VPN Einrichten

[gnude]

Hallo,
ich möchte gerne auf den Firmen Server einen VPN Zugriff von zuhause haben, so das ich im Notfall auch mal darauf zugreifen kann. Am besten währe wenn VNC damit laufen würde, aber notfalls würde auch eine Shell reichen.

Die Situation ist so:

Firmen Server ----(statische IP) ---- Windows Server mit KEN als Proxy ---- *Internet* ---- DSL Router ---- (DHCP) ---- PrivatPC mit Debian 5
Debian 5.0.4

Welche Software muss ich wo installieren und konfigurieren?

[Lord_Carlos]

Also du willst auf dem Firmen Server ein VPN server einrichten um mit der shell auf denen Arbeitsrechner zuzugreifen? Warum benutzt du dann nicht gleich SSH ohne VPN?

[gnude]

Richtig. So das ich von zuhause aus in Notfall reagieren kann.
SSH, klappt das denn durch den KEN Proxy durch. Der SErver bekommt ja nicht mit, wenn ich von aussen eine Verbindung aufbauen möchte. Der Server hängt nicht direkt am Internet.

[The_darkness]

Hallo!

Nur um nochmal sicherzugehen. Du möchtest per SSH auf den Server zugreifen. Nicht auf die Arbeitsstationen, oder?
Ich kenne den KEN Proxy jetzt nicht. Aber letztendlich muss es doch nur eine Art "Portforwarding" sein. Also den SSH Port vom Proxy an den Debian-Server weiterleiten.


Gruß

[uname]

Wenn du aktiv von außen (Privat-PC) zugreifen möchtest musst du am Internet-Gateway (das ist das System welches eine weltweite IP hat) ein Port-Forwarding ins interne Netz zu dem Server (statisch) einrichten. Ich gehe mal davon aus, dass du das nicht willst.
Du kannst aber einen Trick nutzen, der im übrigen höchst gefährlich für jedes Firmennetz ist und sämtliche Sicherheitsmaßnahmen untergräbt. Aber was solls, Trojaner arbeiten heute fast genauso. Es ist nötig Remote-Port-Forwarding bei SSH zu aktivieren, ist aber wohl Standard.
Der Server (statisch) baut die Verbindung zu deinem Debian (zuhause) durch den Proxy auf und du gehst dann rückwärts wiederum dadurch. Natürlich muss in dem Fall dein Privatrechner per SSH immer erreichbar sein und der Proxy sollte "connect-proxy" des Clients (hier Server statisch) unterstützen.

~/.ssh/config (SSH-Config auf Server (statisch), Benutzer egal):

Code: Alles auswählen

Host zuhause.dyndns.org
ProxyCommand connect-proxy -H  proxyserver:port %h %p   (irgendwie kann man auch User:Pass angeben)

Auf zuhause:443 sollte nun der SSH-Server lauschen. Das ist unter Umständen notwendig, da ein HTTP-Proxy Kommunikationen auf Port 22 nicht erlaubt.

Verbindungsaufbau von Server(statisch):

Code: Alles auswählen

ssh -N -R 2222:localhost:22 user@zuhause.dyndns.org -p 443

Die Option "-N" ist optional, so dass man keine Shell "zuhause" hat und den SSH-Account mit /bin/false absichern kann. Kann man einbauen, muss man nicht.

Wenn man nun zuhause ist, kann man eine Verbindung aufbauen

Code: Alles auswählen

ssh user@localhost -p 2222

Paar Anmerkungen:
- mit "screen" kann man das ganze vielleicht noch schöner gestalten
- durch SSH-Keys wird es sicherer
- SSH-Host-Keys müssen evtl. mal gelöscht werden für Host "localhost", da es sich ändert
- eine Restricted-Shell (/bin/false) ist bei Option "-N" möglich und dient zur weiteren Absicherung
- wenn man auf Server(statisch) den Aufbau automatisiert könnte man auch nur bei Bedarf den Rechner "zuhause" anstellen
- wenn man einen VServer hat geht das ganze natürlich viel besser, da der 7/24 läuft
- durch den Aufbau von der Firma bietet sich kein neues Angriffsziel auf dem Internet-Gateway, neues Angriffsziel wäre nur der Rechner "zuhause"

[Lord_Carlos]

Richtig. So das ich von zuhause aus in Notfall reagieren kann.
SSH, klappt das denn durch den KEN Proxy durch. Der SErver bekommt ja nicht mit, wenn ich von aussen eine Verbindung aufbauen möchte. Der Server hängt nicht direkt am Internet.

Und wie kommst da drauf das VNC durchkommt?
Willst du vielleicht zu hause (oder wo auch immer) ein VNC einrichten, und alle Computer mit dem VNC Server verbinden. Dann koennen alle Rechner im VNC sich ueber SSH erreichen.