[linux-l] Frage zu ssh

Frank Reker frank at reker.net
Mo Jan 23 14:44:33 CET 2017 

Am Mon 23. Jan 2017 13:57 +0100 schrieb Christopher Stark:

>Hm, das klingt jetzt alles super kompliziert und teuer. Ich würde gerne
>halt eine günstige Lösung bevorzugen, keinen Vserver oder sowas...

ich weiss jetzt nicht was teuer fuer dich ist, aber v-server bekommt
man schon fuer um die 7 euro/monat.
du kannst natuerlich auch eine verbindung zu dir nach hause aufbauen,
wenn du da sowieso einen rechner 24/7 am laufen hast. da du i.d.r
aber nur eine ip hast und die hat die fritzbox, musst du dann einen
port (den tunnel-port halt) auf diesen server umleiten. da sich deine
ip i.d.r. aendern kann musst du dann noch zu hause ein dyndns einrichten.
dann kannst du auch von zu hause auf das raspi zugreifen. und wenn du
zusaetzlich noch einen weiteren port weiterleitest, kannst du z.b.
auch per ssh direkt von aussen ueber dein heimnetz und das vpn auf
den raspi zugreifen. aber du brauchst dafuer zu hause einen rechner
der immer an ist. (wenn du nicht gerade einen raspi dafuer nimmst,
dann sind die stromkosten dafuer wahrscheinlich hoeher als 7 euro/monat).

kompliziert ist das nicht. den tunnel machst du am einfachsten mit
openvpn. (einfach auf beiden seiten mit den entsprechenden kommandozeilen
parametern starten). und die port/ip-weiterleitung machst du mit iptables.
z.b.
iptables -t nat -A PREROUTING -d mysecondip -j DNAT --to-destination tunnelip
fuer eingehende pakete, und
iptables -t nat -A POSTROUTING -s tunnelip -j SNAT --to-source mysecondip
fuer ausgehende pakete.

(mysecondip und tunnelip entsprechend ersetzen).

oder fuer einzelne ports:
iptables -t nat -A PREROUTING -p tcp --dport 1022 -j DNAT --to-destination tunnelip:22
iptables -t nat -A POSTROUTING -s tunnelip -j MASQUERADE

und openvpn:
openvpn \
   --dev "mytun" \
   --dev-type tun \
   --fragment 0 \
   --tun-mtu 1450 \
   --port "1080" \	# oder welchen port du auch immer nehmen willst
   --proto udp \
   --script-security 2 \
   --cipher none \
   --auth none \
   --ifconfig "10.0.18.1" "10.0.18.2" \
   --keepalive 10 60  \
   --persist-tun \
   --log "/var/log/ovpn.mytun.log" &

fuer die andere seite die ip-addressen natuerlich umdrehen.
falls du verschluesselung und/oder authentication haben
willst (for allem zweiteres ist sinnvoll), entsprechend
aktivieren.

z.b. --auth SHA512 --secret /path/to/keyfile


>Wäre es nicht ggf. möglich, das Ganze so aufzuziehen, daß das
>Mobiltelephon die Verbindung von sich aus in festen Zeitabständen aufbaut?
>Das könnte man doch mit Script programmieren, oder?
>Das Gerät müßte MEINE IP dann einfach anwählen, oder kann es dann auch
>keine Befehle von mir empfangen?

klar - aber was ist "MEINE IP"? von welchem geraet willst du da drauf.
von deinem heimrechner? von einem unirechner? von deinem handy?

wie willst du die befehle absetzen? hast du dir was eigenes geschrieben?
hast du fertige programme dafuer?



>Licht- an und ausschalten zu können. Ginge das nicht eventuell sogar
>über Imap, also daß ich eine Email an das Smartphone schicke, es dies
>Email empfängt und dann in einen Befehl für das Terminal übersetzt?

wenn die zeitverzoegerung keine rolle spielt, ist das sogar ziemlich
einfach zu realisieren. du holst mit fetchmail alle 10 sekunden deine
emails ab, schickst sie durch procmail, welches dann ein entsprechendes
script aufruft.




-- 
Don't worry be happy ...
Ciao Frank Reker

Mehr Informationen über die Mailingliste linux-l