RPi ansprechen nach Portfreigabe

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Hallo zusammen,

    ich habe an meinem Raspberry Pi eine Portfreigabe wie folgt angelegt:

    1. Raspberry statische IP definiert
    2. Bei No-IP registriert
    3. Neuen Host bei No-IP angelegt
    4. Dynamic DNS Update Client for Linux installiert und gestartet (inkl. anlegen im crontab)
    5. In der FritzBox unter DynamicDNS No-IP hinterlegt
    6. Unter Portfreigabe Port 80 (HTTP) und Port 21 (FTP) mit Protokoll TCP freigegeben, mit Verweis auf die statische IP des RBi.

    Normalerweise müsste es jetzt doch möglich sein, meinen Raspberry von außen anzusprechen, indem ich auf die Host-Adresse zugreife - also z.B. maxmustermann.ddns.net. Oder habe ich etwas vergessen?

    Freue mich über jeden Tipp!

  • Hallo und vielen Dank für die schnelle Antwort!


    DynDNS richtest Du entweder im Router oder mit einem DDNS-Clienten ein.


    Ah OK. Also war die Dynamic DNS Einstellung in der FritzBox unnötig?


    Kannst du mit dem RasPi ins Internernet?


    Ja, ist per Ethernet direkt mit dem Router verbunden. Ich greife darauf per SSH zu.


    Welchen Webserver lässt Du auf dem RasPi laufen?


    Um ehrlich zu sein gar keinen. Dieser ist notwendig, um auf den Pi zugreifen zu können?


  • Um ehrlich zu sein gar keinen. Dieser ist notwendig, um auf den Pi zugreifen zu können?


    Um ehrlich zu sein, ich bin entsetzt :lol:
    Klar musst Du einen Service laufen lassen, der die Ports, die Du weiteleitest bedient. Port 80 könnte der Webserver sein, port 21 ein ftp-Server, wenn Du den ssh-Port freigiebst solltest Du aus dem Internet auf den RasPi per SSH zugreifen können, denn der Dienst Läuft ja bereits.

  • In der Theorie ja. Ich gehe davon aus, dass deine Webseite lokal erreichtbar ist.

    Versuch mal das ganze DNS-Zeug erstmal wegzulassen und versuche mal die Seite mit deiner IP-Adresse aufzurufen bzw. nutz mal den Port-Checker von Heise um zu schauen ob z.B. Port 80 offen ist. http://www.heise.de/security/diens…shtml?scanart=1

    Gibt es neben der Fritzbox noch ein Modem? Das war ein Problem bei mir, da müsste dann noch eine Weiterleitung zum Router eingerichtet werden.


  • Um ehrlich zu sein gar keinen. Dieser ist notwendig, um auf den Pi zugreifen zu können?

    Du könntest für diesen Versuch, auch einen "Testserver" auf deinem Pi lauschen lassen. Z. B.:

    Code
    python -m SimpleHTTPServer 8080

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (20. Juli 2014 um 14:33)

  • *g*
    Also du hast eine Portweiterleitung auf Port 80. Das heißt ja, dass dein Pi eine Website anzeigen soll. Um eine Website anzuzeigen brauchst du einen Webserver. Logisch, wa?
    FTP das gleiche Spiel, du brauchst einen FTP-Server.

    Versuche beides ersteinmal im eigenen Netz, ohne Internet (und am liebsten wäre es mir, wenn du den Pi garnicht aus dem Internet heraus erreichbar hast, bis du mindestens die Grundlagen beherrscht. Das ist nämlich "schweine-gefährlich".


    > Ah OK. Also war die Dynamic DNS Einstellung in der FritzBox unnötig?
    Ja, oder die installation des Updaters auf dem Pi. Wenn es funktioniert ist die Version auf der Fritzbox meistens besser, die braucht keine Ressourcen deines Pis... auch wenn das ziemlich wenig sind.


  • raspiprojekt, was könnte passieren, ich steh gerade auf dem Schlauch, interessiert mich aber.


    Angenommen, dem Clienten sind in der Config falsche Berechtigungen gegeben worden, könnte ich mir je nachdem wie weitere Dienste eingerichtet sind den Dienst so hinbiegen, dass ich dann im internen Netz tunneln kann, also durch den Port 80 reinkomme auf den 443 weiterleite und plötzlich aus dem Heimnetz agiere, ähnlich wie ein VPN. Wenn ich dann noch eine Webbasierte Konsole nutze und den RasPi kenne, nehme ich mir mit einem sudo den root vor und schon gehört der RasPi und wenns schlecht läuft Dein Heimnetz und Deine Fritzbox mir. Voraussetzung ist natürlich das irgendwo ein Fehler beim Client gemacht wurde. Die Fritzbox lässt sich in der Beziehung nicht so einfach tunneln. Ich möchte hier aber keine genaue Anleitung für sowas geben, es gibt genug Bösewichter, die das dann probieren.


  • Angenommen, dem Clienten sind in der Config falsche Berechtigungen gegeben worden, ...

    Um welchen Clienten geht es denn? Was ist der Unterschied ob der ddns-Client der FritzBox oder ein ddns-Client auf dem Pi benutzt wird?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Und ich dachte schon nur ich wäre zu doof die Erklärung zu verstehen. Aber eine Anleitung dafür wollen wir auch nicht haben. Ich hoffe es gibt trotzdem einen Mttelweg mit dem rpi444 und ich das Konzept begreifen *g*

  • Um welchen Clienten geht es denn? Was ist der Unterschied ob der ddns-Client der FritzBox oder ein ddns-Client auf dem Pi benutzt wird?


    Der Software ddns-Client auf dem RasPi lässt sich leichter manipulieren und ich halte mich hier mit einer Anleitung dafür mutwillig zurück. Natürlich weiß ich, dass der ddns-Client der Fritzbox auch Software ist, aber der ist von Profis bestmöglich abgesichert und gegen Manipulation geschützt. Das Problem liegt auch nicht am RasPi oder am ddns-clienten sondern an den gefühlten ca. 90% der Linuxnewbee's die durch den RasPi an Linux herangeführt werden, was ich persönlich toll finde. (Also nicht die Probleme, sondern die vielen neuen Linuxuser :bravo2: )

  • Also mit von außen ansprechen hieß für mich, dass ich eine Überwachungskamera (motion) an meinem RaspPi hängen habe. Nun möchte ich, wenn ich bei der Arbeit bin, auf diese Webcam zugreifen. Außerdem möchte ich gerne einen SVN-Server auf meinem RasPi installieren um dann von außen aber auch innerhalb des Netzwerks meine Projekte zu commiten.

    Da ich es mir aber wichtig ist, dass das ganze keine Lücken enthält (insbesondere bei der Webcam), bin ich grad etwas stutzig, ob man das machen sollte.

    Einmal editiert, zuletzt von void (22. Juli 2014 um 15:51)

  • Benutze OpenVPN um zur Pi zu connecten. Nur da bist Du wirklich auf der sicheren Seite.

    Dann musst Du nur den Port 1194 durchrouten und kannst dann auf alles auf der Pi zugreifen ohne ein mumiges Gefühl im Magen zu haben.

  • Es sollen ja auch Inhalte geteilt werden. Für die Webcam brauchst Du einen Kameraserver der auf dem RasPi läuft, den konfigurierst Du mit einem Port. Dann benötigst Du einen Webserver (günstiger Weise Apache, da SVN darauf basiert) auf dem RasPi der auf einen anderen Port hört und mit dem Du SVN hostest. An der Fritzbox oder einem anderen Router richtest Du DynDNS ein und leitest die Ports an die IP des RasPi weiter. Der RAsPi hat entweder eine feste IP oder im Router ist eingestellt, dass er immer die gleiche IP vom DHCP zugewiesen bekommt. Sowohl der Kameraserver, als auch SVN lassen sich gut absichern. Durch die Verwendung des Routers stellst Du auch sicher, dass wenn doch mal ausversehen ein anderer Port als gewollt (passiert oft genug) offen ist, dieser nicht angegriffen werden kann. Auf alle Fälle solltest Du Dir immer die Punkte Sicherheit in den Anleitungen der einzelnen Programme ansehen, mit allem anderen kann man spielen und ausprobieren.

  • ... Sowohl der Kameraserver, als auch SVN lassen sich gut absichern. ... Auf alle Fälle solltest Du Dir immer die Punkte Sicherheit in den Anleitungen der einzelnen Programme ansehen, ...

    und immer auf dem Laufenden halten, also auf Security Alerts subscriben.

    Das alles vereinfacht sich mit VPN. Dann musst Du nur das eine Program OpenVPN staendig warten. Alles andere kann unsicher bleiben, da ja keiner in Deine Pi reinkommt ausser per VPN :)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!