Kein Tunneling über SSH möglich ....

Dieses Thema im Forum "Mac OS" wurde erstellt von Matti30, 18.02.2004.

  1. Matti30

    Matti30 Thread Starter Mitglied

    Beiträge:
    6
    Zustimmungen:
    0
    Mitglied seit:
    17.02.2004
    Hallo

    ich versuche schon seit ein Paar Tagen mich von meinen Rechner an der Arbeit (WinDOSE) über Putty mit meinen Rechner zu Hause (G4 Mac) zu verbinden. Der Mac sitzt hinter einem Router ZyxAir B-2000v2, der Router leitet den Port 22 an die IP-Adresse des Mac's, beim Mac ist SSH eingeschaltet. Der Router kümmert sich ebenfalls um eine dynamische DNS, so dass ich ständig unter "Adresse.net" zu erreichen bin. So weit so gut. Der Connect mit Putty funkt soweit, ich komme auf den Terminal und kann alles machen. Auf den Mac läuft allerdings auch mldonkey den ich von der Arbeit beobachten möchte (über tunneling per SSH). Beim Putty habe ich einen Tunnel eingestellt von Port 4080. Jetzt gebe ich an der Arbeit http://localhost:4080 -> komme aber ums verrecken nicht auf das Webinterface. Ein Kolege aus dem Linux lager hat mich beraten und gesagt das ich den Hostnamen des Mac's ändern muss, und den Domainnamen (von ".local") auf "Adresse.net" , damit ich ein Connect bekomme. Diese Änderung ist mir leider noch nicht geglückt.

    Habe mal versucht genau so ein Tunneling auf den internen Webserver des Mac's zu machen. Ebenfalls gescheitert. Bekomme nur das Interface von meinen Router zu sehen. Also schliesse ich daraus, dass es an der Einstellung des Domainnamens liegt, dass ich von der Arbeit kein tunnel hinbekomme.

    Oh, ich hoffe es ist nicht zu lang geworden

    Robin
     
  2. admartinator

    admartinator Mitglied

    Beiträge:
    15.291
    Zustimmungen:
    290
    Mitglied seit:
    09.09.2003
    Nö, dafür aber doppelt gepostet... ;)
    Außerdem verstossen Fragen zu mldonkey gegen die Foren-Regeln.
    Falls du den Namen des Rechners ändern willst, so findest du das unter Sharing.

    Martin
     
  3. Zu mldonkey sage ich jetzt mal auch nichts...

    Das genaue Setup kann ich auch nicht kommentieren.

    Aber für die Kontrolle der Tunnel probiere mal SSH Tunnel Manager
     
  4. SirSalomon

    SirSalomon Mitglied

    Beiträge:
    4.797
    Zustimmungen:
    117
    Mitglied seit:
    26.10.2003
    Also wenn ich das jetzt richtig verstanden habe, versuchst Du zwei Rechner, die jeweils hinter einem Router stecken, per Tunnel zu verbinden, ja?

    Vergiss es. Das wird nix.

    Begründung kommt jetzt :)

    Der Tunnel baut eine Verschlüsselung auf. Diese Verschlüsselung basiert auf die IP, einem Timestamp und eben dem Key.

    Alles zusammen ergibt einen CRT - Wert, ist nicht CRC aber als Beispiel muss es her halten :). Durch die beiden Router werden aber die Paket geändert, NAT ändert ja die eigentliche IP des Rechner in die IP des ISP.

    Somit ändert sich das Datenpaket, der Empfänger erwartet aber die lokale IP mit einem entsprechenden CRC - Wert. Der CRC - Wert wird aber nach den Routern neu berechnet und stimmt nicht mehr. Das Datenpaket wird verworfen.

    Das war's dann :)

    Tunnel über IPSec oder ähnliches geht nur, wenn beide Router sich kennen und das gleiche Protokol fahren. Und selbst da wird der Tunnel nicht zwischen den Rechnern, sondern zwischen den Routern aufgebaut. Dein "entfernter" Rechner befindet sich somit dann im lokalen Netz und bekommt auch eine IP von dort.

    Wenn Deine Firma das zulassen würde (vorausgesetzt Du bist nicht gerade der Chef :D), wäre ein Scheunentor geöffnet. Da wäre nicht im geringsten kontrollierbar, was dort rein kommt, geschweige denn, was da raus geht.

    Unter dem Aspekt, was Du lokal auf Deinem Rechner kontrollieren willst, leuten bei jedem Admin sofort die Alarmglocken :D

    Ich hoffe nun aber, ich hab das richtig interpretiert, was Du vor hast
     
  5. Matti30

    Matti30 Thread Starter Mitglied

    Beiträge:
    6
    Zustimmungen:
    0
    Mitglied seit:
    17.02.2004
    mldonkey war nur ein Beispiel um der Sache mal grundsätzlich auf den Grund zu kommen (ist einfacher zu testen,da mehrere Möglichkeiten des connect bestehen- z.B telnet). Es geht um den Tunnel der nicht funktioniert - mit welchem Dienst auch immer.
     
  6. SirSalomon

    SirSalomon Mitglied

    Beiträge:
    4.797
    Zustimmungen:
    117
    Mitglied seit:
    26.10.2003
    Was Dir aber bei der Anwendung bleibt. Öffne den Port bei Deinem Router und geh direkt über das Internet drauf. Sollte gehen, für die beliebten HighIDs musst Du ja eh den ein oder anderen Port freischalten. Da fällt der eine dann auch nicht mehr auf.
     
  7. msr73

    msr73 Mitglied

    Beiträge:
    16
    Zustimmungen:
    0
    Mitglied seit:
    22.05.2003
    Verständnisfrage: Es reicht nicht, eine etablierte SSH-Verbindung zwischen beiden Rechnern zu haben, auf die dann der Tunnel 'aufsetzt'?!?:confused:
     
  8. SirSalomon

    SirSalomon Mitglied

    Beiträge:
    4.797
    Zustimmungen:
    117
    Mitglied seit:
    26.10.2003
    Das wird so nicht funktionieren. Wie geschrieben, besitzt die Tunnelverbindung eine Verschlüsselung, die mit einem Key versehen ist. Jede Änderung wird bemerkt und als Versuch der unerlaubten Entschlüsselung angesehen. Das Paket wird dann sofort verworfen.

    Da NAT aber auf dem Prinziep funktioniert, dass die lokale IP - Adresse in einem Datenpaket der ISP - Adresse versteckt wird, muss das vor die Wand laufen.

    der Empfänger greift das Paket auf und will wiederum ein NAT machen, für ihn ist das Paket ja nicht. Da sich jetzt der Timestamp von dem Paket geändert hat und somit der Key nicht mehr passt, verwirft der eigentliche Empfänger das Datenpaket.

    Selbst ein beobachten der laufenden Datenpakete wird als Attacke erkannt und die Pakete wandern in den Schredder.

    Das einzige, was Dir bleibt ist eine gesicherte Verbindung zwischen den beiden Routern. Dafür würde dann Dein lokales Netzwerk zu Hause in der Firma voll sichtbar und umgekehrt auch. Und das ist weder für Dich spannend, noch begeisterst Du damit die IT - Abteilung. Die bekommen ehr einen Herzkasper, wenn Du sie darauf ansprichst :D
     
  9. SirSalomon

    SirSalomon Mitglied

    Beiträge:
    4.797
    Zustimmungen:
    117
    Mitglied seit:
    26.10.2003
    Oh, eines hab ich vergessen.

    Eine SSH ist nichts anderes wie ein Terminal. SSH => Abkürzung für SecureShell.

    Damit wäre Dir also auch nicht geholfen. was Dir ein gewisses Maß an Sicherheit gibt wäre in Deinem lokalen Netzwerk eine Radius - Authentifizierung über eine Callback ISDN - Leitung.

    Aber einen Radius - Server haben die wenigsten :D Geschweige denn, sie wissen was damit anzufangen.
     
  10. Matti30

    Matti30 Thread Starter Mitglied

    Beiträge:
    6
    Zustimmungen:
    0
    Mitglied seit:
    17.02.2004
    Hi
    mein Router verfügt über die Möglichkeit einen RADIUS Server aufzusetzen, aber du hast Recht- ich weiss wirklich nix damit anzufangen :(
    Könntest du uns mal da einen Kochkurs geben ?

    Matti
     
Die Seite wird geladen...
Ähnliche Themen - Tunneling möglich Forum Datum
Upgrade von Snow Leopard auf El Capitan im Apple Store nicht möglich. Mac OS 14.06.2018
El Capitan Nach Update auf 10.13 zurück auf 10.11 möglich? Mac OS 08.06.2018
macOS High Sierra Update nicht möglich - Apple ID unvollständig Mac OS 10.05.2018
Fehler Bootcamp - Keine Partition möglich Mac OS 18.03.2018

Diese Seite empfehlen

  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.