SSH via VPN Tunneln?

echosix

Golden Delicious
Registriert
04.04.06
Beiträge
6
Hallo,

auf die Gefahr hin eine blöde Frage zu stellen;
Ist es möglich über einen VPN Tunnel eine SSH-Verbindung aufzubauen?
Meine Frage ergibt sich wie folgt;

Ich habe unter MacOSX Server 10.4.8 den VPN Dienst laufen, um externen Mitarbeiten den Zugriff auf einige Freigaben zu ermöglichen. Intern sind die Clients dazu angehalten die Verbindung beim mounten zu verschlüsseln. (via ssh).
Wenn ich von extern die Verbindung durch den VPN Tunnel aufbaue ist ein "mounten" der Volumes "verschlüsselt" laut Client-MacOS nicht möglich. (Obwohl ich bei einer etablierten VPN Verbindung über das Terminal eine SSH Verbindung aufbauen kann.)


Weiss einer von Euch Rat?

Gruss,

Stefan
 

mullzk

Linsenhofener Sämling
Registriert
04.01.04
Beiträge
2.529
rat für das konkrete problem habe ich auch nicht - das scheint mir aber ein problem von afp/os x server zu sein - dass ssh problemlos in vpn getunnelt sein kann, siehst du ja daran, dass es im terminal geht...
 
  • Like
Reaktionen: sportler

Hilarious

Gelbe Schleswiger Reinette
Registriert
10.08.05
Beiträge
1.759
Die Clients müssten ja bei einem aktiven SSH-Tunnel vermutlich auf localhost:{anderePortNummer} zugreifen. Tun sie das?
 

echosix

Golden Delicious
Registriert
04.04.06
Beiträge
6
vpn tunnel

allem anschein nach liegt es wohl tatsächlich am afp zugriff.
Nach "mit Server Verbinden" (nach etablierter VPN-Verbindung (10.0.0.0/8))
dauert es ein wenig und dann kommt;

"der Server .... unterstützt keine sicheren Verbindungen über SSH."

Die Firewall kann es diesmal nicht sein, da im vom VPN verteilten 10.0.1.0-Segment alles erlaubt ist.

Ich schaue mal beim Mutterschiff in den Discussions nach....

Gruss,

Stefan
 

Hilarious

Gelbe Schleswiger Reinette
Registriert
10.08.05
Beiträge
1.759
Rein interessehalber, warum noch per SSH verschlüsseln wenn das VPN das schon tut, oder verstehe VPN falsch?
 

echosix

Golden Delicious
Registriert
04.04.06
Beiträge
6
hast ja recht...

Rein interessehalber, warum noch per SSH verschlüsseln wenn das VPN das schon tut, oder verstehe VPN falsch?

Nein, nein. Du hast schon recht mit der Frage.
Genau beantworten kann ich das selbst nicht.
Solange AFP-Zugriff lokal akut war hatte ich das halt so eingestellt. (AFP via SSH)
Nun via VPN ist es sicher nicht mehr notwenig, doch tun man sich schwer ein "sicherheit"-feature zurückzunehmen.
Desweiteren verunsichert es den Nutzer der intern die Verbindung normal aufbauen kann, wenn es jedoch via VPN von aussen macht die Meldung vom System bekommt, das eine "sichere" Verbindung nicht möglich ist, und man eine weniger sichere verwendet.
Klar kann man die Meldung abschalten, doch frage ich mich natürlich warum "secure" AFP via VPN so nicht will.

Schönen Abend noch...

Stefan
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Eine VPN Verbindung bringt Dich lediglich ins entsprechende Netzwerk, steckt Dich also virtuell dort am Switch an. Ab dann ist es (bis auf ein paar kleine, in diesem Fall unwichtige Ausnahmen) ident wie im LAN. Nachdem Du von draussen per VPN schon direkt am Server bist läuft eine etwaige Netzwerkverbindung nur über den Loopback, also nicht übers LAN. So gesehen müßte ein User direkt am Server mitsniffen können.

Es liegt übrigens nicht an der Mac OS X Implementation des VPN Servers, ich mach das hier direkt über den Router und es funktioniert so auch nicht. Ich gehe mal davon aus, daß der Client nicht erkennt, daß er per SSH drankönnte und nicht, daß es nicht geht. Hängt vielleicht damit zusammen, daß VPN Verbindungen keine Broadcast Adresse haben?
Gruß Pepi
 

Hilarious

Gelbe Schleswiger Reinette
Registriert
10.08.05
Beiträge
1.759
Ich habe mal versucht an einen anderen Rechner per SSH-Tunnel eine Verbindung zu 548 (afp) aufzubauen (ohne Erfolg). Zwar lauschte localhost am richtigen Port und tunnelte dies auch weiter, aber ich konnte kein Protokoll sehen. Da für afp aber auch der Port 427 zusätzlich genutzt wird, müsste für beide Ports eine Tunnel-Umleitung vorliegen, und das wird schwierig, dem System beizubringen, oder?
 

echosix

Golden Delicious
Registriert
04.04.06
Beiträge
6
dankeschön..

Ich habe mal versucht an einen anderen Rechner per SSH-Tunnel eine Verbindung zu 548 (afp) aufzubauen (ohne Erfolg). Zwar lauschte localhost am richtigen Port und tunnelte dies auch weiter, aber ich konnte kein Protokoll sehen. Da für afp aber auch der Port 427 zusätzlich genutzt wird, müsste für beide Ports eine Tunnel-Umleitung vorliegen, und das wird schwierig, dem System beizubringen, oder?

Hallo,

ich danke pepi für die normalige klarstellung (VPN/loopback) und hilarious für den kleinen test. -
Zumindest scheint das ganze nicht zu banal zu sein.

Ich denke ich werde mich mit der VPN-Verschlüsselung zufrieden geben.

Gruss,

Stefan

p.s.
hat jemand ggf. einen Link zu einem Crashkurs über "Zertifikate&VPN"?
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Hilarious,
PPTP kann auch Tunnel ohne Verschlüsselung aufbauen. Aber was verlangt man von einem "Security Protokoll" welches von Microsoft erfunden wurde. So gesehen ist ein VPN Tunnel nicht zwangsläufig auch verschlüsselt.

AFP kommt ganz alleine mit Port 548/tcp aus. 427 ist nämlich der gute alte SLP (Service Location Protocol) Port, ein Vorläufer des heute gebräuchlichen ZeroConf Rendezvous Bonjour.

Einen oder auch mehrere TCP Ports per SSH zu tunneln ist übrigens garkein Problem. Ich habe das letztens erst hier irgendwo ausführlich gepostet. Hier nochmal ein ganz kurzes Beispiel:

$ ssh -L 10548:127.0.0.1:548 user@zielHostName
Tunnelt eine AFP Verbindung. Man muß nachher mit Server verbinden... auf afp://localhost:10548 verbinden, der Rest geht wie immer. Grundsätzlich kann man jeden beliebigen Port verwenden, unter 1024 braucht man jedoch root Rechte die man ja nicht unbedingt gerade auf dem Rechner wo man das tun möchte hat. (Mit sudo gehts auch mit 548, ist aber nicht unbedingt zu empfehlen.)

Mittels mehrere -L lokalerport:ZielHost:entfernterPort kann man auch mehrere Ports gleichzeitig tunneln. Die Commandline wird einfach immer länger. (Was bei 16.384 Zeichen zulässiger Länge wohl kein Problem sein wird. Ansonsten hebt Leopard dieses Limit auf 65.536 Zeichen an.) Wenn man sowas öfter braucht macht sich recht bald eine ~/.ssh/config positiv und komfortabel bemerkbar, da man dort alles was man sich wünscht eintragen kann und nur noch mit ssh NickNameDerVerbindung auf der Commandline angeben muß.

echosix,
wie schon erwähnt, achte darauf, daß Dein VPN auch wirklich Verschlüsselung verwendet! Zertifikate und VPN hab' ich selbst unter Mac OS X Server noch nicht zum Lauen gebracht. Ich kann Dir leider auch nicht sagen woran es bisher konkret gescheitert ist, sonst hätte ich es schließlich schon zum Laufen gebracht. :) Manuell per ssh zu tunneln geht auch über VPN.
Gruß Pepi
 
  • Like
Reaktionen: Hilarious

Hilarious

Gelbe Schleswiger Reinette
Registriert
10.08.05
Beiträge
1.759
Hilarious,
PPTP kann auch Tunnel ohne Verschlüsselung aufbauen. Aber was verlangt man von einem "Security Protokoll" welches von Microsoft erfunden wurde. So gesehen ist ein VPN Tunnel nicht zwangsläufig auch verschlüsselt.

AFP kommt ganz alleine mit Port 548/tcp aus. 427 ist nämlich der gute alte SLP (Service Location Protocol) Port, ein Vorläufer des heute gebräuchlichen ZeroConf Rendezvous Bonjour.

Einen oder auch mehrere TCP Ports per SSH zu tunneln ist übrigens garkein Problem. Ich habe das letztens erst hier irgendwo ausführlich gepostet. Hier nochmal ein ganz kurzes Beispiel:

$ ssh -L 10548:127.0.0.1:548 user@zielHostName
Tunnelt eine AFP Verbindung. Man muß nachher mit Server verbinden... auf afp://localhost:10548 verbinden, der Rest geht wie immer. Grundsätzlich kann man jeden beliebigen Port verwenden, unter 1024 braucht man jedoch root Rechte die man ja nicht unbedingt gerade auf dem Rechner wo man das tun möchte hat. (Mit sudo gehts auch mit 548, ist aber nicht unbedingt zu empfehlen.)

Mittels mehrere -L lokalerport:ZielHost:entfernterPort kann man auch mehrere Ports gleichzeitig tunneln. Die Commandline wird einfach immer länger. (Was bei 16.384 Zeichen zulässiger Länge wohl kein Problem sein wird. Ansonsten hebt Leopard dieses Limit auf 65.536 Zeichen an.) Wenn man sowas öfter braucht macht sich recht bald eine ~/.ssh/config positiv und komfortabel bemerkbar, da man dort alles was man sich wünscht eintragen kann und nur noch mit ssh NickNameDerVerbindung auf der Commandline angeben muß.

echosix,
wie schon erwähnt, achte darauf, daß Dein VPN auch wirklich Verschlüsselung verwendet! Zertifikate und VPN hab' ich selbst unter Mac OS X Server noch nicht zum Lauen gebracht. Ich kann Dir leider auch nicht sagen woran es bisher konkret gescheitert ist, sonst hätte ich es schließlich schon zum Laufen gebracht. :) Manuell per ssh zu tunneln geht auch über VPN.
Gruß Pepi

Großartige Infos! Danke, Pepi.

Endlich mal jemand, der sich auskennt und sein Wissen auch bereitwillig weitergibt. Karma! Karma!
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Daheim in Wien bin ich mit diesem Wissen sogar käuflich! :) Der Mensch lebt schließlicht nicht vom Karma allein. Trotzdem herzlichen Dank für die Lobpreisungen. *rotwerd*
Gruß Pepi
 

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
Hallo,

auf die Gefahr hin eine blöde Frage zu stellen;
Ist es möglich über einen VPN Tunnel eine SSH-Verbindung aufzubauen?
Meine Frage ergibt sich wie folgt;

Ich habe unter MacOSX Server 10.4.8 den VPN Dienst laufen, um externen Mitarbeiten den Zugriff auf einige Freigaben zu ermöglichen. Intern sind die Clients dazu angehalten die Verbindung beim mounten zu verschlüsseln. (via ssh).
Wenn ich von extern die Verbindung durch den VPN Tunnel aufbaue ist ein "mounten" der Volumes "verschlüsselt" laut Client-MacOS nicht möglich. (Obwohl ich bei einer etablierten VPN Verbindung über das Terminal eine SSH Verbindung aufbauen kann.)


Weiss einer von Euch Rat?

Gruss,

Stefan

Die OS X-Nicht-Server-Version unterstützt kein verschlüsseltes AFP als Server, nur als Client. Zum Tunneln von AFP durch SSH:
http://osx.realmacmark.de/osx_terminal.php#ssh_afp
 

echosix

Golden Delicious
Registriert
04.04.06
Beiträge
6
echosix,
wie schon erwähnt, achte darauf, daß Dein VPN auch wirklich Verschlüsselung verwendet! Zertifikate und VPN hab' ich selbst unter Mac OS X Server noch nicht zum Lauen gebracht. Ich kann Dir leider auch nicht sagen woran es bisher konkret gescheitert ist, sonst hätte ich es schließlich schon zum Laufen gebracht. :) Manuell per ssh zu tunneln geht auch über VPN.
Gruß Pepi

Hallo Pepi,

sofern ich L2TP über IPSEC mit einem möglichst "sichereren" Shared Key arbeite, sollte die Verbindung doch verschlüsselt sein, oder?

Gruss
echosix
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
L2TP über IPSec ist auf alle Fälle verschlüsselt, da IPSec dies in der Spezifikation bereis vorschreibt. Zusätzlich zu einem schönen langen Shared Secret kann man noch per Firewall die IP Ranges einschränken und User authentication per Certificate probieren. Es sollten natürlich auch nur die User auf den Dienst zugreifen können die diesen auch wirklich nutzen sollen.
Gruß Pepi
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Hey, diese SSH Abhandlung von Dir kannte ich noch garnicht. *beschämtZuBodenBlicke* Da freu ich mich schon auf eine gemütliche Lektüre morgen Abend. Danke, daß Du Dir die Arbeit gemacht hast!
Gruß Pepi