Remote Control mit SSH

pchris

Well-Known Member
Hallo!

Ich soll bei einem Freund einen FreeBSD Rechner aufstellen, der dort im Netzwerk Webseiten (Apache) und Dateien (Samba) servieren soll. Das ganze soll nicht ins Internet und steckt daher hinter einem NAT.

Gibt es jetzt eine Möglichkeit bei Bedarf das System aus der Ferne zu warten, ohne ein Loch in die Firewall zu bohren?

Ich habe mir so gedacht, dass wenn so ein Fall eintritt, mein Freund irgendwie(?) eine Verbindung nach draussen anlegt. Ich benutze dann sozusagen die Verbindung um an das System zu kommen.

Gibt es so etwas schon? Hat jemand das Anders gelöst?

mfg
christoph
 

martin

Well-Known Member
also ich würde ssh auf dieser Maschine mal generell freischalten und eben nur bei Bedarf auf dem Router das Forwarding aktivieren. Ggf. halt noch den ssh noch etwas "tunen" (port wechseln, nur bestimmte Rechner zulassen, etc.).
 

s-tlk

Lion King Fan
Du könntest dir zu Hause einen VPN Server installieren und bei Bedarf verbindet sich dein Freund mit dem VPN und du könntest (falls das vpn gebridged ist) dich direkt per ssh anmelden.

Andererseits habe ich ein ähnliches Problem so zu Hause gelöst, das ich mich per ssh auf einen Login Rechner anmelde und von dort aus dann auf dem Server anmelde... da kann man natürlich auch die ganzen Maßnahmen wie martin gesagt hat ergreifen... Port wechseln...usw.
Aber vorallem: Gutes Passwort wählen, das ist <99 Prozent allen Schutzes.
 

pchris

Well-Known Member
Danke schon einmal für eure Antworten. Das mit VPN klingt interessant.

Das nur zeitweilige Öffnen des Ports auf dem Router wird nicht gehen, da er wohl keinen Zugang zu dem hat. Das ganze ist ein Studentenheim-Netzwerk.

mfg
christoph
 

lme

FreeBSD Committer
Mach einfach den ssh port dauerhaft auf, leg ihn ggf. auf nen anderen Port als 22 und deaktiviere Passwortauthentifizierung. Dann erlaubst du nur noch Authentifizierung mit private/public Keys. Du hast dann zwar ein "Loch" in die Firewall gebohrt, aber durch das kann niemand hinein, der nicht den passenden Usernamen, den Schluessel und die dazu gehoerige Passphrase hat.
Er braucht sich also keine Sorgen zu machen, dass jemand eindringen koennte...
 

XPectIT

the just
Ohne Zugriff auf den Router wirst du vermutlich keinen ssh auf dem Webserver ohne weitere Arbeit erreichen. (Portforwarding geht dann wohl auch nicht.) Dann wird die Verbindung wohl von innen heraus hergestellt werden müssen.

Somit scheidet bis auf ein VPN wohl ziemlich alles aus.
 

pchris

Well-Known Member
Gut, Gut. Danke einmal für die Antworten. Dann werde ich mich wohl mal in die OpenVPN Dokumentation einlesen.
 

juan_

Well-Known Member
hallo,

ein bisschen umstaendlich, aber teamviewer braucht keine offenen ports.
ich kenne es nur vom hoeren, und dann auch nur im zusammenhang mit windows computern. also vllt ist ja das eine loesung: win(e) -> win -> per putty auf den server. besser als nichts, gell ? ;)

ciao
 
Zuletzt bearbeitet:

Columbo0815

Kaffeemann
Teammitglied
Ich bilde mir ein, dass es eine Art "reverse ssh" gibt. Somit kann bei Bedarf vom Zielrechner die Verbindung zu deinem geöffnet werden und du hast Zugriff auf das Zielsystem.

HTH

Edit: google hat mir eben geholfen:

Zielrechner: ssh -R xxxx:localhost:22 user@Gastrechner
Gastrechner: ssh -p xxxx user@zielrechner

xxxx ist durch einen beliebigen port zu ersetzen.
 
Zuletzt bearbeitet:

xGhost

OpenBSD Freack
Zielrechner: ssh -R xxxx:localhost:22 user@Gastrechner
Gastrechner: ssh -p xxxx user@zielrechner

Stimmt, mach aber lieber so:
ssh -fN -R xxxx:localhost:22 user@Gastrechner

Am Besten machst du auf deinem Host ein support User,
welcher im chroot ist. Danach kannst du für den User ein
Public Key einrichten.

Greets
 

pchris

Well-Known Member
Vielen Dank an Columbo0815 (und auch an xGhost). Du hast genau den richtigen Hinweis geliefert.

mfg
christoph
 
Oben