Fernzugriff via ssh und Browser

[tonibj82]

Hallo liebe Gemeinde.

Ich habe noch nicht all zu viel Basiswissen und da ich mir mittlerweile ein kleinen Heimnetzwerk mit 2 Servern zusammengebastelt habe möchte ich auch noch gerne via ssh oder Browser (webmin) auf meine Server zugreifen. Im Lan funzt alles wie super nur extern nicht. sitze gerade auf Arbeit und versuche krampfhaft auf einen Server zu zugreifen. Also installiert ist ja alles (ssh-server, webmin) und bei DynDns hab ich auch einen festen Hostname. Im Router (Easybox von Vodafon) habe ich DynDns-Angaben gemacht. Kann es sein das ich da was vergessen habe? Port-Weiterleitung ist aus, Firewall im Router auch(bringt doch nix, oder?). Client(hier auf Arbeit) ist auch Debian-Lenny mit aktuellem openssh.

Code: Alles auswählen

ssh: Could not resolve hostname -meinHostname-\192.168.2.2 Name or service not known

das bekomme ich als Antwort meiner Konsole egal ob Port:8080 oder nicht wenn ich das eingeben:

Code: Alles auswählen

ssh Mein hostname\192.168.2.2
ODER
ssh -l [i]Kürzel[/i] Mein hostname\192.168.2.2

Ich habe eben auch noch ne Menge hier im Forum gelesen aber nix zu meinem Anfänger-Problem.

Eine Absicherung wäre wohl auch noch Sinnvoll, obwohl mein PW so blöd ist, das ich selber manchmal schwierigkeiten habe, mir das zu merken (alles drin Zahl, Groß&Kleinschreibung,Punkte).

Was muss ich tun um Zugriff darauf zu bekommen?

[jeff84]

Ich denke du musst von deinem Router noch die Ports, die du brauchst auf den Rechner weiterleiten...

Und ich denke nicht, dass der Aufruf so stimmt, wie du es machst.
Einfach mit

Code: Alles auswählen

ssh -p [i]port[/i] hostname

aufrufen. Der Port muss dann am Router auf den entsprechenden Rechner weitergeleitet sein...

[tonibj82]

NAT ist doch ausgeschalten, dann sollte er doch auch nicht rumzicken. Ping und Traceroute zum Host sind OK, nur komme ich nicht zum Server durch. Also wenn ich Feierabend habe, den Router gegen die Wand und Port-Weiterleitung konfigurieren.

Thx für Tipp, ich poste heute Abend ob alles klappt oder nicht.

BB

[Danielx]

NAT ist doch ausgeschalten, dann sollte er doch auch nicht rumzicken.

Wenn das so wäre, dann würdest du von deinem internen Netz (LAN) erst gar nicht ins Internet kommen!
Denn wenn du von deinen internen IP-Adressen (bei dir anscheinend 192.168.2.x) auf das Internet zugreifen möchtest, dann müssen die internen IP-Adressen durch die öffentliche IP-Adresse (deiner Easybox) ersetzt werden, umgekehrt gilt das natürlich genauso, also wenn du vom Internet aus auf dein internes Netz zugreifen möchtest (dann nennt man das Port-Weiterleitung).
Du benötigst also zwingend NAT (Adressumsetzung) bzw. Port-Weiterleitung!

Gruß,
Daniel

[jeff84]

Wie NAT ist ausgeschaltet? Hat jeder deiner Rechner eine öffentliche IP?
Wenn nicht sollte NAT nicht ausgeschaltet sein, da die Rechner dann nicht mehr ins Netz kommen würden...

[tonibj82]

Klingt logisch: is au so! Dann werde ich mich dem mal annehmen und mal prüfen, ob ich mich nicht doch vertan habe bei meiner Aussage.

Wie gesagt, wenn ich heut Abned zu Hause bin tu ich mal tun was ihr gesagt habt was ich tun soll um zu tun was ich tun möchte

[tonibj82]

Also irgendwas blockt oder stört oder der Bug vorm PC, ich weiss es nicht.

Port-Weiterleitung zum Server 192.169.2.x mit den Ports: 80,10000(für Webmin),21 und 22.
Was will er denn noch? Meine Schwester? Kann er haben ^^

Was mache ich falsch? SSH geht doch über Port 22 und muss wie folgt eingegeben werden oder?
Ich hab ja mehrere Schreibweisen probiert:

Code: Alles auswählen

ssh tg@dyndns-bla:22
ssh -p 22 dyndns-bla
ssh dyndns-bla:22
ssh tg@dyndns-bla/192.168.2.x

wie gesagt im internen Netz funzt alles wie es soll, NUR nicht von der Arbeit!


HHHiiiiiiillllfffeeeeeeee, sonst beiß ich den Monitor hier ab ^^

[jeff84]

Solange du Port 22 vom Router zum Server weitergeleitet hast, sollte das eigentlich reichen. Port 22 musst du im Aufruf nicht gesondert angeben sondern da sollte ein

Code: Alles auswählen

ssh user@host

reichen. Wenn im internen Netz alles funktioniert, gehe ich mal davon aus, dass der ssh-Server läuft und funktioniert. Was gibt der dir denn als Fehler aus?

[tonibj82]

Ähm ich habe irgendwie immer abgebrochen, da es weit über 10Min dauerte. lasse es gerade nochmal laufen.

Code: Alles auswählen

ssh -L 22:geyerstation.dyndns.org:22 tg@192.168.2.9
ssh: connect to host 192.168.2.9 port 22: Connection timed out

Das hatte ich als letztes getestet.

die andere eingabe schicke ich nach, sobald er was macht .

Im übrigen Ping zum Host ist erfolgreich. nur wie kannn ich denn durch den Router zum Server pingen?

Ping

Code: Alles auswählen

Host/IP-Server

klappt nicht.

[tonibj82]

DITO:

Code: Alles auswählen

ssh tg@Host
ssh: connect to host Host port 22: Connection timed out

[jeff84]

Darfst du bei euch auf der Arbeit auch überhaupt über ssh raus ne Verbindung aufbauen, oder gibt es da irgendwelche Firewalls, die das unterbinden?

[tonibj82]

Nein ist keine geschalten. und der Router @home nutzt auch keine.

Habe auch schon versucht Webmin über dessen Port im Browser zu erreichen, kommt auch nüscht. nicht einmal die olle php.info bekomme ich dort.

[jeff84]

Dann liegt das irgendwo zwischen deinem Router und deinem Server.
Entweder es ist was an deiner Port-Weiterleitung falsch, oder aber deine configs stimmen nicht so ganz...
Hast du bei der config des sshd's irgendwas bei Listen-Address eingestellt? Wenn du da die IP deines Servers eingestellt hättest, könnte es sein, dass du ihn nicht von außen, nur von innen ansprechen kannst.
Ansonsten weiß ich im Moment auch nicht so wirklich, woran das liegen könnte...

[tonibj82]

Da muss was eingestellt werden? Nee hab ich nicht gemacht. sollte alles standart sein. bekomme via Handy(browser) auch keinen Zugriff. wenn ich zu Hause bin, dann sammel ich mal Info's aus den Configs und dazu noch Router-Einstellungen. Nen Bug gibt es da bestimmt irgendwo (vorm PC )

[Danielx]

Code: Alles auswählen

ssh -L 22:geyerstation.dyndns.org:22 tg@192.168.2.9

Dass das nicht funktionieren kann, ist offensichtlich, du muss über das Internet schon die öffentliche IP-Adresse deiner Easybox und nicht eine lokale Adresse (hier 192.168.2.9) angeben.

Also z.B.

Code: Alles auswählen

tg@IP

IP ist die öffentliche IP-Adresse deiner Easybox, welche bei dir zu Hause steht.

Evtl. könntest du auch mal von der Arbeit aus einfach die öffentliche IP-Adresse deiner Easybox z.B. mit nmap scannen, um zu sehen, welche Ports da offen sind.

Gruß,
Daniel

[tonibj82]

2 doofe ein Gedanke. schon erledigt.

auf beiden Folgendes:
arbeit

Code: Alles auswählen

PORT      STATE    SERVICE
21/tcp    open  ftp
22/tcp    open  ssh
25/tcp    open  smtp
80/tcp    open  http
111/tcp   open  rpcbind
631/tcp   open  ipp
3306/tcp  open  mysql
10000/tcp open  snet-sensor-mgmt

hause

Code: Alles auswählen

PORT      STATE    SERVICE
21/tcp    filtered ftp
22/tcp    filtered ssh
80/tcp    filtered http
135/tcp   filtered msrpc
137/tcp   filtered netbios-ns
138/tcp   filtered netbios-dgm
139/tcp   filtered netbios-ssn
443/tcp   filtered https
445/tcp   filtered microsoft-ds
10000/tcp filtered snet-sensor-mgmt

[tonibj82]

Sooooooo

Klappt alles wie gewollt.
Grund fuer dieses diesaster war zum einen Die Portweiterleitung im Router (OMG) und zum anderen habe ich mir mit dem Webmin, welches da drauf laeuft, meine netzwerkconfig zerschossen. wie auch immer das geht der server wollte nicht mehr ins www. die config habe ich dann per hand geschrieben und nun ist alles chic!


Ich danke euch fuer die schnelle Hilfe und wuensche euch eine angenehme woche.


bb cu

[dieres]

das -L port:ip:port beutzt man doch für Tunnels NACH dem ssh login, soweit ich das verstanden habe.
damit das gewollte klappt, muss zwingend
1. im router eine portweiterleitung (virtueller server) eingerichtet werden, der port 22 auf den server hinter dem router weiterleitet
soweit ich das verstehe geht das nicht über ssh -L 22:dyndns:22

2. Auf dem Server muss falls dort eine firewall existiert der port 22 freigegeben werden.
ein weiterer Ratschlag definiere in der sshd config einen anderen port als z.B. 2232 oder was auch immer. schalte dort auch die einlogmöglichkeit für root ab. Das erhöht die Sicherheit. Natürlich must Du dann unter 1. diesen anderen port weiterleiten/freigeben.

danach kannst Du dich dann mit ssh -p 2232 -l user dyndnsname einloggen.
wenn Du dann z.B. mit rdesktop auf irgendeinen Windowsrechner im Netzwerk zugreifen willst, der z.B. local die IP 192.168.0.23 hat,

musst Du dich folgendermassen anmelden:
ssh -p 2232 -L 3389:192.168.0.23:3389 -l <user> <dyndnsname>

damit baust Du dir den tunnel, diese Terminal muss dann weiter offen bleiben.
danach ein neues terminal starten und mit :

rdesktop localhost die rdesktopsitzung starten.

wenn Du ein anderes Programm nutzen willst musst Du dann natürlich einen andern port tunneln. Der zugriff geht dann immer über localhost.
für vnc 5900 usw.usw.

Der Vorteil für die Sicherheit ist, das nur der sshd nach aussen erreichbar/offen ist. Deshalb auch unbedingt den Standardport 22 ändern.