SSH Tunnel zum WebIF unserer Träume

  • Quote

    Originally posted by max303
    super funktioniert mit dem 22->22 forwarding
    danke für den tipp


    Sehr sinnvoll wäre das! Mit obigem Setup kommt die ganze Welt nun auf den SSH Server Deiner Dream. Aus den Logfiles von Servern sehe ich, dass nachwievor gerne SSH Bruteforce Attacken laufen insbesondere wenn man eine IP von nem größeren Provider wie zB T-Offline oder so hat. Daher würde ich lieber Port xxxxx -> 22 forwarden. Die meisten machen sich nämlich nicht die Mühe alle Ports der IPs zu probieren, sondern connecten immer nur direkt auf 22 und da liefen sie dann bei Dir ins Leere.


  • ok habe nun quellport = 3000
    ziel = localhost:22


    3000, da dies auch hier im thread angegeben wurde
    müsste nicht der localhost:3000 als ziel stehen?
    mache ich hier noch etwas falsch?
    rufe ich danach localhost:3000 im browser auf, kommt eine server-kommunikation ist fehlgeschlagen meldung


    irgendwie fehlt doch dieser part aus putty:
    3) Tunnel definieren:


    Schreibt unter Source Port den lokalen Port (3000) rein.
    Bei Destination kommt die IP der Dreambox plus Zielport (192.168.1.30:80)


    oder??



    __QT__
    danke für den tipp, dass hatte ich weiter oben bereits ja angefragt, ob dies sinnvoll ist
    habe nun den 22er extern auf einen 5-stelligen geändert
    sollte nun sicher(er) sein


    max303

  • Quote

    Originally posted by max303


    ok habe nun quellport = 3000
    ziel = localhost:22


    Wenn Du das WebIf erreichen willst, muss der Zielport auch 80 sein und nicht 22, sonst leitest Du Dich ja auf den SSH weiter, aber SSH ist eh schon verunden :rolleyes:

  • so nun klappt es auch
    danke für den tipp


    eine wirklich letzte frage hierzu:
    wieso muss ich im putty noch die ip der box vor der 80 beim tunnel angeben, während es übers handy nicht notwendig ist?
    funktioniert es theoretisch auch im putty ohne die ip der box?


    ansonsten ist das vorgehen bei beiden varianten ja analog
    achja und die zugangsdaten muss ich nur am pc browser ein 2. mal (nach putty) erneut eingeben, am handy funktionierte es sofort


    1. zugangsaufbau putty/connectbot auf dyndns:port mit den zugangsdaten
    2. dieser leitet per portforwarding im router auf die ip der box:22
    3. über das portforwarding von putty/connectbot leitet dieser wieder die verbindung von 3000 (bei mir) auf den 80er (webinterface)


    max303

  • Quote

    eine wirklich letzte frage hierzu: wieso muss ich im putty noch die ip der box vor der 80 beim tunnel angeben, während es übers handy nicht notwendig ist? funktioniert es theoretisch auch im putty ohne die ip der box?


    Du musst ja definieren von wo nach wo, der Tunnel gebaut werden soll.
    localhost kannst du da natürlich wählen, weil du ja das Webif auf der Box erreichen willst und
    das läuft ja auf dem gleichen Rechner.


    Kannst aber auch die IP der Box eingeben, kommt auf das gleiche raus. Die IP Adressen / Comp-Namen sind halt wichtig, sobald du Dienste erreichen willst, die nicht lokal am Rechner / Dreambox laufen wo der SSH Server läuft.


    Du kannst mittels Tunnel bauen auch andere Geräte erreichen im Netz ;)


    Und das mit dem Passwort, ist ich auch Ok. Weiss ja nicht wie du die Box eingerichtet hast, mittelt auth oder nicht. Aber einmal musst du das Passwort eingeben, dass du zum SSH Server connecten kannst. Dann steht auch der Tunnel...


    Und das zweite Passwort ist sicher die Authentifizierung am Webif der Dreambox, wenn du dich durch den Tunnel schlängelst. Da musst du dich auch noch anmelden.


    Aber das musst du ja im Connectbot wie auch via Putty eingeben.

  • So, jetzt nochmals für Dummys (ich zähl mich dazu):


    Ich habe folgendes gemacht:
    1) Habe auf meinem Android Handy ConnectBot installiert und eine ssh Verbindung root@xyz.dyndns.tv:80 eingerichtet
    2) xyz.dyndns.tv funktioniert! Das hab' ich einmal kurz bei offener Dreambox (ohne Passwortschutz) getestet.
    3) Habe ein Portforwarding in meiner fritz.box TCP 22->22 auf die IP der Dreambox eingerichtet.
    4) Auf der Dreambox läuft ssh, denn wenn ich ssh im Telnet eingebe, kommt die Meldung: Dropbear client v0.51


    So, nun starte ich die Verbindung im ConnectBot und es meldet: Die Verbindung wurde getrennt. No route to host


    Was hab' ich vergessen? Was mach ich falsch? Bin offensichtlich zu blöd (=blond) um das Ganze zu verstehen!


    LG Tina

  • Dein SSH Verbindung muss auf Port 22 gehen, wenn Du diesen Port in der Fritzbox weiterleitest zur Dream. Du kannst aber auch einen anderen nehmen, nur muss er in Fritzbox und im ConnectBot gleich sein ;)

  • Quote

    Original von __QT__
    Dein SSH Verbindung muss auf Port 22 gehen, wenn Du diesen Port in der Fritzbox weiterleitest zur Dream. Du kannst aber auch einen anderen nehmen, nur muss er in Fritzbox und im ConnectBot gleich sein ;)


    Hey! Dankeschön!!
    So geht's: root@xyz.dyndns.tv:22 im ConnectBot eingetragen
    Und genau dies ist der Port, denn man aus Sicherheitsgründen, wie Du in einem früheren Post bereits geschrieben hast, noch verändern (>3000 oder so) sollte.


    Kaum macht man es richtig, funktioniert's auch schon!! :hurra:


    Danke nochmals


    Tina

  • Kennt jemand auch Apps für iOS (iPhone bzw. iPAD) mit denen das geht?


    Habe es mit SSH Terminal versucht, habe auch eine Verbindung herstellen können, aber kein Portforwarding gefunden und deswegen E2remote und das WebIF im Browser nicht ansteuern können.


    LG Tina

  • Quote

    Original von mfgeg
    Probiere einmal mit issh.
    Vielleicht ist das was für dich ;)


    Danke für die Info.
    Das Ding hatte ich auch schon im Visier.
    Doch 8 Euronen sind ganz schön viel, um nur so zu schau'n, ob's vielleicht geht!


    LG Tina

  • iSSH funktioniert sowohl mit Safari, als auch mit sämtlichen Dreambox Apps.
    Gerade persönlich getestet.

  • Hab das mit dem Tunnelbau auchmal ausprobiert und funktioniert. Ebenfalls funktioniert der Zugriff über eine Keydatei, welche ich eigentlich nutzen möchte.
    Leider scheint die Dropboxvariante auf die Befehle -s -g (keine Passwortabfrage) nicht zu reagieren. Falls mit Keydatei nicht geht kommt halt die Passwortabfrage. Das wollt ich aber nicht haben.
    Mach ich da was verkehrt oder hab ich was übersehen.

  • Dropbox? Ich denke, Du meinst dropbear :)


    Also laut Hilfetext sollte er es können:


    Code
    root@dm8000:~# dropbear -h 2>&1|grep password
    -s Disable password logins
    -g Disable password logins for root

    Wie bzw. wo hast Du denn die Optionen gesetzt? Sicher, dass der dropbear damit läuft? Wäre gut, wenn Du mehr Infos liefern könntest, damit man sieht, was wie wo läuft und wer wie wo sich verbindet.

  • Ja das funkt einwandfrei, mittels der -g -s Option.
    Ist sicher was nicht korrekt konfiguriert, beim Bastler ;)


    Und wie __QT__ sagt, fehlen die Änderungen, usw...

  • Hab die Infos in die Datei dropbear unter /etc/default/dropbear geschrieben. Mittels PS-PAd unixkonforn die Zeile DROPBEAR_EXTRA_ARG="-s -g" ergänzt. Die Zeile liesst das Startscript unter /etc/init.d/dropbear auch ein.

    Quote

    case "$1" in start)
    echo -n "Starting $DESC: " gen_keys KEY_ARGS=""
    test -f $DROPBEAR_DSSKEY && KEY_ARGS="$KEY_ARGS -d $DROPBEAR_DSSKEY"
    test -f $DROPBEAR_RSAKEY && KEY_ARGS="$KEY_ARGS -r $DROPBEAR_RSAKEY"
    start-stop-daemon -S \ -x "$DAEMON" -- $KEY_ARGS \ -p "$DROPBEAR_PORT" $DROPBEAR_EXTRA_ARGS
    echo "$NAME." ;;


    Der Parameter
    $DROPBEAR_EXTRA_ARGS ist dann "-s -g". Sollte eigentlich funktionieren.
    Na Phänomenal - wollte gerade noch den Auszug aus der Message-Datei posten und siehe da :
    Heute meldet sich der Dropbear-Server mit:

    Quote

    Ihr Host unterstützt werder "password" noch "keyboard-interactive" Autheniisierung

    Prima. :hurra:

  • Ja man kann das Script anpassen, oder natürlich die Konfigdatei.


    Oder wenn dropbear mittels xinet.d läuft, dann kannst du die /etc/xinet.d/dropbear
    um die zwei Optionen ergänzen unter server_args = und xinetd neu starten.

  • Hallo!
    Ich möchte gerne über das www von außerhalb auf meine 8k zugreifen um Timer programmieren zu können, der Rechner (Win 7) steht in Athen, über den möchte ich die Box in Wien programmieren. Dazu habe ich diesen thread gelesen und auch die entsprechenden WIKI-Beiträge, danach einen account bei DynDNS eingerichtet und den Router in Athen entsprechend konfiguriert. Das funktioniert mal, die Aktualisierung der WAN IP Adresse haut hin, ein ping auf den Hostnamen liefert die richtige IP-Adresse. Da ich einen SSH Tunnel verwenden möchte, ist der nächste Schritt wohl das Einrichten von Putty am Athener Rechner. Da blicke ich allerdings nicht ganz durch: Gebe ich für den Hostnamen die IP Adresse des Routers in Athen, oder Wien ein (schätze Wien)? Danach den lokalen Port 3000 für den Tunnel und die IP plus Zielport (22) der Box in Wien. Damit sollte in Athen alles erledigt sein und es geht in Wien weiter.
    Da muss ich zuerst mal checken ob Dropbear installiert ist, dann verpasse ich der Box ein Passwort. Dann muss ich am Router noch die Portweiterleitung des Ports 22 einrichten.


    Ist dieser Gedankengang korrekt??


    Noch 2 Fragen habe ich: ein SSH Tunnel ist ja relativ sicher, oder empfiehlt es sich trotzdem andere Ports zu verwenden?


    Kann ich auch den Zugriff über ein iPad einrichten, hier im thread ist mal iSSH erwähnt und wenn ja, wie macht man das?


    Ich bitte die Spezialisten unter Euch meine Überlegungen mal zu checken, ob das so wie beschrieben klappen kann.
    Vielen Dank im Voraus und
    Liebe Grüße!


    G