[gelöst]zwei Rechner im LAN per "ssh" aus dem I-Net erreich.

[Anonymous]

Hallo,
ich möchte einen "Hauptrechner" und einen "Nebenrechner" jeweils per ssh erreichen können.

Hauptrechner: Lokale IP: 192.168.0.1 / SSH-Port 22 in SuSEfirewall geöffnet (Externe Zone - SSH-Server)
Nebenrechner: Lokale IP: 192.168.0.2
Im LAN kann auch ein Rechner den jeweils Anderen erreichen.

Router (EasyBox803): unter NAT -> Port Mapping:
LAN-IP: 192.168.0.1 / Protokolltyp: TCP / LAN Port: 22 / Öffentlicher Port: 22
(Router hat WAN-IP: 123.456.789.012)

ssh -l user 123.456.789.012 klappt auch.

Aber:
Wie soll ich jetzt den Nebenrechner im Router konfigurieren?
Den Port 22 habe ich ja schon an den Hauptrechner verkauft!

Ausprobiert habe ich bereits:
Für den Nebenrechner als SSH-Port Nr. 23 einstellen (Router + Firewall im Nebenrechner)
Verbinden dann mit ssh -l user 123.456.789.012:23
Das funktioniert aber leider nicht.

Irgendwie müssen die beiden Rechner getrennt angesprochen werden können, aber wie?
Wahrscheinlich muss ich noch den SSH-Server im Nebenrechner auf den Port 23 umstellen, oder?
Ich weiß auch leider nicht, wie's geht.

Gruß,
xirtsch

 

[Alf72]

Verbinden dann mit ssh -l user 123.456.789.012:23

Ich kann mich da täuschen, aber ich habe noch so im Hinterkopf, dass man bei einem anderen Port den Parameter "-p <port>" verwenden muss.

 

[Anonymous]

man ssh ps:

ssh -l user 123.456.789.012 -p 23


Gibt es auch die Möglichkeit den Nebenrechner im Router wie folgt einzutragen?

LAN-IP: 192.168.0.2 / Protokolltyp: TCP / LAN Port: 22 / Öffentlicher Port: 23
Die Firewall im Nebenrechner steht dann wieder auf Port 22.

Und dann auch per
ssh -l user 123.456.789.012 -p 23

verbinden?

Ich kenne die korrekte Lösung nicht, daher ist meine Frage, wie man sowas "normalerweise" einrichtet.


Und: Wie stelle ich dann auf der Client-Seite in Nautilus oder Konqueror den SSH-Port ein?
Wieder so?
sftp://user@123.456.789.012:23
Das klappte nämlich leider auch nicht.

 

[Alf72]

Dass sollte ebenfalls funktionieren.

Probiere es doch einfach mal aus

 

[Anonymous]

Ich hatte es bereits ausprobiert.
Und jetzt sitze ich auch einige km von den beiden Rechnern entfernt und kann es jetzt nicht erneut ausprobieren.

Darum frage ich, wie man sowas grundsätzlich "normalerweise" einstellt.

P.S. Ich geb's ja zu, ich verstehe nicht allzu viel von Netzwerktechnik. Bestimmt ist mir irgendwo beim Herumtippen ein Fehler passiert.

 

[/dev/null]

Hallo xirtsch,

Also ich mache das so:
- alle meine Geräte bekommen eine IP per DHCP von der Fritz!Box, diese aber als "fest" eingestellt.
- der sshd auf allen Geräten läuft bei mir standardgemäß auf :22
- und im Router habe ich entsprechende Weiterleitungen von :22<letzte Zahl der IP> auf IP des Gerätes und Port 22 eingerichtet.

Also den Router erreiche ich per ssh mit dem Port 22001, diesen Rechner hier mit 22010 usw.


MfG Peter

 

[Anonymous]

Danke Peter und Alf72!

Also kann ich in der bash per
ssh -l user 123.456.789.012 -p 23

und mit Nautilus oder Konqueror per
sftp://user@123.456.789.012:23

den Nebenrechner erreichen. Für den Hauptrechner lasse die Portangabe weg.
Stimmt das soweit?
Ich werde erst kommenden Mittwoch wieder "vor Ort" sein (Um den Router, und nur den Router korrekt einzustellen).
Meinem Vater kann ich das nicht zumuten.

Gibt es eigentlich einen bestimmten Portbereich, den man für eigene Zwecke benutzen kann?
1024–49151 oder 49152–65535?
Port 23 hatte ich nur mal so zum Testen verwendet und wieder verworfen.

Statisches DHCP hat die EasyBox803 auch: Man gibt jeweils IP- und MAC-Adresse in einer Tabelle ein.

 

[/dev/null]

Du solltest (*) lediglich für bestimmte Dienste festgelegte Ports vermeiden.
(*) "Verboten" ist es natürlich nicht, festgelegte Ports "fremd" zu nutzen. Vor allem nicht bei privaten Nutzern. Du musst nur daran denken, damit du diese nicht später für den "richtigen" Dienst nutzt. Besser ist aber, es nicht zu tun.

Wenn du die Standardports (gerade für ssh) nach außen durchreichst, dann hast du nach kurzer Zeit die Schmeißfliegen auf deiner Kiste, die sehr schnell herausgefunden haben, dass da ein sshd läuft und dann versuchen, per Script mit Hunderten von Standard-Benutzernamen und Standard-Passwörtern bei dir einzudringen. Das kannst du sehr schön mit tailf /var/log/messages sehen.
Selbstverständlich haben mitdenkende ssh-Nutzer die Anmeldung mit Benutzername und Passwort in der sshd_config verboten und sie nutzen ausschließlich asymmetrische Schlüssel dazu.
Wenn du jetzt einen Port aus einem höheren Portbereich (eben 22xxx o.ä.) benutzt, dann erhöhst du zwar nicht deine Sicherheit (das macht das Anmelden mit asymm. Schlüsseln), aber du hältst die Spielmatzen raus und dein Log rein.

Nach "meiner Methode" (nein, sie ist garantiert nicht "meine") sprichst du die einzelnen Rechner innerhalb des LAN immer mit ihrer IP und dem gleichen Port 22 an.
Und wenn du aus dem Internet zugreifst, dann nimmst du deinen DynDNS-Namen und selektierst den jeweiligen Rechner mit dem im Router vergebenen Port. Ich habe bewusst immer die Zahl 22 in Verbindung mit der letzten Stelle der IP genommen. Zum einen weiß ich, dass es sich um die ssh-Verbindung handelt, und die IP meiner Rechner (incl. Smartphone und NAS) habe ich auch im Kopf. So muss ich mir den Port für ssh nicht merken.

BTW:
Du musst auch nicht unbedingt sftp:// verwenden. Du kannst auch in deinem Dateimanager "fish://<IP>:<Port>" verwenden.
Mit einem Dateimanager wie dem Krusader (dem ich die Treue halte) kannst du auch für diverse Rechner so eine Art Favoritenliste anlegen, auf welche du dann nur klicken musst. Ich denke aber, dass das andere Dateimanager auch können.


Und bei der Gelegenheit noch einen Tipp:
Klar kann man (fast) alles auf der Konsole machen. Aber wenn man des öfteren Hilfestellung geben muss, empfehle ich "X2go".
Wie der Name schon sagt, holst du dir damit die Benutzeroberfläche des Fremdrechners auf deinen eigenen. Klar, das kann VNC oder Teamviewer auch. Aber hier hast du eine per ssh geschützte Verbindung (gehtst also nicht über einen fremden Dienst) und - vor allem - das geht so schnell, als ob es dein eigener Rechner wäre. Oder zumindest fast so schnell ... .

MfG Peter

 

[Anonymous]

Na das ist mal aber eine super Antwort!
Ich setze den Thread schon mal auf [gelöst], denn die Lösung steht ja da.

Und mit den anderen Tipps lerne ich sogar einiges dazu.
Danke nochmal!
xirtsch