SSH Tunnel

larsi · **Verfasst:** Di 19 April 2005, 21:51:11

Hallo,

folgende Situation: auf einem Server läuft ein SAP-System, auf das ich von zu Hause aus zugreifen möchte. Allerdings lässt der Server nur Verbindungen von IP-Adressen aus einem bestimmten Bereich zu. Ich habe aber Zugriff auf einen Rechner mit einer zulässigen IP-Adresse.

Ist es nun evtl. möglich mit zwei SSH-Tunnel (einer von meinem Rechner zum Rechner mit der akzeptierten IP und ein weiterer von dem Rechner mit der akzeptierten IP zum SAP-Server) doch noch auf den SAP-Server zu gelangen, oder geht das nicht?

Grüße, Lars

goetz · **Verfasst:** Mi 20 April 2005, 18:19:10

Hallo,

Ich hab kürzlich was ähnliches probiert. Leider geht es nicht ganz so einfach.

Mit

Code:

ssh -L 1234:inter:1234 user@inter "ssh -L 1234:sap:1234 user@sap"

kannst du zwar zwei Tunnel bauen, aber die beiden Tunnel sind dadurch nicht verbunden.Im Gegenteil vermutlich kommt einer davon gar nicht zu Stande.

Mit

Code:

ssh -L 1234:inter:1234 user@inter "ssh -L 1235:sap:1234 user@sap"

bekommst du zwar deinen beiden Tunnel, aber auf inter müsste nun ein Prozess die Daten
von 1234 nach 1235 schieben und umgekehrt. Ob du so einen Prozess hinbekommst weiss ich nicht. Müsste man auf jeden Fall wohl coden.

Bis dann

R"udiger

PS: Das ganze geht nactürlich nur mit ports >1024 es sei den man ist root.

ralf · **Verfasst:** Do 21 April 2005, 11:31:15

Ich hab zwei Rechner im Keller stehen, per ssh erreichbar. Da dachte ich probier's mal ...

Mit den normalen Benutzern ging es nicht, beim aufbauen des zweitens Tunnels wird wegen der "Man in the middle" Attacke gemosert. Schlau dieses ssh.

Es geht aber schon, zumindest das Terminal. Hierfür habe ich bei beiden Rechner allerdings neue Nutzer angelegt, damit dort kein ssh Key hinterlegt ist. Dann geht auch der zweite Tunnel da der Key ja noch nicht abgelegt wurde. Passt also.

Nur X wird nicht durchgetunnelt. Klar, entweder hast du nen X Tunnel zum ersten Rechner, oder einen vom zweiten zum ersten, aber nicht vom zweiten zum Ausgangs-Rechner.

Was geht wenn man gdm am Laufen hat, per XDMCP einen gdm Remote Login auf den Zwischenrechner. Man hat dann "seinen" X11 Destop auf dem Heimrechner und kann wie gewohnt zu den weiteren Maschinen eine Verbindung aufbauen und auch Programme auf die X11 Oberfläche holen. Ist ja praktisch ein Remote Terminal ;-)

mea · **Verfasst:** Do 21 April 2005, 14:28:31

X-Tunnel gehen auch ueber zwei Systeme.
Haben wir in der Firma so am laufen.

1. SSH vom Arbeitsplatz auf zentralen Log-In-Server. (mit putty)
2. SSH vom Log-In-Server auf das Ziel-System (openssh)
3. Starten von X-Anwendung auf Ziel-System liefert output an Arbeitsplatz.

Dabei wird auf dem Log-In-Server mit ssh-add der SSH-Key des entsprechenden Users aktiviert. Das machen wir, damit man vom Log-In-Server aus sich auf die verschiedenen Systeme einloggen kann, ohne jedesmal die Passphrase fuer den Key eingeben zu muessen.

Gruss,

Martin

goetz · **Verfasst:** Do 21 April 2005, 14:46:07

Hallo,

Hintereinander gehängt X11-Tunnel gehen, ebenso hintereinandergehöngte Terminal-Sessions :

Code:

ssh -t user@host1 "ssh user@host2"

logt einen direkt auf host2 ein, den man nur via host1 erreichen kann. Auch X11 l'uft dabei mit sofern ForwardX11 in local:/etc/ssh_config , host1:/etc/ssh_config, host1:/etc/sshd_config und host2:/etc/sshd_config erlaubt ist (die ersten beiden liessen sich auch durch die Option -X ersetzen.

Was aber m.W. nicht geht (oder ich weiss nicht wie) wenn man einen beliebigen anderen Port durchtunneln möchte.

Bis dann

R"udiger

larsi · **Verfasst:** Do 21 April 2005, 18:25:07

Das Problem an der Sache ist nur, dass ich auf dem SAP-Server keinen Account habe - ich kann also im Prinzip gar keinen zweiten Tunnel direkt aufbauen. Hmm, vermutlich geht das ganze doch gar nicht...

Grüße, Lars

larsi · **Verfasst:** Di 26 April 2005, 18:26:34

Ich habe es jetzt doch noch noch hinbekommen, ich benötige sogar nur einen Tunnel:

Code:

ssh -l <username> -L <zu tunnelnder Port>:<IP des SAP Server auf den ich nur über Umwege komme>:<zu tunnelnder Port> <IP des Rechners, zu dem ich Zugang habe>

Das war es schon. Der Tunnel zum SAP Server läuft jetzt über den Rechner, auf den ich Zugang per SSH habe.

Grüße, Lars

goetz · **Verfasst:** Di 26 April 2005, 20:07:59

Hallo,

Dann besteht aber wohl ein direkter Zugriff vom Zwischenhost auf den SAP-Port am SAP-Rechner, also keine FW dazwischen, bzw. nur eine die diesen Port offen hat, oder überseh ich da was?

Bis dann

R"udiger

larsi · **Verfasst:** Mi 27 April 2005, 13:44:53

goetz hat geschrieben:

Hallo,

Dann besteht aber wohl ein direkter Zugriff vom Zwischenhost auf den SAP-Port am SAP-Rechner, also keine FW dazwischen, bzw. nur eine die diesen Port offen hat, oder überseh ich da was?

Bis dann

R"udiger

Ja, das ist so. Ist ja alles innerhalb des deutschen Hochschulnetzes. Wichtig war im Prinzip nur, mit einer IP aus einem bestimmten Adressbereich zu kommen, damit die Verbindungen akzeptiert werden. Und da ich ja mit meinem Rechner von zu Hause keine gültige habe, musste also der Tunnel her. Ich hätte nur nicht gedacht, dass es im Prinzip doch so einfach ist ;-)

Grüße, Lars

PPCNUX / mcnix

SSH Tunnel

Wer ist online?