Re: [slss] Administrationszugriff auf den SLSS von außen
Funktioniert nicht :o(. Habe folgendes erledigt: (1) Bei dynDNS habe ich eine dynamische DNS eingerichtet mit dem Host rsg.homeip.net. Die IP wird auch angezeigt (frisch upgedatet, gerade auch nach Server-Neustart). z.B. gerade: 217.225.209.234. (Kann auch von SLSS darauf pingen, wenn das was zu sagen hat) (2) Unter Rechner/Domänen -- Dynamic-DNS habe ich den Hostnamen (rsg.homeip.net) eingetragen und dann noch folgende Einstellungen: wildcard (nein) (wofür ist das? *? etc??), Mail-Server (freigelassen) (Wozu?) und Backup mailserver (nein). Dynamic DNS Anbieter: www.dyndns.org (3) Unter Sicherheit -- externer Zugriff habe ich einfach mal versuchsweise alles erlaubt (auch SSH - Zugriff erlauben). (4) Putty hatte ich schon, damit arbeite ich hier in der Schule. Den habe ich also von einem anderen Schulrechner aus, über den ich auch Zugang zum Internt habe, gestartet. Dann habe ich die obige Adresse eingegeben (also 217.225.209.234) und SSH gewählt (also port 22). Dann öffnet sich ein schönes schwarzes Fenster, in dem nichts mehr passiert, außer dass ich irgendwann eine Fehlermeldung bekomme. ----- Original Message ----- From: "Frank Wein" <mcsmurf@gmx.de> To: "Martin Ross" <martin.ross@online.de> Sent: Saturday, May 29, 2004 9:55 AM Subject: Re: [slss] Administrationszugriff auf den SLSS von außen
Martin Ross wrote:
Hallo,
mal eine kurze Frage zum Administrationszugriff von außen. Hat jemand Erfahrung damit? Muss andauernd wieder mal zur Schule fahren, um auf dem Server etwas nachzugucken u würde das lieber öfter von zu Hause aus machen können.
Fragen: (1) Ist der Zugriff halbwegs sicher? (2) Welche Bedingungen müssen erfüllt sein (Zugang über DSL, Verbindung "sollte" regelmäßig hergestellt werden, da der e-mail-Austausch über UUCP automatisiert wurde.) (3) Welche ip-adresse hat der Server denn nach außen? Wird diese nicht regelmäßig bei jeder Einwahl neu vergeben? Die muss ich nach (neuer) Anleitung S.87 wohl wissen.
Hallo, hab das hier schon mal gemacht. Zuerst muss man bei dyndns.org einen Dyndns-Account anlegen und anschließend einen dyndns-Host dort anlegen. Dann gibt man bei der Weboberfläche (bei der 1.0er Version) unter Rechner/Domänen->Dynamic-DNS den neu erstellten Hostnamen ein und stellt die Verbindung neu her, jetzt sollte der Hostname bei DynDNS upgedatet worden sein. Dies kann man mit Hilfe des Web-Interfaces von dyndns.org nachprüfen: Rechts oben einloggen, dann links auf Dynamic DNS klicken und jetzt sollte bei deinem Hostname bei "Last Updated" die aktuelle Uhrzeit-6 Stunden (oder so um den Dreh rum) stehen. Jetzt muss man eben noch den externen Zugriff für SSH im Webinterface freischalten, aber das ist ja logisch (und Verbindung neu starten). Das ganze ist sehr sicher, solange man nen einigermaßen modernen SSH-Client wie Putty (http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html) verwendet, da alles standardmäßig per AES verschlüsselt ist, was wohl im Moment als nicht knackbar gilt (auch wenn es ein paar theoretische Schwächen gibt, aber wie gesagt nur theoretisch zur Zeit). Falls man dann auch das Webinterfaces verwenden will, leitet man in Putty einfach ein paar Ports weiter unter SSH->Tunnels. Dort leitet man z.B. local Port 2001 auf 192.168.0.2:443 weiter, anschließend kann man dann (wenn die SSH-Verbindung hergestellt ist) im Browser via https://localhost:2001 auf das Admin-Webinterface zugreifen. Das die Verbindung offen bleibt, hab ich ein kleines Script gebastelt, aber das lasse ich erstmal hier außen vor, da bei euch ja sowieso die Verbindung wegen der Mails offen bleiben sollte.
Gruß Frank
Martin Ross wrote:
Funktioniert nicht :o(.
Habe folgendes erledigt:
(1) Bei dynDNS habe ich eine dynamische DNS eingerichtet mit dem Host rsg.homeip.net. Die IP wird auch angezeigt (frisch upgedatet, gerade auch nach Server-Neustart). z.B. gerade: 217.225.209.234. (Kann auch von SLSS darauf pingen, wenn das was zu sagen hat)
[...] Hallo, man kann von außen drauf zugreifen, denn es meldet sich dort SSH-1.99-OpenSSH_3.4p1, also scheint alles zu funktionieren. Das der SLSS-Server nicht die Pakete von innen zu der externen IP richtig zuordnen kann, liegt wohl an der Firewall. Um festzustellen ob externer Zugriff geht von der Schule aus geht man am besten auf diese Website http://scan.sygatetech.com/ die scannt dann nach offenen Ports (Port 22 im Falle von SSH) Gruß Frank
Am Samstag, 29. Mai 2004 16:52 schrieb Frank Wein:
man kann von außen drauf zugreifen, denn es meldet sich dort SSH-1.99-OpenSSH_3.4p1, also scheint alles zu funktionieren.
Ich kann auch mittels ssh auf den Rechner zugreifen ... (gut das Passwort für den root kenne ich nicht ;-) ) Aber das ist auch ein Grund, warum ich das Ganze (noch) nicht mittels dyndns mache - wenn einmal die dyndns-Adresse bekannt ist, kann darauf jeden Tag und vor allem auch nachts darauf zugegriffen und dann auch gehackt werden. Die mir zugeschickte IP ändert sich alle 24 Stunden - ein erfoglreicher Angriff wird also schwerer. Viele Grüße Dieter
Hallo Dieter. (Zunächst einmal: Habe die Änderung der Zugriffsrechte dank deiner Hilfe wieder rückgängig gemacht. Hat geklappt.) Außerdem kann ich von mir zu Hause jetzt auf den Server der Schule zugreifen und da ich das Passwort habe :o), mich auch anmelden. Die IP-Lösung die du eingerichtet hast muss ich dann mal bei Zeiten noch einrichten, wenn sie doch sicherer ist. Gibt es noch irgendeine Möglichkeit, sich den Desktop, den man auch direkt am Server sieht, auf den Client zu Hause zu holen? D.h., ich weiß, dass es geht, weiß nur nicht wie. Grüße, Martin PS: Auch wenn es ein anderes Thema ist ... . Wie kann man denn im InternetExplorer automatisch ein Zitatzeichen (>) vor die einzelnen, alten Zeilen setzen? Oder muss man das händisch machen? Werde mir gleich deinen Link über richtiges Zitieren noch einmal genauer durchlesen. Noch einmal Grüße.
Martin Ross wrote:
Hallo Dieter.
(Zunächst einmal: Habe die Änderung der Zugriffsrechte dank deiner Hilfe wieder rückgängig gemacht. Hat geklappt.) Außerdem kann ich von mir zu Hause jetzt auf den Server der Schule zugreifen und da ich das Passwort habe :o), mich auch anmelden. Die IP-Lösung die du eingerichtet hast muss ich dann mal bei Zeiten noch einrichten, wenn sie doch sicherer ist.
Also meiner Meinung nach ist es genauso sicher, schließlich muss man ja niemanden den dyndns-Namen sagen. Außerdem solange der OpenSSH Client keine bekannten Sicherheitslücken hat, passt ja alles. Und wenn er welche hat, kann man die auch durch zufälliges rumscannen finden (wie es auch schon mal ein Virus gemacht hat).
<>Gibt es noch irgendeine Möglichkeit, sich den Desktop, den man auch direkt am Server sieht, auf den Client zu Hause zu holen? D.h., ich weiß, dass es geht, weiß nur nicht wie.
Kommt drauf an, ob Linux oder Windows daheim. Aber es ist beides nicht zu empfehlen, da die Geschwindigkeit nicht allzuschnell ist. Gruß Frank
participants (3)
-
Dieter Kroemer -
Frank Wein -
Martin Ross