1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

SSH via VPN Tunneln?

Dieses Thema im Forum "macOS & OS X Server" wurde erstellt von echosix, 06.03.07.

  1. echosix

    echosix Golden Delicious

    Dabei seit:
    04.04.06
    Beiträge:
    6
    Hallo,

    auf die Gefahr hin eine blöde Frage zu stellen;
    Ist es möglich über einen VPN Tunnel eine SSH-Verbindung aufzubauen?
    Meine Frage ergibt sich wie folgt;

    Ich habe unter MacOSX Server 10.4.8 den VPN Dienst laufen, um externen Mitarbeiten den Zugriff auf einige Freigaben zu ermöglichen. Intern sind die Clients dazu angehalten die Verbindung beim mounten zu verschlüsseln. (via ssh).
    Wenn ich von extern die Verbindung durch den VPN Tunnel aufbaue ist ein "mounten" der Volumes "verschlüsselt" laut Client-MacOS nicht möglich. (Obwohl ich bei einer etablierten VPN Verbindung über das Terminal eine SSH Verbindung aufbauen kann.)


    Weiss einer von Euch Rat?

    Gruss,

    Stefan
     
  2. mullzk

    mullzk Linsenhofener Sämling

    Dabei seit:
    04.01.04
    Beiträge:
    2.529
    rat für das konkrete problem habe ich auch nicht - das scheint mir aber ein problem von afp/os x server zu sein - dass ssh problemlos in vpn getunnelt sein kann, siehst du ja daran, dass es im terminal geht...
     
    sportler gefällt das.
  3. Hilarious

    Hilarious Gelbe Schleswiger Reinette

    Dabei seit:
    10.08.05
    Beiträge:
    1.759
    Die Clients müssten ja bei einem aktiven SSH-Tunnel vermutlich auf localhost:{anderePortNummer} zugreifen. Tun sie das?
     
  4. echosix

    echosix Golden Delicious

    Dabei seit:
    04.04.06
    Beiträge:
    6
    vpn tunnel

    allem anschein nach liegt es wohl tatsächlich am afp zugriff.
    Nach "mit Server Verbinden" (nach etablierter VPN-Verbindung (10.0.0.0/8))
    dauert es ein wenig und dann kommt;

    "der Server .... unterstützt keine sicheren Verbindungen über SSH."

    Die Firewall kann es diesmal nicht sein, da im vom VPN verteilten 10.0.1.0-Segment alles erlaubt ist.

    Ich schaue mal beim Mutterschiff in den Discussions nach....

    Gruss,

    Stefan
     
  5. Hilarious

    Hilarious Gelbe Schleswiger Reinette

    Dabei seit:
    10.08.05
    Beiträge:
    1.759
    Rein interessehalber, warum noch per SSH verschlüsseln wenn das VPN das schon tut, oder verstehe VPN falsch?
     
  6. echosix

    echosix Golden Delicious

    Dabei seit:
    04.04.06
    Beiträge:
    6
    hast ja recht...

    Nein, nein. Du hast schon recht mit der Frage.
    Genau beantworten kann ich das selbst nicht.
    Solange AFP-Zugriff lokal akut war hatte ich das halt so eingestellt. (AFP via SSH)
    Nun via VPN ist es sicher nicht mehr notwenig, doch tun man sich schwer ein "sicherheit"-feature zurückzunehmen.
    Desweiteren verunsichert es den Nutzer der intern die Verbindung normal aufbauen kann, wenn es jedoch via VPN von aussen macht die Meldung vom System bekommt, das eine "sichere" Verbindung nicht möglich ist, und man eine weniger sichere verwendet.
    Klar kann man die Meldung abschalten, doch frage ich mich natürlich warum "secure" AFP via VPN so nicht will.

    Schönen Abend noch...

    Stefan
     
  7. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Eine VPN Verbindung bringt Dich lediglich ins entsprechende Netzwerk, steckt Dich also virtuell dort am Switch an. Ab dann ist es (bis auf ein paar kleine, in diesem Fall unwichtige Ausnahmen) ident wie im LAN. Nachdem Du von draussen per VPN schon direkt am Server bist läuft eine etwaige Netzwerkverbindung nur über den Loopback, also nicht übers LAN. So gesehen müßte ein User direkt am Server mitsniffen können.

    Es liegt übrigens nicht an der Mac OS X Implementation des VPN Servers, ich mach das hier direkt über den Router und es funktioniert so auch nicht. Ich gehe mal davon aus, daß der Client nicht erkennt, daß er per SSH drankönnte und nicht, daß es nicht geht. Hängt vielleicht damit zusammen, daß VPN Verbindungen keine Broadcast Adresse haben?
    Gruß Pepi
     
  8. Hilarious

    Hilarious Gelbe Schleswiger Reinette

    Dabei seit:
    10.08.05
    Beiträge:
    1.759
    Ich habe mal versucht an einen anderen Rechner per SSH-Tunnel eine Verbindung zu 548 (afp) aufzubauen (ohne Erfolg). Zwar lauschte localhost am richtigen Port und tunnelte dies auch weiter, aber ich konnte kein Protokoll sehen. Da für afp aber auch der Port 427 zusätzlich genutzt wird, müsste für beide Ports eine Tunnel-Umleitung vorliegen, und das wird schwierig, dem System beizubringen, oder?
     
  9. echosix

    echosix Golden Delicious

    Dabei seit:
    04.04.06
    Beiträge:
    6
    dankeschön..

    Hallo,

    ich danke pepi für die normalige klarstellung (VPN/loopback) und hilarious für den kleinen test. -
    Zumindest scheint das ganze nicht zu banal zu sein.

    Ich denke ich werde mich mit der VPN-Verschlüsselung zufrieden geben.

    Gruss,

    Stefan

    p.s.
    hat jemand ggf. einen Link zu einem Crashkurs über "Zertifikate&VPN"?
     
  10. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Hilarious,
    PPTP kann auch Tunnel ohne Verschlüsselung aufbauen. Aber was verlangt man von einem "Security Protokoll" welches von Microsoft erfunden wurde. So gesehen ist ein VPN Tunnel nicht zwangsläufig auch verschlüsselt.

    AFP kommt ganz alleine mit Port 548/tcp aus. 427 ist nämlich der gute alte SLP (Service Location Protocol) Port, ein Vorläufer des heute gebräuchlichen ZeroConf Rendezvous Bonjour.

    Einen oder auch mehrere TCP Ports per SSH zu tunneln ist übrigens garkein Problem. Ich habe das letztens erst hier irgendwo ausführlich gepostet. Hier nochmal ein ganz kurzes Beispiel:

    $ ssh -L 10548:127.0.0.1:548 user@zielHostName
    Tunnelt eine AFP Verbindung. Man muß nachher mit Server verbinden... auf afp://localhost:10548 verbinden, der Rest geht wie immer. Grundsätzlich kann man jeden beliebigen Port verwenden, unter 1024 braucht man jedoch root Rechte die man ja nicht unbedingt gerade auf dem Rechner wo man das tun möchte hat. (Mit sudo gehts auch mit 548, ist aber nicht unbedingt zu empfehlen.)

    Mittels mehrere -L lokalerport:ZielHost:entfernterPort kann man auch mehrere Ports gleichzeitig tunneln. Die Commandline wird einfach immer länger. (Was bei 16.384 Zeichen zulässiger Länge wohl kein Problem sein wird. Ansonsten hebt Leopard dieses Limit auf 65.536 Zeichen an.) Wenn man sowas öfter braucht macht sich recht bald eine ~/.ssh/config positiv und komfortabel bemerkbar, da man dort alles was man sich wünscht eintragen kann und nur noch mit ssh NickNameDerVerbindung auf der Commandline angeben muß.

    echosix,
    wie schon erwähnt, achte darauf, daß Dein VPN auch wirklich Verschlüsselung verwendet! Zertifikate und VPN hab' ich selbst unter Mac OS X Server noch nicht zum Lauen gebracht. Ich kann Dir leider auch nicht sagen woran es bisher konkret gescheitert ist, sonst hätte ich es schließlich schon zum Laufen gebracht. :) Manuell per ssh zu tunneln geht auch über VPN.
    Gruß Pepi
     
    Hilarious gefällt das.
  11. Hilarious

    Hilarious Gelbe Schleswiger Reinette

    Dabei seit:
    10.08.05
    Beiträge:
    1.759
    Großartige Infos! Danke, Pepi.

    Endlich mal jemand, der sich auskennt und sein Wissen auch bereitwillig weitergibt. Karma! Karma!
     
  12. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Daheim in Wien bin ich mit diesem Wissen sogar käuflich! :) Der Mensch lebt schließlicht nicht vom Karma allein. Trotzdem herzlichen Dank für die Lobpreisungen. *rotwerd*
    Gruß Pepi
     
  13. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Die OS X-Nicht-Server-Version unterstützt kein verschlüsseltes AFP als Server, nur als Client. Zum Tunneln von AFP durch SSH:
    http://osx.realmacmark.de/osx_terminal.php#ssh_afp
     
  14. echosix

    echosix Golden Delicious

    Dabei seit:
    04.04.06
    Beiträge:
    6
    Hallo Pepi,

    sofern ich L2TP über IPSEC mit einem möglichst "sichereren" Shared Key arbeite, sollte die Verbindung doch verschlüsselt sein, oder?

    Gruss
    echosix
     
  15. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    L2TP über IPSec ist auf alle Fälle verschlüsselt, da IPSec dies in der Spezifikation bereis vorschreibt. Zusätzlich zu einem schönen langen Shared Secret kann man noch per Firewall die IP Ranges einschränken und User authentication per Certificate probieren. Es sollten natürlich auch nur die User auf den Dienst zugreifen können die diesen auch wirklich nutzen sollen.
    Gruß Pepi
     
  16. Cyrics

    Cyrics Neuer Berner Rosenapfel

    Dabei seit:
    01.04.05
    Beiträge:
    1.975
    o_O
    muss der Rest wohl ein riesen Haufen von Egoisten sein...

    *hust* (nun bald ein Jahr alt... nur so am Rande)
     
  17. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Hey, diese SSH Abhandlung von Dir kannte ich noch garnicht. *beschämtZuBodenBlicke* Da freu ich mich schon auf eine gemütliche Lektüre morgen Abend. Danke, daß Du Dir die Arbeit gemacht hast!
    Gruß Pepi
     

Diese Seite empfehlen