vom Arbeitsnetz auf privates Netz zugreifen

[Duff]

Hallo,

ich möchte aus dem Netz von meiner Arbeit per ssh auf meinen eigenen Server zu Hause zugreifen.
Ich kann über einen Browser (mit bestimmten Proxy-Einstellungen) auch im Internet surfen. Weiterhin kann ich per ssh auf bestimmte unix-Maschinen der Arbeit zugreifen.

Jedoch kann ich keinen ping absetzenb bzw. scheint dann die dns-Auflösung nicht zu stimmen.

Code: Alles auswählen

daniel@daniel-laptop:~$ ping www.google.de
ping: unknown host www.google.de

Gibt es für mich jetzt eine Möglichkeit, wie per ssh auf einen dyndns-Adresse (also mein Home-Server) zugreifen kann?
Stehe irgenwie auf dem Schlauch.

[Natureshadow]

Hallo,

schau doch mal nach, ob du ein Standardgateway eingetragen hast.

Code: Alles auswählen

# route
default         192.168.0.1               0.0.0.0         U     0      0        0 eth0

Oder sowas in die Richtung müsste dabei heraus kommen.

Ansonsten sieht's schlecht aus. Wenn du aber SSH auf netzinterne Maschinen machen kannst, kommst du von einer von diesen aus vielleicht weiter nach draußen?

In jedem Fall solltest du das aber alles mit deinem Chef abklären!

Grüße,
Nik[/code]

[roli]

Hi,

wenn du per Browser auf Seiten zugreifen kannst, per ping aber nicht, koennte das u.a. eine Firewall sein. Interessant waere auch was nslookup sagt (einmal auf eine Seite die im Browser "geht", einmal auf eine die du nicht pingen kannst).
Hilfreich ist sicher auch: Checkliste Netzwerk-/Internetprobleme
Vielleicht ist auch ein VPN die (technische) Loesung, du musst aber immer drann denken, das dein Chef das vielleicht ganz anders sieht wie du!

[Natureshadow]

wenn du per Browser auf Seiten zugreifen kannst, per ping aber nicht, koennte das u.a. eine Firewall sein.

Er schrieb ja schon: Browser-Zugang nur durch Proxy ...

Interessant waere auch was nslookup sagt (einmal auf eine Seite die im Browser "geht", einmal auf eine die du nicht pingen kannst).

Da ping "Unknown host" sagt, zeigt das schon, dass der Name nicht aufgelöst werden kann.

Vielleicht ist auch ein VPN die (technische) Loesung, du musst aber immer drann denken, das dein Chef das vielleicht ganz anders sieht wie du!

VPN würde auch gehen. FALLS er eine feste IP-Adresse auf seinem Server zu Hause hat (weil er kann ja keine Hostnamen auflösen) und FALLS er damit durch's Gateway kommt FALLS ein Gateway vorhanden ist ...

-nik

[Duff]

Erstmal danke.

Meine Routing-Tabelle sieht so aus:

Code: Alles auswählen

Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
194.8.96.70     192.168.1.1     255.255.255.255 UGH   0      0        0 eth2
1xx.x0.xxx.0    0.0.0.0         255.255.255.0   U     0      0        0 cipsec0
0.0.0.0         1xx.x0.xxx.xxx  0.0.0.0         UG    0      0        0 cipsec0

wie schon gesagt, über einen proxy im Browser komme ich ins Internet.
Müsste es dann nicht auch irgendwie über die Konsole mit ssh gehen?

[ckoepp]

Bei einem HTTP-Proxy sicher nicht ohne extrem aufwendige Tunnelung über HTTP - theoretisch möglich, aber niemand is so irre das zu tun

Ansonsten eben hoffen, dass ein SOCKS-Proxy läuft.

Aber allgemein: dein Arbeitgeber wird sich schon was gedacht haben. Wenn du die Maßnahmen ohne sein Wissen untergräbst, kann er dich übrigens abmahnen.

[Duff]

Bei einem HTTP-Proxy sicher nicht ohne extrem aufwendige Tunnelung über HTTP - theoretisch möglich, aber niemand is so irre das zu tun

Mich würde es schon interessieren

[Mictlan]

Bei einem HTTP-Proxy sicher nicht ohne extrem aufwendige Tunnelung über HTTP - theoretisch möglich, aber niemand is so irre das zu tun

Mich würde es schon interessieren

aber wenn dir wer drauf kommt is das ein kündigungsgrund.... kündigungsgrund für ne fristlose.....

[ckoepp]

Mich würde es schon interessieren

Der RealPlayer und böse Spyware kann sowas

[Duff]

Ich will hier ja nichts verbotenes machen. Ich möchte einfach nur per ssh "ins Internet". So wie ich es auch mit meinem firefox machen kann.

[hupfdule]

Die Administratoren werden sich was dabei gedacht haben, wenn sie Port 22 sperren. Das ist in größeren Firmen ohnehin üblich. Wenn das dort die Policy ist und du die Sicherheitsmechanismen deiner Firma aushebelst, ist das was Verbotenes.

[Duff]

Wie gesagt, ich kann unter Windows nicht pingen (ins Internet) von der Konsole aus, wohl aber im lokalen Netz (habe Adminrechte).

Nun würde ich aber gerne per putty bzw. ssh auf meinen Server übers Internet zugreifen können.

[ckoepp]

Dann frag doch nach ob die IT dir das freischaltet. Hast kein Problem mit dem Arbeitgeber und alles ist wunderbar

[Duff]

Wäre eine Möglichkeit...

[devilx]

Ich hatte dazu mal einen Blog-Entry verfasst *eigenwerbungmach*
http://www.devilx.net/?p=271
Es kann natuerlich ueber dieses Konstrukt nicht nur RDP sondern im Grunde jedes Protokoll getunnelt werden.
Eine andere Moeglichkeit waere, einen OpenVPN Server auf port 443 aufzusetzen und dann ueber den Proxy eine "HTTPS" Verbindung zu dem Server aufzubauen.

[Duff]

Ja danke.

An sowas in die Richtung habe ich auch gedacht, weiß aber noch nicht genau, ob ich es auch richtig verstanden habe.

Zusammenfassung:
Ich müsste also auf dem Server einen proxy einrichten. Diesen könnte ich dann vom Client aus über http(s) ansprechen (wie auch immer von einem windows-Rechner aus?) und der Proxy würde diese Anfrage intern so weiterleiten, dass ich z.B auf den sshd auf Port 22 auskomme.

Ist das so richtig?

[devilx]

Nein. Anhand deiner Beschreibung bin ich davon ausgegangen, dass du bei dir im Arbeitsnetz bereits einen Proxy hast und sowieso nur ueber diesen rauskommst. Die einfachste Loesung waere:
Du stellst deinen Router daheim so um, dass er den Outside-Port 443 (also meindyndnsname.com:443) auf den internen Port 22 des SSH Servers leitet. Dann besorgst du dir eine "prtunnel"-aequivalente und ein PuTTy fuer Windows, baust eine Proxytunnel-Verbindung ueber deinen Proxy im Netz auf, zu deinem dyndns und verbindest dann ueber diesen Tunnel mit SSH.

[Duff]

Also ich habe hier auf der Arbeit schon einen Proxy, der mit Namen und Port 8080 eingetragen ist. Über diesen müsste ich ja dann doch schon gehen.

Was ich noch nicht so ganz verstanden habe (neben dem Einrichten des proxys auf dem Server, was ich mir aber noch anschauen werde), wie nun eine Verbindung vom Windows-Rechner zum Server herstellen kann (aufruf).

[devilx]

Argh, du brauchst auf dem Server keinen Proxy.
Ich wuerde dir vorschlagen dich erstmal mit den einzelnen Themen ein wenig auseinander zu setzen, sprich: Was ist ein Proxy und wie arbeitet er? Wie funktioniert SSH? Was ist ein Tunnel?
Ohne diese Informationen wirst du dich schwer tun das Konstrukt zu verstehen.

[Duff]

Ich glaube wir reden aneinander vorbei.

Ich komme auf der Arbeit (ein Windows-Rechner) nur über den Browser raus (Port 8080 und https). Meinen Server, auf den ich zugreifen möchte, kann ich zur Zeit "nur" über ssh erreichen auf Port 65xxx. Nun muss ich doch auf meinem Server einen proxy einrichten, der http bzw. https Anfragen so annehmen und verarbeiten kann, dass ich zum sshd weitergeleitet werde.
???

[devilx]

Nein, du brauchst da keinen Proxy fuer. Entweder du stellst die Portnummer von 65xx auf 443 um, oder du baust dir irgend einen Port-Mapper der an deinem 443 lauscht und alles an Port 22 weiterleitet. Der Port 443 ist in dem Sinne wichtig, da du nur dann ueberhaupt die Moeglichkeit hast ein CONNECT mit dem bestehenden Proxy aus deinem Arbeitsnetz aufzubauen - wenn die Administration nicht all zu daemlich ist hat sie wohl alle CONNECT-Request auf Ports neben 80 und 443 verboten.
Wenn du das Konstrukt dann so weit hast kannst du ueber prtunnel einen Tunnel aufbau, welcher ueber den Arbeitsnetzproxy geht und eine connection auf <deinekiste>:443 aufbaut. Anschliessen verbindest du dein Arbeitsplatz-SSH (PuTTy o.ae.) mit localhost:<port den du bei prtunnel angegeben hast> - die Kommunikation wird dann durchgereicht an deinen Server und du kannst per SSH drauf.
Wie gesagt, erkundige dich davor genauer ueber die Materie, sonst wird das wohl nichts.

[Duff]

Ok, das habe ich soweit verstanden.

Aber was für einen Port-Mapper kann ich am besten nehmen?
(dachte bzw. habe es so verstanden, dass ich für sowas auch einen Proxy verwenden kann)

[Duff]

@devilx: Habe nochmals deine Anleitung probiert, aber es funktioniert noch nicht so ganz.

Was ich gemacht habe:

Terminal 1:

Code: Alles auswählen

prtunnel -V -t http -H <Proxy_IP> -P <Proxy_Port> 13337 mydyndns.org 65356

Terminal 2:

Code: Alles auswählen

ssh -L 13338:mydyndns.org:65356 -p 13337 <user>@localhost

Sehe auch nachdem ich prtunnel gestartet habe, das der Port auf Anfragen wartet:

Code: Alles auswählen

tcp        0      0 0.0.0.0:13337           0.0.0.0:*               LISTEN

Nach Eingabe von ssh auf Terminal 2 sehe ich dann folgendes auf der Konsole (Terminal 1):

Code: Alles auswählen

Waiting for connection to port 13337...
Connection from 127.0.0.1 (port 43659) accepted
Connected to HTTP proxy <Proxy_IP>:<Proxy_Port>
HTTP Error: HTTP/1.0 403
Error: Unable to connect to remote host mydyndns.org (port 65356)

Und auf Terminal 2 kommte folgende Fehlermeldung:

Code: Alles auswählen

ssh_exchange_identification: Connection closed by remote host

Eventuell noch eine Idee?
Liegt es jetzt an der Namensauflösung von mydyndns.org oder an der ssh-Anmeldung auf dem Port 65356?

[devilx]

Es liegt warscheinlich am Port. Wie schonmal gesagt, koennte es sein, dass dein Proxy einen CONNECT auf andere Ports ausser 80 und 443 verbietet. Versuch es doch nochmals auf 443.

[Duff]

Sorry, aber wo genau soll ich jetzt den Port ändern?

von

Code: Alles auswählen

prtunnel -V -t http -H <Proxy_IP> -P <Proxy_Port> 13337 mydyndns.org 65356

nach

Code: Alles auswählen

prtunnel -V -t http -H <Proxy_IP> -P <Proxy_Port> <80 oder 443> mydyndns.org 65356

???