Arktur-FAQ

Frage: wie installiere und prüfe ich einen VPN-Tunnel?

Antwort:

Lies zuerst die Informationen (und die Links) beim Arktur-Wiki.

Dann:
=================================================
[linuxmuster] Webmin über ssh-Tunnel?

Hier eine Kurzanleitung für Putty, bei anderen SSH-Clients funktioniert's nach dem gleichen Prinzip.

Putty starten (evtl eine vorhandene Konfiguration laden), links bei der Konfiguration unter "Connection"->"SSH" den Punkt "Tunnels" anwählen.

Jetzt muss man für jeden Tunnel einen lokalen "Source-Port" angeben und einen Rechner per IP samt Port, auf den weitergeleitet werden soll ("Destination"). Der Radiobutten bleibt bei "Local".

"Destination" ist aus Sicht desjenigen Rechners, auf dem man sich per SSH anmeldet.

Beispiel:

1) Webmin auf dem ML-Server

Webmin lauscht auf Port 999.

Dann wählt man einen beliebigen lokalen "Source Port", etwa 9999.
Bei "Destination" trägt man ein: 127.0.0.1:999 oder: server:999

Jetzt nicht vergessen, auf "Add" zu drücken. Dann ist das Profil gespeichert.

Jetzt eine Verbindung herstellen und unter einem normalen Benutzer anmelden.

Bei Erfolg startet man local einen Browser und gibt in der Adresszeile ein: https://localhost:9999
Nun kommen die Zertifikate und die Anmeldung an Webmin.

ralfgrauer at web.de (Ralf Grauer) in der Linuxmuster-Mailingliste

=================================================

Ich habe gerade mal ein bisschen in der Mailingliste gestöbert und bin auf die Mail mit Anleitung gestoßen. Das ganze funktioniert auch mit dem Remotedesktop von Windows und man muss _keine_ Änderungen in der /etc/sysconfig/SuSEfirewall2 vornehmen. Das ist ein ganz klarer Sicherheitsvorteil.
Hinweis: Der Remotedesktop von Windows lauscht auf Port 3389.
Wenn der Tunnel mit ssh aufgebaut ist, kann gibt man beim Remotedesktop-Client einfach localhost:<Portnummer-des-Tunnels> ein, z.B. localhost:23389.

Die Mail mit HowTo aus dem Archiv habe ich mal mit angehängt. Ein großes
Danke an Hr. Richter für die Erklärung.

<---schnipp--->

Hier eine Kurzanleitung für Putty, bei anderen SSH-Clients funktioniert's nach dem gleichen Prinzip.

Putty starten, links bei der Konfiguration unter "Connection"->"SSH" den Punkt "Tunnels" anwählen.

Jetzt muss man für jeden Tunnel einen lokalen "Source-Port" angeben und einen Rechner per IP samt Port, auf den weitergeleitet werden soll ("Destination"). Der Radiobutten bleibt bei "Local".

"Destination" ist aus Sicht desjenigen Rechners, auf dem man sich per SSH anmeldet.

Zwei Beispiele:

1) VNC-Server auf dem ML-Server

Situation: man startet auf dem ML-Server einen VNC-Server und erhält den X-Server :1 (so dass er auf Port 5901 lauscht).

Dann wählt man einen beliebigen lokalen "Source Port", etwa 15901.
Bei "Destination" trägt man ein: 127.0.0.1:5901

Jetzt nicht vergessen, auf "Add" zu drücken.

2) VCN-Server auf einem Client im internen Netz des ML-Servers

Situation: Auf dem Client mit der IP 10.1.213.7 läuft unter Windows ein VNC-Server, der folglich auf Port 5900 lauscht.

Der Source-Port ist wieder beliebig, leicht zu merken wäre etwa 21307

Bei "Destination" trägt man ein: 10.1.213.7:5900

Wieder auf "Add" drücken.

Damit nicht nachher alle Einstellungen weg sind, sollte man die Session jetzt speichern.


Jetzt ist alles konfiguriert und man kann sich auf dem ML-Server anmelden. Dabei werden die Tunnel automatisch eingerichtet.

Und wie erreicht man jetzt seine VNC-Server?

VNC-Client starten, bei "Server" eingeben: 127.0.0.1::15901 bzw: 127.0.0.1::21307
(Achtung: zwei Doppelpunkte)


Der Vorteil ist, dass auf dem Server nur der ssh-Port offen sein muss, man muss folglich an der Standard-Konfiguration der Firewall nichts verändern.

Vorsicht Falle: Wenn man den VNC-Server auf dem ML-Server per Putty startet, dann muss man sich abmelden und erneut anmelden, damit der Tunnel eingerichtet wird.

Viele Grüße, Jörg Richter
<---schnapp--->

jdippel at gmx.net (Jan Dippel) in der Linuxmuster-Mailingliste

=================================================
[Schan-user] SSH-Tunnel zum Arktur LDAP

Frage: Ich möchte gerne von einem externen Server mit fester IP einen SSH-Tunnel vom slapd des Arktur zu ebendiesem Server aufbauen, d.h. der Port, auf den der slapd lauscht, soll via SSH auf einen Port meines Servers weitergeleitet werden.

Ich versuche das mit

 ssh -L <Portnummer auf meinem Server>:<mein Server>:<Portnummer auf Arktur> > <Dyndnsname von Arktur>

Antwort:

• europaschule.no-ip.org ist der dyndns-Name des Gateways der Schule
• 2222 ist der weitergeleitete Port des Gateways. Die Weiterleitung habe ich vorher eingerichtet (und deshalb vergessen). Mein Gateway ist ein fli4l-Router. In seiner config.txt ist folgender Forward eingetragen:
  

  	    /usr/sbin/ipmasqadm portfw -a -P tcp -L $ip 2222 -R 192.168.0.1 22
  	

• $ip ist das externe Interface.
• Die 192.168.0.1 ist der Arktur-Server im Schulnetz.

ssh -p 2222 -l root -t europaschule.no-ip.org -L 4711:localhost:389
|       |                 |              |      |     \- LDAP port
|       |                 |              |      \- Server in Schule
|       |                 |              \- neuer localer LDAP port
|       |                 \- dyn-dns Name des Schulgateways
|       \- Login Account auf dem Gateway
\- Listen Port des Gateways

> Auth läuft über Keys.

Bei meinem Beispiel musst Du Dich anmelden!

hjede@dedtm-l-g10:~$ ldapsearch -x -LLL -h localhost:4711 -b
dc=europaschuledortmund,c=de uid=ntadmin dn uid cn
dn: uid=ntadmin,dc=europaschuledortmund,c=de
uid: ntadmin
cn: ntadmin

Das ist das Ergebnis einer Suche nach uid=ntadmin. Das muss klappen. Die LDAP-Anmeldung erfolgt hier anonym.

##########
Der einzige Unterschied zum vorherigen Mail ist, dass in diesem Beispiel der Arktur direkt vom fli4l-Router erreichbar ist. Der Trick hier besteht darin, dass die Verbindung zu localhost stattfindet. Du kannst natuerlich auch -L 4711:arktur:389 nehmen. Diese Entscheidung beeinflusst natuerlich die Sicherheit des LDAP-Servers.
Das sollte auch ohne den fli4l-Router funktionieren.

walk2sun at arcor.de (Harry Jede) in der "schan-user"-Mailingliste