SSH Zugang über DynDns einrichten

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Hallo,

    ich bin etwas ratlos, was aber wohl daran liegt das ich absoluter Linux-Anfänger bin.

    Ich nutze schon länger den Service von Selfhost um von "Extern"(Smartphone/PC´s) auf meine NAS zuzugreifen.
    Das funktioniert auch alles.

    Nun ist ein Raspberry im Netzwerk dazu gekommen den ich auch gerne von außen bedienen möchte.... d.h. ich hätte gerne Zugriff auf die Konsole.

    Im eigenen Netzwerk nutze ich PuTTY von einem WIN-Rechner um den RPi bedienen zu können. Das funktioniert über den Port 22.

    Den Port 22 habe ich nun auch in der Portweiterleitung, aber damit habe ich kein Erfolg. (http://meine.selfhost.bz:22)


    Mit der Suche komme ich leider auch nicht weiter.

    Kann mir bitte jemand helfen?

    Danke.

    Grüße


  • Den Port 22 habe ich nun auch in der Portweiterleitung, aber damit habe ich kein Erfolg. (http://meine.selfhost.bz:22)

    Hast Du aus dem Internet (d. h. von einem fremden Internetanschluss) oder aus deinem (W)LAN auf meine.selfhost.bz:22, mit Putty (oder gleichwertig) zugegriffen? Lass mal einen Freund, aus dem Internet (d. h. von extern) einen Portscan auf meine.selfhost.bz und den weitergeleiteten Port 22 machen. Z. B.:

    Code
    sudo nmap -sS meine.selfhost.bz -p22


    (oder gleichwertig).
    Wie ist auf deinem Pi, die Ausgabe von:

    Code
    sudo netstat -tulpen | grep -i :22


    ?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample


  • Den Port 22 habe ich nun auch in der Portweiterleitung, aber damit habe ich kein Erfolg. (http://meine.selfhost.bz:22)

    http???????

    Wenn du dann von aussen drauf willst nimm auch putty oder einen anderen ssh client
    mit http hat das nix zutun. In Putty genauso wie du es intern machst nur, dass du halt die selfhost adresse nutzen musst.

    --
    man ist das System-Anzeigeprogramm für die Handbuchseiten von Linux.

  • Hallo,

    danke für eure Antworten.

    Ja, ich hatte es über http:// versucht......Keine Ahnung wie ich darauf gekommen bin :wallbash:

    Ich habe mir mal auf dem Smartphone "Mobile SSH" installiert, aber damit bekomme ich keine Verbindung zu meinem Rasp.
    (Natürlich über das Funknetz, nicht im eigenen Netzwerk)

    Ich habe niemanden in meinem Bekannten/Freundeskreis mit Linux.

    pi@raspberrypi ~ $ sudo netstat -tulpen | grep -i :22

    ergibt:

    Code
    tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          6214        2185/sshd

    framp: Vielen Dank für den Warnhinweis.
    Stellt es also ein erheblich großes Sicherheitsrisiko dar wenn man die Portweiterleitung einrichtet bzw. SSH von "außen" erreichbar macht?


    Grüße


  • Ich habe mir mal auf dem Smartphone "Mobile SSH" installiert, aber damit bekomme ich keine Verbindung zu meinem Rasp.
    (Natürlich über das Funknetz, nicht im eigenen Netzwerk)

    Code
    tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          6214        2185/sshd

    Starte mal auf deinem Pi:

    Code
    sudo apt-get install tcpdump
    sudo tcpdump -c 10 -vvveni any port 22


    versuch es erneut mit deinem Smartphone "Mobile SSH" und poste danach die Ausgabe von tcpdump.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • framp: Vielen Dank für den Warnhinweis.
    Stellt es also ein erheblich großes Sicherheitsrisiko dar wenn man die Portweiterleitung einrichtet bzw. SSH von "außen" erreichbar macht?

    Ja, Du wirst sehr schnell feststellen, dass da Leute bei Deinem ssh Server 'anklopfen' und versuchen reinzukommen. Also sichere die Tür Deiner Pi gut :)

    Suche mal nach 'ssh absichern' hier im Forum oder im Netz. Da wirst Du viel finden was Du tun musst um die ungebetenen Gäste fernzuhalten.

  • Ich habe mir mal auf dem Smartphone "Mobile SSH" installiert, aber damit bekomme ich keine Verbindung zu meinem Rasp.
    (Natürlich über das Funknetz, nicht im eigenen Netzwerk)

    Was hast du denn als Adresse bei MobileSSH eingegeben ?

    Code
    meine.selfhost.bz:22 ?

    oder

    Code
    meine.selfhost.bz

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Ich möchte hier nur mal anmerken das es unsicherer ist direkt den offiziellen Port frei zu geben. Als Freigabe sollte man also nicht den Standard Port verwenden sondern einen individuellen.

    Un auch auf gar keinen Fall vergessen das Password aller Benutzer (pi und root) zu ändern!


    Dazu habe ich hier im Forum auch eine Anleitung geschrieben: Dynamic-DNS


  • Ich möchte hier nur mal anmerken das es unsicherer ist direkt den offiziellen Port frei zu geben.

    Ich möchte mal darauf himweisen das es unsicher ist überhaupt irgendwas zum Internet hin Freizugeben
    wenn man gar keine Ahnung hat von dem was man grade macht.

    Irgendwelche HowTo's abzutippen und dann das Gerät zum Internet hin zu öffnen ist einfach nur
    grob Fahrlässig



    Als Freigabe sollte man also nicht den Standard Port verwenden sondern einen individuellen.

    Ich war mal der selben Meinung. War.
    Verschleiert nur, hilft nix bei den Sicherheitsproblemen und wiegt den User in falscher Sicherheit.

    Wenn man hier länger im Forum liest und sich so manche Frage mal auf der Zunge zergehen lässt, dann ist es schon sehr wahrscheinlich das zig. PI's nur noch nebenbei ein Dasein als "Was-auch-immer" im Internet fristen und im Hauptberuf als Zombie arbeiten.

    Schwarzseherischer Pessimist ?
    Ja, definitiv !

    Aber das war OT, musste nur mal raus.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.


  • Wenn man hier länger im Forum liest und sich so manche Frage mal auf der Zunge zergehen lässt, dann ist es schon sehr wahrscheinlich das zig. PI's nur noch nebenbei ein Dasein als "Was-auch-immer" im Internet fristen und im Hauptberuf als Zombie arbeiten.

    Schwarzseherischer Pessimist ?
    Ja, definitiv !

    Aber das war OT, musste nur mal raus.

    Nein ist nicht OT.

    Wenn einer im Blindflug unterwegs ist, dann muss ihm das jemand sagen.

    Beste Grüße


  • Ich war mal der selben Meinung. War.
    Verschleiert nur, hilft nix bei den Sicherheitsproblemen und wiegt den User in falscher Sicherheit.

    Dazu hatten wir hier schon etliche Diskussionen... Mit dem Fazit das dieses Verschleiern sehr wohl etwas bringt da nicht jeder Angreifer einen Portscan durchführt.

    Habe hier auch schon öfter dazu aufgefordert meinen PI @ EDIS.at zu hacken ... Der steht da schon seit 2 Jahren und hat ein relativ einfaches root pwd, aber eben KEINEN Standard Port - bis heute hat es noch Keiner geschafft. Also bleib ich definitiv dabei zu sagen das es BESSER ist NICHT den Standardport als Weiterleitung zu verwenden und alle anderen die dagegen anstänkern sind Pappnasen!

    Ihr solltet das ernsthaft mal selber ausprobieren! Solange Ihr oder Du Der_Imperator das aber noch nie ausprobiert habt könnt ihr echt viel erzähln.

    Und was heißt hier überhaupt falsche Sicherheit? Was Würdest du denn Ihm abgesehen vom sicheren Password und keiner Weiterleitung raten denn sonst noch raten?
    Es einfach nicht frei zu geben ist milde ausgedrückt ziemlich bescheuert zu raten! Toller Sicherheitshinweis! :wallbash:


    Aber auch mal nebenbei erwähnt: Wenn es sich beim Internetzugang um ein DS-Lite handelt, dann wird der TE keine Verbindung zur IPv4 herstellen können. Daran hat hier auch noch keiner gedacht.

    Also: Welchen Anbieter hast du @ Knallfrosch


  • Daran hat hier auch noch keiner gedacht.

    Gedacht schon, aber weil der TE im 1. Beitrag geschrieben hat:

    Zitat


    Ich nutze schon länger den Service von Selfhost um von "Extern"(Smartphone/PC´s) auf meine NAS zuzugreifen.
    Das funktioniert auch alles.


    und sein sshd mit tcp lauscht, bin ich davon ausgegangen, dass er IPv4 verwendet.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample


  • Und was heißt hier überhaupt falsche Sicherheit?

    Wie lange dauert ein
    nmap -sS -p 1024-65535 <ip> ?
    dann ein
    nmap -sP auf die offenen Ports und schnell ist der offene SSH Port gefunden.


    Solange Ihr oder Du Der_Imperator das aber noch nie ausprobiert habt könnt ihr echt viel erzähln.

    Mit Netzwerken und IT-Sicherheit verdiene ich meine Brötchen.

    Von Scriptkiddies droht eh keine Gefahr, gefährlich sind die Botnetz Betreiber, das hat eine ganz andere Qualität.


    Was Würdest du denn Ihm abgesehen vom sicheren Password und keiner Weiterleitung raten denn sonst noch raten?

    SSH mit Passwort schon mal gar nicht.
    Nur mit Key auth, Root deny, Fail2ban, Logcheck.
    Dazu SSH so konfigurieren das es keinerlei Informationen über sich und das OS ausgibt.

    Damit ist er jedoch wahrscheinlich überfordert und die Tips somit sinnlos.


    Es einfach nicht frei zu geben ist milde ausgedrückt ziemlich bescheuert zu raten! Toller Sicherheitshinweis! :wallbash:

    Solange solche Aussagen von sich selber kommen:

    Zitat von &quot;Knallfrosch&quot;


    Ich bin etwas ratlos, was aber wohl daran liegt das ich absoluter Linux-Anfänger bin.

    Was für einen Rat soll man dann geben als "Lass es lieber" ?

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

    Einmal editiert, zuletzt von Der_Imperator (19. Februar 2015 um 15:01)

  • Oha, da habe ich ja was losgetreten mit meinem Hinweis :rolleyes:

    ...


    SSH mit Passwort schon mal gar nicht.
    Nur mit Key auth, Root deny, Fail2ban, Logcheck.
    Dazu SSH so konfigurieren das es keinerlei Informationen über sich und das OS ausgibt
    ...


    Der_Imperator: Hast Du nicht Lust ein Tutorial zu erstellen mit dem Namen 'Wie sichere ich meinen ssh Server vor Angriffen aus dem Internet'? Oder hast Du einen Link wo das beschrieben wird? Oder vielleicht postest Du Deine sshd_config als Beispiel? Dann sorgst Du dafür dass es die Botbetreiber schwerer haben Raspis zu kapern :shy:

  • @Der_Imperatur: Du bist dann also mit dem Wissen geboren worden und warst niemalsnie Anfänger? :-/

    Solche Aussagen finde ich immer wieder amüsant: "ich verdien damit mein geld, zweifel also nicht an dem was ich sage!"

    Es spielt keine Rolle wie lange nmap brauch..
    Ich hab kaum Angreifer die Portscans durchführen. 90% folgen den gleichen Vorgehensweisen und prüfen Standardports. Botnetze ebenfalls.

    ich nutze viele server mit ssh-key aber ebensoviele nur mit pass.. in den letzten 20 jahren ist aber nie was passiert.. komisch.. :s sind die sever nicht interessant genug ?

    ..wie gesagt, is nich die erste diskussion dieser art..
    diese wurde ausgelöst weil ich sagte man solle keine standardports nutzen.
    Was ist falsch an dieser Aussage?
    Es hilft - ich sagte aber nicht das dass ein allheilmittel sei.. wer diesen unterschied nicht sehen will mi dem machts eh kein sinn weiter drüber zu reden..


    just my 2 cents


  • Ich würde mich auch über ein Sicherheitstutorial freuen!

    Findest du hier im Forum bei den HowTo's


    @Der_Imperatur: Du bist dann also mit dem Wissen geboren worden und warst niemalsnie Anfänger? :-/

    Hab ich das irgendwo behauptet ?


    Solche Aussagen finde ich immer wieder amüsant: "ich verdien damit mein geld, zweifel also nicht an dem was ich sage!"

    Ich find Aussagen amüsant wie : "Verscheiere den Port und du bist sicher"
    Sind genau so wie "Ich hab Allrad, mir kann im Winter nix passieren"


    ..wie gesagt, is nich die erste diskussion dieser art..
    diese wurde ausgelöst weil ich sagte man solle keine standardports nutzen.
    Was ist falsch an dieser Aussage?

    Die täuscht Sicherheit vor wo keine ist.
    27015, dauerte keine 120 sek.


    Es hilft - ich sagte aber nicht das dass ein allheilmittel sei.. wer diesen unterschied nicht sehen will mi dem machts eh kein sinn weiter drüber zu reden..

    Es macht schon einen Unterschied pi:123456 auf Port 0815 lauschen zu haben als wie
    Key Auth mit z.B. fail2ban und logckeck auf Port 22
    Da klopft es mal öfter aber nach 2 x "knock knock" ist für 30min Schluß.

    Du scheinst derjenige zu sein der den Unterschied nicht sehen kann oder will.

    Das deine Server noch nicht gehackt wurden kann eine gute Config ,Glück, mangelndes Interesse sein oder du hast es gar nicht bemerkt.
    Das dies auch anderen so geht setzt du jetzt einfach vorraus.

    Warum legen sich jede Session reihenweise Moppedfahrer auf's Maul ?
    Ist mir die letzten 30 Jahre nicht passiert.


    Geräte ans Internet zu hängen kann, dank Störerhaftung, ein unangenehmes Unterfangen werden, auch wenn du nur durch Zufall zum gehackten Opfer wirst.
    Man sollte Sicherheitsbewustsein wecken und auf Gefahren aufmerksam machen.

    "Wenn, dann mach es richtig oder lass es bleiben." sagte mal jemand zu mir.

    In diesem Sinne, genug OT jetzt.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Wow du kannst nmap nutzen, Glückwunsch!
    Ändert nur nichts dran das von 100 Angreifern nur 10 auch sowas wie nmap nutzen... aber egal, passt scho... schließlich hab ja angeblich gesagt er sei dann sicher, gell? crazy.gif


    im out

  • Ihr beide seit gerade ein wenig gagga oder? meigrfd hat nie gesgt , das den Port verschieben Sicherheit bringt - er hat immer nur gesagt es hilft bei Volldeppen die nur mal auf Standardports guggen. Nicht mehr und nicht weniger! Ehrlicherweise muss man dazu aber sagen Security by obscurity!

    Und Imperator hat nur Tools aufgezeigt, die ordentlich eingerichtet bessere Sicherheit bringen. Und ich denke das hat Meigrafd auch nicht bezweifelt.

    Und ich unterliege auch sehr häufig der Versuchung ( die Diskussioin haben wir schon öfters geführt) jemandem, der schon an kommt mit "Ich hab keine Ahnung von Linux" zu sagen"Dann lass es oder lies ein Buch und frag dann!" Und so haben hier ALLE schon mal reagiert.

    Aber egal im Moment ist der Themenstarter sicher, denn er kommt ja nicht mal selbst drauf! ;) Also zurück zum Thema: Wie weit bist du? Schon mal ohne selfhost (ich mag selfhost nicht, aber egal) probiert? Also einfach die zugewiesene IP versucht? Könnte es sein, dass dein Roputer eventuell Port 22 für sich nutzt und damit belegt? ( Glaub ich nich, aber der Teufel ist ein Eichhörnchen)

    --
    man ist das System-Anzeigeprogramm für die Handbuchseiten von Linux.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!