SSH Zugriff

[irbis78]

Hallo zusammen,

ich muss per SSH Zugriff durch zwei Firewalls durch. Die Portweiterleitung bei beiden richtig eingestellt. Ich kann jeweils über einen Firewall hinten befindlichen Server ansprechen. Aber durch zwei Firewalls geht es nicht.

Bin kein Profi.

Danke vorab für die Unterstützung

Irbis

 

[greystone]

Da brauchst Du die Konfigurations-Option "ProxyCommand"

Kannst Du mal die Kommandos(mit veränderten Hostnamen) hier rein stellen, wie es geht, wenn Du es manuell machst und es funktioniert?

Ansonsten brauchst Du vermutlich ein installiertes netcat, damit das geht.

Ansonsten: Hier eine Google-Suche, die Dir hilft:

https://www.google.com/search?q=ssh+proxy+command&lang_1de&lr=lang_de

 

[irbis78]

Ich habe folgende Aufbau. (siehe Anhang)

DSL Modem mit Firewall + Statische IP
nachgeschaltet
Firewall FortiGate
nachgeschaltet
VPN-Router

Am Modem und Firewall sind die Portweiterleitungen (TCP22) mit Endhost's
angaben eingerichtet --> bei Modem ist es der Endhost die IP Firewall und bei Firewall ist der Endhost die IP von VPN Router eingetragen.

Es wurde alles über die Weboberfläche eingerichtet.

Gruß und Danke

 

[greystone]

Mit so einer Skizze kann man doch mal was anfangen

Netcat braucht man wohl erfreulicherweise gar nicht mehr.

Es braucht auch keine Portforwardings. Es muss nur die Möglichkeit erlaubt sein, sich auf allen Stationen auf Port 22 via ssh einzuloggen.

Deine SSH-Config wird ungefähr so aussehen:

Host Firewall-1
        Hostname public.ip.v4.address            # DynDNS?
        User root                                # Nur zum Testen. Nur für das SSH-Forwarding braucht man kein root

Host Firewall-2
        ProxyCommand ssh -W 192.168.50.130:22 Firewall-1
        User root

Host VPN-Router
        ProxyCommand -W 192.168.0.10:22 ssh Firewall-2
        User root

Erklärung

• Du führst auf der Kommandozeile ssh VPN-Router aus
• Das ProxyKommando ssh ... Firewall-2 wird im Hintergrund zuerst ausgeführt
• Die Verbindung zu Firewall-2 erfordert das ProxyKommando ssh ... Firewall-1
• Das ProxyKommando ssh ... Firewall-1 wird im Hintergrund jetzt ausgeführt
• Jetzt erfolgt die Authentifizierung gegenüber der Firewall 1(praktischerweise via SSH-Key)
• Wenn das ProxyKommando ssh ... Firewall-1 erfolgreich ist, verbindet ssh den angegebenen Socket(192.168.50.130:22) mit Stdin/Stdout zur Authentifizierung der "Firewall-2" Verbindung.
• Jetzt erfolgt die Authentifizierung gegenüber der Firewall 2
• Wenn das ProxyKommando ssh ... Firewall-2 erfolgreich ist, verbindet ssh wieder den angegebenen Socket(192.168.0.10:22) mit Stdin/Stdout zur Authentifizierung der "VPN-Router" Verbindung.
• Jetzt erfolgt die Authentifizierung gegenüber dem VPN-Router
• Hat alles geklappt bist Du jetzt an VPN-Router angemeldet.

Das ganze läuft transparent ab. Du gibst nur ssh VPN-Router ein. Die Public-Key-Authentisierung sollte dazu auf den 3 Zielrechnern hinterlegt sein.

Das interessante dabei ist: auf den Zwischenstationen muss kein private Key hinterlegt sein. Nur auf Deiner Ausgangsstation.

Wenn Du auf Firewall-2 direkt über Portforwarding auf der Public-IP reinkommst, dann kannst Du den Schritt mit der Firewall-1 weglassen.

 

[chris4000]

Warum geht es mit Port Weiterleitung nicht?

 

[irbis78]

warum mit Portweiterleitung nicht geht ist mir ein Rätsel.
Ich probiere mal am Montag es aus. Schauen mal