Per ssh auf entffernten Privatrechner zugreifen

[thomasf]

Ich baue gerade einen Rechner für einen Verwandten auf und müßte zwecks "Administration" hin und wieder dort Zugriff via Konsole haben. Der Rechner steht derzeit noch bei mir und ich kann auch via ssh darauf zugreifen (ssh user@ip.des.rechners.im .LAN)

Doch wie geht das dann, wenn der Rechner eben nicht mehr in meinem LAN steht ...... also ssh user@InternetIP.des.entfernten@localeIP.des.entfernten.Rechners?

Thomas

[Tutti]

Du brauchst die IP Adresse des entfernten Rechners aus dem Internet.

Ist er dann direkt oder per Router angeschlossen?

Eine mögliche Lösung ist ein Dynamic DNS Hoster ala www.dyndns.org

[thomasf]

Ja, das mit der InternetIP des entfernten Rechners ist mir klar.
ssh user@InternetIP.des.entfernten.Rechnes@localeIP.des.entfernten.Rechners (ja, hinter einem Router)

Doch wie ist der korrekte Befehlsstring, und wie kann ich das vorab hier testen?

Von meinem PC über ssh user@eigene.InternetIP@locale.IP.des.Rechners (in meinem LAN) Also sozusagen vom eigenen LAN übers Netz zurück ins eigene LAN ...geht nicht.
Ist wohl auch etwas kurios

[Aliquando]

Hallo, ich würde folgendes Vorgehen vorschlagen:

Wie von Tutti vorgeschlagen legst du bei http://www.dyndns.org einen Account mit einem Hostnamen an und installierst auf dem Rechner ddclient - damit ersparst du dir, dass du deinen Verwandten immer nach der aktuellen IP fragen musst

Damit das hinter einem Router klappt und nicht dessen Firewall alles blockt, musst du im Router das "Port Forwarding" (bei FritzBoxen heißt es z.B. auch "Portfreigaben") einrichten. Der Router muss den Verkehr von Port 22 (SSH-Standard) an den Rechner weiterreichen. Damit das so funktioniert, wirst du dem Rechner wahrscheinlich eine "feste" IP zuteilen müssen, Router bieten hierfür in der Regel die Option, dass sie einem PC (bzw. einer Netzwerkschnittstelle) immer die selbe IP zuweisen

Wenn das passt, dann sollte der Zugriff gehen, mit

Code: Alles auswählen

ssh user@hostname.dyndns.org

[Tutti]

Eine Fritz Box hat schon einen DynDNS updater in der Software.
Das heißt du kannst die Fritz Box immer über den hostname ansprechen. Für eine SSH Verbindung ins INNERE musst du den entsprechenden Port forwarden.

Beispiel:
Fritz Box ist mit dem Internet verbunden und hat FBtest.dyndns.org
Rechner 1 ist intern verbunden mit IP 192.168.178.21
Rechner 2 ist intern verbunden mit IP 192.168.178.22
Rechner 3 ist intern verbunden mit IP 192.168.178.23

Um die internen Rechner ansprechen zu können per SSH muss der SSH Port entsprechend weitergeleitet werden.
Also zB kannst du die externen Ports
22221 an Port 22 der IP 192.168.178.21
22222 an Port 22 der IP 192.168.178.22
22223 an Port 22 der IP 192.168.178.23
weiterleiten, natürlich geht das mit jedem beliebigen Port, den du dir auswählst ...


Dann kannst du per
ssh -p 22221 user@FBtest.dyndns.org
Rechner 1 per ssh anwählen

Der Rechner 2 ist verfügbar via
ssh -p 22222 user@FBtest.dyndns.org

und Rechner 3 via
ssh -p 22223 user@FBtest.dyndns.org

Leitest du explizit Port 22 an Port 22 der IP 192.168.178.21 weiter
dann ist Rechner 1 per
ssh user@FBtest.dyndns.org

verfügbar.

Andere Router haben wahrscheinlich ähnliche Funktionalität.

Hoffe das ist soweit klar.

[fbartels]

Es wäre wahrscheinlich wesentlich einfacher von dem PC deines Verwandten einen reverse SSH tunnel zu deinem System aufzubauen. Hier musst du dann nicht auch noch deinen Verwandten durch die Einstellungen seines Routers begleiten, wenn mal was nicht klappt.

Den Link habe ich dafür mal vor einiger Zeit gefunden (habe es für mich bloß noch um einen anderen SSH Port Erweitert):
http://www.vdomck.org/2009/11/ssh-all-time.html

[thomasf]

Danke erstmal für die Tips

Die Variante ohne DynDNS gefällt mir am besten, da es für "hin und wieder mal" keine große Sache sein dürfte per zb. wie ist meine IP , die IP per Telefon vorher durchzugeben.

Funktionieren will es aber trotzdem erstmal nicht.

Ich versuche (wer weis ob das überhaupt so funktioniert) Also von Local über Internet zurück ins Locale.

Code: Alles auswählen

ssh user@InternetIP@localeIP

Portfreigabe habe ich in der Fritzbox gemacht von port 22 zu port 22 zum betreffenden Rechner

Permission Denied

Was mache ich da wohl falsch. Direkt ssh user@IPdesRechner geht.

Thomas

[fbartels]

Eine Verbinding ssh user@ip@ip funktioniert so nicht. Du brauchst zumindest ein Gateway über das du dich connecten kannst. Syntax wäre dann:

Code: Alles auswählen

ssh -t benutzer@gatewaypc ssh benutzer@rechnerhintergateway1

Das Gateway könnte dabei z.B. der Router sein, sollte er eine Einwahl per SSH unterstützen.

Das ganze lässt sich auch sparsam in deine ssh config integrieren:
http://wiki.host-consultants.de/doku.ph ... ichbar_ist

[cevap]

Hi,

wenn ich alles richtig verstanden habe musst Du nur

Code: Alles auswählen

ssh user@InternetIP

angeben

gruß

[thomasf]

ssh user@InternetIP hat geklappt.

Aber warum? Liegt das an der Portfreigabe, oder warum weiß der Router wer user ist, wenn die IP des Rechner nicht angegeben wird?

Ich staune nicht schlecht

EDIT: Oder liegt das am DynDNS der Fritzbox (Spricht: an einem anderen Router kann das dann schon wieder anders aussehen? )

[cevap]

Hi,

Router ist der User egal genau wie DynDNS er leitet nur den Port an Rechner.
Der Rest liegt am Pc selbst.
Normalerweise müsste das bei anderen Routern genau so sein.
Ich hoffe das Du mich verstehen kannst.

gruß
Ćevap

[Tutti]

Ähm das liegt an der Portfreigabe. ALLE Anfragen auf Port 22 an die Fritz Box werden auf Port 22 des entsprechenden internen Rechners weitergeleitet. Daher macht die Fritz Box das automatisch richtig, und leitet deine SSH Verbindung zu dem Rechner um. Vom Internet aus kannst du nicht auf lokale Netze zugreifen... Hab ich ja oben schon beschrieben

DynDNS einrichten ist bei einer Fritz Box kein Problem, dann müsstest du dir das IP rausfinden sparen. Wer die Portfreigabe und IP rausfinden schafft, kann auch DynDNS einrichten .

[thomasf]

Also liegts an der Portweiterleitung? Port22 zu Port22 an RechnerIP sowieso .... die passiert dann also automatisch, weil ja die Weiterleitung zu IP angegeben ist?

So kann ich mir das zumindest vorstellen.

EDIT: Da kam nun eine Antwort auf meine Nach-Frage schneller als ich die Frage stellen konnte

Danke allen für die Tips. Nun muß es nur noch gehen wenn der Rechner in einem anderen(er) Netz/Stadt steht.

[mindX]

Wenn der Zugriff primär für Support/Fernwartung gedacht ist: Ich verwende dafür Gitso (Reverse-VNC). Der Hilfesuchende muss dafür nur deine IP (oder deinen dyndns.org-URL) eintragen und "Get Help" drücken. Du musst an deinem Router Port 5500 weiterleiten, fertig. Einfacher gehts vmtl. nicht.

http://wiki.ubuntuusers.de/Gitso
http://code.google.com/p/gitso/
(Das ubuntu-Paket läuft hier problemlos auf Squeeze amd64)

[thomasf]

Nuja, scheint ja doch recht einfach.

Danke für den Tip, ist ne Option das Teil eventuell zusätzlich auch noch zu installieren.

Thomas