ssh-Zugriff von Innen ja / Aussen nein

Duff

Neuer User
Mitglied seit
18 Jun 2005
Beiträge
157
Punkte für Reaktionen
0
Punkte
16
Hallo,

ich weiß dass dieses Thema hier schon oft aufgeführt worden ist. Ich habe auch schon allerhand Beiträge dazu gelesen, aber noch immer nicht die genauen Antworten auf meine Fragen gefunden.

Also ich verwende die FritzBox 5050 und kann mich über ssh auf die box connecten.

Code:
daniel@daniel-laptop:~$ ssh -l root 192.168.1.1
[email protected]'s password:


BusyBox v1.00-pre3 (2005.02.25-11:13+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

Habe bei mir auf der Box auch dyndns.org bzw. no-ip.info eingerichtet und kann mittels Portforwarding auf meinen Laptop mit gestartem apache-server übers Internet auf diesen Zugreifen. So weit so gut.

Jedoch möchte ich nun übers Internet (also über die no-ip.info Adresse) auf die FritzBox ansich zugreifen. Verstehe aber nicht so genau, was genau ich an der Box einstellen muss. Wollte den Port 22 freigeben und eine Weiterleitung auf die Box machen (IP-Adresse 192.168.1.1), was die Box aber nicht erlaubt.

Also was muss ich bei meinem Vorhaben nun auf der Box noch machen?

Danke,
Daniel
 
Du musst das Portforwarding auf die Box selbst in der ar7.cfg per Hand eintragen. Das sollte über die Sufu zu finden sein.

MfG Oliver
 
Ja danke, habe es gefunden und die Datei /var/flash/ar7.cfgum folgenden Eintrag ergänzt:

Code:
                        forwardrules = "tcp 0.0.0.0:0 0.0.0.0:0 1 out",
                                       "udp 0.0.0.0:0 0.0.0.0:0 1 out",
                                       "udp 0.0.0.0:5060 0.0.0.0:5060",
                                       "udp 0.0.0.0:7078 0.0.0.0:7078",
                                       "udp 0.0.0.0:7079 0.0.0.0:7079",
                                       "udp 0.0.0.0:7080 0.0.0.0:7080",
                                       "udp 0.0.0.0:7081 0.0.0.0:7081",
                                       "udp 0.0.0.0:7082 0.0.0.0:7082",
                                       "udp 0.0.0.0:7083 0.0.0.0:7083",
                                       "udp 0.0.0.0:7084 0.0.0.0:7084",
                                       "udp 0.0.0.0:7085 0.0.0.0:7085",
                                       "tcp 0.0.0.0:22 192.168.1.1:22 0 # SSH-Server",
                                       "# tcp 0.0.0.0:21 192.168.178.20:21 0 # FTP-Server",
                                       "# tcp 0.0.0.0:80 192.168.1.24:80 0 # HTTP-Server",
                                       "# tcp 0.0.0.0:4662 192.168.178.20:4662 0 # eMule",
                                       "# udp 0.0.0.0:4672 192.168.178.20:4672 0 # eMule",
                                       "# tcp 0.0.0.0:3389 192.168.178.20:3389 0 # MS Remote Desktop";
                        shaper = "globalshaper";

Denke mal, dass ich die Box nun restarten muss, oder?
Wie kann ich denn nun auf die Box über ssh zugreifen?

Über ssh -l root meineAdresse.no-ip.info oder wie?

Danke!
 
So, habe nun mal einen Reboot durchgeführt und damit die Frage beantwortet, dass ein Reboot notwendig ist.

Ich kann nun aber nicht mehr über die IP-Adresse der FritzBox auf diese zugreifen. Bekomme immer die Fehlermeldung, dass der Verbindungsversuch verweigert wird.

Code:
daniel@daniel-laptop:~$ ssh -l root 192.168.1.1
ssh: connect to host 192.168.1.1 port 22: Connection refused

Wenn ich ein
Code:
ssh -l root meineAdresse.no-ip.info
probiere, bekomme ich ein time-out (Port 22: connection timed out)

Anpingen kann ich jedoch meineAdresse.no-ip.info und über die IP-Adresse, die ich dann zurück bekomme, kann ich auch eine ssh-Verbindung aufbauen.

Code:
daniel@daniel-laptop:~$ ssh -l root 80.27.86.16
The authenticity of host '80.27.86.16 (80.27.86.16)' can't be established.
RSA key fingerprint is 32:c5:ce:dd:3e:47:60:e4:4b:39:2d:31:c4:b2:60:36.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '80.27.86.16' (RSA) to the list of known hosts.
[email protected]'s password:


BusyBox v1.00-pre3 (2005.02.25-11:13+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

Was muss ich jetzt noch einstellen, so dass ich sowohl von Aussen (Internet) und auch von Innen (LAN) über ssh auf die FritzBox zugreifen kann?

Kann ich zusätzlich auch noch was einsellen, damit ich anstatt der IP-Adresse über den Namen "meineAdresse.no-ip.info" auf die Box zugreifen kann?

Vielen Dank.
 
Eigentlich sollte beides ohne Probs gehen. Schau mal in den Syslog ob du da was erkennen kannst. Oder starte den dropbear mal im Vordergrund, damit du die Meldungen siehst.

MfG Oliver
 
Hallo,

ich persönlich bin kein Freund des ungezügelten Editierens der teilweise sehr umfangreichen internen Konfigurationsdateien und bevorzuge die Modifikationen der FBF an einem zentralen Ort: der debug.cfg. Wie man die sichtbar macht, editiert und zurückschreibt in den Flash kann man zuhauf hier nachlesen, deshalb will ich das nicht weiter ausführen.

Aber ich habe den externen Zugriff mittels SSH und auch mittels OpenVPN sehr elegant in den Griff bekommen ohne die ar7.cfg händisch zu verändern.

noch vorab: diese Erkenntnisse stammen alle aus dem Forum, ich habe sie lediglich zusammengetragen.

Der nach meiner Meinung eleganteste Weg ist die Erzeugung eines zusätzlichen virtuellen Netzwerkinterfaces auf der FBF. Mit einem Eintrag der Form:

ifconfig eth0:1 192.168.178.253 netmask 255.255.255.0 broadcast 192.168.178.255 up

in der debug.cfg ist das bereits erledigt. Selbstverständlich sollte man die IP-Adressen an die eigenen Bedürfnisse anpassen und dabei auch den Adressbereich meiden, den der DHCP-Server benutzt. Der Befehl erzeugt bei mir eine neue IP-Adresse 192.168.178.253 neben der bereits exitierenden Adresse 192.168.178.1 für das LAN Interface (eth0) der FBF, welches sich nachfolgend vollkommen normal ansprechen läßt. Natürlich ist vorher ein Reboot der FBF erforderlich.

Für ein solches Interface lassen sich Portfreigaben mit dem Web-Frontend der FBF definieren, d.h. die ar7.cfg muß nicht von Hand editiert werden. Bei meiner FBF Fon WLAN (das alte Modell) klappt das allerbestens. Sollten weitere Portforwardings fällig werden, z.B. für OpenVPN o.a. sind diese in kürzester Zeit eingetragen.

Ich benutze diese Methode nun bereits seit einigen Monaten und bin damit vollkommen zufrieden.

Viele Grüße
 
rf2006 schrieb:
Der nach meiner Meinung eleganteste Weg ist die Erzeugung eines zusätzlichen virtuellen Netzwerkinterfaces auf der FBF. Mit einem Eintrag der Form:

ifconfig eth0:1 192.168.178.253 netmask 255.255.255.0 broadcast 192.168.178.255 up

in der debug.cfg ist das bereits erledigt.

Ok, dass hört sich gut an. Aber wo muss ich dass denn genau eintragen, weil es soll ja nach einem Reboot der Box auch noch vorhanden sein.
Muss ich da nicht doch noch eine Datei editieren, z.B. die debug.cfg?
 
Hallo Duff,

Du hast noch nie die debug.cfg editiert? Wie hast Du dann den SSH-Server installiert? Normalerweise ist das Editieren der debug.cfg die Einsteigerhürde für alle möglichen Erweiterungen auf der FBF. Solltest Du allerdings ein Pseudo-Firmwareimage benutzt haben, dann wird das für Dich automatisch miterledigt.

Aber zur Antwort: (wurde schon mehrfach disskutiert, also auch etwas suchen hilft für mehr Details)

Du kannst auch sozusagen vorab am Telnet Prompt das Kommando "ifconfig ...." absetzen, sozusagen als Test. Die Änderung wird sofort aktiv. Das kannst Du ganz leicht mit einem "ping" auf die neue IP testen. Wenn die Einstellung paßt, übernimmst Du sie in die debug.cfg, damit auch ein Reboot überlebt wird. Wenn es nicht paßt, dann einfach Rebooten und weg ist der Zauber.

Die debug.cfg liegt im Verzeichnis /var/flash/ und kann dort NICHT direkt editiert werden (ähnlich wie ar7.cfg). Also die Datei mit "cat /var/flash/debug.cfg > /var/tmp/debug.cfg" in das Temporärverzeichnis kopieren und dann die notwendigen Änderungen machen. Bei mir steht der Eintrag am Ende der Datei. Die Datei ist ab Werk (fast) leer, deine Datei sollte jedoch einige Einträge enthalten, da ja SSH schon funktioniert. Die geänderte Datei mit cp /var/tmp/debug.cfg /var/flash/debug.cfg in den nicht flüchtigen Speicher zurück kopieren und jetzt sollte alles funktionieren.

Nochmal zusammengefaßt: Am Telnet Prompt kannst Du nach Belieben probieren, die Änderungen sind mit dem nächsten Reboot wieder weg, da nur im RAM ausgeführt. Das eröffnet einen breiten Spielraum für eigene Test bis die Einstellung paßt. Die Portforwardings stellt man einfach über das Web-Frontend ein und überläßt der FBF die Modifikation der notwendigen Dateien. Damit ist die Fehlerrate durch Fehleingaben sehr gering. Hat man die passende Einstellung gefunden wird sie nichtflüchig in der debug.cfg abgelegt. Unbedingt einen Unix-kompatiblen Editor verwenden (z.B. den internen vi)! Die vorgestellte Lösung bietet den Vorteil einer geringeren Anfälligkeit für Fehleingaben und auch einer einfacheren Erweitung, in der Funktionalität bestehen letztlich keine Unterschiede.

Die Portforwardings gelten natürlich nur für Zugriffe von außen, von innen sollten beide Netzwerkinterfaces den SSH-Zugang zulassen.

Viele Grüße
 
Danke für die Antwort rf2006.

Aber zur Zeit komme ich wie gesagt, nicht von Innen (also aus meinem eigenen LAN) nicht auf die Box, wohl aber über die IP-Adresse von meineAdresse.no-ip.info. Telnet habe ich von vorneherein deaktiviert, so dass ich wohl jetzt von aussen auf die Box zugreifen muss, um die Änderungen zu probieren und vorzunehmen.
 
Telnet kann man mit einem angeschlossenen Telefon wieder aktivieren, wähle:

#96*7* Telnet an
#96*8* Telnet aus

Siehe http://www.ip-phone-forum.de/showthread.php?t=69245

Außerdem kannst Du versuchen die IP 192.168.178.254 anzusprechen, die soll von AVM ab Werk immer bereit stehen.

Wie Du nun an das Gerät herankommst ist eigentlich vollkommen egal. Kannst Du denn die lokale Adresse der Fritzbox anpingen, siehst das Web-Frontend usw.? Bezieht sich die Problematik des Abweisens nur auf den SSH-Zugang?
 
Also auf das Web-Frontent komme ich nach wie vor (http://192.168.1.1)

Anpingen kann ich den Router nur über die IP-Adresse 192.168.1.1 oder über meineAdresse.no-ip.info. Der Name der Fritzbox, den ich ja beim Login in den Enviroment-Variablen sehe, funktioniert nicht.
 
Also auf das Web-Frontent komme ich nach wie vor (http://192.168.1.1)

Anpingen kann ich den Router nur über die IP-Adresse 192.168.1.1 oder über meineAdresse.no-ip.info. Der Name der Fritzbox, den ich ja beim Login in den Enviroment-Variablen sehe, funktioniert nicht.

Das sieht eher nach einem Problem mit der Namensauflösung auf Deinem Laptop aus. Als Nameserver auf Deinem PC sollte in jedem Fall die Fritzbox stehen, check das mal bitte mit "ipconfig /ALL". Vielleicht hast Du ja Zusatzsoftware installiert, um z.B. über no-ip.info erreichbar zu sein? Dann wäre die fehlende lokale Namesauflösung evt. erklärbar.

Am einfachsten ist es, die Adressen automatisch via DHCP zu beziehen, dann regelt die FBF das für Dich. Leider kann ich hier keine weiteren Hinweise geben, da ich kein Experte auf diesem Gebiet bin.

Viele Grüße
 
Das sieht eher nach einem Problem mit der Namensauflösung auf Deinem Laptop aus. Als Nameserver auf Deinem PC sollte in jedem Fall die Fritzbox stehen, check das mal bitte mit "ipconfig /ALL". Vielleicht hast Du ja Zusatzsoftware installiert, um z.B. über no-ip.info erreichbar zu sein? Dann wäre die fehlende lokale Namesauflösung evt. erklärbar.

Am einfachsten ist es, die Adressen automatisch via DHCP zu beziehen, dann regelt die FBF das für Dich. Leider kann ich hier keine weiteren Hinweise geben, da ich kein Experte auf diesem Gebiet bin.

Werde mir das ganze noch mal anschauen, sobald ich zu Hause bin.
Ja, ich beziehe die IP über DHCP von der FritzBox.
Nein, ich habe keine Zusatzsoftware installiert.
 
Es scheint doch alles bei mir im Netzwerk zu stimmen. Ich kann nun auch sowohl von Innen als auch von Aussen über ssh auf die Box zugreifen.

Ich habe gemerkt, dass es noch eine Weile dauert, wenn man die Box rebootet hat und auch schon wieder anpingen kann, bis man über ssh darauf zugreifen kann.

Ein ifconfig -a sieht bei mir so aus:
Code:
# ifconfig -a
dsl       Link encap:Point-Point Protocol
          inet addr:192.168.179.1  P-t-P:192.168.179.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:2217 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2230 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:10
          RX bytes:3199461 (3.0 MiB)  TX bytes:159210 (155.4 KiB)

eth0      Link encap:Ethernet  HWaddr 00:04:0E:A0:8B:C2
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:419 errors:0 dropped:0 overruns:0 frame:0
          TX packets:408 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:40477 (39.5 KiB)  TX bytes:138638 (135.3 KiB)

eth0:1    Link encap:Ethernet  HWaddr 00:04:0E:A0:8B:C2
          inet addr:192.168.178.253  Bcast:192.168.178.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

eth1      Link encap:Ethernet  HWaddr 00:04:0E:A0:8B:C3
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Base address:0x2800

lan       Link encap:Ethernet  HWaddr 00:04:0E:A0:8B:C2
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:419 errors:0 dropped:0 overruns:0 frame:0
          TX packets:408 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:34611 (33.7 KiB)  TX bytes:138638 (135.3 KiB)

lan:0     Link encap:Ethernet  HWaddr 00:04:0E:A0:8B:C2
          inet addr:192.168.178.254  Bcast:192.168.178.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:209 errors:0 dropped:0 overruns:0 frame:0
          TX packets:209 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:29478 (28.7 KiB)  TX bytes:29478 (28.7 KiB)

usbrndis  Link encap:Ethernet  HWaddr 00:04:0E:A0:8B:C6
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Aber was muss ich jetzt noch genau einsellen, damit ich von Aussen (über meineAdresse.no-ip.info) auf die Box zugreifen kann. Habe es mit folgendem IP-Forwarding probiert, was aber nicht klappt:

Code:
                        forwardrules = "tcp 0.0.0.0:0 0.0.0.0:0 1 out",
                                       "udp 0.0.0.0:0 0.0.0.0:0 1 out",
                                       "udp 0.0.0.0:5060 0.0.0.0:5060",
                                       "udp 0.0.0.0:7078 0.0.0.0:7078",
                                       "udp 0.0.0.0:7079 0.0.0.0:7079",
                                       "udp 0.0.0.0:7080 0.0.0.0:7080",
                                       "udp 0.0.0.0:7081 0.0.0.0:7081",
                                       "udp 0.0.0.0:7082 0.0.0.0:7082",
                                       "udp 0.0.0.0:7083 0.0.0.0:7083",
                                       "udp 0.0.0.0:7084 0.0.0.0:7084",
                                       "udp 0.0.0.0:7085 0.0.0.0:7085",
                                       "tcp 0.0.0.0:22 192.168.1.1:22 0 # SSH-Server",
                                       "tcp 0.0.0.0:80 192.168.178.253:80 0 # Remote FritzBox-Zugriff",
                                       "# tcp 0.0.0.0:21 192.168.178.20:21 0 # FTP-Server",
                                       "# tcp 0.0.0.0:80 192.168.1.24:80 0 # HTTP-Server",
                                       "# tcp 0.0.0.0:4662 192.168.178.20:4662 0 # eMule",
                                       "# udp 0.0.0.0:4672 192.168.178.20:4672 0 # eMule",
                                       "# tcp 0.0.0.0:3389 192.168.178.20:3389 0 # MS Remote Desktop";
                        shaper = "globalshaper";
 
Tja, scheint alles zu passen. Bei mir sieht das so aus und funktioniert prächtig.

Code:
                        forwardrules = "tcp 0.0.0.0:0 0.0.0.0:0 1 out", 
                                       "udp 0.0.0.0:0 0.0.0.0:0 1 out", 
                                       "udp 0.0.0.0:5060 0.0.0.0:5060", 
                                       "udp 0.0.0.0:7078 0.0.0.0:7078", 
                                       "udp 0.0.0.0:7079 0.0.0.0:7079", 
                                       "udp 0.0.0.0:7080 0.0.0.0:7080", 
                                       "udp 0.0.0.0:7081 0.0.0.0:7081", 
                                       "tcp 0.0.0.0:8089 0.0.0.0:8089", 
                                       "# tcp 0.0.0.0:21 192.168.178.10:21 0 # FTP-Server", 
                                       "# tcp 0.0.0.0:80 192.168.178.20:80 0 # HTTP-Server", 
                                       "# tcp 0.0.0.0:3389 192.168.178.20:3389 0 # MS Remote Desktop", 
                                       "tcp 0.0.0.0:22 192.168.178.253:22 0 # SSH", 
                                       "tcp 0.0.0.0:1194 192.168.178.253:1194 0 # OpenVPN";
                        shaper = "globalshaper";
                }

Aber Du hast gestern folgendes geschrieben; das ist doch ein Zugriff von außen, oder wie ist es zu verstehen? Meinst Du, daß es nur mit dem Namen nicht funktioniert, mit der IP aber sehr wohl?

Anpingen kann ich jedoch meineAdresse.no-ip.info und über die IP-Adresse, die ich dann zurück bekomme, kann ich auch eine ssh-Verbindung aufbauen.

Hab sonst keine echte Idee :noidea:

Viele Grüße
 
Nee, danke.

Es hat funktioniert (habe es wieder auskommentiert). Musste wohl wieder ein wenig länger warten.

So, jetzt würde ich aber noch gerne wissen, wie ich einen sicheren Zugang von Aussen auf die Box einrichten kann.

Stelle mir das ganze in etwa so vor:

https://meineAdresse.no-ip.inof:65231


--> Das sollte doch dann auch ziehmlich sicher sein (wenn das Passwort für die Authentifizierung natürlich dem entsprechend gewählt wurde).
 
Https wird von der FBF nicht unterstützt, soweit ich weiß. Aber Du hast ja SSH. Damit kannst Du auf Deinem PC mit geeigneter Software Ports über SSH tunneln, z.B. auch den Port 80. Als Ergebnis ergibt das eine sichere Verbindung. Dafür sind keine weiteren Portfreigaben auf der FBF notwendig, es läuft alles über den SSH Port 22.

Wenn Du Windows auf Deinem PC laufen hast dann versuch es mal mit dem bekannten Putty.exe. Kann aus eigener Erfahrung sagen, daß es gut funktioniert. Unter Linux gibts auch was equivalentes.

Zu Putty und SSH-Tunneln gibts schöne Erklärungen und Anleitungen im Netz, also google doch mal.


Und noch eine Bitte: Versuch doch mal das Problem genau zu ergründen, bevor Du eine Anfrage stellst, das macht es allen leichter.
 
Https wird von der FBF nicht unterstützt, soweit ich weiß. Aber Du hast ja SSH. Damit kannst Du auf Deinem PC mit geeigneter Software Ports über SSH tunneln, z.B. auch den Port 80. Als Ergebnis ergibt das eine sichere Verbindung. Dafür sind keine weiteren Portfreigaben auf der FBF notwendig, es läuft alles über den SSH Port 22.

Hallo, eine Verbindung über ssh kann ich zur Box aufbauen.
Ich verstehe nur noch nicht so ganz, was ich machen muss, damit ich eine sichere Verbindung über den Browser auf die Box herstellen kann.
 
Wo ist denn da dein Problem?
Du kannst dich doch von überall per Putty auf die Box aufschalten.
Also Putty starten, mit der Box verbinden, Username und Passwort eingeben und Putty einfach so weiterlaufen lassen.

Dann startest du den Internet-Explorer und gibst in der Adressleiste einfach localhost ein.
Somit bist du getunnelt auf der HTML-Oberfläche deiner FritzBox und wirst nach deinem Passwort gefragt.

Joe
 
Ok, danke.

Dann werde ich das mal ausprobieren.
Von einem linux-rechner übers Internet ist klar.

Muss ich denn im Putty bei einem Windows-rechner noch was anderes angeben als die IP-Adresse (oder den Hostnamen) und den entsprechenden Port?
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
244,695
Beiträge
2,216,699
Mitglieder
371,316
Neuestes Mitglied
realbluethunder
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.