AFP nur über SSH

[Apfelfluesterer]

Hallo !

Ein iMac G5 wird bei uns im Netzwerk als AFP Server genutzt.
Wir würden gerne über eine SSH Verbindung auch von aussen zugreifen können.
Wie schaffen wir es, daß man von aussen AFP nur über einen SSH Tunnel
öffnen kann (und innerhalb des Netzwerks trotzdem ohne SSH)...?
Außerdem wie verbindet man sich über den geöffneten SSH Tunnel mit AFP?

Danke für Anregungen, Af

 

[maceis]

Das müsste eigentlich mit der Option '-L-' des ssh Kommandos gehen.
Alternativ kann ich Dir 'openvpn' empfehlen.
Im Detail hängt es aber auch von Eurer Netzwerkumgebung, Internetanbindung etc. ab.

HTH

 

[Apfelfluesterer]

Danke für die Antwort. Werde ich probieren bzw nachschlagen...

Ich hab mich noch weiter erkundigt... das Problem dürfte doch etwas komplexer sein.
Laut diverser Forumseinträge läuft AFP over SSH nur mit Tiger Server.
Wir haben aber derzeit nur die Client Version (sorry, hatte ich vergessen)...

 

[der_Kay]

Scheint aber auch durchaus mit dem Client zu gehen; ich habe mal spasseshalber
ssh -fNgL 9771:localhost:548 kay@localhost
ausprobiert und dann im Finder via Apfel+K:
afp://localhost:9771
erfolgreich auf ein AppleShare zugegriffen.

Angenommen,
- Ihr habt eine Firewall laufen
- die sich auf SSH versteht,
- von aussen erreichbar ist,
- Port 22 offen hat,
- von aussen z. B.unter firewall.netz erreichbar ist,
- Dein Account auf der Firewall user ist,
- der Mac intern z. B. als macintosh.intranet von der Firewall aus erreichbar ist:

ssh -fNgL lokalerPort:macintosh:548 user@firewall.net

Dann wie oben im Finder mit afp://localhost:lokalerPort connecten. lokalerPort sollte >1024 sein, sonst braucht es überall root-Rechte.

 

[Apfelfluesterer]

Scheint aber auch durchaus mit dem Client zu gehen; ich habe mal spasseshalber
ssh -fNgL 9771:localhost:543 kay@localhost
ausprobiert und dann im Finder via Apfel+K:
afp://localhost:9771
erfolgreich auf ein AppleShare zugegriffen.

Na ja, nur weil es keine Fehlermeldung gibt, heißt das leider noch nicht, daß das afp über ssh funktioniert. Probier mal beim afp-Verbinden unter Optionen SSH auszuwählen... ?
Bzw wie kann man überprüfen ob es wirklich über den Tunnel läuft ?

Bzw meine ursprüngliche Frage: wie schafft man es, daß am router eben nur der SSH-Port offen ist und man trotzdem eben über einen SSH-Tunnel auf AFP am Server zuzugreifen ....?

 

[der_Kay]

Kurzer Nachtrag: Ich hab mich beim Port vertan; es ist natürlich 548. Ändert aber nichts.

Wenn ich den Port angebe, auf dem der SSH-Socket lauscht, dann ist es wohl oder übel SSH-getunnelt. Die Portangabe wird auch vom Finder beachtet. Hässliche Sache ist nur, dass sich Tiger himmelt, wenn man tatsächlich einen connect vom localhost macht. Das liegt aber daran, dass man das System eine Endlosschleife schickt. (Lustige DOS-Attacke übrigens...) Ansonsten bekommt ein getunnelter Dienst von SSH nichts mit; das ja ist der Sinn der Sache. Dein Router muss einen SSHD laufen haben oder Port 22 auf den Mac forwarden. Ansonsten geht das Tunneln so, wie ich es beschrieben habe. Wenn der Port am Router nur geforwarded wird:
ssh -fNgL lokalerPort:localhost:548 user@firewall.net

Probiers doch einfach aus. Es würde mich sehr wundern, wenn es nicht klappt. Und wenn alle Stricke reissen gibt es immer noch sFTP.

 

[maceis]

Wie gesagt, ich würde das Ganze mit openvpn machen und zwar mit der Server-Client Variante und zertifikatbasierter Authentifizierung.

Das ist um Längen komfortabler. Arbeiten wie im lokalen Netz.