SSH Zugang – Mit iptables Firewalls austricksen

25. Januar 2017 at 22:16

Sitzt man hinter einer restriktiven Firewall und möchte temporär einen Dienst dort durch tunneln, nutze ich gern SSH auf einem im Internet erreichbaren Server. Damit kann ich beliebige Ports rein oder raus tunneln und Putty hilft mir auf jedem Windows System, dies einfach per Klick zu konfigurieren.

Zum SSH-Tunnel hatte ich auch schon einen Artikel geschrieben: http://www.butschek.de/2009/05/01/ssh-tunnel-proxy/

Was in der Praxis leider ab und zu passiert: Ausgerechnet Port 22 ist geblockt, womit SSH nicht erreichbar ist. Den SSH-Port umlegen möchte ich nicht, da sonst keiner der anderen Benutzer auf dem System SSH mehr findet.

Eine einfache Lösung ist, auf dem Server mit Hilfe von iptables einen freien Port, der in der Firewall durchgelassen wird, auf Port 22 zu redirecten:

iptables -A PREROUTING -i eth0 -p tcp -m tcp --dport 9443 -j REDIRECT --to-ports 22

Hier leite ich auf eth0 eingehende TCP Pakete von Port 9443 auf Port 22 um. 9443 ist oft eine gute Wahl, da viele Admins auf Port 9443 die Administration ihrer ESX-Server finden und daher den Port gern freischalten.

Alternativ einfach hinter der Firewall mehrere Ports testen (oder den Firewall-Admin fragen) und wenn ein freier Port gefunden wurde, einfach diesen statt 9443 nutzen.

Voilà, schon haben wir SSH wie gewohnt auf Port 22 und zusätzlich auf einem weiteren Port und man kann den externen Server hinter der Firewall erreichen und seinen Tunnel aufbauen.

PS: Ein weiteres Tool, auf das ich in diesem Zusammenhang hinweisen möchte, ist sslh. Es erlaubt neben dem Webserver zusätzlich SSH oder einen OpenVPN Tunnel auf dem gleichen Port laufen zu lassen. Nicht gut für hochfrequentierte Webserver, aber auf einem kleinen privaten Server läuft das recht gut. Eine gute Anleitung bietet Nicolas hier: http://bernaerts.dyndns.org/linux/75-debian/210-debian-sslh

PPS: Eine GUTE Firewall mit Deep Packet Inspection kann übrigens beide Tricks erkennen. Zum Glück für den Tunnel haben die meisten Firmen keine gute Firewalls… :-)

OpenVPN einrichten

1. Februar 2010 at 10:00

Im Artikel SSH-Tunnel: Proxy über SSH habe ich bereits über die Möglichkeit eines „Pseudo-VPNs“ berichtet. Nun will ich zeigen, wie man mit der Software OpenVPN ein einfaches Point-to-Point VPN einrichten kann.

Ziel soll es sein, auf einem Server OpenVPN so zu installieren, dass es auf einem UDP-Port eine verschlüsselte Verbindung entgegennimmt. Als Client benutze ich dazu unter Windows die Software OpenVPN-Portable, da diese gleich die GUI mit dabei hat und darüberhinaus auch auf dem USB-Stick mitgenommen werden kann.

Eine einfache Steuerung von Serverdiensten ohne die Dienste dabei frei im Internet erreichbar zu haben, wie es Maxe im SSH-Tunnel Thema ansprach, ist damit sehr einfach möglich.

Zuerst installieren wir den Server, was unter Debian oder Ubuntu mit einem einfachen `apt-get install openvpn` geschieht. Danach in /etc/openvpn alle Beispiele löschen und im gleichen Verzeichnis mit `openvpn –genkey –secret server.key` eine Keydatei anlegen, die künftig als Passwort zum VPN dient. Vor dem Neustart des Servers (/etc/init.d/openvpn restart) sollte mit `modprobe tun` noch das Tunnel-Device unter Linux angelegt werden.

Nun ist noch die Server-Konfiguration zu erstellen. Hier schlage ich folgenden Inhalt für die server.conf vor:

mode p2p                          # Connection Mode: Point-2-Point
dev tun                           # Device: Tunnel

proto udp                         # Protocol (udp/tcp-server/tcp-client)
port 1194                         # Listen port

secret server.key                 # Secred "password" file

ifconfig 10.1.75.1 10.1.75.2      # local ip <-> remote ip

ping 10                           # Keepalive ping every 10 seconds
ping-restart 60                   # Reconnect after 60 seconds of no answer
ping-timer-rem                    # Restart ping only if we have a remote ip
persist-key                       # Don't re-read key files across ping-restart
persist-tun                       # Don't reopen TUN/TAP across ping-restart

user root                         # Systemuser
group nogroup                     # Systemgroup

verb 3                            # Give some more informations (default: 1)
log-append /var/log/openvpn.log   # Logfile

Auf der Client-Seite (Windows) ist OpenVPN Portable von der Sourceforge Projektseite (http://sourceforge.net/projects/ovpnp/) herunterzuladen und zu entpacken. Im Ordner data/config ist dann das Keyfile vom Server (und zwar genau das gleiche!) sowie die Konfiguration abzulegen. Diese ender unter Windows mit .ovpn, als Dateiname empfielt sich den Namen des Servers zu wählen, also z.B. meinserver.opvn. Das File könnte so aussehen:

mode p2p                          # Connection Mode: Point-2-Point
dev tun                           # Device: Tunnel

proto udp                         # Protocol (udp/tcp-server/tcp-client)
remote meinserver.de 1194         # Server address and port
nobind                            # Do not bind any fixed port

secret hostname.key               # Secred "password" file

ifconfig 10.1.75.2 10.1.75.1      # local ip <-> remote ip

ping 10                           # Keepalive ping every 10 seconds
ping-restart 60                   # Reconnect after 60 seconds of no answer
ping-timer-rem                    # Restart ping only if we have a remote ip
persist-key                       # Don't re-read key files across ping-restart
persist-tun                       # Don't reopen TUN/TAP across ping-restart

# Use this only if you want to change your default routes!
# redirect-gateway def1             # change default gateway
# dhcp-option DNS 8.8.8.8           # set DNS resolver in the new network

# When having problems with vista use this options:
# route-method exe
# route-delay 2

Damit haben wir alles Konfiguriert. Startet man OpenVPN Portable nun und erlaubt die Installation der Tunnel-Netzwerktreiber, so kann das VPN zum Server sofort gestartet werden. Nach dem Start findet man ein neues Netzwerk-Interface mit der Adresse 10.1.75.2, welcher auf der Seite des Servers endet. Der Server kann nun direkt über die VPN-Adresse 10.1.75.1 angesprochen werden.

Sollte das nicht klappen könnte eventuell noch eine lokale Firewall schuld sein. Wir sollten erstmal Pakete zum OpenVPN-Server sowie Pakete vom tun-Interface durchlassen:

iptables -A INPUT -m udp -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT

Wenn alles klappt kann man sich überlegen, ob man mit der Verbindung nur den Server erreichen will oder auch gleich alle Routen darüber schicken möchte, um z.B. mit der IP-Adresse des Servers online zu sein.

Um alle Routen beim Verbindung umzubiegen sind in der Client-Config die beiden auskommentierten Zeilen redirect-gateway sowie die dhcp-option einzufügen. Ausserdem muss dem Server klargemacht werden, dass er nun für das Routing zuständig ist und die privaten IP-Adressen auch gleich per NAT auf seine eigene umschreiben soll:

# Routing & Masquerade aktivieren
sysctl -w net/ipv4/ip_forward=1
iptables -t nat -A POSTROUTING -s 10.1.75.0/24 -o eth0 -j MASQUERADE

Nach dem Neuverbinden sollte man nun über den Server und mit dessen IP-Adresse im Internet hängen. Mit dem Link http://www.butschek.de/tools/ip/ kann man das schnell und einfach prüfen.

SSH-Tunnel: Proxy über SSH

1. Mai 2009 at 19:00

Mit der Option -D läßt sich ein Tunnel mit einer Gegenstelle aufbauen. Das funktioniert so: Der Client (z.B. der Arbeitsrechner) baut zuerst eine SSH-Verbindung mit einem Server auf und gibt dabei einen Port für den Tunnel an:

ssh -D 5000 user@host

SSH wird auf dem Client-Rechner nun auf Port 5000 einen SOCKS-Proxy zur Verfügung stellen und alle Anfragen dorthin an den Server weiterleiten. Somit erfolgt eine „Umleitung“ aller Anfragen über den Server.

Auf dem Client kann man nun also den Firefox starten und im Menü Extras – Einstellungen – Erweitert – Netzwerk – Einstellungen die Einstellungen für den SOCKS-Proxy vornehmen:

(*) Manuelle Proxy Konfiguration
SOCKS-Host: localhost
Port: 5000
(*) SOCKS v5

So, nun noch kurz butschek.de/tools/ip/ öffnen und die IP-Adresse kontrollieren. Das sollte nun nicht mehr die vom Client, sondern die vom Server sein.

…das geht auch mit Putty unter Windows!

Windows-Benutzer können das gleiche ebenso einfach mit Putty erledigen:

Vor dem Aufbau der Verbindung links im Menü Connection – SSH – Tunnels wählen und dort unter Source Port den gewünschten lokalen SOCKS-Port (z.B. 5000) wählen. Dann unter Destination den Radio-Button auf Dynamic schalten (das ist wichtig, sonst geht es nicht!), erst danach auf ADD drücken.

 

Nun erscheint in der Liste der Forwarded ports der Eintrag „D 5000“. Nun kann die Verbindung wie gewohnt aufgebaut werden. Vorsicht, wer nun doppelt auf ein gespeichertes Profil klickt, löscht die Einstellungen! Hier also ZUERST Profil laden, dann Tunnel-Einstellungen machen, dann [Open] klicken.

Voila, fertig ist der SOCKS-Proxy-Tunnel! Natürlich muss Firefox (oder auch jedes andere Programm, welches einen SOCKS-Proxy nutzen kann und soll) auf den SOCKS-Proxy Port 5000 konfiguriert werden.

Übrigens: Putty erlaubt auch das Einrichten eines Tunnels NACHDEM die Verbindung aufgebaut wurde. Dazu das Programm-Menü öffnen (Putty-Symbol oben links in der Programmleiste), dort „change settings“ wählen. Dann kommt man in den gewohnten Dialog.

Und wozu braucht man das?

  • Öffnen von Ports, wenn Firewalls dies verhindern
  • Umgehen von IP-Sperren
  • Schnellerer Download durch andere Route
  • Pseudo-VPN

Man sollte sich nur bewußt darüber sein, dass der Einsatz zu illegalen Zwecken natürlich nicht gestattet ist. Sollte der eigene Arbeitgeber in senier Firewall-Policy bestimmte Sperren vorsehen, wäre das Umgehen dieser nicht nur ein Sicherheitsproblem, sondern auch ein Grund für eine Abmahnung. Das will ich nur gesagt haben.