Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: SSH Tunneling naar thuis netwerk?  (gelezen 2006 keer)

Offline mainstream

  • Lid
  • Steunpunt: Nee
SSH Tunneling naar thuis netwerk?
« Gepost op: 2013/11/29, 18:36:34 »
Hallo allemaal,

Ik heb thuis een server staan met daarop verschillende services (sabnzbdplus, sickbeard, etc).

server: 82.x.x.x
poorten services: 8080, 8081, 8083
ssh port: 1337 (met fail2ban, iptables, etc)


Nu wil ik graag via ssh de port tunnelen, zodat ik deze services via mijn telefoon of werk kan beheren, via de ssh poort (1337).
Maar hoe kan ik dit het beste doen?

ssh -R 8080:localhost:8080 82.x.x.x.x -p 1337?
Waarom?
1) Eenvoudig alles behoren via een poort;
2) Al het verkeer is versleuteld;
3) Het is niet mogelijk bij de diensten te komen zoder ssh-key en juist ipadres (veiligheid);
4) Omdat ik ervan leer :D;
5) En: omdat het kan!
« Laatst bewerkt op: 2013/11/29, 18:38:34 door mainstream »

Offline kuifje09

  • Lid
Re: SSH Tunneling naar thuis netwerk?
« Reactie #1 Gepost op: 2013/11/29, 23:39:29 »
Ik vond dit ergens.. https://help.github.com/articles/using-ssh-over-the-https-port

i.p.v. https kan je natuurlijk ok een andere poort nemen.

Mocht je (lokale) proxy een passwd verlangen dan wordt het een ander verhaal.
En als je baas het er niet mee eens is.....
« Laatst bewerkt op: 2013/11/29, 23:41:18 door kuifje09 »

Offline Buzzin

  • Lid
  • Steunpunt: Nee
Re: SSH Tunneling naar thuis netwerk?
« Reactie #2 Gepost op: 2013/11/30, 01:44:35 »
-R is reverse ....die wil je niet in dit geval.

(Uitvoeren op je werk, telefoon)
ssh -L 7777:localhost:8080 -L 7776:localhost:8081 -p 1337 82.x.x.x

En dan eenmalig inloggen en deze sessie open laten staan.
Nu kun je op de machine waar je het commando uitvoert bij poort 8080 van je server door naar localhost:7777 te verbinden.
Ter verduidelijking: de localhost die in het commando staat geeft aan waar de tunnel heen gaat....
Dus een tunnel naar een andere server binnen je lokale thuis netwerk kun je zo benaderen via je ssh server! :)
ssh -L 7777:serverx.example.com:9999 -p 1337 82.x.x.x
is dus de manier om poort 9999 van serverx.example.com te tunnellen en te bereiken via lokale poort 7777.
(handig als bepaalde diensten worden geblokkeerd op werk/school/hotel)
Football: A battle between two teams of mindless thugs over scraps of coloured cloth. Usually accompanied by the spectacle of 22 overpaid primadonnas kicking a ball on a field.
DebianDevuan, KDE & OperaVivaldi addict, RedHat Engineer

Offline Cheap Applications

  • Lid
  • Steunpunt: Nee
Re: SSH Tunneling naar thuis netwerk?
« Reactie #3 Gepost op: 2013/11/30, 01:45:58 »
Bij mij is het eigenlijk alleen ssh aan zetten op de server en de poort in m'n router open zetten. Vervolgens log ik in met ssh gebruiker@ip.
Ik vraag me trouwens af, waarom niet de default port voor ssh gebruiken?
Desktop:
Processor: Intel® Core™2 Quad CPU Q8300 @ 2.50GHz × 4, Geheugen: 3.9Gb, GPU: nVidia 220GT OS: Windows 7 64 bit / Ubuntu 12.04 64 bit
Notebook:
Processor: Intel® Core™ i7-4700MQ, Geheugen: 8Gb, GPU: nVidia GTX765m (met Optimus) OS: Windows 8 64 bit / Elementary OS Luna 64 bit

Offline markba

  • Lid
    • http://markbaaijens.nl/
  • Steunpunt: Ja
Re: SSH Tunneling naar thuis netwerk?
« Reactie #4 Gepost op: 2013/11/30, 10:11:35 »
Ik vraag me trouwens af, waarom niet de default port voor ssh gebruiken?
Omdat deze zoals hierboven al aangegeven wordt, vaak geblokkeerd wordt door systeembeheer.

Daarnaast wordt een standaard poort altijd aangevallen: veel (de meeste) aanvallen zijn simpele scriptjes die alleen de standaard poorten scannen, vaak al binnen minuten nadat je poort hebt geopend naar internet (heb ik ervaren). Een andere poort gebruiken reduceert dit soort aanvallen drastisch met 95% of zo. En ook dat heb ik zo ervaren door toepassing van het pakket denyhosts die deze aanvallen detecteert én blokkeert.

Offline mainstream

  • Lid
  • Steunpunt: Nee
Re: SSH Tunneling naar thuis netwerk?
« Reactie #5 Gepost op: 2013/11/30, 17:39:54 »
Bij mij is het eigenlijk alleen ssh aan zetten op de server en de poort in m'n router open zetten. Vervolgens log ik in met ssh gebruiker@ip.
Ik vraag me trouwens af, waarom niet de default port voor ssh gebruiken?
Omdat ik. sinds ik port 22 op had staan, al direct portscans en brute force attacks kreeg vanuit China, lol.

Offline mainstream

  • Lid
  • Steunpunt: Nee
Re: SSH Tunneling naar thuis netwerk?
« Reactie #6 Gepost op: 2013/11/30, 17:41:08 »
Bedankt voor de tips allemaal :)

Echter heb ik nog een probleem:

Ik krijg dus alleen de poorten getunneld als ik op hetzelfde netwerk zit als mijn server. Snap er niks van.
Heb het ip van mijn telefoon in hosts.allow staan...

Offline mainstream

  • Lid
  • Steunpunt: Nee
Re: SSH Tunneling naar thuis netwerk?
« Reactie #7 Gepost op: 2013/11/30, 17:49:53 »
Ah ik heb het waarschijnlijk gevonden:

mainstream@oxytocine-pc:~$ cat /var/log/auth.log
Nov 30 17:45:58 oxytocine-pc sshd[15673]: warning: /etc/hosts.allow, line 13: host name/address mismatch: 92.69.x.x != static.kpn.net
Nov 30 17:45:59 oxytocine-pc sshd[15673]: Address 92.69.x.x maps to static.kpn.net, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Nov 30 17:45:59 oxytocine-pc sshd[15673]: Accepted password for mainstream from 92.69.x.x port 29833 ssh2

mainstream@oxytocine-pc:~$ cat /etc/hosts.allow
# /etc/hosts.allow: list of hosts that are allowed to access the system.
#                   See the manual pages hosts_access(5) and hosts_options(5).
#
# Example:    ALL: LOCAL @some_netgroup
#             ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
#
ALL : localhost : allow
ALL : 192.168.2. : allow
ALL : 92.69. : allow
ALL: .knp.net : allow

Offline Cheap Applications

  • Lid
  • Steunpunt: Nee
Re: SSH Tunneling naar thuis netwerk?
« Reactie #8 Gepost op: 2013/11/30, 23:10:36 »
Bedankt voor de tips allemaal :)

Echter heb ik nog een probleem:

Ik krijg dus alleen de poorten getunneld als ik op hetzelfde netwerk zit als mijn server. Snap er niks van.
Heb het ip van mijn telefoon in hosts.allow staan...
Dan gebruik je denk ik je interne IP (192.168..., 172... 1.0...). Zie http://www.ipchicken.com/ voor je externe IP.
Desktop:
Processor: Intel® Core™2 Quad CPU Q8300 @ 2.50GHz × 4, Geheugen: 3.9Gb, GPU: nVidia 220GT OS: Windows 7 64 bit / Ubuntu 12.04 64 bit
Notebook:
Processor: Intel® Core™ i7-4700MQ, Geheugen: 8Gb, GPU: nVidia GTX765m (met Optimus) OS: Windows 8 64 bit / Elementary OS Luna 64 bit

Offline mainstream

  • Lid
  • Steunpunt: Nee
Re: SSH Tunneling naar thuis netwerk?
« Reactie #9 Gepost op: 2013/11/30, 23:23:42 »
Bedankt voor de tips allemaal :)

Echter heb ik nog een probleem:

Ik krijg dus alleen de poorten getunneld als ik op hetzelfde netwerk zit als mijn server. Snap er niks van.
Heb het ip van mijn telefoon in hosts.allow staan...
Dan gebruik je denk ik je interne IP (192.168..., 172... 1.0...). Zie http://www.ipchicken.com/ voor je externe IP.
Ja, maar zie net dat mijn ip op mijn telefoon dynamisch is. Die veranderd continue. Hoe kan ik dit nu het best aanpakken i.v.m. veiligheid?

Offline Cheap Applications

  • Lid
  • Steunpunt: Nee
Re: SSH Tunneling naar thuis netwerk?
« Reactie #10 Gepost op: 2013/11/30, 23:55:35 »
Je whitelist weg halen. Als je een prima wachtwoord heb dan komen ze je verbinding niet binnen.
Desktop:
Processor: Intel® Core™2 Quad CPU Q8300 @ 2.50GHz × 4, Geheugen: 3.9Gb, GPU: nVidia 220GT OS: Windows 7 64 bit / Ubuntu 12.04 64 bit
Notebook:
Processor: Intel® Core™ i7-4700MQ, Geheugen: 8Gb, GPU: nVidia GTX765m (met Optimus) OS: Windows 8 64 bit / Elementary OS Luna 64 bit

Offline mainstream

  • Lid
  • Steunpunt: Nee
Re: SSH Tunneling naar thuis netwerk?
« Reactie #11 Gepost op: 2013/12/01, 15:40:46 »
Je whitelist weg halen. Als je een prima wachtwoord heb dan komen ze je verbinding niet binnen.
Dat heb ik al geprobeerd, maar het werkt maar niet. Snap er geen meter van.

Online testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: SSH Tunneling naar thuis netwerk?
« Reactie #12 Gepost op: 2013/12/01, 17:34:55 »
5) En: omdat het kan!
Wat ook kan is VPN gebruiken. Veel toestellen kunnen standaard een VPN verbinding gebruiken (Android: instellingen → netwerken → Meer...)

Installeer op Linux bijvoorbeeld pptpd. Voordeel is dat alle netwerktoepassingen en poorten automagisch via deze veilige VPN 'tunnel' gaan.

p.s. Thuis gebruik ik hiervoor een raspberry pi met raspbian die altijd aan staat om via VPN alle apparaten op mijn eigen netwerk gebruiken (en mijn eigen internetaansluiting).
Was 5 minuten werk met deze handleiding: http://freehostinganswers.com/blog/how-to-install-your-own-vpn-server-in-5-mins-pptp-on-centos-redhat-and-ubuntu/

Een andere optie is openvpn.
Ik heb zojuit de Sleepnet-kieswijzer ingevuld op www.waartrekjijdegrens.nl/

Offline mainstream

  • Lid
  • Steunpunt: Nee
Re: SSH Tunneling naar thuis netwerk?
« Reactie #13 Gepost op: 2013/12/01, 17:53:52 »
5) En: omdat het kan!
Wat ook kan is VPN gebruiken. Veel toestellen kunnen standaard een VPN verbinding gebruiken (Android: instellingen → netwerken → Meer...)

Installeer op Linux bijvoorbeeld pptpd. Voordeel is dat alle netwerktoepassingen en poorten automagisch via deze veilige VPN 'tunnel' gaan.

p.s. Thuis gebruik ik hiervoor een raspberry pi met raspbian die altijd aan staat om via VPN alle apparaten op mijn eigen netwerk gebruiken (en mijn eigen internetaansluiting).
Was 5 minuten werk met deze handleiding: http://freehostinganswers.com/blog/how-to-install-your-own-vpn-server-in-5-mins-pptp-on-centos-redhat-and-ubuntu/

Een andere optie is openvpn.

Bedankt voor de tip :)
Ik had al even een vpn server geïnstalleerd ja. Werkt een stuk makkelijker en eenvoudiger.
Ik wil ook nog een rasberry pi of equivalent die als nas en vpn gaat dienen. Denk aan een model met 2GB ram en rk3188 quadcore processor. Daarmee kan je makkelijk het flash geheugen flashen met ubuntu (arm).

Is er trouwens een mogelijkheid om dit op een andere poort te draaien?
« Laatst bewerkt op: 2013/12/01, 17:58:22 door mainstream »