Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: ssh verbinding met computer in NAT netwerk  (gelezen 3922 keer)

ssh verbinding met computer in NAT netwerk
« Gepost op: 2010/09/04, 17:12:09 »
Hoi iedereen.

Ik zou graag van uit mijn thuisnetwerk een verbinding maken via ssh met een computer in het thuisnetwerk van een medestudent. Het probleem is dat zijn thuisnetwerk gebruik maakt van NAT (Network Adress Translation).

Er is dus 1 geregistreerd IP adres geconfigureerd met een vaste pc, de SSH verbinding zou opgezet moeten worden met een laptop die zich in hetzelfde netwerk bevind, bij het opvragen van het IP adres van de laptop krijg ik als output het adres 192.168.1.3, wat dus duidelijk een prive adres is dat door Nat gebruikt wordt, de groep 192.168.0.0 dus.

Is het mogelijk om een computer te benaderen binnen een netwerk dat via NAT werkt? (Een andere computer dus dan de computer die geconfigureerd is met het geregistreerde IP adres.

Is het mogelijk om het geregistreerde adres op te vragen, (het adres dus waarmee elke computer in zijn thuisnetwerk op internet geïdentificeerd wordt) ?
Aangezien we op elke computer in zijn thuisnetwerk bij het opvragen van het IP adres met "ifconfig" een prive adres krijgen. (van 192.168.1.1 tot en met 192.168.1.5) .

Met vriendelijke groeten. O0

Offline rja

  • Lid
Re: ssh verbinding met computer in NAT netwerk
« Reactie #1 Gepost op: 2010/09/04, 19:45:09 »
Om je externe ip nummer op te vragen heb je sites voor bijvoorbeeld http://www.watismijnip.nl/

Als je computer wilt benaderen in dat netwerk, zul je op de router een poort moeten forwarden naar die pc waarmee je ssh'en. Bijvoorbeeld : 20000 -> 192.168.1.3:22, dat kun je meestal via de webinterface van de router instellen.


Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: ssh verbinding met computer in NAT netwerk
« Reactie #2 Gepost op: 2010/09/04, 22:44:48 »
Is het mogelijk om een computer te benaderen binnen een netwerk dat via NAT werkt? (Een andere computer dus dan de computer die geconfigureerd is met het geregistreerde IP adres.
Geen probleem. NAT (Network adress translation) is een techniek om een ip-adres te "vertalen" voor gebruik op een ander netwerk. Bijvoorbeeld tussen het internet en je eigen thuis-netwerk.

Binnen 1 netwerk speelt NAT geen rol.
Klik links bovenin op Documentatie

Offline #!

  • Lid
    • tuxtopia
Re: ssh verbinding met computer in NAT netwerk
« Reactie #3 Gepost op: 2010/09/05, 10:24:31 »
Port 22 forwarden naar het interne IP van je student (stel wel zijn ip vast in, het is rot als elke keer als hij een nieuw DHCP adres krijgt jij opnieuw kan forwarden). Dan zijn externe IP even achter halen (www.watismijnip.nl) en daar naar toe ssh'n. Zijn router translate dan netjes naar het juiste interne apparaat.

Wat is het toch tijd dat IPV6 komt he jongens :D?

Re: ssh verbinding met computer in NAT netwerk
« Reactie #4 Gepost op: 2010/09/05, 14:43:22 »
Bedankt voor de informatie allemaal. We hebben ondertussen het geregistreerde ip adres achterhaalt via de site http://www.watismijnip.nl/.

Het forwarden van poorten gaat mijn kennis jammer genoeg te boven, ik ga me er wel even in verdiepen als ik de juiste documentatie vind. Verwijzingen naar documentatie of uitleg over het forwarden van poorten in de router altijd welkom.(Het is me wel duidelijk wat er moet gebeuren, maar niet bepaald hoe je het moet doen.)

Verder stelde ik mij nog de volgende vraag. Is de werking van NAT bij de toekomstige versie van IP, ipv6 dan niet meer mogelijk?




Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: ssh verbinding met computer in NAT netwerk
« Reactie #5 Gepost op: 2010/09/05, 15:07:46 »
Verder stelde ik mij nog de volgende vraag. Is de werking van NAT bij de toekomstige versie van IP, ipv6 dan niet meer mogelijk?
IPV6 maakt NAT overbodig. Zie: http://nl.wikipedia.org/wiki/Internet_Protocol_Version_6

Met IPV6 krijgen alle apparaten een eigen uniek adres.
Klik links bovenin op Documentatie

Offline rja

  • Lid
Re: ssh verbinding met computer in NAT netwerk
« Reactie #6 Gepost op: 2010/09/05, 15:20:35 »
Wat is precies het type van de router ?

Offline Johan van Dijk

  • Administrator
    • johanvandijk
Re: ssh verbinding met computer in NAT netwerk
« Reactie #7 Gepost op: 2010/09/05, 15:22:43 »
Handleidingen voor verschillende routers staan hier: http://portforward.com/

Re: ssh verbinding met computer in NAT netwerk
« Reactie #8 Gepost op: 2010/09/07, 11:49:50 »
Port 22 forwarden naar het interne IP van je student (stel wel zijn ip vast in, het is rot als elke keer als hij een nieuw DHCP adres krijgt jij opnieuw kan forwarden). Dan zijn externe IP even achter halen (www.watismijnip.nl) en daar naar toe ssh'n. Zijn router translate dan netjes naar het juiste interne apparaat.

Wat is het toch tijd dat IPV6 komt he jongens :D?

Hallo, Ter info

Zelf heb ik nog niet ssh over het internet geforward. Maar werk wel met ftps . (server proftpd en open ssl ). Voor het internet kan je echter de standaard poort niet forwarden. die is daar 21 . De meeste internet providers blokeren de poorten van 1-1023 outbound De bedoeling zeggen ze is de veiligheid wat in zekere zin waar is moest je zomaar lukraak een anonieme ftp opzetten, maar het is hen werkelijk om te doen dat je niet zomaar een server opzet waar iedereen kan up en downloaden. Wel kan je bij hen dure server ruimte huren enz.. tja

Indien je je ssh server opzet die over het internet gaat zal je eerst en niet standaard poort voor je server moeten configureren die hoger is dan 1023 . Deze poort dan forwarden in je router. In de meeste nat routertjes zal je deze settings vinden onder advanced settings and application and gaming settings.

Diegene die contact met je wil opnemen zal dan je internet ip moeten hebben dat toegewezen is aan uw nat en de poort die je hebt gebruikt.

succes christophe

Re: ssh verbinding met computer in NAT netwerk
« Reactie #9 Gepost op: 2010/09/07, 12:01:39 »
Och ja even vergeten:

Als je een poort selecteert is het best van een niet toegewezen poort te gebruiken .
Hieronder een verwijzing naar de website met alle toegewezen poorten.

http://www.iana.org/assignments/port-numbers

Selecteer een nummer die boven 1023 ligt en als unassigned staat aangegeven

 :)

Offline #!

  • Lid
    • tuxtopia
Re: ssh verbinding met computer in NAT netwerk
« Reactie #10 Gepost op: 2010/09/07, 13:39:05 »
Hier geen last van hoor, mag gewoon alle porten forwarden die ik wil :) zou een beetje idioot worden als ze dat voor mij gaan bepalen.

Re: ssh verbinding met computer in NAT netwerk
« Reactie #11 Gepost op: 2010/09/07, 15:08:17 »
Hier geen last van hoor, mag gewoon alle porten forwarden die ik wil :) zou een beetje idioot worden als ze dat voor mij gaan bepalen.

Tja je hebt geluk in Nederland te zijn. Hier in ,België maar blijkt nu ook de meeste andere landen zijn deze poorten geblokkeerd. Voor de standaard gebruiker. Wil je deze poorten wel vrij hebben dien je een schandalig véél te duur abonnement te nemen. >:(

Nu op zich is het niet zo erg, daar uiteindelijk het gebruik van een niet standaard poort minder onveilig is  :evil:

gr

Offline Johan van Dijk

  • Administrator
    • johanvandijk
Re: ssh verbinding met computer in NAT netwerk
« Reactie #12 Gepost op: 2010/09/07, 21:44:44 »
Nu op zich is het niet zo erg, daar uiteindelijk het gebruik van een niet standaard poort minder onveilig is  :evil:
De ssh service zelf (of welke andere service dan ook) die achter dat poortje luistert wordt er niet veiliger op hoor.
Het is nog steeds dezelfde service, alleen is die iets moeilijker te vinden. Met een poortscan of willekeurige poorten proberen heb je hem binnen enkele seconden achterhaald.
Het is niets meer dan een slechte vorm van "security by obscurity".

Het enige waar dit goed voor is, zijn de iets kleinere logfiles omdat je minder inlogpogingen van geïnfecteerde machines of scriptkiddies ziet.

Qua veiligheid schiet je er weinig mee op.

Re: ssh verbinding met computer in NAT netwerk
« Reactie #13 Gepost op: 2010/09/07, 23:20:48 »
De ssh service zelf (of welke andere service dan ook) die achter dat poortje luistert wordt er niet veiliger op hoor.
Het is nog steeds dezelfde service, alleen is die iets moeilijker te vinden. Met een poortscan of willekeurige poorten proberen heb je hem binnen enkele seconden achterhaald.
Het is niets meer dan een slechte vorm van "security by obscurity".
Het enige waar dit goed voor is, zijn de iets kleinere logfiles omdat je minder inlogpogingen van geïnfecteerde machines of scriptkiddies ziet.
Qua veiligheid schiet je er weinig mee op.

Dat is inderdaad zo sterker nog is dat je eigenlijk zo goed als geen inlogpogingen ziet, maar dit duurt enkel zolang je niet toevallig door één of andere poortscan bent gevonden. Het is op zich helemaal geen vorm van security , deze wordt bekomen door sterke wachtwoorden en deze dan toch ook regelmatig te veranderen, Certificaten eveneens regelmatig te veranderen. User and directory restrictions en vanzelfsprekend root acces via die weg uit te sluiten. Maar daar tegen toch wel een redelijk goede vorm van obscurity. En je bent niet geplaagd door talloze inlogpogingen van de miljoenen geïnfecteerde windows machines .
Natuurlijk steeds open authentificatie zodat je niet een user en wachtwoord ongecripteerd over het web verstuurt.

gr