[How To] Remotezugriff über Internet mit dynamischem Tunnel

[wengi]

Hallo allerseits,

nachdem die Frage jetzt vermehrt kam will ich Euch mal erleutern wie ich von unterwegs auf mein Heimnetzwerk zugreife.

Vorneweg: Das Ganze ist eine Funktion von ssh Servern (z.B. dropbear) und somit unabhängig vom Asus. Bei mir dient eine Fritz!Box mit Freetz als Router.

Benötigt wird:
1) ein Router mit ssh Server, der über Internet erreichbar ist.
2) einen ssh Client (z.B. putty für Windows)
3) eine Anwendung die (Socks-) Proxies unterstützt

Zu 1)
Am SSH Server muss sichergestellt werden, dass Tunnels aktiviert sind.
In der Standardkonfiguration von dropbear sind Tunnels aktiv. Es ist dementsprechend nichts zu konfigurieren.

Zu 2)
Ich erläutere das hier für Putty.

Abgesehen von den Zugangsdaten auf der Seite "Session" wird zusätzlich noch ein dynamischer Tunnel unter "Connection - SSH - Tunnels" eingerichtet.
Hierzu einen beliebigen, am lokalen Client freien, Source Port eingeben (hier z.B. 8888) und "Dynamic" aktivieren. Anschließend ADD drücken.
Siehe Abbildung unten

Jetzt die Verbindung wie gewohnt herstellen.

Was genau ist jetzt passiert?
Abgesehen davon, dass man jetzt auf der Shell des Routers arbeiten kann, ist der zusätzliche Tunnel für jede proxyfähige Anwendung ansprechbar.

Zu 3)
Nehme ich jetzt z.B. Firefox oder IE und stelle als Proxy 127.0.0.1 auf Port 8888 ein kann ich mich direkt auf alle IP Adressen meines Heimnetzwerks verbinden!
Gibt man in der Adressleiste die IP des Routers ein gelangt man direkt auf das Webinterface des Routers.
Über diesen Weg steuere ich jedes Webinterface in meinem Heimnetzwerk an.

Um das Umschalten des Proxies zu vereinfachen nutze ich das Firefox AddOn foxyproxy.

Wenn man im Browser z.B. auf www.google.de geht dann läuft auch dieser Traffic über das Heimnetzwerk. Somit kann man lokale Domainfilter umgehen.

Der Webbrowser ist nur eine Anwendung. Jede Software, die Proxies unterstützt, kann sich so direkt ins Heimnetzwerk einklinken.


Falls Deine Anwendung keinen Proxy unterstützt musst Du statische Tunnel definieren. Hierzu gibst Du als Source Port z.B Port 25 und als Destination zum Beispiel die IP Deines heimischen Mailservers mit Port an. (z.B. 192.168.0.100:25). "Local" muss aktiviert sein.

Viel Spaß

wengi

[edelknecht]

Danke!

Nun funzt das!

[carterb]

Hi,

sauber Wengi!!
Danke!!

[Beowulf]

Bei mir funktioniert das leider nicht. Wenn ich den Proxy in Firefox aktiviere, dann bekomme ich immer nur weiße Seiten ohne Inhalt angezeigt. Auch auf das Webif vom router kann ich so nicht zugreifen. Muss man vielleicht doch noch irgendetwas anderes bei dropbear einstellen oder eine firewall regel?

Ich starte dropbear mit dropbear -s -p 51901

und meine post-firewall sieht so aus:

Code:

#!/bin/sh
# Deleting this rule temporarily and add it again in the end
iptables -D INPUT -j DROP

# SSH access from WAN:
iptables -A INPUT -m tcp -p tcp --dport 51901 -j ACCEPT

# Webserver access from WAN:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# OpenVPN access from WAN
iptables -A INPUT -p udp --dport 1234 -j ACCEPT
iptables -t nat -A PREROUTING -i vlan1 -p udp --dport 1234 -j DNAT --to-destination $4:1234
# Allow direct connections between VPN-Clients and Router
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
# Allow connections from VPN-Clients to LAN-Clients
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o br0 -j MASQUERADE
# Allow connections from LAN-Clients to VPN-Clients
iptables -I FORWARD -i tun+ -o br0 -s 10.8.0.0/24 -j ACCEPT
iptables -I FORWARD -i br0 -o tun+ -s 192.168.3.0/24 -j ACCEPT
# Allow forwarding to/from VPN-Clients (needed at least for ping)
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
# Allow VPN-clients to tunnel internet traffic through VPN-Server
iptables -I FORWARD -i tun+ -o vlan1 -s 10.8.0.0/24 -j ACCEPT

# Drop all other input
iptables -A INPUT -j DROP

Hat jemand eine Idee warum es nicht funktioniert?

Danke

[wengi]

Die ssh Verbindung funktioniert?
Du kommst auf die Shell?

[Beowulf]

Ja genau, die ssh verbindung funktioniert perfekt. Ich kann so übers internet auf die shell vom router. Und wenn ich dann bei proxy einstellungen 127.0.0.1 mit dem bei putty eingegebenen Port eingebe, dann sehe ich nur noch leere Seiten in Firefox.

[wengi]

Hm.
Da ich das über eine Fritz!Box mache sieht das ein bischen anders aus.
Kannst Du mal eine Webseite im internen Netz testen?

Irgend ein Client, der ein Webinterface hat.

Hast Du in Firefox auch SOCKS aktiviert? In foxyproxy muss das extra angehakt werden.

wengi

[Beowulf]

Hi wengi,

Ich hatte in Firefox eingestellt "Für alle Protokolle diesen Proxy-Server verwenden" und unter diesen Protokollen war auch Socks-Host. Ich weiß nicht ob das jetzt heisst dass ich SOCKS aktiviert hatte.

Auf jeden Fall habe ich jetzt auch foxyproxy installiert und dort SOCKS aktiviert und jetzt funktioniert alles perfekt!
Schon komisch, dass es nicht auch ohne Foxyproxy geklappt hat. Wenn du Zeit hast, kannst du ja mal versuchen foxyproxy zu deaktivieren und dann gucken ob es mit den normalen Firefox einstellungen klappt.

Jedenfalls vielen Dank für die Hilfe.

[darkside40]

Also wengi die Idee SSH sozusagen als VPN zu nutzen ist super.
Dropbear ist eh drauf, sicher und man muss sich keine zusätzlich VPN Software einrichten.

Ich möchte eh darüber nur meinen Browser nutzen.
Ich muss nur noch mal schauen ob das ganze auch mit meinem Mail Client funktioniert bzw. der SSH Client auf dem Mac dynamische Tunnel unterstützt.

[darkside40]

So ich kram den Thread hier noch mal raus um zu melden das das ganze auch wunderbar unter Mac OS funktioniert.
Die Programme die man dafür braucht sind ja auch schon alle vorhanden.

Also die Punkte 1 und 3 sind zu Windows identisch.

Bei Punkt 2 geht man folgendermaßen vor:

- Öffnet das Programm Terminal
- Nutzt folgendes Kommando falls ihr euch gegenüber Dropbear via Passwort Authentifiziert: ssh -D 8888 EuerUSERNAME@IP.EUERES.ROUTERS
- Bei Authentifizierung via Key nutzt ihr dieses Kommando:
ssh -i /PFAD/ZU/SSH/KEY -D 8888 EuerUSERNAME@IP.EUERES.ROUTERS

Dann könnt ihr auch unter Mac OS an unsicheren Hotspots sicher über den Router daheim surfen.