SSH Tunnel einrichten? [gelöst]

[docNet]

guten abend,

ich würde gerne einen ssh tunnel aufmachen um mit der eingabe von

Code: Alles auswählen

http://localhost

im browser auf mein web interface des ipcop [1] über das internet zuzugreifen. dyndns.org ist eingericht und funktioniert auch.

ssh port 222
Apache Web-Server 445

port 222 ist auf dem ipcop offen.

den tunnel versuche ich wie folgt aufzubauen:

Code: Alles auswählen

magellan:/home/myself# ssh -p 222 -L 445:192.168.0.1:445 username@gateway-host.dyndns.org

aber leider ist das irgendwie nicht richtig.
vielleicht könnt ihr mir ja helfen

[1] http://www.ipcop.org

lg docnet

[herrchen]

versuch mal:

Code: Alles auswählen

ssh -p 222 -L 44000:127.0.0.1:445 username@gateway-host.dyndns.org

als user musst du lokal einen port > 1024 verwenden.

Code: Alles auswählen

https://localhost:44000

sollte es bringen

herrchen

[docNet]

guten abend herrchen,

vielen dank für deine hilfe.
wenn ich es genau so mache wie du es beschrieben hast, kommt leider die fehlermeldung

Code: Alles auswählen

The connection to localhost:44000 has terminated unexpectedly. Some data may have been transferred.

hmm

lg docnet

[herrchen]

hmm, wir reden von "https"?
dann sollten wir auch den port 443 verwenden, oder? :-)
also wie oben, nur eben mit "443" statt "445" ...

ich werde es mal editieren.

herrchen

[docNet]

Code: Alles auswählen

myself@magellan:~$ ssh -p 222 -L 44000:127.0.0.1:443 user@xxxxx.dyndns.org
user@xxxxx.dyndns.org's password:
Last login: Mon Oct 31 22:19:57 2005 from magellan.pmv-consult
user@ipcop:~ $

aber wenn ich

Code: Alles auswählen

https://localhost:44000/

im browser eingebe kommt die gleiche meldung wie oben.?
nochmal's danke für deine hilfe

lg docnet

[herrchen]

kommt die gleiche meldung wie oben.?

log dich mal ssh auf dem gateway *genau* so ein:

Code: Alles auswählen

ssh -p 222 user@xxxxx.dyndns.org

netstat -pant

poste bitte den output.

herrchen

[docNet]

Code: Alles auswählen

myself@ipcop:~ $ netstat -pant
(No info could be read for "-p": geteuid()=1000 but you should be root.)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State PID/Program name
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN -
tcp        0      0 0.0.0.0:81              0.0.0.0:*               LISTEN -
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN -
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN -
tcp        0      0 0.0.0.0:222             0.0.0.0:*               LISTEN -
tcp        0      0 84.168.15.11:222        192.168.0.108:35675     ESTABLISHED -
tcp        0      0 84.168.15.11:222        192.168.0.108:39132     ESTABLISHED -
tcp        0      0 84.168.15.11:445        84.60.27.198:3959       ESTABLISHED -
myself@ipcop:~ $

[herrchen]

Code: Alles auswählen

myself@ipcop:~ $ netstat -pant
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN -
tcp        0      0 0.0.0.0:81              0.0.0.0:*               LISTEN -
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN -
tcp        0      0 0.0.0.0:222             0.0.0.0:*               LISTEN -

jetzt wurde ich für meine unkenntnis bestraft.
IPCop lauscht doch an port 445.
hmm, vielleicht noch einen versuch:
ich vermute, dass du im moment intern sitzt, also

Code: Alles auswählen

ssh -p 222 -L 44000:127.0.0.1:445 username@interne_IP

https://localhost:44000

herrchen

[docNet]

mir fällt gerade auf, dass ich immer diese meldung bekomme

Code: Alles auswählen

user@ipcop:~ $ channel 3: open failed: administratively prohibited: open failed
channel 3: open failed: administratively prohibited: open failed

nachdem ich mich über ssh eingeloggt habe.

ich habe es auch so versucht, wie du es eben nochmal geschrieben hast. ohne erfolg.

lg docnet

[docNet]

okey

Code: Alles auswählen

user@ipcop:~ $ channel 3: open failed: administratively prohibited: open failed
channel 3: open failed: administratively prohibited: open failed 

kommt immer wenn ich

Code: Alles auswählen

https://localhost:44000/

eingebe.

docnet

[docNet]

naja, für heute gebe ich auf
melde mich morgen wieder

gute nacht

[herrchen]

okey

Code: Alles auswählen

user@ipcop:~ $ channel 3: open failed: administratively prohibited: open failed

ist in der "sshd_config" des IPCop

AllowTcpForwarding no

gesetzt?

herrchen

[docNet]

guten morgen herrchen,

Code: Alles auswählen

AllowTcpForwarding no
#GatewayPorts no
X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes

lg docnet

[docNet]

hat viellcheit sonst noch jemand ne idee

docnet

[herrchen]

hat viellcheit sonst noch jemand ne idee

sorry, es war gestern eine lange sitzung am rechner.
ich habe mich missverständlich ausgedrückt.
ich wollte damit sagen, dass wenn

AllowTcpForwarding no

gesetzt ist, dies natürlich in

AllowTcpForwarding yes

zu ändern ist.

herrchen

[docNet]

hi herrchen,

hab ich gemacht. geht aber trotzdem nicht. was mir aber eben brennent heiß
eingefallen ist, dass ich zwar den port 222 auf dem ipcop geöffnet habe, aber nicht den port weiter geleitet habe.
und das müsste ich aber doch machen, oder?

sprich: port 222 an 192.168.0.1(ipcop) 445 weiterleiten

nochmals vielen lieben dank für deine hilfe

docnet

[herrchen]

sprich: port 222 an 192.168.0.1(ipcop) 445 weiterleiten t

nein, denn die "weiterleitung" soll ja der tunnel werden.

also noch mal langsam:

AllowTcpForwarding yes

sorgt dafür, dass es dir möglich ist, den tunnel aufzubauen.
es ist eigentlich defaultmässig gesetzt, scheint aber bei IPCop verbogen zu sein.

jetzt muss die möglichkeit bestehen, dich über ssh mit dem IPCop zu verbinden.
sollte ein router dazwischen stehen, ist der port (in diesem fall 222) auf den ssh-port des IPCop weiterzuleiten.

die verbindung/tunnel wird vom client mit diesem befehl aufgebaut:

ssh -p 222 -L 44000:127.0.0.1:445 username@gateway-host.dyndns.org

port 445 ist der port, an dem der IPCop per https anzusprechen ist.
alternativ könnte man hier auch den port 81 verwenden. dort lauscht IPCop mit http.
44000 ist der port, der lokal (am client), als tunnelende verwendet wird.

auf dem client verbindest du dich jetzt per browser (durch den tunnel) mit:

https://localhost:44000
http://localhost:44000

je nachdem, ob du den tunnel zum https oder http-port aufgebaut hast.

sollte dies jetzt nicht zum erfolg führen, poste bitte mal die logs der *beiden* hosts.
hängt der IPCop direkt an der leitung, oder ist ein router/FW dazwischen?

herrchen

[docNet]

hi,

hängt der IPCop direkt an der leitung, oder ist ein router/FW dazwischen?

der ipcop ist FW/router

Code: Alles auswählen

dsl(modem) - ipcop -> switch -> client

als erstes mache ich

Code: Alles auswählen

myself@galileo:~$ ssh -p 222 -L 44000:127.0.0.1:445 user@xxxx.dyndns.org
user@xxxx.dyndns.org's password:
Last login: Tue Nov  1 16:00:04 2005 from xxxxxxxx.de
user@ipcop:~ $

dann gebe ich im browser

Code: Alles auswählen

https://localhost:44000

ein uns es kommt folgende meldung

Code: Alles auswählen

user@ipcop:~ $ channel 3: open failed: administratively prohibited: open failed

ipcop
sshd_config

Code: Alles auswählen

AllowTcpForwarding yes

hosts

Code: Alles auswählen

127.0.0.1       localhost
192.168.0.1     ipcop.office.pmv-consult.de     ipcop
192.168.0.2     fritzbox.pmv-consult.de    fritzbox

client
hosts

Code: Alles auswählen

127.0.0.1 localhost
192.168.2.20 galileo
# The following lines are desirable for IPv6 capable hosts
# (added automatically by netbase upgrade)

ich habs das ganze vor einem jahr schon mal gemacht. da hab ich mich dann diese [1] howto gehalten und es hat alles geklappt.
[1] http://ipcop.gutzeit.ch/pdf/ssh_lan.pdf
dieses mal habe ich nur die ports nicht so geändert wie im howto beschrieben.

hmm so langsam bin am verzweifeln.

docnet

[docNet]

hab eben gesehen, dass immer wenn ich

Code: Alles auswählen

/usr/local/bin/restartssh

mache, sich der eintrag inder /etc/ssh/sshd_config wieder auf

Code: Alles auswählen

AllowTcpForwarding no

ändert.

[docNet]

bauch ich denn

Code: Alles auswählen

AllowTcpForwarding yes

überhaupt?
denn, ich will ja nicht auf einen rechner hinter dem ipcop zureifen.

sonder direkt auf dem ipcop und dort über den ssh-tunnel an das web interface kommen.

ssh port 222
Apache Web-Server 445

gruss
ein komplet verwirrter docnet

[herrchen]

bauch ich denn

Code: Alles auswählen

AllowTcpForwarding yes

überhaupt?

werden wir feststellen.
nächster versuch:

ssh -p 222 -L 44000:192.168.0.1:445 user@xxxx.dyndns.org

ansonsten wie immer.

herrchen
*der es etwas bereut, sich noch nie mit iPCop beschäftigt zu haben.*

[docNet]

mache jetzt erstmal feierabend.
versuche es aber aufjedenfall heute abend mal.

ich melde mich dann.
1000 dank

docnet

[docNet]

Code: Alles auswählen

ssh -p 222 -L 44000:192.168.0.1:445 user@xxxx.dyndns.org 

geht auch nicht.

ich habe mal versucht von der arbeit aus, ohne tunnel auf's web-interface zukommen. auch ohne erfolg.
port 445 ist offen.

@herrchen
ich hab dir ne PN geschieben. versuch doch bitte mal, ob du ein anmeldefenster bekommst.
wenn ich vom internen netzwerk aus https://user@xxxx.dyndns.org mache funktioniert es.


lg docnet

[docNet]

@ herrchen

ich habe gerade erfahren, das einige provider der port 445 sperren.
ich werde den port heute abend mal ändern.

lg docnet

[docNet]

endlich, geschaft

1. ipcop sshd_config

Code: Alles auswählen

AllowTcpForwarding yes

was man aber nur über das web-interface einschalten kann. [1]

Code: Alles auswählen

ENABLE_SSH_PORTFW=on

Code: Alles auswählen

/usr/local/bin/restartssh

habe ich beides gemacht. leider alles ohne erfolg

2. ssh-tunnel
als root

Code: Alles auswählen

ssh -p 222 -L 443:192.168.0.1:40405 username@my-dyndns.org

3. im browser

Code: Alles auswählen

https://localhost

eintippen. fertig

[1] http://www.debianforum.de/gallery/BilderVomForum/adx

lg docnet

EDIT: @herrchen vielen dank