1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

HowTo SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

Dieses Thema im Forum "Anleitungen" wurde erstellt von Osprey, 28. Januar 2013.

  1. Osprey
    Offline

    Osprey Moderator Digital Eliteboard Team

    Registriert:
    30. Dezember 2011
    Beiträge:
    8.797
    Zustimmungen:
    6.489
    Punkte für Erfolge:
    113
    Beruf:
    KFZ-Techniker
    Ort:
    Im wilden Süden
    Vorsicht!
    In dieser Anleitung wird der Standard Port 22 geöffnet im Router für den den SSH-Tunnel. Dieser Port sollte nicht verwendet werden, da ihr sonst Angriffen aus dem Netz zum Opfer fällt!!! Nehmt einen anderen nicht Standard Port.


    Habe mir gedacht, vielleicht haben die User hier auch das Bedürfnis von Unterwegs oder im Urlaub mit dem Handy oder Tablet den oscam Server zuhause zu überprüfen auf eine relativ sichere weise.
    Deshalb mal ein kurzes HowTo wie man mit dem SSH-Tunnel und Android das machen kann. Das Gute daran, damit lässt sich nicht nur oscam überwachen und Änderungen ergänzen, sondern alle Geräte die im Heimnetzwerk sind können bedient werden.
    Was wird benötigt ?

    • OpenWRT auf Router oder ein Debian Server (Pogoplug, Igel, Futro)
    • Android App Connectbot
    • Firefox Browser für Android
    • DNS Account
    [HR][/HR]
    1 - Anleitung für Zugang über den openWRT Router.
    Am einfachsten ist wenn ihr die Firmware aus dem „zum Gleichessen“ vom derdigge habt.
    Wir gehen ins Web IF vom Router auf den Reiter System -> Administration .
    Dort steht euer SSH Port. Standart ist 22. Sollte so aussehen :

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Den Anhang 68815 betrachten

    Speichern und Anwenden.
    Jetzt zum Reiter Netzwerk -> Firewall -> Verkehrsregeln
    dort erstellen wir eine neue Regel mit Bsp. Namen ssh. Den Port 22 aus dem WAN Bereich weiterleiten in den Router.

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    Den Anhang 68816 betrachten
    Speichern und Abschließen. Am besten jetzt den Router Neustarten.
    [HR][/HR]
    Anleitung für Linux Server (Pogoplug,Thin Client)
    In unserem Router machen wir uns eine Portweiterleitung zu unserem Linux Server an den Port 22. Bsp. Vom Internet öffnen wir den Port 443 und leiten den weiter an den Port 22 unseres Servers.

    [HR][/HR]

    Jetzt gehen wir zum Google Play Store mit unserem Android Gerät und laden uns Connectbot und Firefox runter.
    Wir starten Connectbot und richten uns den ssh-tunnel Zugang ein.
    Im Dropdown Fenster auf ssh lassen und nebendran euren Benutzer@DNS Adresse eingeben : ssh Port
    Bsp.: root@dasist.mein.dyndns:22
    Nun machen wir noch eine Portweiterleitung in Connectbot : Edit Port Forwarding und nehmen den Type Dynamic (SOCKS) und als Port Bsp. 8080.
    Jetzt könnt Ihr mal ein Verbindungstest machen. Ihr werdet nach einem Passwort gefragt, das ist euer Router Passwort bzw. euer root Passwort vom Server. Und voilà!
    Den Anhang 68817 betrachten

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    Zum Verlassen gebt exit ein.

    So wir starten Firefox und geben in die Suchleiste : about:config ein.
    Jetzt suchen wir nach „Proxy“ und geben es ein .
    In der Liste die sich öffnet suchen und ändern wir folgende Parameter:

    network.proxy.socks 127.0.0.1
    network.proxy.socks_port 8080 (oder den Port den Ihr gewählt habt im connectbot)
    network.proxy.socks_remote_dns true
    network.proxy.socks_version 4
    network.proxy.type 1



    Jetzt kommt der große Moment:
    Wir sind im Mobilfunknetz.
    Startet connectbot und verbindet euch per ssh-tunnel mit eueren Server zuhause.
    Startet Firefox und gebt eure oscam WebIF Adresse oben ein. Bsp. 192.168.1.1:8888
    Und ihr seht was? :)
    Genauso gebt die ip eures Receiver oben ein. Bsp. 192.168.1.115 und es öffnet sich das WebIF vom Reci…….oder Waschmaschiene oder was weiß ich was ihr noch daheim habt....WebCam (ist die Frau anständig?)...
    Alles was zuhause ist und ein Web Interface hat, könnt ihr anwählen.

    Ehre wem Ehre gebührt……,
    das ganze ist nicht auf meinem Mist gewachsen, sonder habe ich auch im Internet gefunden……

    Viel Spass mit dem ssh-tunnel
    LG
    Osprey
     
    Zuletzt bearbeitet: 8. Oktober 2013
    #1
    Theo0984, schetin, weclipse und 10 anderen gefällt das.
  2. phantom

    Nervigen User Advertisement

  3. 0800555333
    Offline

    0800555333 Hacker

    Registriert:
    9. Juli 2013
    Beiträge:
    327
    Zustimmungen:
    367
    Punkte für Erfolge:
    0
    AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

    ihr solltet bei port weiterleitungen niemals standard ports verwenden sonst habt ihr sehr schnell "intruder alert"s also eindringlings oder hack versuche



    besser wäre für die "ports von aussen" irgend was willkürliches zu nutzen - denkt euch irgend was aus und wenn es 1234 ist (hauptsache nicht über 65535)


    warum:

    es gibt unzählige automatisierte programme die im internet tag ein tag aus vollständige adressbereiche ( 1.x.x.x bis 2.x.x.x usw ) scannen und dabei nach potenziell gefährdeten rechnern suchen.

    wobei meistens (nicht immer) nur die allgemein bekannten (standard) ports überprüft werden, aber wenn in den mehr seltenen fällen ein non-standard port als offen entdeckt wird, weiss derjenige zunächst noch nicht welcher dienst sich dahinter verbirgt..
    das erfordert dann eine genauere überprüfung und das wiederum erfordert das passende protokoll für den jeweiligen dienst also müssen etliche protokolle durch probiert werden bis der richtige gefunden wurde aber das dauert meist zu lange weswegen darauf verzichtet wird..

    wenn aber ein stanard port genutzt wurde, vermutet man einfach mal das auf zB port 22 SSH läuft und versucht sich dann auch sofort mit dem ssh/ssh2 protokoll zu verbinden und voilà! muss man nur noch die zugangsdaten bruteforcen um zugang zu kriegen oder entdeckt vielleicht sogar eine schwachstelle die ausgenutzt werden kann usw
     
    Zuletzt bearbeitet: 24. Juli 2013
    #2
    axfa77, schetin und Osprey gefällt das.
  4. axfa77
    Offline

    axfa77 Moderator Digital Eliteboard Team

    Registriert:
    9. September 2011
    Beiträge:
    5.817
    Zustimmungen:
    8.170
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Ruhrpott
    AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

    Hi,

    im Grunde genommen ist das so am sichersten.

    Ich z.B. lasse den SSH-Server (DD-WRT) auf Port 443 lauschen.

    Somit kann man nämlich prima aus einer Firmenfirewall ausbrechen (https meistens nicht gesperrt) und verschlüsselt surfen / auf sein Heimnetzwerk zugreifen.

    Das lässt sich wunderbar erschweren, indem man den root-Login verbietet und mit sudo oder su - arbeitet.
    Somit muss nicht nur das root-PW "gebruteforced" werden, sondern User UND Passwort. :dfingers:
    Dabei wünsche ich einem Skriptkiddie VIEL SPAß...

    Gruß
     
    #3
    0800555333 gefällt das.
  5. Osprey
    Offline

    Osprey Moderator Digital Eliteboard Team

    Registriert:
    30. Dezember 2011
    Beiträge:
    8.797
    Zustimmungen:
    6.489
    Punkte für Erfolge:
    113
    Beruf:
    KFZ-Techniker
    Ort:
    Im wilden Süden
    AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

    Kleiner Auszug aus dem Buch Debian einrichten und administrieren über den Port 443 :
    Wenn Sie mit dieser Methode in Ihrer Firma eine Firewall aushebeln wol-len, um so heimlich Daten hinein- und hinauszuschaffen, könnte dies derAdministrator weniger spaßig finden als Sie. Spätestens, wenn der Personalchefan der Diskussion beteiligt wird, könnte es sein, dass auch Sieselbst es nicht mehr lustig finden. Falls Sie selbst der Administrator sind,werden Sie spätestens hier merken, dass eine Firewall niemals wirklichdicht ist. :)
     
    #4
    0800555333 und axfa77 gefällt das.
  6. axfa77
    Offline

    axfa77 Moderator Digital Eliteboard Team

    Registriert:
    9. September 2011
    Beiträge:
    5.817
    Zustimmungen:
    8.170
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Ruhrpott
    AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

    Hi,

    ich nutze das ausschließlich zum surfen, weil z.B. ebay gesperrt ist.
    (Also nicht um Firmendaten nach Hause zu Kopieren.)

    Ich meine gelesen zu Haben, daß die Sache sogar absolut abhörsicher ist.

    Man untergräbt so natürlich (zumindest unsere) IT-Richtlinie, ja.

    Nur wie soll das einer der Administratoren rausfinden, geschweige denn "beweisen"?

    Gruß

    PS: Ich denke das höchste der Gefühle wird dann wohl eine Abmahnung sein, bzw. der "erhobene Zeigefinger"...
     
    #5
  7. 0800555333
    Offline

    0800555333 Hacker

    Registriert:
    9. Juli 2013
    Beiträge:
    327
    Zustimmungen:
    367
    Punkte für Erfolge:
    0
    AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

    das wiederum ist nicht mehr so sicher da allgemein standard ports gescannt werden dh demjenigen wird dann angezeigt "der standard https port ist offen" und wenn er von der gründlichen sorte is folgt anschliesend eine überprüfung des protokolls usw

    am sichersten ist es wenn man sich ausserhalb der norm aufhällt, also ports verwendet die nicht allgemein bekannt sind.. auf 222 läuft zum beispiel offiziel kein dienst also würde ein angreifer diesen port auch nicht einfach so prüfen (aber um anschliesenden diskusionen voruzgreifen: ja, natürlich kann man auch jeden einzelnen port von 1-65535 durch scannen..)

    wie Osprey schon erwähnt hat ist das nur in den seltesten fällen klug..
    herausfinden geht super einfach - in den meisten firmen sitzt ein Admin der auf sowas achtet und weiss wie er sehen kann ob über 443 tatsächlich das https oder doch ssh protokoll genutzt wird..
    wenn das heraus kommt ist das ein fristloser kündigungs grund also vorsicht!
    dabei spielt es keine rolle wofür das genutzt wurde - das bestimmte seiten gesperrt sind hat durchaus seine berechtigten gründe aber du versuchst diese vorgabe zu umgehen und betrügst somit deinen chef



    ja das stimmt natürlich - zwei oder mehrere verschiedene dinge herrausfinden zu müssen ist immer mehr auf wand als nur eines :)
     
    #6
    axfa77 gefällt das.
  8. axfa77
    Offline

    axfa77 Moderator Digital Eliteboard Team

    Registriert:
    9. September 2011
    Beiträge:
    5.817
    Zustimmungen:
    8.170
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Ruhrpott
    AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

    Der Admin sieht doch "nur" eine Dauerverbindung zu meinem Server, zu dem eine https-Verbindung aufgebaut wird, richtig?

    Mich würde mal interessieren, wie er das rausbekommen will / kann?

    Er sollte selbst mit Wireshark etc. nur "Datenmüll" sehen in Blowfish-Verschlüsselung.

    WAS ich dann durch den Tunnel stopfe (

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    ) etc., kann er nicht sehen, richtig?
     
    #7
  9. Osprey
    Offline

    Osprey Moderator Digital Eliteboard Team

    Registriert:
    30. Dezember 2011
    Beiträge:
    8.797
    Zustimmungen:
    6.489
    Punkte für Erfolge:
    113
    Beruf:
    KFZ-Techniker
    Ort:
    Im wilden Süden
    AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

    Die können sehen was gerade auf deinem Bildschirm ist, wenn sie möchten. Das ist mir auch zu heikl. Während der Arbeitszeit ist das DEB und Ebay nur über mein Handy abzurufen im Vodafone Netz ;) das Risiko wäre es mir nicht Wert. LG Osprey
     
    #8
    axfa77 und 0800555333 gefällt das.
  10. 0800555333
    Offline

    0800555333 Hacker

    Registriert:
    9. Juli 2013
    Beiträge:
    327
    Zustimmungen:
    367
    Punkte für Erfolge:
    0
    AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

    nein.

    was macht es denn zu einer https verbindung? -> nicht der port sondern das protokoll!


    er würde also sehen das eine dauerhafte ssh verbindung zu einem fremden server aktiv ist und alleine das sollte die alarmglocken aufschrillen lassen

    indem du informatik und netzwerktechnik studierst :)

    ja, WAS übertragen wird ist verschlüsselt - aber darum geht es in erster linie gar nicht..

    versetz dich mal in die lage des Admins.. was sieht er und was könnte das bedeuten was er da sieht?
    eine dauerhafte verbindung ist zunächst schon mal ziemlich ungewöhnlich
    wohin ist die verbindung? hm den telekom anschluss kenn ich gar nicht .. und dann auch noch ein privater *kopfkratz*
    beim genaueren betrachten sieht er ausserdem dass das garnicht https ist sondern ssh, obwohl in der firma der port 443 genutzt wird - und ab da sollte er hellhörig werden
    usw usw usw


    wobei 128-bit auch nicht sooo schwer zu knacken ist...

    es ist aber nicht zwangsläufig Blowfish, nur mal so nebenbei erwähnt :)
    standardmässig wird AES mit einer schlüssellänge von 128-bit verwendet. es werden aber auch 3DES, Blowfish, Twofish, CAST, IDEA, Arcfour und SEED mit anderen schlüssellängen unterstützt

    dazu kommt aber auch das ssh-1 durchaus sehr einfach auszuspähen geht, also nur bei ssh-2 ist es derart schwer das sich der aufwand meist nicht lohnt
     
    Zuletzt bearbeitet: 24. Juli 2013
    #9
    Osprey und axfa77 gefällt das.
  11. axfa77
    Offline

    axfa77 Moderator Digital Eliteboard Team

    Registriert:
    9. September 2011
    Beiträge:
    5.817
    Zustimmungen:
    8.170
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Ruhrpott
    AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

    Na da würde ich sagen daß das wohl noch mehr gegen die IT-Richtlinien verstösst.

    Ich war vorher selber Systemadministrator in der Firma, da gab es wohl unter "Novell Console One" einen Button, womit man das machen konnte, ja.

    Ist aber ohne begründeten Verdacht und ohne Einverständniserklärung des Betriebsrates + Personalabteilung STRENGSTENS verboten.
    Genauso wie zu überwachen, was der Arbeitnehmer im Internet treibt.

    Da muss es schon in Richtung Rechtsradikalismus, Kinderpornografie etc. am Arbeitsplatz gehen.

    PS: Mit dem Iphone und E-Plus hab ich bescheidenen Empfang auf der Arbeit ;-)
     
    Zuletzt bearbeitet: 24. Juli 2013
    #10
  12. 0800555333
    Offline

    0800555333 Hacker

    Registriert:
    9. Juli 2013
    Beiträge:
    327
    Zustimmungen:
    367
    Punkte für Erfolge:
    0
    AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

    doch, wenn du zugriff auf einen internet fähigen rechner hast ist der arbeitgeber durchaus berechtigt deine internet aktivitäten zu überwachen
    selbst die nutzung deines email verkehrs ist er berechtigt zu überwachen, um ausschliesen zu können das du nicht wärend deiner arbeitszeit irgendwas privates machst..


    vielleicht wird das in deine firma nicht so ernst genommen oder die IT abteilung hat nicht allzuviel ahnung (kommt leider öfter vor, auch in grossen firmen usw), aber man sollte das nicht unterschätzen und lieber etwas mehr vorsicht walten lassen - arbeitslos ist man schneller als ne neue arbeit zu finden
     
    #11
    axfa77 gefällt das.
  13. axfa77
    Offline

    axfa77 Moderator Digital Eliteboard Team

    Registriert:
    9. September 2011
    Beiträge:
    5.817
    Zustimmungen:
    8.170
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Ruhrpott
    AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

    Nochmal ich,

    Frage an die Experten: Wie könnte man das schlauer realisieren?

    Ich möchte ganz einfach nicht, daß irgend jemand mein Surfverhalten kontrolliert.

    Danke!
     
    #12
  14. Osprey
    Offline

    Osprey Moderator Digital Eliteboard Team

    Registriert:
    30. Dezember 2011
    Beiträge:
    8.797
    Zustimmungen:
    6.489
    Punkte für Erfolge:
    113
    Beruf:
    KFZ-Techniker
    Ort:
    Im wilden Süden
    AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

    Bin zwar kein Experte aber denke um am Arbeitsplatz privat Geschäfte zu erledigen mit allen Freiheiten die man will, sollte man sich Selbständig machen. Dein Arbeitgeber hat nicht ohne Grund ein Schutz eingekauft für eBay. ..usw. Er bezahlt dich auch damit du deine Arbeitsleistung ihm bringst, und nicht dafür mit seinem PC im Internet zu surfen. Was denkst du wenn das jeder so machen würde? Standort Deutschland!
     
    #13
    Pilot gefällt das.
  15. axfa77
    Offline

    axfa77 Moderator Digital Eliteboard Team

    Registriert:
    9. September 2011
    Beiträge:
    5.817
    Zustimmungen:
    8.170
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Ruhrpott
    AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

    Ich erkäre es mal so:

    Ich arbeite im Service, dort hast Du entweder richtig was zu tun, oder eben Leerlauf.

    Dann zu surfen ist bei uns schon OK.

    Aber gut, lassen wir das.

    Gruß
     
    #14
  16. Theo0984
    Offline

    Theo0984 Ist oft hier

    Registriert:
    19. Januar 2012
    Beiträge:
    161
    Zustimmungen:
    36
    Punkte für Erfolge:
    28
    AW: SSH-Tunnel mit Android auf openWRT Router ins Heimnetzwerk

    Nabend zusammen.

    Hab das bei mir soweit eingerichtet und läuft auch prima.

    Meine Frage ist ob ich das ganze auch mit public key realisieren kann,was die Sache ja noch sicherer und komfortabler machen würde.

    Danke im voraus
     
    #15

Diese Seite empfehlen