Kein Tunneling über SSH möglich ....

Diskutiere mit über: Kein Tunneling über SSH möglich .... im Mac OS X Forum

  1. Matti30

    Matti30 Thread Starter MacUser Mitglied

    Beiträge:
    6
    Zustimmungen:
    0
    Registriert seit:
    17.02.2004
    Hallo

    ich versuche schon seit ein Paar Tagen mich von meinen Rechner an der Arbeit (WinDOSE) über Putty mit meinen Rechner zu Hause (G4 Mac) zu verbinden. Der Mac sitzt hinter einem Router ZyxAir B-2000v2, der Router leitet den Port 22 an die IP-Adresse des Mac's, beim Mac ist SSH eingeschaltet. Der Router kümmert sich ebenfalls um eine dynamische DNS, so dass ich ständig unter "Adresse.net" zu erreichen bin. So weit so gut. Der Connect mit Putty funkt soweit, ich komme auf den Terminal und kann alles machen. Auf den Mac läuft allerdings auch mldonkey den ich von der Arbeit beobachten möchte (über tunneling per SSH). Beim Putty habe ich einen Tunnel eingestellt von Port 4080. Jetzt gebe ich an der Arbeit http://localhost:4080 -> komme aber ums verrecken nicht auf das Webinterface. Ein Kolege aus dem Linux lager hat mich beraten und gesagt das ich den Hostnamen des Mac's ändern muss, und den Domainnamen (von ".local") auf "Adresse.net" , damit ich ein Connect bekomme. Diese Änderung ist mir leider noch nicht geglückt.

    Habe mal versucht genau so ein Tunneling auf den internen Webserver des Mac's zu machen. Ebenfalls gescheitert. Bekomme nur das Interface von meinen Router zu sehen. Also schliesse ich daraus, dass es an der Einstellung des Domainnamens liegt, dass ich von der Arbeit kein tunnel hinbekomme.

    Oh, ich hoffe es ist nicht zu lang geworden

    Robin
     
  2. admartinator

    admartinator MacUser Mitglied

    Beiträge:
    15.294
    Zustimmungen:
    290
    Registriert seit:
    09.09.2003
     

    Nö, dafür aber doppelt gepostet... ;)
    Außerdem verstossen Fragen zu mldonkey gegen die Foren-Regeln.
    Falls du den Namen des Rechners ändern willst, so findest du das unter Sharing.

    Martin
     
  3. songliner

    songliner Gast

    Zu mldonkey sage ich jetzt mal auch nichts...

    Das genaue Setup kann ich auch nicht kommentieren.

    Aber für die Kontrolle der Tunnel probiere mal SSH Tunnel Manager (defekter Link entfernt).
     
  4. SirSalomon

    SirSalomon MacUser Mitglied

    Beiträge:
    4.714
    Zustimmungen:
    98
    Registriert seit:
    26.10.2003
    Also wenn ich das jetzt richtig verstanden habe, versuchst Du zwei Rechner, die jeweils hinter einem Router stecken, per Tunnel zu verbinden, ja?

    Vergiss es. Das wird nix.

    Begründung kommt jetzt :)

    Der Tunnel baut eine Verschlüsselung auf. Diese Verschlüsselung basiert auf die IP, einem Timestamp und eben dem Key.

    Alles zusammen ergibt einen CRT - Wert, ist nicht CRC aber als Beispiel muss es her halten :). Durch die beiden Router werden aber die Paket geändert, NAT ändert ja die eigentliche IP des Rechner in die IP des ISP.

    Somit ändert sich das Datenpaket, der Empfänger erwartet aber die lokale IP mit einem entsprechenden CRC - Wert. Der CRC - Wert wird aber nach den Routern neu berechnet und stimmt nicht mehr. Das Datenpaket wird verworfen.

    Das war's dann :)

    Tunnel über IPSec oder ähnliches geht nur, wenn beide Router sich kennen und das gleiche Protokol fahren. Und selbst da wird der Tunnel nicht zwischen den Rechnern, sondern zwischen den Routern aufgebaut. Dein "entfernter" Rechner befindet sich somit dann im lokalen Netz und bekommt auch eine IP von dort.

    Wenn Deine Firma das zulassen würde (vorausgesetzt Du bist nicht gerade der Chef :D), wäre ein Scheunentor geöffnet. Da wäre nicht im geringsten kontrollierbar, was dort rein kommt, geschweige denn, was da raus geht.

    Unter dem Aspekt, was Du lokal auf Deinem Rechner kontrollieren willst, leuten bei jedem Admin sofort die Alarmglocken :D

    Ich hoffe nun aber, ich hab das richtig interpretiert, was Du vor hast
     
  5. Matti30

    Matti30 Thread Starter MacUser Mitglied

    Beiträge:
    6
    Zustimmungen:
    0
    Registriert seit:
    17.02.2004
    mldonkey war nur ein Beispiel um der Sache mal grundsätzlich auf den Grund zu kommen (ist einfacher zu testen,da mehrere Möglichkeiten des connect bestehen- z.B telnet). Es geht um den Tunnel der nicht funktioniert - mit welchem Dienst auch immer.
     
  6. SirSalomon

    SirSalomon MacUser Mitglied

    Beiträge:
    4.714
    Zustimmungen:
    98
    Registriert seit:
    26.10.2003
    Was Dir aber bei der Anwendung bleibt. Öffne den Port bei Deinem Router und geh direkt über das Internet drauf. Sollte gehen, für die beliebten HighIDs musst Du ja eh den ein oder anderen Port freischalten. Da fällt der eine dann auch nicht mehr auf.
     
  7. msr73

    msr73 MacUser Mitglied

    Beiträge:
    16
    Zustimmungen:
    0
    Registriert seit:
    22.05.2003
     

    Verständnisfrage: Es reicht nicht, eine etablierte SSH-Verbindung zwischen beiden Rechnern zu haben, auf die dann der Tunnel 'aufsetzt'?!?:confused:
     
  8. SirSalomon

    SirSalomon MacUser Mitglied

    Beiträge:
    4.714
    Zustimmungen:
    98
    Registriert seit:
    26.10.2003
    Das wird so nicht funktionieren. Wie geschrieben, besitzt die Tunnelverbindung eine Verschlüsselung, die mit einem Key versehen ist. Jede Änderung wird bemerkt und als Versuch der unerlaubten Entschlüsselung angesehen. Das Paket wird dann sofort verworfen.

    Da NAT aber auf dem Prinziep funktioniert, dass die lokale IP - Adresse in einem Datenpaket der ISP - Adresse versteckt wird, muss das vor die Wand laufen.

    der Empfänger greift das Paket auf und will wiederum ein NAT machen, für ihn ist das Paket ja nicht. Da sich jetzt der Timestamp von dem Paket geändert hat und somit der Key nicht mehr passt, verwirft der eigentliche Empfänger das Datenpaket.

    Selbst ein beobachten der laufenden Datenpakete wird als Attacke erkannt und die Pakete wandern in den Schredder.

    Das einzige, was Dir bleibt ist eine gesicherte Verbindung zwischen den beiden Routern. Dafür würde dann Dein lokales Netzwerk zu Hause in der Firma voll sichtbar und umgekehrt auch. Und das ist weder für Dich spannend, noch begeisterst Du damit die IT - Abteilung. Die bekommen ehr einen Herzkasper, wenn Du sie darauf ansprichst :D
     
  9. SirSalomon

    SirSalomon MacUser Mitglied

    Beiträge:
    4.714
    Zustimmungen:
    98
    Registriert seit:
    26.10.2003
    Oh, eines hab ich vergessen.

    Eine SSH ist nichts anderes wie ein Terminal. SSH => Abkürzung für SecureShell.

    Damit wäre Dir also auch nicht geholfen. was Dir ein gewisses Maß an Sicherheit gibt wäre in Deinem lokalen Netzwerk eine Radius - Authentifizierung über eine Callback ISDN - Leitung.

    Aber einen Radius - Server haben die wenigsten :D Geschweige denn, sie wissen was damit anzufangen.
     
  10. Matti30

    Matti30 Thread Starter MacUser Mitglied

    Beiträge:
    6
    Zustimmungen:
    0
    Registriert seit:
    17.02.2004
     


    Hi
    mein Router verfügt über die Möglichkeit einen RADIUS Server aufzusetzen, aber du hast Recht- ich weiss wirklich nix damit anzufangen :(
    Könntest du uns mal da einen Kochkurs geben ?

    Matti
     
Die Seite wird geladen...

Diese Seite empfehlen

Benutzerdefinierte Suche