Ergebnis 1 bis 10 von 36
-
01.12.2016, 14:30 #1
- Registriert seit
- 13.08.2013
- Ort
- Midgard
- Beiträge
- 2.863
- Thanks (gegeben)
- 585
- Thanks (bekommen)
- 1589
- Total Downloaded
- 745,74 MB
- Total Downloaded
- 745,74 MB
Box 1:Vu+ Ultimo 4k 4x DVB-S2 FBC / 2x DVB-C OpenATV 6.2Box 2:Gigablue Quad4k 2xDVB-S2 OpenATV 6.2Box 3:AX Quadbox 2400HDBox 4:diverseBox 5:DVBViewerSicherer Fernzugriff auf den Receiver (SSH, VPN, OpenWebif mit HTTPS)
Einleitung
Mit den immer umfassenderen Funktionen unserer E2-Boxen - insbesondere wenn so ein schönes Image wie OpenATV darauf läuft - wird es auch immer interessanter, von unterwegs Zugriff auf die Box zu haben.
Beispiele für die Möglichkeiten mit Fernzugriff auf die Box sind u.a.:
- Fernwartung von Boxen (z.B. bei den Eltern, Freunden oder sonstigen Verwandten, die sich weniger gut auskennen)
- Pflege von Senderlisten
- Programmierung von Aufnahmen von unterwegs aus
- Streaming oder Transcoding von Live TV oder Aufnahmen/Mediendateien aufs Smartphone, eine E2-Box im Ferienhaus, o.ä.
Die entsprechenden Dienste sind - leider - auch sehr schnell freigegeben, Anleitungen dazu - man könnte sie auch Anleitungen zum Selbstmord nennen - gibt es auch viel zu viele.
Ich möchte an dieser Stelle vor diesen Anleitungen zur Freigabe von Telnet, FTP und HTTP/Web-Interface eindringlich warnen, ganz so einfach ist es eben doch nicht:
Alles was Ihr für Euch ins Internet freigebt ist nicht nur für Euch erreichbar, sondern auch für jeden anderen auf der Welt mit Internetanschluß!
Dabei sollte man auch nicht auf den Gedanken kommen "ist ja nur ein Receiver, ist mir egal, wenn der Besuch kriegt":
Eine E2-Box ist eben nicht einfach nur ein Receiver, es ist ein vollwertiges Linux-System, je nach Generation mit mehr Rechenleistung als so mancher PC!
Die jüngsten Cyber-Angriffe im Internet ...
- die Lahmlegung von Netflix, Twitter, u.v.m im Oktober 2016
und
- der Abschuß einer Million Telekom-Anschlüsse im November 2016
... gehen auf das Konto einer ganzen Armee genau solcher Geräte aus dem sogenannten IoT (Internet of Things)!
Dies bedeutet aber nicht, daß man auf die neuen Möglichkeiten verzichen muß:
Man muß sich lediglich Gedanken machen und etwas Zeit in die Absicherung investieren!
Um genau diese Absicherung geht es in diesem Tutorial.
Ich werde aufzeigen, wie man
- SSH (Secure Shell)
- VPN (Virtual Private Networks)
- HTTPS
so konfiguriert, daß ein Zugriff von außen mit größtmöglichem Komfort bei gleichzeitiger bestmöglicher Sicherheit realisierbar ist.
Ein Hinweis vorab:
Es ist technisch unmöglich, die Dienste
- Telnet
- FTP
oder
- HTTP
abzusichern, auch wenn die Möglichkeit eines Kennwort"schutzes" das suggerieren mag.
Inhalt:
- 1.1: SSH - Secure SHell, ein Überblick
- 1.2: SSH - Secure SHell - Einrichtung des Servers
- 1.3: SSH - Secure SHell - Einrichtung des Clients
- 1.3.1: SSH - Secure SHell - Einrichtung des Clients - FileZilla
- 1.3.2: SSH - Secure SHell - Einrichtung des Clients - PuTTY (Windows/Linux)
- 1.3.3: SSH - Secure SHell - Einrichtung des Clients - ZOC (Windows/macOS)
- 1.3.4: SSH - Secure SHell - Einrichtung des Clients - ConnectBot (Android)
- 1.3.5: SSH - Secure SHell - Einrichtung des Clients - PuTTY (Windows Mobile)
- 1.3.6: SSH - Secure SHell - Einrichtung des Clients - DasKannDasTeilAlsoAuchNicht (Apple OS - fälschlich auch iOS genannt¹)
- 2.1: VPN - Virtual Private Network - Überblick
Geändert von SpaceRat (04.12.2016 um 13:04 Uhr)
-
Danke - 26 Thanks
-
Advertising
-
01.12.2016, 14:30 #2
- Registriert seit
- 13.08.2013
- Ort
- Midgard
- Beiträge
- 2.863
- Thanks (gegeben)
- 585
- Thanks (bekommen)
- 1589
- Total Downloaded
- 745,74 MB
- Total Downloaded
- 745,74 MB
ThemenstarterBox 1:Vu+ Ultimo 4k 4x DVB-S2 FBC / 2x DVB-C OpenATV 6.2Box 2:Gigablue Quad4k 2xDVB-S2 OpenATV 6.2Box 3:AX Quadbox 2400HDBox 4:diverseBox 5:DVBViewer1.1: SSH - Secure SHell, ein Überblick
Eine Möglichkeit des sicheren Zugangs zur Box von außen besteht in der Verwendung von "Secure Shell" oder kurz ssh.
SSH wurde als Ersatz für den unsicheren Telnet-Zugang geschaffen, kann aber deutlich mehr.
Über SSH könnt Ihr:
- auf die Shell/Console Eurer E2-Box zugreifen, genau wie mit Telnet
- mittels scp (Secure CoPy) Dateien zwischen Boxen, Box und PC, usw. usf. übertragen
- mittels sftp (Secure FTP, aber nicht wirklich verwandt mit FTP und auch nicht zu verwechseln mit FTP(E)S) Dateien übertragen
- "Ports tunneln", um weitere Dienste - z.B. ggf. unsichere - durch die gesicherte SSH-Verbindung zu leiten
Kurz:
Über SSH ist die vollständige Bedienung und Benutzung aller anderen Dienste, incl. CAMs, aus der Ferne möglich.
Die Einrichtung ist relativ einfach, in der Benutzung ist es bei Benutzung von Port-Tunneling dafür etwas aufwendiger als ein VPN.
SSH eignet sich somit vor allem zur Fernwartung von solchen Boxen auf die Ihr eher selten Zugriff haben müßt und für Einsatzzwecke, wo ohne SSH auch nur Telnet und FTP benötigt würden.
Geändert von SpaceRat (01.12.2016 um 15:26 Uhr)
-
Danke - 8 Thanks
-
01.12.2016, 14:32 #3
- Registriert seit
- 13.08.2013
- Ort
- Midgard
- Beiträge
- 2.863
- Thanks (gegeben)
- 585
- Thanks (bekommen)
- 1589
- Total Downloaded
- 745,74 MB
- Total Downloaded
- 745,74 MB
ThemenstarterBox 1:Vu+ Ultimo 4k 4x DVB-S2 FBC / 2x DVB-C OpenATV 6.2Box 2:Gigablue Quad4k 2xDVB-S2 OpenATV 6.2Box 3:AX Quadbox 2400HDBox 4:diverseBox 5:DVBViewer1.2: SSH - Secure SHell - Einrichtung des Servers
Um sicheren Zugriff per SSH zu erlangen, muß zuerst einmal der Server, also Eure E2-Box, konfiguriert werden.
Im Auslieferungszustand ist SSH nämlich völlig unsicher (OpenATV, OpenHDF, OpenViX, ...) oder kaum gesichert (OpenPLi), also keinen Deut besser als Telnet.
Schritt 1: Erzeugen eines Schlüsselpaares (Key Pair)
Sicher wird SSH erst durch Verwendung von "(pub) key auth", also Authentifizierung über
- einen privaten Schlüssel (Den hat der Client)
und
- einen öffentlichen Schlüssels (Den hat der Server, den könntet Ihr vom Prinzip her auch auf Facebook posten).
Die beiden Schlüssel bilden ein sogenanntes "Schlüsselpaar" oder "key pair" bzw. ein Asymetrisches Kryptosystem.
Prinzipiell wäre SSH auch über eine reine Passwort-Authentifizierung möglich.
Ein Passwort wird jedoch erst durch Verwendung eines möglichst großen Zeichensatzes (Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen) sowie eine gewisse Mindestlänge sicher.
Selbst ein elendig langes und nicht mehr zu merkendes Passwort könnte nicht an die Sicherheit eines Schlüsselpaares tippen, deshalb rate ich zur Verwendung eines Schlüsselpaares, damit kann das Passwort der Box ggf. auch leer oder simpel gehalten werden.
Die Erzeugung des Schlüsselpaares kann auf der E2-Box selbst erfolgen, dazu verbindet Ihr Euch per Telnet mit der Box und gebt folgenden Befehl ein:
Code:dropbearkey -s 2048 -t rsa -f ~/.ssh/id_rsa
Je nach Quelle gelten 2048, 4096 oder 5120 Bits als sicher, d.h. nach derzeitigem Stand der Wissenschaft nicht durch brutale Rechengewalt ("brute force") zu knacken.
dropbearkey wird damit ein RSA-Schlüsselpaar anlegen und in der Datei ~/.ssh/id_rsa speichern, das ist in lang: /home/root/.ssh/id_rsa
Die Ausgabe wird in etwa wie folgt aussehen:
Code:root@solo2 ~ # dropbearkey -s 2048 -t rsa -f ~/.ssh/id_rsa Generating key, this may take a while... Public key portion is: ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCfQtxExZz/LozE6Yz1hRN9AK6hfxH78OPzVEnObhE3EVxvrzJhUOX006HsNhs5fs1lyeL1qpFB5iN6B5S8WbWK9tz96QlfV3pFh9G2rBO/zbk/C2A1hLiXI88TpneTI3AtSg05KybyCKtlitBXeTcCxqw7MP1JwkVMO+Md7cDfTfWBFJvknF2z9DF8dsP5uuCjn4eV2X468/aD4RyRJGRFdPic1ONUqYYBtqrMP0nY9AMk+pyIOTVc599io/uDuFy6GR6QoluBq/Jwfahu4iAVHEOSFUk3QU+xD12KvU8E31P99xUb83XAn9lzdlh2hfPdeDvPzLtdhIAMVGqs5l2V root@solo2 Fingerprint: md5 f8:9d:71:ae:df:bb:65:89:2a:1c:40:76:40:00:ae:fa
Code:dropbearconvert dropbear openssh ~/.ssh/id_rsa ~/.ssh/id_rsa.ssh
Schritt 2: Den neu erzeugten Schlüssel als zugriffsberechtigt eintragen und Rechte korrigieren
Damit eine Verbindung zur E2-Box mit dem neu erzeugten Schlüssel möglich ist, muß dies erst noch dropbear (Das ist der SSH-Server auf den E2-Boxen) mitgeteilt werden.
Dazu wird der öffentliche Schlüssel/public key - also der, den man vom Prinzip her jedem Hinz und Kunz geben könnte - in die Konfigurationsdatei ~/.ssh/authorized_keys (in lang: /home/root/authorized_keys) eingetragen.
Folgendes Kommando erledigt dies:
Code:dropbearkey -y -f ~/.ssh/id_rsa | grep "^ssh-rsa " >> ~/.ssh/authorized_keys
Wie von Linux gewohnt, gibt es noch Nickeligkeiten bzgl. der Zugriffsrechte auf die Dateien, alle SSH-Dateien des Benutzers root dürfen auch nur dem Benutzer root zugänglich sein.
Die folgenden Befehle (Jede Zeile ein Befehl) setzt die gewünschten Rechte:
Code:chmod 600 ~/.ssh/* chmod 700 ~/.ssh chmod 700 ~
Schritt 3: SSH-Zugang nur noch mit Key erlauben
Mit folgendem Befehl
Code:echo DROPBEAR_EXTRA_ARGS=\"-s\" > /etc/default/dropbear
Schritt 4: Abschluß
Ladet Euch nun noch die Dateien ~/.ssh/id_rsa und ~/.ssh/id_rsa.ssh bzw. /home/root/.ssh/id_rsa und /home/root/.ssh/id_rsa.ssh - z.B. per ftp oder Samba/Windows-Netzwerk - auf Euren PC runter und startet die E2-Box neu.
Hinweise
In OpenATV ist ein einmal abgesicherter SSH-Server "flashfest":
Bei einem Neuflash mit Einstellungsübernahme werden die authorized_keys und die Einstellung für dropbear, daß nur noch key auth zulässig ist, mit gesichert bzw. wiederhergestellt!
Es gibt jedoch Situationen, in denen die Rechte der Verzeichnisse aufgeweicht werden, was dazu führt, daß dropbear gar keine Connects mehr akzeptiert.
In diesem Fall müßtet Ihr per telnet - lokal ist Telnet ja ok - auf die Box und die folgenden Befehle wiederholen:
Code:chmod 600 ~/.ssh/* chmod 700 ~/.ssh chmod 700 ~
Geändert von SpaceRat (03.12.2016 um 11:32 Uhr)
-
Danke - 8 Thanks
-
01.12.2016, 14:33 #4
- Registriert seit
- 13.08.2013
- Ort
- Midgard
- Beiträge
- 2.863
- Thanks (gegeben)
- 585
- Thanks (bekommen)
- 1589
- Total Downloaded
- 745,74 MB
- Total Downloaded
- 745,74 MB
ThemenstarterBox 1:Vu+ Ultimo 4k 4x DVB-S2 FBC / 2x DVB-C OpenATV 6.2Box 2:Gigablue Quad4k 2xDVB-S2 OpenATV 6.2Box 3:AX Quadbox 2400HDBox 4:diverseBox 5:DVBViewer1.3: SSH - Secure SHell - Einrichtung des Clients
Zugriff auf unseren soeben abgehärteten SSH-Server ist mit verschiedenen Clients möglich.
Ich werde in den folgenden Abschnitten die Verwendung mit
- FileZilla (kostenlos)
- PuTTY (kostenlos)
- ZOC
und
- ConnectBot (Android, kostenlos)
erklären.
Geändert von SpaceRat (01.12.2016 um 17:37 Uhr)
-
Danke - 7 Thanks
-
01.12.2016, 14:34 #5
- Registriert seit
- 13.08.2013
- Ort
- Midgard
- Beiträge
- 2.863
- Thanks (gegeben)
- 585
- Thanks (bekommen)
- 1589
- Total Downloaded
- 745,74 MB
- Total Downloaded
- 745,74 MB
ThemenstarterBox 1:Vu+ Ultimo 4k 4x DVB-S2 FBC / 2x DVB-C OpenATV 6.2Box 2:Gigablue Quad4k 2xDVB-S2 OpenATV 6.2Box 3:AX Quadbox 2400HDBox 4:diverseBox 5:DVBViewer1.3.1: SSH - Secure SHell - Einrichtung des Clients: FileZilla
Der Zugriff auf den SSH-Server mittels FileZilla dient dem Transfer von Dateien, z.B. Senderlisten, und kann so FTP ersetzen, welches technisch unmöglich abzusichern wäre.
Die Einrichtung von FileZilla für einen SSH-Server gestaltet sich genauso einfach und selbsterklärend wie die eines FTP-Servers:
- Klickt auf "Neuer Server"
- Tragt genauso wie für FTP einfach den Hostname Eurer Box ein
- Wählt als Protokoll "SFTP - SSH File Transfer Protocol" aus
- Wählt als Verbindungsart "Schlüsseldatei" aus
- Benutzername ist "root"
- Navigiert zum Speicherort der von der Box heruntergeladenen id_rsa.ssh und wählt diese aus (Eine für PuTTY umgewandelte Datei im Format .ppk funktioniert ebenfalls!)
- Verbindet Euch zum Server bzw. speichert die neu erstellte Verbindung ab
- Jagt FTP zum Teufel
Geändert von SpaceRat (01.12.2016 um 18:32 Uhr)
-
Danke - 8 Thanks
-
01.12.2016, 14:35 #6
- Registriert seit
- 13.08.2013
- Ort
- Midgard
- Beiträge
- 2.863
- Thanks (gegeben)
- 585
- Thanks (bekommen)
- 1589
- Total Downloaded
- 745,74 MB
- Total Downloaded
- 745,74 MB
ThemenstarterBox 1:Vu+ Ultimo 4k 4x DVB-S2 FBC / 2x DVB-C OpenATV 6.2Box 2:Gigablue Quad4k 2xDVB-S2 OpenATV 6.2Box 3:AX Quadbox 2400HDBox 4:diverseBox 5:DVBViewer1.3.2: SSH - Secure SHell - Einrichtung des Clients: PuTTY
Für Windows ist einer der gängigsten SSH-Clients mit Sicherheit "PuTTY", ganz einfach weil er kostenlos ist.
In diesem Kapitel werde ich erklären, wie Ihr
- den auf der Box erzeugten Schlüssel ins Format von PuTTY importiert/konvertiert
- eine sichere Konsolen-Sitzung (a la Telnet) mittels PuTTY herstellt
- mittels PuTTY Ports von der Box zum Client-Rechner tunneln könnt
PuTTY
PuTTY steht gratis zur Verfügung und kann von hier heruntergeladen werden. Einsteigern empfehle ich den Download von "A Windows MSI installer package for everything except PuTTYtel".
Schlüssel importieren/konvertieren
PuTTY kann weder mit dem Schlüssel im dropbear-Format (id_rsa) noch dem im OpenSSH-Format (id_rsa.ssh) etwas anfangen, aber es kann den im OpenSSH-Format in das eigene "PPK"-Format konvertieren.
- PuTTYgen öffnen
Klickt nach der Installation von PuTTY auf den Link "Run PuTTYgen" um PuTTYgen zu starten. - Schlüsseldatei im OpenSSH-Format laden
- Klickt in PuTTYgen auf "Load"
- Navigiert zum Speicherort, wo Ihr die von der Box gezogene Datei id_rsa.ssh abgelegt habt
- Wechselt auf die Ansicht "All Files (*.*)
- Wählt die Datei id_rsa.ssh aus
- Klickt auf "Öffnen"
Ihr erhaltet folgende Bestätigung, daß PuTTYgen in der Datei einen OpenSSH-Schlüssel gefunden hat und Ihr den im PuTTY-Format speichern könnt:
- Schlüsseldatei im PuTTY-Format speichern
- Klickt in PuTTYgen auf "Save private key" und bestätigt folgenden Hinweis mit ok:
- Navigiert zum Speicherort, wo schon die Datei id_rsa.ssh liegt (Sollte aber noch voreingestellt sein)
- Gebt der Datei einen Namen, hier im Bild id_rsa.ppk
- Klickt auf "Speichern"
- Klickt in PuTTYgen auf "Save private key" und bestätigt folgenden Hinweis mit ok:
- Abschluß
Nun könnt Ihr PuTTYgen beenden.
Verbindung herstellen
Für den Zugriff per putty von einem Windows-Client aus ist es empfehlenswert, sich ein Profil anzulegen und abzuspeichern, um später jederzeit mit einem Klick eine Verbindung herstellen zu können.
- Putty starten
- Profil-Grundeinstellungen
In der Start-Ansicht von putty ...
sind nur wenige Einstellungen vorzunehmen:
1. Der Hostname (z.B. die MyFritz-Adresse) der Box, hier tut.dyn.ip
2. Der Name des Profils, hier einfach "Tut"
SSH und Port 22 sollten bereits eingestellt sein.
Das Profil kann auf Wunsch jetzt bereits zwischengespeichert werden. - Autorisierung auf "Private Key" umstellen
Auf der linken Seite wechseln wir in die Ansicht "Connection -> SSH -> Auth" und nehmen folgende Einstellungen vor:
1. Deaktivieren der "keyboard interactive"-Anmeldung
2. Auswählen unseres im Schritt "Schlüssel importieren/konvertieren" erzeugten "private keys" - Einstellen des Benutzernamens
Den Benutzernamen stellen wir in der Ansicht "Connection -> Data" ein:
Hier ist einfach nur "root" einzutragen. - Profil abspeichern
Die Ansicht zurückwechseln auf "Session", dort die bereits vorab gespeicherte Sitzung "Tut" aus der Liste auswählen und auf [Save] klicken. - Verbindung testen
Mit Klick auf "Open" sollte sich ohne weiteres Zutun (Beim ersten Mal muß noch der Fingerabdruck des Servers auf der Box bestätigt werden) eine Terminal-Sitzung zu unserer Box öffnen:
- Verbindung benutzen
Die neu eingerichtete Verbindung kann von nun an ganz genauso wie eine Telnet-Sitzung benutzt werden.
Tendenziell funktioniert sie eher sogar besser, was z.B. die Verwendung von Farben und Sondertasten (Und dazu zählen schon die Cursortasten) angeht, wie man spätestens bei Verwendung des Midnight Commanders (mc) o.ä. merkt.
Im Gegensatz zu Telnet (Port 23), kann man eine so eingerichtete SSH-Verbindung (Port 22) aber tatsächlich auf Wunsch auch nach außen freigeben:
Solange Ihr auf die Dateien id_rsa, id_rsa.ssh und id_rsa.ppk aufpaßt wie auf Euren Augapfel, genügt dieser Zugang höchsten Sicherheitsanforderungen.
Ports durch SSH tunneln
- PuTTY erneut starten
- Profil laden
Ladet das im vorherigen Schritt erstellte Profil, indem Ihr es in der Liste auswählt und auf "Load" klickt.
- Tunnel erstellen
Wechseln in die Ansicht "Connection -> SSH -> Tunnels"
und dort die gewünschten Einstellungen vornehmen:
Es können beliebig viele Tunnel definiert werden, wobei jeweils einzustellen ist:
1. Source Port = Der Port auf der lokalen Maschine, also dem SSH-Client
2. Destination = IP/Name plus Port auf der Zielmaschine (Der E2-Box)
Im abgebildeten Beispiel wird der lokale Port 17080 auf den Port 80 der E2-Box umgeleitet.
Diese beiden Angaben jeweils ausfüllen und auf [Add] klicken, danach ggf. für weitere Ports wiederholen. - Profil wieder abspeichern
Nachdem alle gewünschten Tunnel definiert wurden, einfach wieder auf die Ansicht "Sessions" zurückwechseln und das Profil durch Klick auf "Save" neu abspeichern. - Tunnel starten
Sobald nun mit diesem Profil wieder eine Verbindung hergestellt wird (Profil auswählen -> Load -> Open), werden gleichzeitig die eingestellten ssh-Tunnel geöffnet.
Das bedeutet:
Solange die ssh-Sitzung läuft, sind die eingestellten Zieladressen/Ports unter der Adresse des Clients plus dem eingestellten Port ansprechbar.
Um also den Web-Server der E2-Box aufzurufen (Siehe Beispiel oben), wird einfach im Webbrowser des SSH-Clients (= die Maschine, auf der PuTTY läuft) die Adresse http://127.0.0.1:17080 aufgerufen.
Dieser Aufruf wird dann von PuTTY durch den ssh-Tunnel zur Box transportiert und auf dieser an "localhost:80" weitergereicht ... also den Webserver der Box.
Tip zum Komfort bei SSH-Tunneling:
Wenn alles zur Zufriedenheit eingerichtet hat, kann man sich ganz einfach eine Desktop-/Schnellstart-/Sonstwas-Verknüpfung
mit dem Ziel
Code:d:\path\to\putty.exe -load "my session"
Code:C:\Programme\putty\putty.exe -load "Tut"
Danach genügt ein Doppelklick auf diese Verknüpfung um
1. PuTTY zu starten
2. eine SSH-Sitzung aufzubauen
und
3. alle eingestellten Tunnel wiederherzustellen.
Um auf unser ursprüngliches Vorhaben zurückzukommen, z.B. den Receiver der Eltern mit DreamBoxEdit o.ä. fernwarten zu können, würde man also wie folgt vorgehen:
1. Ein Tunnel vom lokalen Port 17021 auf die entfernte Adresse localhost:21
2. Ein Tunnel vom lokalen Port 17023 auf die entfernte Adresse localhost:23
3. Ein Tunnel vom lokalen Port 17080 auf die entfernte Adresse localhost:80
4. Ein Tunnel vom lokalen Port 17801 auf die entfernte Adresse localhost:8001
5. Ein Tunnel vom lokalen Port 17802 auf die entfernte Adresse localhost:8002
In DreamBoxEdit wäre dann nur noch einzustellen, daß die Box "Eltern" unter der Adresse 127.0.0.1 erreichbar ist und die Ports 17021 für FTP, 17023 für Telnet und 17080 für das Web-Interface nutzt.
Ggf. kommen halt noch die Ports 17801 für Streaming und 17802 für Transcoding hinzu, auch abhängig davon, was die Leitung hergibt und die Box der Eltern kann.
Ist die SSH-Verbindung mitsamt Tunneling also einmal eingerichtet, kann die so verbundene Box genauso einfach per Bouquet Editor Suite, DreamSet, DreamBoxEdit, etc. pp. ferngesteuert werden, als hätte man die notorisch unsicheren Ports 21, 23 und 80 der Box freigegeben. Man muß nur jeweils vorher die SSH-Verbindung samt ihrer Tunnel aufbauen, was ja nicht mehr Arbeit ist als ein Doppelklick!
Es ist aber im Gegensatz zur direkten Freigabe sicher, weil der einzige Port den Ihr wirklich freigebt Port 22 für SSH ist!
Natürlich könnt Ihr über diese SSH-Tunnel auch streamen und transcoden (Sofern die Internet-Leitung bei der Geschwindigkeit mitspielt), indem Ihr auf den lokalen Port 17802 aus dem Beispiel statt auf den Port 8002 der Box selbst zugreift.
Wenn auf der Gegenseite mehrere Boxen laufen, braucht Ihr übrigens nicht zwingend für jede Box eine neue SSH-Verbindung samt Tunnel, Ihr könnt auch alle Boxen (und weitere Geräte) durch eine einzige SSH-Verbindung erreichbar machen!
Wählt dazu als "Destination" (Ziel) nicht localhost, sondern den Hostname oder die IP, unter der die per SSH verbundene entfernte Box die anderen erreichbar zu machenden Geräte kennt.
Durch einen Tunnel vom lokalen Port 17001 nach "192.168.1.1:80" z.B. könnt Ihr Euch z.B. das Web-Interface des Routers der Gegenseite erreichbar machen (Angenommen, er hat die IPv4 192.168.1.1, sonst natürlich die richtige IPv4 des Routers nehmen )
oder
über einen Tunnel vom lokalen Port 18021 nach "anderebox:21" den FTP-Server der zweiten Box mit dem Hostname "anderebox".
Ein Hinweis am Rande für die, die es noch nicht wissen:
Jeder Port kann nur einmal benutzt werden. Wenn Ihr also wie im Beispiel Port 17021 für den entfernten FTP-Server der ersten Box verwendet, dann könnt Ihr Port 17201 für nichts anderes mehr verwenden, also nicht für den FTP-Server einer zweiten Box - auch nicht in einem zweiten Tunnel - und auch nicht mehr für lokale Server auf Eurem SSH-Client.
Verwendet also nach Möglichkeit in jedem SSH-Profil/-Tunnel andere Ports und zwar solche, die Ihr auch lokal nicht braucht.Geändert von SpaceRat (02.12.2016 um 12:51 Uhr)
-
Danke - 8 Thanks
-
01.12.2016, 14:36 #7
- Registriert seit
- 13.08.2013
- Ort
- Midgard
- Beiträge
- 2.863
- Thanks (gegeben)
- 585
- Thanks (bekommen)
- 1589
- Total Downloaded
- 745,74 MB
- Total Downloaded
- 745,74 MB
ThemenstarterBox 1:Vu+ Ultimo 4k 4x DVB-S2 FBC / 2x DVB-C OpenATV 6.2Box 2:Gigablue Quad4k 2xDVB-S2 OpenATV 6.2Box 3:AX Quadbox 2400HDBox 4:diverseBox 5:DVBViewerHier entsteht mein HowTo
Platzhalter 6
-
Danke - 1 ThanksStarters bedankten sich
-
01.12.2016, 14:37 #8
- Registriert seit
- 13.08.2013
- Ort
- Midgard
- Beiträge
- 2.863
- Thanks (gegeben)
- 585
- Thanks (bekommen)
- 1589
- Total Downloaded
- 745,74 MB
- Total Downloaded
- 745,74 MB
ThemenstarterBox 1:Vu+ Ultimo 4k 4x DVB-S2 FBC / 2x DVB-C OpenATV 6.2Box 2:Gigablue Quad4k 2xDVB-S2 OpenATV 6.2Box 3:AX Quadbox 2400HDBox 4:diverseBox 5:DVBViewer1.3.4: SSH - Secure SHell - Einrichtung des Clients: ConnectBot (Android)
Für den Zugriff vom Smartphone aus benötigen wir einen SSH-Client mit Tunnelunterstützung.
Empfehlenswert ist z.B. ConnectBot (Gibt's kostenlos im Play Store).
Einrichten von ConnectBot für eine SSH-Verbindung mit Port-Tunneling
- Schlüssel auf's Smartphone kopieren
Den in Kapitel 1.2 erzeugten Schlüssel im OpenSSH-Format, hier also id_rsa.ssh (auf den Bildern tut.ssh) ins Hauptverzeichnis des internen Speichers vom Smartphone kopieren. - ConnectBot starten
- Verbindung erzeugen
Dazu einfach unten im Adressfeld
Code:root@<Dyn-Hostname der Box>
Code:root@tut.dyn.ip
- Privaten Schlüssel importieren
In ConnectBot über
Menütaste -> "Pubkeys verwalten" -> Menütaste -> "Importieren"
zum Import der Keys wechseln und die Datei "id_rsa.ssh" auswählen. - Privaten Schlüssel aktivieren
Den importierten Schlüssel antippen, so daß das Vorhängeschloß grün angezeigt wird. - Tunnel anlegen
Zurück in der Hostliste von ConnectBot lange auf unseren Host "tut.dyn.ip" tippen und "Port-Weiterleitungen editieren ..." auswählen.
1. Über Menütaste -> "Port-Weiterleitung hinzufügen" kann ein neuer Tunnel angelegt werden.
2. Langes Tippen auf eine vorhandene Port-Weiterleitung und man kann diese ändern oder löschen.
Der Aufbau der Tunnel ist fast identisch wie bei putty:
Einziger Unterschied ist, daß jede einzelne Port-Weiterleitung auch einen eindeutigen Spitznamen erhält, z.B. "Web"
Sobald alle Tunnel angelegt sind, kann die Verbindung hergestellt werden ... - ssh-Verbindung samt Tunnel herstellen
Zurück in der Hostliste kann eine Verbindung durch einfaches Antippen aufgebaut werden.
Zum Trennen einer Verbindung "exit" eingeben oder Menütaste -> "Verbindung trennen" auswählen. - Zugriff auf die Ressourcen der Box
Solange ConnectBot die SSH-Verbindung zur Box aufrecht erhält, sind auch die für diesen Host definierten Tunnel ("Port-Weiterleitungen") aktiv und können vom Smartphone benutzt werden.
Man könnte nun z.B. in DreamPlayer (oder DreamDroid) ein Profil erzeugen, welches 127.0.0.1 Port 17080 als Adresse des Web-Servers nutzt.
Ebenso wie die Verbindung über PuTTY ist auch diese Verbindung nach dem derzeitigen Stand der Technik weder abzuhören noch ist es möglich, unerlaubt Zugriff zu erlangen ohne den privaten Schlüssel zu besitzen.
(Es sei denn, Google ist so nett, den Inhalt Eures Smartphones mit der NSA zu synchronisieren, aber das ist eine andere Geschichte ....)Geändert von SpaceRat (02.12.2016 um 13:40 Uhr)
-
Danke - 6 Thanks
-
01.12.2016, 14:38 #9
- Registriert seit
- 13.08.2013
- Ort
- Midgard
- Beiträge
- 2.863
- Thanks (gegeben)
- 585
- Thanks (bekommen)
- 1589
- Total Downloaded
- 745,74 MB
- Total Downloaded
- 745,74 MB
ThemenstarterBox 1:Vu+ Ultimo 4k 4x DVB-S2 FBC / 2x DVB-C OpenATV 6.2Box 2:Gigablue Quad4k 2xDVB-S2 OpenATV 6.2Box 3:AX Quadbox 2400HDBox 4:diverseBox 5:DVBViewer1.3.5: SSH - Secure SHell - Einrichtung des Clients - PuTTY (Windows Phone)
Es gibt PuTTY auch als Version für Windows Mobile im Microsoft Store.
Eine Anleitung dafür kann ich leider nicht liefern, da ich kein Gerät mit Windows Mobile habe, den Bewertungen zufolge unterstützt PuTTY für Windows Mobile jedoch alles, was gebraucht wird, incl. Port Tunneling.
Wenn jemand mit Windows Mobile so nett wäre, das bei der Einrichtung mit Screenshots zu dokumentieren und etwas zu erklären, pflege ich das gerne hier ein.
Geändert von SpaceRat (02.12.2016 um 15:13 Uhr)
-
Danke - 5 Thanks
-
01.12.2016, 14:39 #10
- Registriert seit
- 13.08.2013
- Ort
- Midgard
- Beiträge
- 2.863
- Thanks (gegeben)
- 585
- Thanks (bekommen)
- 1589
- Total Downloaded
- 745,74 MB
- Total Downloaded
- 745,74 MB
ThemenstarterBox 1:Vu+ Ultimo 4k 4x DVB-S2 FBC / 2x DVB-C OpenATV 6.2Box 2:Gigablue Quad4k 2xDVB-S2 OpenATV 6.2Box 3:AX Quadbox 2400HDBox 4:diverseBox 5:DVBViewer1.3.6: SSH - Secure SHell - Einrichtung des Clients - DasKannDasTeilAlsoAuchNicht (Apple OS - fälschlich auch iOS genannt¹)
Für den Zugriff vom Smartphone aus benötigen wir einen SSH-Client mit Tunnelunterstützung und ein Smartphone.
EiFon und EiPad sind aber so gar nicht smart und seit Apple OS 7.x macht das OS die im Hintergrund laufenden SSH-Sitzungen kaputt.
SSH-Sitzungen und Tunnel sind also theoretisch möglich, brechen aber 5 Minuten nachdem der SSH-Client in den Hintergrund gewandert ist wieder zusammen.
Naja, wieso sollten Pimmelprothesen für 1000 EUR auch das selbe können wie Smartphones für 100 EUR.
Da Apple bisher technisch ca. 4 Jahre zurückhängt, könnte ich voraussichtlich in 2020 diesen Beitrag mit einer Anleitung für EiFons füllen
1 - IOS ist das Betriebssystem auf Cisco-Routern, schon lange bevor an Eier-Fons und Eier-Pads zu denken war. Apple ist doch sonst so scharf darauf, daß Namens- und sonstige Rechte gewahrt bleiben!Geändert von SpaceRat (02.12.2016 um 15:09 Uhr)
-
Danke - 7 Thanks
Lesezeichen