Kein Tunneling über SSH möglich ....

M

Matti30

Neues Mitglied
Thread Starter
Dabei seit
17.02.2004
Beiträge
6
Reaktionspunkte
0
Hallo

ich versuche schon seit ein Paar Tagen mich von meinen Rechner an der Arbeit (WinDOSE) über Putty mit meinen Rechner zu Hause (G4 Mac) zu verbinden. Der Mac sitzt hinter einem Router ZyxAir B-2000v2, der Router leitet den Port 22 an die IP-Adresse des Mac's, beim Mac ist SSH eingeschaltet. Der Router kümmert sich ebenfalls um eine dynamische DNS, so dass ich ständig unter "Adresse.net" zu erreichen bin. So weit so gut. Der Connect mit Putty funkt soweit, ich komme auf den Terminal und kann alles machen. Auf den Mac läuft allerdings auch mldonkey den ich von der Arbeit beobachten möchte (über tunneling per SSH). Beim Putty habe ich einen Tunnel eingestellt von Port 4080. Jetzt gebe ich an der Arbeit http://localhost:4080 -> komme aber ums verrecken nicht auf das Webinterface. Ein Kolege aus dem Linux lager hat mich beraten und gesagt das ich den Hostnamen des Mac's ändern muss, und den Domainnamen (von ".local") auf "Adresse.net" , damit ich ein Connect bekomme. Diese Änderung ist mir leider noch nicht geglückt.

Habe mal versucht genau so ein Tunneling auf den internen Webserver des Mac's zu machen. Ebenfalls gescheitert. Bekomme nur das Interface von meinen Router zu sehen. Also schliesse ich daraus, dass es an der Einstellung des Domainnamens liegt, dass ich von der Arbeit kein tunnel hinbekomme.

Oh, ich hoffe es ist nicht zu lang geworden

Robin
 
Original geschrieben von Matti30
Oh, ich hoffe es ist nicht zu lang geworden
Zum Vergrößern anklicken....

Nö, dafür aber doppelt gepostet... ;)
Außerdem verstossen Fragen zu mldonkey gegen die Foren-Regeln.
Falls du den Namen des Rechners ändern willst, so findest du das unter Sharing.

Martin
 
Zu mldonkey sage ich jetzt mal auch nichts...

Das genaue Setup kann ich auch nicht kommentieren.

Aber für die Kontrolle der Tunnel probiere mal SSH Tunnel Manager
 
Also wenn ich das jetzt richtig verstanden habe, versuchst Du zwei Rechner, die jeweils hinter einem Router stecken, per Tunnel zu verbinden, ja?

Vergiss es. Das wird nix.

Begründung kommt jetzt :)

Der Tunnel baut eine Verschlüsselung auf. Diese Verschlüsselung basiert auf die IP, einem Timestamp und eben dem Key.

Alles zusammen ergibt einen CRT - Wert, ist nicht CRC aber als Beispiel muss es her halten :). Durch die beiden Router werden aber die Paket geändert, NAT ändert ja die eigentliche IP des Rechner in die IP des ISP.

Somit ändert sich das Datenpaket, der Empfänger erwartet aber die lokale IP mit einem entsprechenden CRC - Wert. Der CRC - Wert wird aber nach den Routern neu berechnet und stimmt nicht mehr. Das Datenpaket wird verworfen.

Das war's dann :)

Tunnel über IPSec oder ähnliches geht nur, wenn beide Router sich kennen und das gleiche Protokol fahren. Und selbst da wird der Tunnel nicht zwischen den Rechnern, sondern zwischen den Routern aufgebaut. Dein "entfernter" Rechner befindet sich somit dann im lokalen Netz und bekommt auch eine IP von dort.

Wenn Deine Firma das zulassen würde (vorausgesetzt Du bist nicht gerade der Chef :D), wäre ein Scheunentor geöffnet. Da wäre nicht im geringsten kontrollierbar, was dort rein kommt, geschweige denn, was da raus geht.

Unter dem Aspekt, was Du lokal auf Deinem Rechner kontrollieren willst, leuten bei jedem Admin sofort die Alarmglocken :D

Ich hoffe nun aber, ich hab das richtig interpretiert, was Du vor hast
 
mldonkey war nur ein Beispiel um der Sache mal grundsätzlich auf den Grund zu kommen (ist einfacher zu testen,da mehrere Möglichkeiten des connect bestehen- z.B telnet). Es geht um den Tunnel der nicht funktioniert - mit welchem Dienst auch immer.
 
Was Dir aber bei der Anwendung bleibt. Öffne den Port bei Deinem Router und geh direkt über das Internet drauf. Sollte gehen, für die beliebten HighIDs musst Du ja eh den ein oder anderen Port freischalten. Da fällt der eine dann auch nicht mehr auf.
 
Original geschrieben von SirSalomon
Also wenn ich das jetzt richtig verstanden habe, versuchst Du zwei Rechner, die jeweils hinter einem Router stecken, per Tunnel zu verbinden, ja?
Zum Vergrößern anklicken....

Verständnisfrage: Es reicht nicht, eine etablierte SSH-Verbindung zwischen beiden Rechnern zu haben, auf die dann der Tunnel 'aufsetzt'?!?:confused:
 
Das wird so nicht funktionieren. Wie geschrieben, besitzt die Tunnelverbindung eine Verschlüsselung, die mit einem Key versehen ist. Jede Änderung wird bemerkt und als Versuch der unerlaubten Entschlüsselung angesehen. Das Paket wird dann sofort verworfen.

Da NAT aber auf dem Prinziep funktioniert, dass die lokale IP - Adresse in einem Datenpaket der ISP - Adresse versteckt wird, muss das vor die Wand laufen.

der Empfänger greift das Paket auf und will wiederum ein NAT machen, für ihn ist das Paket ja nicht. Da sich jetzt der Timestamp von dem Paket geändert hat und somit der Key nicht mehr passt, verwirft der eigentliche Empfänger das Datenpaket.

Selbst ein beobachten der laufenden Datenpakete wird als Attacke erkannt und die Pakete wandern in den Schredder.

Das einzige, was Dir bleibt ist eine gesicherte Verbindung zwischen den beiden Routern. Dafür würde dann Dein lokales Netzwerk zu Hause in der Firma voll sichtbar und umgekehrt auch. Und das ist weder für Dich spannend, noch begeisterst Du damit die IT - Abteilung. Die bekommen ehr einen Herzkasper, wenn Du sie darauf ansprichst :D
 
Oh, eines hab ich vergessen.

Eine SSH ist nichts anderes wie ein Terminal. SSH => Abkürzung für SecureShell.

Damit wäre Dir also auch nicht geholfen. was Dir ein gewisses Maß an Sicherheit gibt wäre in Deinem lokalen Netzwerk eine Radius - Authentifizierung über eine Callback ISDN - Leitung.

Aber einen Radius - Server haben die wenigsten :D Geschweige denn, sie wissen was damit anzufangen.
 
Original geschrieben von SirSalomon
Oh, eines hab ich vergessen.

Damit wäre Dir also auch nicht geholfen. was Dir ein gewisses Maß an Sicherheit gibt wäre in Deinem lokalen Netzwerk eine Radius - Authentifizierung über eine Callback ISDN - Leitung.

Aber einen Radius - Server haben die wenigsten :D Geschweige denn, sie wissen was damit anzufangen.
Zum Vergrößern anklicken....

Hi
mein Router verfügt über die Möglichkeit einen RADIUS Server aufzusetzen, aber du hast Recht- ich weiss wirklich nix damit anzufangen :(
Könntest du uns mal da einen Kochkurs geben ?

Matti
 
Dein Router kann eine Authentifizierung über einen Radius - Server vornehmen, meinst Du sicherlich.

Ohne jetzt überheblich zu klingen, ein Radius - Server über ein Forum einzurichten oder zu installieren, ist wie eine Fahrstunde per Kamera. Anders gesagt, geht nicht :) Oder noch anders, kann ich nicht über's Forum.

Woher kommst Du eigentlich? Vielleicht ist es eine Möglichkeit dass ich Dir vor Ort helfen kann?
 
danke für die angebotene Hilfe, aber so dringend ist es auch nicht.
Komme übrigens aus Hamm in Westf..
Bin jetzt auf den trichter gekommen, dass ich mir direkt im Router die nötigen ports durchleite - ist einfacher und Password schützen kann ich es auch. Habe ich mit dem Webserver ausprobiert. Es funkt soweit.

Matti
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten