Hallo zusammen,
ich habe folgendes Problem: Ich habe mehrere Rechner die ich an Kunden verschicke. Um diese fortlaufend zu administrieren brauche ich einen SSH Zugriff, aber die IP Adressen sind mir natürlich nicht bekannt und ich habe auch kein Einfaluss auf die Internetzugänge der Kunden.
Ich möchte nun, das die Rechner sich bei mir (einem Server mit Statischer IP) melden, und sich damit update Befehle holen, oder es mir ermöglichen mir dann Zugriff auf diese zu geben.
Gibt es entsprechende Software? Für in paar Namen oder mir bis jetzt nicht bekannt Suchbegriffe für dieses Problem wäre ich sehr Dankbar!
Vorab: Ich kann kein dyndns service verwenden um die IP Adressen der Rechner zu bestimme, ich kann auch keine Ports in den Netzwerken der Clients freischalten.
gruß
thomas
[gelöst] SSH Zugriff auf Server mit dynamischer IP ohne dynd
[gelöst] SSH Zugriff auf Server mit dynamischer IP ohne dynd
Zuletzt geändert von notdefine am 29.06.2009 00:11:52, insgesamt 1-mal geändert.
Re: SSH Zugriff auf Server mit dynamischer IP ohne dyndns Servic
Das Zauberwort heißt Remote-SSH-Port-Forwarding.
Auf deinem Server richtest du deinen Account mit Shell /bin/false ein. Stelle sicher, dass der Kunde kein SCP/SFTP nutzen kann. Erlaube den Zugriff zu diesem Account "kunde" nur per SSH-Key.
Zur Vorbereitung muss auf dem Kundensystem ein SSH-Server laufen, der aber nur auf "localhost" horchen muss. Du musst per Key oder Passwort berechtigt sein.
Der Kunde kann nun folgende Verbindung aufbauen (evtl. per Script):
und er sieht, dass er nichts sieht. "2222" ist der Port auf deinem Server (evtl. auf einen anderen freien Port legen), wo der Port "22" des SSH-Servers von Kunden weitergeleitet wird. Du kannst dich nun anmelden:
Bedenke, dass es zu "Host key" Fehlern (falscher Eintrag ~/.ssh/known_hosts) bei dir kommen wird, da "localhost" nicht wirklich "localhost" ist. Hierfür einfach die Datei löschen und den Key evtl. von Hand prüfen.
Auf deinem Server richtest du deinen Account mit Shell /bin/false ein. Stelle sicher, dass der Kunde kein SCP/SFTP nutzen kann. Erlaube den Zugriff zu diesem Account "kunde" nur per SSH-Key.
Zur Vorbereitung muss auf dem Kundensystem ein SSH-Server laufen, der aber nur auf "localhost" horchen muss. Du musst per Key oder Passwort berechtigt sein.
Der Kunde kann nun folgende Verbindung aufbauen (evtl. per Script):
Code: Alles auswählen
ssh -N -R 2222:localhost:22 kunde@server
Code: Alles auswählen
ssh user@localhost -p 2222
ssh root@localhost -p 2222
Re: SSH Zugriff auf Server mit dynamischer IP ohne dyndns Servic
Hi,
du koenntest die Kunden Server doch via VPN "nach Hause telefonieren" lassen. Wenn du das mit den Kunden vorher absprichst, sehe ich da kein Problem.
du koenntest die Kunden Server doch via VPN "nach Hause telefonieren" lassen. Wenn du das mit den Kunden vorher absprichst, sehe ich da kein Problem.
Roland
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
Re: SSH Zugriff auf Server mit dynamischer IP ohne dyndns Servic
Sofern Client und Server TUN/TAP unterstützen ist OpenVPN eine schöne Sache. Pass aber auf, dass sich nicht unterschiedliche Kunden gegenseitig sehen können. Bei vielen Kunden solltest du statt PSK eine PKI nutzen.
Re: SSH Zugriff auf Server mit dynamischer IP ohne dyndns Servic
Danke euch für die Antworten !
Die Variante mit dem "Remote-SSH-Port-Forwarding" ausprobieren. Einziges Problem dabei scheint mir das ich für mehrere "Clients" (sind ja eigentlich Server) jeweils einen anderen Port angeben muss. 2222, 2223, 2224... Diese muss ich dann jeweils auf den Rechnern einstellen. Leider muss ich dazu jede Installation anpassen, gibt es eine Möglichkeit das alle Clients sich auf einem Port anmelden ?
gruß und danke
thomas
Korrektur: Stimmt ja garnicht. Alle Kunden melden sich auf Port 22 bei mir an und ich greife auf verschiedenen Ports darauf zu.
Die Variante mit dem "Remote-SSH-Port-Forwarding" ausprobieren. Einziges Problem dabei scheint mir das ich für mehrere "Clients" (sind ja eigentlich Server) jeweils einen anderen Port angeben muss. 2222, 2223, 2224... Diese muss ich dann jeweils auf den Rechnern einstellen. Leider muss ich dazu jede Installation anpassen, gibt es eine Möglichkeit das alle Clients sich auf einem Port anmelden ?
gruß und danke
thomas
Korrektur: Stimmt ja garnicht. Alle Kunden melden sich auf Port 22 bei mir an und ich greife auf verschiedenen Ports darauf zu.
Re: [gelöst] SSH Zugriff auf Server mit dynamischer IP ohne dynd
Ja und Nein. Sobald zwei Kunden gleichzeitig versuchen sich bei dir anzumelden wird der zweite Tunnel nicht funktionieren, da der Socket schon belegt ist. Daher würde ich den Zugriff ja auch "on demand" und durch den Kunden gestartet anbieten.Korrektur: Stimmt ja garnicht. Alle Kunden melden sich auf Port 22 bei mir an und ich greife auf verschiedenen Ports darauf zu.