Results 1 to 8 of 8

Thread: Sichere Verbindung aus WAN für mehrere Benutzer eingeschränkt auf Benutzerverzeichnis

  1. #1

    Sichere Verbindung aus WAN für mehrere Benutzer eingeschränkt auf Benutzerverzeichnis

    Hallo zusammen,
    ich suche jetzt schon mehrere Wochen lang nach einer Lösung für das folgende Problem und hoffe sehr, dass mir hier jemand weiterhelfen kann. Also der Router mit oleg firmware soll in einer Firma stehen und mehreren Kunden jeweils ein eigenes Verzeichnis bereitstellen, in das sie Aufträge übers internet auf den Asus uploaden können. Es ist wichtig dass sowohl pw als auch Daten verschlüsselt über das Internet übertragen werden.

    Die entscheidende Frage ist jetzt: Gibt es eine Möglichkeit eine sichere verschlüsselte Verbindung für mehrere Benutzer einzurichten, die jeweils nur auf ihr eigenes Unterverzeichnis Zugriff haben sollen?

    Bisher habe ich die folgenden 4 Varianten in Betracht gezogen und versucht umzusetzen, leider jeweils mit verschiedenen Unzulänglichkeiten:

    1. vsftp: Da kenne ich bisher keine Möglichkeit eine sichere Authentifizierung zu verwenden. So wird z.B. in den verschiedenen Tutorials ja meistens folgendes in die /opt/etc/xinetd.d/vsftp geschrieben:
      Code:
      # description: The vsftpd FTP server serves FTP connections. 
      # it uses normal, unencrypted usernames and passwords for auth
      Das hört sich für mich nach einer Warnung an, dass die Anmeldedaten (incl. pw) mit einem packet-sniffer ausgelesen werden können. Gibt es vielleicht eine Möglichkeit eine Verbindung zu vsftp über SSL herzustellen (das hat glaube ich verschiedene namen und wird oft mit einer SSH verbindung verwechselt, was ich hier aber nicht meine.)
    2. SSH/SCP: Dabei fehlt mir die Möglichkeit verschiedenen Nutzern verschiedene eingeschränkte home verzeichnisse zuzuweisen aus denen sie nicht rausnavigieren können. Geht das vielleicht doch irgendwie?
    3. VPN/Samba: Auch hier fehlt mir die Benutzereinschränkung auf bestimmtes Benutzerverzeichnis (und generell finde ich Windows Freigaben oft ziemlich unzuverlässig). Aber wenn jemand eine Möglichkeit kennt Samba entsprechend für mehrere Benutzer zu konfigurieren wären auch hierzu Tipps sehr willkommen.
    4. Webserver (mit lighttpd/openSSL/PHP/Login-System/Formular-Upload): Bei dieser Variante habe ich bisher keine Möglichkeit gefunden, wie man dem Benutzer den Upload-Status anzeigen kann. Bei größeren Dateien steht die Webseite während des Uploads dann über sehr lange Zeit ohne Rückmeldung stehen und man weiss nicht ob der Upload funktioniert und wie lange das noch dauert. Wenn man bei google nach "Upload progress bar" oder ähnliches sucht, findet man zwar viele möglichkeiten, von denen ich aber keine über lighttpd 1.4 umsetzen konnte. Ich habe u.a. verschiedene PHP-/Perl- und Flash-Scripts ausprobiert. Die PHP und Perl-Scripts funktionieren wahrscheinlich nicht wegen dem komischen Upload-Cache vom lighttpd. Eine spezielle upload-progress-funktion wird leider erst in lighttpd 1.5 integriert werden.


    Wie ihr seht beschäftige ich mich schon einige Tage damit, ohne dass ich eine befriedigende Lösung gefunden habe. Ich hoffe irgendjemand kann mir eine Möglichkeit nennen, wie ich eine der obigen Varianten brauchbar machen kann.

    schonmal danke für jede antwort

  2. #2
    Join Date
    Jul 2007
    Location
    Austria
    Posts
    1,336
    Nun, ich denke mit VPN ist man sicher, nicht zuletzt betreiben groessere Firmen ueber VPN globales Intranet, inkl. VoIP.
    Samba geht jedenfalls mit User, da gibt es sehr viele Hinweise usw. im Inet.
    http://www.goldmann.de/samba-als-pdc_tipp_390.html

    Leider habe ich am Asus nicht VPN laufen, da ich das mit meiner Fritzbox realisiere (ist in der 7170 Labor drinnen).

    Weiters gibt es auch andere FTP Server als optware auf nslu2 - sehe dir einmal den File Packages an: http://ipkg.nslu2-linux.org/feeds/op...g/cross/stable

    Der Vorteil von VPN/Samba liegt einfach darin, dass jeder User ein eigenes Verzeichnis hat und sehr viele Konfigurationsbeispiele vorhanden sind. Naja und viel Testen ist wohl notwendig.
    Jedenfalls wirst du ueber die Weihnachtsfeiertage viel zu tun haben.......
    Alle HowTo's, all howto's

    RT-N16 1.9.2.7-rtn-r3121, Samba, VSFTP, Lightthpd, PHP, Perl, MySQL, Serendipity, Aria2web, HDD 640GB
    RT-N66U, 16GB MicroSD/ 2 Partitions, 2,5" HDD 1TB, running with Merlin's FW and Entware, 16 Mbit A1,
    Netgear DGND 3700V2, QNAP TS119PII 4 TB, QNAP TS209 2 TB Raid1, Backup Synology DS107+ 1 TB, HP CP1515n

  3. #3
    Hi newbiefan,
    so, ich habe jetzt samba2 soweit laufen mit User/Pw freigaben. Das Problem ist nur, dass ich über OpenVPN irgendwie noch keinen Zugriff auf die Freigaben habe. vorher mit dem original samba von der oleg-firmware war das noch einfach möglich. da werde ich wohl noch ein bisschen weiter ausprobieren müssen. Du hast wohl recht, viel zu tun über die Weihnachtsfeiertage .

    Kann mir jemand sagen, ob es Sinn macht samba3 statt samba2 zu benutzen? Ist das eine stable-version für die oleg-fw?

    Sehr interessiert wäre ich an einer Möglichkeit mit lighttpd eine Upload progress bar zu realisieren. Ich denke nämlich dass eine Weboberfläche für den Endanweder am einfachsten zu bedienen wäre (keine VPN installation nötig etc).
    Ich habe im Internet gelesen, dass es PHP Extensions gibt, mit denen es möglich wäre. Hier habe ich z.B. gelesen, dass es mit dieser APC Extension gehen müsste. Um diese PHP Extensions zu verwenden braucht man aber die php sources und muss dann das ganze glaube ich selbst compilieren. Kann mir jemand sagen ob ich diese Extension also irgendwie auf dem Router zum laufen bekommen kann?
    Eine allgemeine Installationsanleitung dieser PECL-PHP-Extensions gibts z.B. hier.
    Oder frage ich da besser im englischen forum?

  4. #4
    Join Date
    Jul 2007
    Location
    Austria
    Posts
    1,336
    Bei mir läuft die dokuwiki auf lighttp, das geht soweit ganz gut.
    Leider ist da der Asus etwas überfordert, wenn er Seiten neu indizieren muss, dauert das schon eine Weile.
    Der Syntax von Dokuwiki ist auch ganz gut und umfangreich, solltest du einmal probieren....PM ist unterwegs......
    Jedenfalls ist die Installation schnell erledigt und man hat viele Möglichkeiten
    Aber VPN ist mir lieber, weil es sehr sicher ist.....
    Alle HowTo's, all howto's

    RT-N16 1.9.2.7-rtn-r3121, Samba, VSFTP, Lightthpd, PHP, Perl, MySQL, Serendipity, Aria2web, HDD 640GB
    RT-N66U, 16GB MicroSD/ 2 Partitions, 2,5" HDD 1TB, running with Merlin's FW and Entware, 16 Mbit A1,
    Netgear DGND 3700V2, QNAP TS119PII 4 TB, QNAP TS209 2 TB Raid1, Backup Synology DS107+ 1 TB, HP CP1515n

  5. #5
    Danke für das Login. Hab ich mal ausprobiert. Aber in dokuwiki ist doch kein Datei-Upload integriert, oder? Das ist ja das was ich letztendlich brauche.
    Mein lighttpd läuft über https (SSL), daher glaube ich dass es etwa so sicher wäre wie Samba über openVPN. Schliesslich werden über https auch alle Daten zwischen Webserver und User verschlüsselt (wie z.B. bei online banking etc).
    Das einzige Problem dabei ist, dass beim Upload großer Dateien dem Benutzer sehr lange keine Rückmeldung gegeben wird wie weit der upload fortgeschritten ist (upload progress bar). Dazu müsste ich halt eine PHP extension installieren (wobei die frage ist wie ich lighttpd neu compilieren kann) oder lighttpd 1.5 verwenden.

  6. #6
    ich habe dir mal login per PM geschickt, so dass du siehst, was ich meine.

  7. #7
    Join Date
    Jul 2007
    Location
    Austria
    Posts
    1,336
    Quote Originally Posted by Beowulf View Post
    ich habe dir mal login per PM geschickt, so dass du siehst, was ich meine.
    Danke, für den Login, jedenfalls ist's toll - gute Arbeit
    Antwort per pm.
    Ach ja, weiter oben hast Du die Frage nach Samba3 / 2 gestellt. Ich hatte Samba 3 installiert, da ich dachte es hätte Vorteile - ich habe keine wesentlichen feststellen können, lediglich der Resourcen-Verbrauch ist bei heavy traffic (=> 3 User) viel zu hoch für meinen Asus - es gab bei etwas grösseren Dateitransfer teilweise schon sehr lästige Wartezeiten. Ich habe deshalb einfach wieder Samba2 installiert. Das geht flüssiger.....

    Ach ja, bei Dokuwiki kannst Du Formulare ausfüllen (soferne erstellt), Dateien hochladen usw.
    Es gibt zahlreiche Plugins für die Dokuwiki mit unzähligen Funktionen, soweit ich gelesen habe, auch eines mit Progress-Bar. Bin z.Zt. unterwegs und erst am Weekend wieder zu Hause, sende dir dann den Link - ausser du findest ihn vorher.
    Viel Spass....
    Last edited by newbiefan; 09-12-2008 at 17:29.
    Alle HowTo's, all howto's

    RT-N16 1.9.2.7-rtn-r3121, Samba, VSFTP, Lightthpd, PHP, Perl, MySQL, Serendipity, Aria2web, HDD 640GB
    RT-N66U, 16GB MicroSD/ 2 Partitions, 2,5" HDD 1TB, running with Merlin's FW and Entware, 16 Mbit A1,
    Netgear DGND 3700V2, QNAP TS119PII 4 TB, QNAP TS209 2 TB Raid1, Backup Synology DS107+ 1 TB, HP CP1515n

  8. #8
    Hallo,
    Lösung mit Samba/VPN:
    also dann bleibe ich bei samba2. Es funktioniert jetzt auch über die VPN Verbindung. Der Fehler war, dass ich in der smb.conf die VPN IP hinzufügen musste also:
    Code:
    hosts allow = 192.168.0. 10.8.0.
    Um über VPN die Netzwerkfreigabe zu öffnen musste ich die VPN-IP in der Netzwerkumgebung eingeben: also \\10.8.0.1

    Automatisches einbinden der Freigabe bei VPN-Verbindung:
    Ich habe mir jetzt den OpenVPN Client so eingerichtet, dass die Freigabe automatisch als Netzwerklaufwerk im Arbeitsplatz angezeigt wird. Dazu habe ich folgende Dateien im Ordner C:\Programme\OpenVPN\config angelegt:
    Bei mir ist da schon eine Datei für das VPN-Profil mit dem Namen oleg.ovpn.
    Dann habe ich eine Datei oleg_up.bat angelegt mit dem Inhalt:
    Code:
    start netzlaufwerk_verbinden.bat
    Ausserdem die Datei netzlaufwerk_verbinden.bat mit dem Inhalt:
    Code:
    @echo off
    cls
    ECHO "Bitte warten..."
    PING 10.8.0.1 -n 10 -w 500 >NUL
    ECHO "Verbinde mit Laufwerk..."
    net use X: \\10.8.0.1\Freigabename /persistent:yes
    exit
    Den Freigabenamen muss man natürlich entsprechend anpassen
    Als letztes noch eine Datei oleg_down.bat mit Inhalt:
    Code:
    net use x: /delete
    Wenn euer Profil anders heisst, dann müssen die Dateien entsprechend profilname_up.bat und profilname_down.bat heissen.

    Also damit habe ich erstmal eine Lösung die scheinbar funktioniert. Da ein Datei-Upload über eine Webseite allerdings aus Benutzersicht einfacher erscheint, werde ich weiter versuchen eine Upload progress bar zu realisieren

    Zur Lösung über Webserver:
    Es wäre sehr nett, wenn du mal probieren kannst in der dokuwiki eine upload progress bar zu realisieren. Ich könnte mir aber denken, dass das letztendlich wieder an der cache funktion von lighttpd scheitern wird.
    Wenn es nicht klappt, werde ich wohl versuchen müssen php mit der APC Extension zu compilieren.
    Da ich da aber noch keine Ahnung von habe wird es wohl noch ein bisschen dauern. Das einfachste wäre natürlich wenn mal endlich eine final version von lighttpd 1.5 rauskommen würde.

    Wenn dazu jemand weiterhelfen kann, würde mich freuen.

    Ach und noch eine Frage: Ist es möglich aus der konsole heraus das Webif für WAN freizuschalten? Also s.d. wenn ich mal gerade unterwegs bin und im Webif was ändern will, dieses nur für kurze Zeit aus dem WAN zugänglich machen kann (über ssh verbindung).
    Last edited by Beowulf; 09-12-2008 at 20:25.

Similar Threads

  1. Enable TFTP on WAN port
    By Atter in forum WL-500gP Q&A
    Replies: 2
    Last Post: 22-09-2008, 08:37
  2. Router nicht erreichbar auf WAN für ca. 10 min
    By carter in forum German Discussion - Deutsch (DE)
    Replies: 6
    Last Post: 20-06-2008, 18:52
  3. Kann ich ein Linux Projekt auf WL-500gP umsetzen? Wer probierts mal für mich?
    By u918244 in forum German Discussion - Deutsch (DE)
    Replies: 1
    Last Post: 19-05-2008, 08:18
  4. Kein Zugriff auf den WLAN-Client am WAN Eingang
    By Swiss-MAD in forum German Discussion - Deutsch (DE)
    Replies: 1
    Last Post: 09-02-2007, 16:40
  5. ein TCP oder UDP Port auf mehrere IP´s
    By gladiator-01 in forum German Discussion - Deutsch (DE)
    Replies: 16
    Last Post: 07-03-2006, 16:32

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •