[halb-OT] SSH über HTTP-Proxy ohne direkte DNS-Auflösung [auf Viren überprüft]
Hallo! Zuhause steht mein Linuxrechner hinter einem Router (Portforwarding ist eingerichtet). Von der Arbeit aus wollte ich mit Putty per SSH darauf zugreifen. DynDNS ist eingerichtet. Der Webserver ist per HTTP erreichbar. Alles, was bei uns rausgeht (eigentlich nur SMTP und HTTP), geht über Proxies. Direkte Verbindungen gibt es keine. Daher gibt es auch keine DNS-Auflösung für externe IP-Adresse und kein Routing für letztere. Da es in der Putty-Konfiguration möglich ist, eine Verbindung über einen HTTP-Proxy herzustellen, dachte ich, es sei kein Problem, die Verbindung nach Hause herzustellen. Putty sagt mir allerdings, er könnte meinen DynDNS-Hostnamen nicht auflösen. Es kommt keine Verbindung zustande. Geht das mit Putty und ich habe nur etwas anderes falsch gemacht? Geht es mit einem anderen Client? Hans
Hans Moser schrieb:
Hallo!
Zuhause steht mein Linuxrechner hinter einem Router (Portforwarding ist eingerichtet). Von der Arbeit aus wollte ich mit Putty per SSH darauf zugreifen. DynDNS ist eingerichtet. Der Webserver ist per HTTP erreichbar. Alles, was bei uns rausgeht (eigentlich nur SMTP und HTTP), geht über Proxies. Direkte Verbindungen gibt es keine. Daher gibt es auch keine DNS-Auflösung für externe IP-Adresse und kein Routing für letztere. Da es in der Putty-Konfiguration möglich ist, eine Verbindung über einen HTTP-Proxy herzustellen, dachte ich, es sei kein Problem, die Verbindung nach Hause herzustellen.
Putty sagt mir allerdings, er könnte meinen DynDNS-Hostnamen nicht auflösen. Es kommt keine Verbindung zustande.
Geht das mit Putty und ich habe nur etwas anderes falsch gemacht? Geht es mit einem anderen Client? Du hast deine Frage doch selbst beantwortet: --- schnippel on --- Direkte Verbindungen gibt es keine. Daher gibt es auch keine DNS-Auflösung für externe IP-Adresse und kein Routing für letztere. --- schnippel off ---
Wenn DNS nicht funktioniert, dann auch keine Auflösung der DynDNS-Adresse. Und wenn euer Routing auch nicht funktioniert dann kann das auch mit den INet nicht klappen. Und auch kein http und smtp mit externen Rechnern. Ich gehe mal davon aus dass ihr einen Mailserver habt und einen Proxy zur Kommunikation mit dem Internet. Wenn das so ist, muss auch die DNS-Auflösung funktionieren, wenn auch kein Ping durchgeht. Sonst könntet ihr auch via Proxy nichts im Inet machen. Wenn du aber einen SSH-Connect zu deinem Server machst blockt der Proxy den Zugriff da er auf Port 22 und nicht auf den erlaubten http-Ports läuft. Als Lösung kannst du auf deinem Rechner zuhause einen ssh auf Port 443 legen. Entweder per Portforwarding oder direkt beim sshd. Der Port 443 ist für https-Verbindungen und wird von Proxys durchgelassen die auch den Port 80 durchlassen da sonst keine geschützten Seiten angezeigt werden können. Damit lässt sich dann ein ssh starten. Und der Vorteil ist, dass man nicht sieht dass es ein ssh ist da es 1. verschlüsselt ist und 2. ein Zugriff über einen normalen Port darstellt. Und wenn dein Server jeden Tag neu einloggt, fallen die IPs im Log nicht auf. Als Tip noch: Beim fli4l-Paket ist es z.B. möglich bei der Einwahl ins Internet eine Seite per FTP auf einen Server raufzuladen. Dort kannst du die IP-Adresse reinschreiben. Damit hast du dann die Möglichkeit durch Aufruf der Seite im Browser die IP-Adresse zu erfahren und putty damit zu füttern. So mach ichs und das klappt auch gut so. Hoffe die Info hilft dir mfg. Joachim -- Englisch für Fortgeschrittene the flying-joke Der Spaßvogel Zufallssignatur Nr.: 44
Joachim Reiter, EMV-ELV schrieb:
Wenn DNS nicht funktioniert, dann auch keine Auflösung der DynDNS-Adresse. Und wenn euer Routing auch nicht funktioniert dann kann das auch mit den INet nicht klappen. Und auch kein http und smtp mit externen Rechnern. Das stimmt so nicht ganz. Auf die Mail- und Web-Proxies sind jeweils feste übergeordnete Proxies definiert (Proxykaskade). Der letzte Internetproxy hat dann natürlich DNS-Auflösung, diese Server stehen aber dann schon lange nicht mehr in unserem Netz, sondern beim Provider. SMTP und HTTP funktioniert so tadellos.
Ich gehe mal davon aus dass ihr einen Mailserver habt und einen Proxy zur Kommunikation mit dem Internet. Wenn das so ist, muss auch die DNS-Auflösung funktionieren, wenn auch kein Ping durchgeht. Sonst könntet ihr auch via Proxy nichts im Inet machen. So ähnlich eben.
Wenn du aber einen SSH-Connect zu deinem Server machst blockt der Proxy den Zugriff da er auf Port 22 und nicht auf den erlaubten http-Ports läuft. Als Lösung kannst du auf deinem Rechner zuhause einen ssh auf Port 443 legen. Entweder per Portforwarding oder direkt beim sshd. Der Port 443 ist für https-Verbindungen und wird von Proxys durchgelassen die auch den Port 80 durchlassen da sonst keine geschützten Seiten angezeigt werden können. Damit lässt sich dann ein ssh starten. Und der Vorteil ist, dass man nicht sieht dass es ein ssh ist da es 1. verschlüsselt ist und 2. ein Zugriff über einen normalen Port darstellt. Und wenn dein Server jeden Tag neu einloggt, fallen die IPs im Log nicht auf. Ich hatte schon von Anfang an einen anderen Port per Portforwarding definiert. Natürlich nicht 443, aber das werde ich nun noch mal ausprobieren. Danke für den Tipp.
Als Tip noch: Beim fli4l-Paket ist es z.B. möglich bei der Einwahl ins Internet eine Seite per FTP auf einen Server raufzuladen. Dort kannst du die IP-Adresse reinschreiben. Damit hast du dann die Möglichkeit durch Aufruf der Seite im Browser die IP-Adresse zu erfahren und putty damit zu füttern. So mach ichs und das klappt auch gut so. Ich habe einen "Hardware"router. Damit wird das wohl nicht gehen. Aber zur Not kann ich ja morgens, bevor ich gehe mal aktuelle die IP-Adresse raussuchen.
Hans
Hans schrieb:
Als Tip noch: Beim fli4l-Paket ist es z.B. möglich bei der Einwahl ins Internet eine Seite per FTP auf einen Server raufzuladen. Dort kannst du die IP-Adresse reinschreiben. Damit hast du dann die Möglichkeit durch Aufruf der Seite im Browser die IP-Adresse zu erfahren und putty damit zu füttern. So mach ichs und das klappt auch gut so. Ich habe einen "Hardware"router. Damit wird das wohl nicht gehen. Aber zur Not kann ich ja morgens, bevor ich gehe mal aktuelle die IP-Adresse raussuchen.
Hallo Hans, schau trotzdem mal beim Router, mein Hardware-Router kanns. Maximilian Steinbauer
Hallo Hans, für die SSH Lösung über den HttpProxy gibt es mehrere Möglichkeiten: 1. die einfachste Variante ist, dein Proxy unterstützt den SSL-Connect vollständig, d.h. Du kannst angeben welchen Zielport Du verwenden willst. (also nicht 443) Hierzu kann man dann das corkscrew Projekt verwenden in Kombination mit cygwin/openssh oder eben direkt openssh unter Linux 2. falls der ssl-connect nur auf 443 geht (leider in den meisten Fällen nicht mehr möglich da die c't das breit berichtet hatte... :-( ) kann man mit einem richtigen httpTunnel das Thema umgehen. Für Windows gibt es das httpConnect und für Linux/Cygwin das httptunnel 3.3. Hier wird über den http-proxy ein tunnel zu deinem Router aufgebaut, diesen Tunnel kann man dann nutzen um darüber ssh zu tunneln :-) 3. man nehme openVPN (nicht die SuSE 1.5, die hat ein Bug im proxymode) und verbindet damit seinen Rechner hinter der firewall/proxy mit dem router, aber auf Port 443. Diese Variante ist die aufwendigste zum einrichten, allerdings auch die am einfachsten zu handhabende. Ich hoffe ich habe mit meiner konfusen Art weiterhelfen können. Gruß Darko
-----Original Message----- From: Hans Moser [mailto:hans.moser@ofd-sth.niedersachsen.de] Sent: Monday, July 26, 2004 7:25 AM To: suse-linux@suse.com Subject: [halb-OT] SSH über HTTP-Proxy ohne direkte DNS-Auflösung [auf Viren überprüft]
Hallo!
Zuhause steht mein Linuxrechner hinter einem Router (Portforwarding ist eingerichtet). Von der Arbeit aus wollte ich mit Putty per SSH darauf zugreifen. DynDNS ist eingerichtet. Der Webserver ist per HTTP erreichbar. Alles, was bei uns rausgeht (eigentlich nur SMTP und HTTP), geht über Proxies. Direkte Verbindungen gibt es keine. Daher gibt es auch keine DNS-Auflösung für externe IP-Adresse und kein Routing für letztere. Da es in der Putty-Konfiguration möglich ist, eine Verbindung über einen HTTP-Proxy herzustellen, dachte ich, es sei kein Problem, die Verbindung nach Hause herzustellen.
Putty sagt mir allerdings, er könnte meinen DynDNS-Hostnamen nicht auflösen. Es kommt keine Verbindung zustande.
Geht das mit Putty und ich habe nur etwas anderes falsch gemacht? Geht es mit einem anderen Client?
Hans
participants (4)
-
Hans Moser -
Joachim Reiter, EMV-ELV -
Maximilian Steinbauer -
Palic, Darko