.:. Vielen Dank an KiWi, Susi37, Nic67, Liesa44,
Jumpa, HeMu, welche uns kürzlich finanziell unterstützt haben. .:.
|
+ Portal-Navigation + |
|
|
|
|
Raspberry PI - SSH Tunnel mit dem Raspi einrichten für unterwegs
|
|
Pfiffikus
|
FT-Nutzer
6.947 geschriebene Beiträge
|
|
Wohnort: Debschwitz
|
21.03.2021 ~ 15:33 Uhr ~ Pfiffikus schreibt:
|
|
|
|
im Forum Thüringen seit: 06.04.2006
1397 erhaltene Danksagungen
|
|
|
Raspberry PI - SSH Tunnel mit dem Raspi einrichten für unterwegs |
Beitrag Kennung: 1021731
|
|
|
|
Unser Raspi kann in jedem Hause noch eine ganz wichtige Funktion erfüllen: Er kann als strenger und sicherer Pförtner in unserem Netzwerk dienen, um uns von unterwegs Zugang zu allen heimischen Geräten ermöglichen. Es wird in der weiten Welt des Internets ein verschlüsselter Tunnel zwischen unserem Aufenthaltsort in der Ferne und unserem Heimnetz gegraben. Dieser funktioniert so ähnlich, wie ein VPN.
Zum Beispiel könnten in unserem Beispielhaushalt diese Geräte mit den jeweiligen IPs und Ports installiert sein, deren Nutzung von unterwegs erforderlich werden könnte.
- eine Netzwerkfestplatte 192.168.1.60, Port 22,
- ein Drucker 192.168.1.61, Port 4000,
- eine Kamera 192.168.1.62, Port 80,
- ein Raspi mit Steuerfunktionen 192.168.1.50, Port 80 und 22,
(sicherheitsrelevant, Angreifer könnten ja irgendwelche Dinge unbefugt abschalten)
So geht man Schritt für Schritt vor:
(Wer bereits einen Raspi betreibt, kann die ersten Schritte total überspringen, weil schon erledigt.)
- Man kauft sich einen Raspi und installiert Raspbian. Für Anfänger hält der Handel Startersets bereit.
- RaspberryPi
- Netzteil
- SD-Karte (4GB reichen vollends für einen Pförtner)
- Gehäuse (optional)
- (Ein HDMI-Kabel braucht man nur für die Ersteinrichtung - es liegt wahrscheinlich zu Hause schon eins herum.)
(Wer bereits einen Raspi im Haushalt (zum Beispiel als Pi-Hole) betreibt, kann diesen als Pförtner missbrauchen, jedoch geht ein wenig der versprochenen Sicherheit verloren.)
- Der Pförtner sollte aus Performancegründen mittels LAN an der Fritzbox bzw. am Router angeschlossen werden. Zur Not kann man auch WLAN verwenden.
Im Rahmen der Erstinstallation legt man ein wirklich sehr starkes Kennwort für den Benutzer pi fest. Mit der Sicherheit dieses Kennworts ist die Sicherheit der Pförtnerdienste verbunden!!!
Weiterhin ist in den erweiterten Einstellungen von raspi-config SSH zu aktivieren.
Das ist schon alles, was man am Pförtner-Raspi konfigurieren muss. Irgendwo hinter einem Schrank platzieren, einschalten und vergessen. Wir müssen eine ganze Weile nicht wieder an diesen Raspi ran. Bedienhandlungen können ja jederzeit über das Heimnetzwerk oder durch unseren Tunnel vorgenommen werden.
- In der Fritzbox bzw. im Router legt man fest, dass der Pförtner eine feste IP zugewiesen bekommt. Das haben wir beim Pi-Hole-Raspi ja auch schon so gehandhabt. in unserem Beispiel geben wir ihm die 192.168.1.55.
Nachdem das erledigt ist, richten wir eine Freigabe ein. Der Port 22 des Pförtners soll auf dem externen Port 47111 freigegeben werden. Weitere Freigaben werden wir nicht mehr brauchen.
Wie das bei Eurem Gerät zu erledigen ist, entnehmt bitte der Beschreibung Eurer Fritzbox oder Eures Routers.
- Wer sein Heimnetz weltweit wiederfinden möchte, braucht eine dynamische Adresse mittels MyFritz oder mittels https://www.selfhost.de oder anderem Anbieter. Für deren Einrichtung kann man leicht verschiedene deutschsprachige Anleitungen googeln.
Damit sind wir mit den Vorbereitungen fertig, die vor der Abreise zu erledigen sind. Es geht weiter mit den Arbeiten auf dem Notebook, welches wir im Hotel verwenden möchten.
- Auf unserem Notebook mit Windows haben wir putty installiert, welches wir ohnehin öfters mal für den Raspi verwenden. Notfalls wird es schnell installiert. Ist ein Linux installiert, brauch man natürlich kein putty.
- Verbindung für den Pförtner einrichten und speichern. In der Abbildung habe ich rote Nummern eingetragen, in welcher Reihenfolge man wohin klickt und Eingaben vorznehmen hat. Natürlich tragt Ihr Eure eigene Adresse und Portnummer ein.
(Gegen einen Test der gespeicherten Verbindung ist an dieser Stelle nichts einzuwenden. Jetzt könnte man schon den Pförtner auf der Konsole fernbedienen. Durch die Eingabe von "exit" trenne wir die Testverbindung wieder.)
- Putty erneut starten,
- Tunnel anklicken,
- Klick auf "Load".
- Links im Menü klick auf "Connection", "SSH" und "Tunnels"
- Für den o.g. Netzwerkdrucker geben wir Source: "4000" und Destination "192.168.1.61:4000" ein.
- Klick auf "Add".
- Links ganz oben auf "Session" klicken. Dort Klick auf "Save".
- Herstellung der Verbindung mittels "Open", Eingabe der Login-Daten.
- Der Drucker sollte sich ab sofort wie ein lokal installierter Drucker nutzen lassen, auch wenn er in der Fritzbox nicht freigegeben ist.
- Vorigen Schritt für alle weiteren freizugebenden Geräte wiederholen. Für die Kamera geben wir ein:
Source: "22280" (oder eine andere selbst gewählte Zahl, die nicht geheim sein muss) und Destination "192.168.1.62:80"
Im Browser kann man ab sofort den Garten betrachten. Adresse: http://localhost:22280
- Für die Steuerung geben wir ein:
Source: "22250" (oder eine andere selbst gewählte Zahl, die nicht geheim sein muss) und Destination "192.168.1.50:80"
Im Browser kann man ab sofort die Geräte steuern. Adresse: http://localhost:22250
- Für die Netzwerkfestplatte geben wir ein:
Source: "22222" (oder eine andere selbst gewählte Zahl, die nicht geheim sein muss) und Destination "192.168.1.60:22".
In WinSCP haben wir ab sofort Zugriff auf die Festplatte, als Server gibt man "localhost" und als Port die 22222 an.
- Fällt mir unterwegs ein, dass ich den Tunnel für ein Gerät noch vergessen habe, kann man das getrost noch von unterwegs ergänzen, denn weder am Pförtner, noch am Router sind noch Konfigurationen erforderlich.
Putty sammelt alle beabsichtigten Freigaben in dieser Liste. Hier ein Ausschnitt:
Die Daten werden auf unserem Laptop von putty verschlüsselt und in dieser verschlüsselten Form übertragen. Selbst wenn wir den Tunnel in einem Hotelnetz oder im Gratis-Netz beim FastFood graben, gewöhnliche Schnüffler haben keine Chance, Daten oder Kennwörter aus der Verbindung abzugreifen.
Erst der Pförtner entschlüsselt die Kommunikation wieder, um sie innerhalb des Heimnetzes im Klartext zu den Endgeräten zu übertragen.
Pfiffikus,
der Euch damit einen Zusatznutzen für Euren Raspi vorstellen will
|
|
|
|
|
|
|
|
| |
| |
|