Tunnelverbindung ins "Heimnetz" (von außen ins Uninetz per SSH)?

[Peter1]

Hallo,

mein Netz: Ein Router (Linksys WRT54GL mit DD-WRT) verbindet mehrere Rechner per LAN und WLAN miteinander. Er dient als Gateway zum Internet. Das Internet wird von der Uni bereitgestellt, d.h. ich befinde mich im Uni-Netz mit fester IP.

Problem: Auf meinem Router läuft ein SSH Server, der dazu verwendet werden soll Rechner per WOL aufzuwecken und eventuell eine VNC-Sitzung zu tunneln (von außerhalb der Uni, z.B. am Wochenende von der Wohnung meiner Eltern aus). Leider erreiche ich meinen Router nicht von außerhalb und lande im Time-Out. Ich habe mich beim Vorgehen an das offizielle Tutorial von DD-WRT zu SSH gehalten. (Telnet/SSH and the command line - DD-WRT Wiki) Was kann ich tun, um dennoch auf meinen Router zuzugreifen? Auch wenn die Uni alles mögliche geblockt hat, muss es doch möglich sein einen Tunnel zu mir aufzubauen, zur Not über Port 80, oder? (schließlich komme ich ja ins Internet)

Wäre schön, wenn sich Lösungsansätze finden würden.

Vielen Dank...

ciao Peter

[Peter1]

Ich habe eine sehr interessante Seite gefunden:

Firewalls durchbohren mit OpenSSH

Insbesondere der Abschnitt "SSH over HTTPS" hört sich interessant an. Leider beschreibt die Website genau den umgekehrten Fall meines Problems. Ich will ja rein "telefonieren" und nicht raus.

Denkt ihr das könnte für meinen Fall funktionieren und v.a. müsste ich was an der Umsetzung ändern?

Kennt jemand ein gutes Tutorial oder Software für sowas?

Vielen Dank...

Peter

[Crash2001]

Der Port 80 zu deinem Router wird wohl kaum offen sein, sondern es werden nur dynamische (Ports > 1023) für dich geöffnet.

Was für IPs werden denn überhaupt verwendet? Öffentliche IPs, oder IPs aus dem privaten Bereich (192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12)?

Sollten öffentliche IPs verwendet werden, dann sollte es kein Problem sein. Sollten hingegen private IP-Adressen verwendet werden, dann wird wohl genatted und dann würde dir nur die Möglichkeit bleiben, das über IPV6 zu versuchen (Dafür müsste natürlich das Uninetz bereits IPV6-fähig sein...), oder aber jemand müsste für dich im Uni-Router einen festen Port konfigurieren, was sehr unwahrscheinlich ist.

Mit anderen Worten:

Es sieht schlecht für dein Vorhaben aus. Du bräuchtest eine Verbindung, die von innen ausgebaut wird zu dir, da es andersherum nicht funktionieren kann.

Du könntest das ganze also evtl über den Umweg über ein drittes Gerät machen, zu dem du dich aus der Uni raus connectest und dann einfach von deinem PC zu Hause aus über dieses Gerät den entsprechenden Tunnel zur Verfügung gestellt bekommst (beispielsweise ein Root- oder V-Server im Internet. V-Server sind schon ab 1 bis 2€ pro Monat zu bekommen mittlerweile und würden für so etwas vollkommen ausreichen).

Oder halt du lässt deinen PC oder Router in der Uni alle x Minuten einen Verbindungsaufbau versuchen und sobald der PC zu Hause gestartet ist, hast du nach kurzer Zeit die Verbindung.

[Peter1]

Also wir haben in unserem Uninetz alle eine feste öffentliche IP. Meine IP beginnt beispielsweise mit 137.193.... Das scheint ja jetzt schonmal ein gutes Zeichen zu sein^^

Mein erster Versuch hat sich auf WOL übers Internet beschränkt. Leider habe ich mittels Wireshark festgestellt, dass das MagicPacket hier nicht ankommt. Deswegen habe ich es per SSH probiert, was wiederum auch nicht funktioniert hat. Läuft der Rechner erstmal würde ich gerne eine Remote-Desktopverbindung herstellen. Als ich beim Admin nachgefragt habe, habe ich folgende Antwort bekommen: "Der Zugriff auf Rechner in Ihrem Subnetz ist aus sicherheitsrelevanten Gründen nur innerhalb Ihres Subnetzes möglich." Diese Antwort heißt für mich soviel wie: "Ich will nicht, dass du eine Verbindung von außerhalb ins Uninetz aufbaust." Denn mein Rechner muss ja irgendwie erreichbar sein, sonst könnte ich hier gar nicht schreiben. Selbst irgendwelche Spiele auf den komischsten Ports kann ich Multiplayer spielen, auch habe ich ansonsten von Einschränkungen nichts mitbekommen. Leider ist das Uninetz zu komplex, als das ich das mit meinem bescheidenen Wissen kapieren könnte. Ich glaube dafür muss man Netzwerktechnik studiert haben bzw. ein richtiger Fachmann sein^^

@Crash2001: Ich hoffe die Infos helfen dir weiter. Ich würde mich sehr freuen, wenn du mir noch Tips geben könntest bzw. Hinweise zur praktischen Umsetzung deiner Vorschläge. Vielen Dank dafür:-)

Noch ein Info zum Schluss, die vielleicht wichtig sein könnte: Die Uni stellt uns einen VPN Zugang für den Fall, dass wir von außerhalb auf Dienste innerhalb des Netzes zugreifen müssen, zur Verfügung. Wenn ich diesen von außerhalb verwende habe ich wieder eine öffentliche IP von der Uni, die aber eine andere ist als meine öffentliche IP, die ich sonst habe, wenn ich innerhalb der Uni bin.

Vielen Dank nochmal:-)

Peter

[Jejerod]

Als ich beim Admin nachgefragt habe, habe ich folgende Antwort bekommen: "Der Zugriff auf Rechner in Ihrem Subnetz ist aus sicherheitsrelevanten Gründen nur innerhalb Ihres Subnetzes möglich." Diese Antwort heißt für mich soviel wie: "Ich will nicht, dass du eine Verbindung von außerhalb ins Uninetz aufbaust." Denn mein Rechner muss ja irgendwie erreichbar sein, sonst könnte ich hier gar nicht schreiben.

Dein Admin hat dir praktisch gerade gesagt das dein Subnetz hinter einer Firewall/einem Portfilter sitzt. Dieses Gerät verbietet Verbindungen die außerhalb des Subnetzes initiiert werden.

Das hat nichts damit zu tun das du Surfen oder Spielen kannst - das sind Verbindungen die aus deinem Subnetz nach draußen aufgebaut werden, und die sind erlaubt.

Dagegen kannst - und solltest! - du erst einmal nichts tun. Solange die Uni dir deinen Zugang leiht, würde ich mir schwer überlegen ob du die gegebenen Regeln umgehen möchtest.

Hättest du einen privaten Internetzugang, wäre dein Homerouter die "Firewall" und du könntest SSH erlauben. Im Uninetz entscheidet das aber jemand anders.

[Peter1]

@Jejerod: OK...deine Meinung verstehe ich und aktzeptiere ich. Letzlich bin ich aber der, der mit eventuellen Konsequenzen leben muss. Mein Vorhaben ist aber weder illegal, noch stellt es eine Gefahr für das Uninetz dar.

Es kann doch aber nicht möglich sein, dass jeglicher eingehende Verkehr geblockt wird. Internet ist Kommunikation und Kommunikation ist beidseitig. Wenn ich z.B. COD4 spiele, dann muss da eine reger Austausch stattfinden, dass das funktioniert oder nicht? Des Weiteren nutze ich sporadisch den Service "SwissVPN" für Schmuddelseiten, der eine VPN Verbindung in die Schweiz herstellt. Das funktioniert auch einwandfrei (in dem Fall ist es aber eine Verbindung raus aus dem Uninetz).

Edit: Ich habe das Wort "initiiert" überlesen. Ok, wenn dem so ist, dann würde mich die Idee von Crash2001 brennend interessieren. Wie meintest du das mit dem V-Server? Wie bekomme ich den Router dazu in regelmäßigen Abständen eine Verbindung aufzubauen?

Bearbeitet 4. Mai 2011 von Peter1

[Crash2001]

Also wie es aussieht sind alle eingehenden Verbindungen (die keine Antwort auf ausgehende Verbindungen sind) per Definition erst einmal nicht erlaubt von einer IP außerhalb des internen Uni-Netzes. Das ist soweit ja auch vollkommen in Ordnung und dient der Sicherheit der User.

Beispiel:

Ein Spiel schickt an den Server auf Port x ein Paket und sagt, dass es auf Port y eine Antwort erwartet. Kommt nun auf Port y die Antwort des Spieles an, so wird diese durchgelassen (das geht über die dynamischen Ports ab Port 1023 aufwärts)

Das mit dem V-Server würde wahrscheinlich funktionieren.

Dein Router baut eine (kann ruhig ständige sein) Verbindung zum V-Server auf per VPN-Tunnel (Verschlüsselung hier egal - worauf es ankommt, ist ddass du Zugang zum Vserver hast). Vom PC zu Hause baust du dann ebenfalls einen VPN-Tunnel zum Vserver auf und wenn der VServer dann zwischen diesen beiden VPN-Tunneln routet, dann solltest du Zugriff auf dein internes Netz haben und somit auch WOL-Signale dahinschicken können.

Wie du den VPN-Tunnel von deinem Router aus aufbaust, weiß ich allerdings zurzeit auch nicht so ganz, da ich mit DD-WRT noch nicht gearbeitet habe.

Hast du da eine Console und die Möglichkeit, cron-jobs auszuführen? Falls ja, wäre das denke ich das einfachste. Einen Cron-Job schreiben, der dir eine VPN-Verbindung aufbaut zum V-Server und bei jedem Aufruf dann schaut, ob die Verbindung besteht oder nicht und falls nicht, dann die Verbindung neu aufbaut. Ob du aber noch ein Paket oder so zusätzlich brauchst oder so, weiß ich nicht. Da fragst du am besten mal im DD-WRT-Forum nach oder liest dich entsprechend dort ein. Vielleicht hat ja schon jemand das gleiche mal probiert / zum laufen gebracht.

Ich weise aber darauf hin, dass dies die Regeln der Internetbenutzung vermutlich verletzt, die du höchstwahrscheinlich unterschrieben hast und falls irgendetwas dabei passieren sollte, die Uni Schadensersatzansprüche an dich haben könnte. Ob du dich davon abschrecken lässt oder nicht, ist dann deine Sache. Bin schließlich nicht deine Mutter oder so...

[Peter1]

Vielen Dank für die ausführliche Antwort.

Auf was muss ich bei der Auswahl (bzgl. meines Vorhabens) meines vServers achten? Ich habe bei einigen Anbietern gesehen, dass sie z.B. kein VPN unterstützen. Kennst du einen empfehlenswerten Anbieter?

Mh...also "cron-jobs" habe ich noch nie gehört, aber nach ein bisschen googln habe ich herausgefunden, dass man im Web-Interface "zusätzliche Cron Jobs" eintragen kann (http://www.question-defense.com/wp-content/uploads/2011/03/dd-wrt-administration-management-web-access-http.gif). Wenn ich mich im internen Netz mit Putty verbinde, dann habe ich auch eine Konsole, wobei ich auch da 0 Erfahrung habe. Des Weiteren gibt es einen PPTP Client bei DD-WRT und man kann einen OpenVPN Client zusätzlich installieren. Was ist hier die Beste Variante?

Andere Frage: Woher hast du das ganze Wissen? Wenn ich in ein Buch über Netzwerktechnik schaue, dann schaue ich da rein wie ein Schwein ins Uhrwerk. Hast du Tips, wie man sein Wissen auf diesem Gebiet ausbauen kann? Wahrscheinlich einfach machen und ausprobieren...

Edit: Welches Betriebssystem sollte der vServer haben? Die meisten haben Linux, aber damit kenne ich mich nicht aus. Ist dann Windows die bessere Variante?

Bearbeitet 5. Mai 2011 von Peter1

[Crash2001]

Bei der Auswahl des V-Servers solltest du darauf achten, wie viel Freitraffic in den Kosten enthalten ist, da ja der Traffic dann von dir zu hause über den V-Server zu deinem PC in der Uni geht. Sollte mittlerweile aber eigentlich kein Problem mehr darstellen, da die meisten Anbieter entweder Traffic kostenlos zur Verfügung stellen, oder aber auf mind. 2TB / Monat begrenzen und danach gezahlt werden muss, oder aber einfach nach Überschreitung eines bestimmten Limits die Geschwindigkeit drosseln.

Dann eventuell noch darauf achten, dass dir CPU und Speicher fest zugesichert werden, da die V-Server sonst in Spitzenzeiten ganz schön langsam werden können bei manchen Anbietern.

Was verstehst du, bzw die Anbieter, die du meinst, denn unter "unterstützen kein VPN"? Dass sie VPN-Traffic blocken (gehe ich eher mal nicht von aus), oder aber dass sie dir von Haus aus keine Tools zur Verfügung stellen, VPN-Tunnel zu implementieren mit dem entsprechenden Betriebssystem? Falls letzteres der Fall sein sollte, dann sollte das kein Problem darstellen, da du ja Zusatzsoftware im Normalfall nachinstallieren kannst.

Ich denke mal Linux hat die niedrigsten Systemanforderungen und kann am meisten, bzw ist am flexibelsten. Von daher sollte am besten auch Linux verwendet werden. Gegen ein Windows würde aber prinzipiell natürlich auch nichts sprechen, falls du weißt, wie man das dort implementiert, oder entsprechende Software dazu zur Verfügung hast. Bei Linux ist halt der Vorteil, dass eigentlich alles kostenlos zu haben ist, was man dafür braucht (abgesehen natürlich vom V-Server).

Ich muss dazu sagen, dass ich persönlich so etwas auch noch nicht eingerichtet habe und von daher bei der Implementierung nicht helfen könnte, sondern dir nur die Möglichkeiten sagen kann, wie das jeweils gehen könnte. Mir reicht meine VPN-Verbindung zwischen zwei Fritzboxen aus.

Vor allem beim DD-WRT kann ich dir da also auch nicht sagen, was besser ist und was schlechter. Das musst du für dich selber herausfinden, womit du besser klar kommst, bzw. welche Optionen benötigt werden. Vielleicht schließt das ja schon eine der beiden Möglichkeiten aus.

Woher das Wissen stammt?

Beschäftigung mit PC seit 1989 rum, Ausbildung zum Fachinformatiker (Anwendungsentwicklung) sowie 2006 meinen CCNA abgelegt. Dazu noch ein paar Jährchen Berufserfahrung und persönliches Interesse an Netzwerkthemen (wobei VPN nicht wirklich mein Paradethema ist).

Am besten ist noch immer "learning by doing" oder wenn man z.B. ein Referat über ein bestimmtes Thema ausarbeitet, oder es präsentieren soll und man sich dementsprechend intensiv mit einem Thema eine Weile auseinandersetzt. Beim anderen Sachen beibringen festigt man z.B. auch sein eigenes Wissen und bekommt andere Ansichten mit und lernt auch immer wieder selber etwas dabei.

Ansonsten gibt es im Internet tausende Tutorials für die diversen Netzwerkthemen und auch mittlerweile oft Videos, in denen Sachen gezeigt werden. Damit kann man auch ganz gut einen ersten Einblick in neue Themen gewinnen, und dann sein Wissen darin vertiefen, falls sie einem zusagen sollten.

[Peter1]

Vielen Dank für die Hilfe...Ich habe jetzt einen vServer. Linux + Konsole ist ein wenig gewöhnungsbedürftigt. Jetzt habe ich aber ein Problem. Der Anbieter stellt kein Tool zur Verfügung um Daten auszutauschen. Jetzt muss ich aber die erstellten Schlüssel und Zertifikate auf meinen Rechner bekommen. Wie geht das? Wie kann ich zwischen mir und dem Server Daten austauschen? Ich nehme an, dass das bei jedem Anbieter gleich funktioniert, aber ich hatte noch nie einen Server von daher habe ich auch keine Ahnung.

Bisher habe ich mich einfach per Putty (SSH) verbunden.

Danke:-)

[Thanks-and-Goodbye]

Bitte überlege dir ganz dringend, ob du dir die Administration eines VServers zutraust? Es gibt schon genügend Webserver, die gehackt wurden und als Spamschleudern verwendet werden.

[Peter1]

Um ehrlich zu sein traue ich mir das nicht zu. Aber wie soll ich es lernen, wenn ich es nicht ausprobiere;-) Schließlich kosten die Dingern nicht viel und laden förmlich zum ausprobieren ein.

Aber wenn dir viel daran liegt, dass keine neue Spamschleuder entsteht, kannst du mir ja Tips geben, dass genau das nicht passiert;-)

[Thanks-and-Goodbye]

Setz dir zu Hause ein Linux System auf, möglichst ohne grafische Oberfläche und lerne dort, damit umzugehen.

[Peter1]

Jetzt ist es leider schon zu spät. Also ich habe es mit scp und sftp versucht.

Bei scp habe ich folgendes versucht:

scp test.crt root@server-ip c:/test.crt

Er soll also test.crt vom server auf den lokalen Rechner laden (Verzeichnis c:/test.crt).

Aber irgendwie funktioniert das nicht.

[Peter1]

Hat sich erledigt. Habe eine SFTP Verbindung mit Filezilla hergestellt.

[Peter1]

OK...neues Problem. OpenVPN meldet, dass es das TUN Device nicht finden kann. Nach meinen Recherchen ist das der virtuelle Netzwerkadapter. Ich habe festgestellt, dass dieser auf der Distrubition (Ubuntu 10 (Kernel 2.6.26)) meines vServers nicht installiert ist. Jetzt habe ich schon einiges über Module gelsen. Leider steige ich da nicht ganz durch. Wie muss ich vorgehen, um das TUN Device auf meiner Version zu installieren?

Vielen Dank:-)

[Crash2001]

Schau mal hier z.B. ...

DA ich nicht weiß, was bei dir alles installiert ist (evtl yast?) weiß ich auch nicht, auf welchem Weg du das machen könntest. Gibt ja bei Linux fast immer mehrere Wege, wie man zum Ziel kommt.

Ansonsten gibt es hier auch noch eine gute Anleitung dazu, in der dein Problem unter dem Punkt "Probleme" auch genannt und gelöst ist.

Einfach mal was googeln, da findet man meist was.

[schepp]

Wenn der Admin sagt, dass es ist nicht erlaubt ist, dann tust du etwas illegales, egal für wie sicher du deine Frickelei hälst. Wie du schon sagst, du kannst unmöglich das komplexe Uni-Netz durchschauen.

Du wohnst also nun in einer Art Studentenwohnheim der Bundeswehr-Uni München und nutzt deren Internet. Solange du das tust solltest du dich auch an die vereinbarten Regeln halten. Ansonsten kauf dir einen UMTS Router, trenn dich physikalisch vom Uni-Netz und tu was du willst mit deinem Anschluss.

Schonmal informiert ob deine Uni einen offiziellen VPN Zugang anbietet? Das wäre einfach und du würdest nicht gegen Nutzerverordnungen verstoßen.

Gruß

ein Uni-Admin.

Bearbeitet 6. Mai 2011 von schepp

[Peter1]

Ja...die Uni bietet einen offiziellen VPN Zugang. Den kann man aber dafür nicht verwenden meiner Erachtens nach.

[schepp]

Und warum nicht? Bau eine VPN Verbindung auf, dann hast du eine interne IP der Uni und kannst deinen Router erreichen.

[Peter1]

Ja schön wärs...dann hätte ich es auch so gemacht. Ja es stimmt, ich habe dann eine interne IP, aber die IP ist nicht im Subnetz meines "Heim-Routers" und Rechner innerhalb eines Subnetzes sind nur innerhalb genau diesem Subnetz erreichbar. Somit funktioniert es leider nicht.