 1 Woche von mh.b bearbeitet.
    #4817
    j-lawyer.org
    Verwalter

    Could not chdir to home directory /home/: No such file or directory

    Die Fehlermeldung ist relativ eindeutig. Es wird ein Home Directory gesucht, und das existiert nicht. Soll auch nicht.

    Wie wurde denn versucht anzumelden? Über den j-lawyer.org Client oder mit einer Shell oder Putty? Bei letzten beiden ist es eine interaktive Anmeldung, die geht nicht ohne Home Directory.

    #4818
    mh.b
    Teilnehmer

    ‚Es wird ein Home Directory gesucht, und das existiert nicht. Soll auch nicht.‘

    Hab ich’s mir doch gedacht 😉

    Habe die Anmeldung wie oben beschrieben durchgeführt, also

    1. SSH-Verbindung hergestellt über Windows Power Shell: ssh -L 8083:localhost:8080 root@*******.myfritz.net
    Verbindung wurde erfolgreich hergestellt und gehalten mit root@ bzw. mit jlawyer@
    2. Anmeldung sodann wie von joe33 beschrieben,
    a. Client über die Anmelderoutine
    b. mit Server ‚localhost‘ Port ‚8083‘
    c. und unter Sicherheit ‚Standard‘

    Kann ich mich auch ausschließlich mit dem Client (also ohne vorher über PuTTY oder Power Shell einen Tunnel aufzubauen) einloggen, wenn ich die entsprechenden Daten bei ‚Profil‘ -> ‚Sicherheit‘ -> ‚SSH-Tunnel‘ eintrage? Und funktioniert es dann auch mit dem neu erstellten <USER>?

    Vielen Dank und viele Grüße

    #4819
    j-lawyer.org
    Verwalter

    Ja, genau, dafür wurde die Tunnel-Funktionalität ja direkt in den Client eingebaut. Und die Verbindung wird dann so hergestellt, dass der Nutzer auch kein Home-Dir benötigt.

    #4828
    mh.b
    Teilnehmer

    Kurz zum Abschluss:
    Funktioniert wunderbar direkt über die Anmeldeoptionen in dem Client. Bin begeistert.
    Dachte, ich muss (wie damals mit dem VPN-Client für den Uni-Campus) erst eine Verbindung aufbauen und kann dann erst den Fernzugriff nutzen; errare humanum est.
    Vielen Dank für schnelle Unterstützung.
    Beste Grüße
    Markus

    • Diese Antwort wurde vor vor 6 Monaten, 3 Wochen von mh.b bearbeitet.
12 Beiträge anzeigen - 1 bis 12 (von insgesamt 12)
  • Du musst angemeldet sein, um zu diesem Thema eine Antwort verfassen zu können.