SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

Aus Zebradem WIKI
Zur Navigation springenZur Suche springen

ZD-Logo.png
Das Board mit Freiheiten





Zebradem AVM Wiki >> Fritzbox Tipps & Tricks >> SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN Magyar, Nederlands, Italiano, English
Community Modelle Freetz Fritzbox Tipps & Tricks

Hardware-Tipps System-Tipps Netzwerk-Tipps Telefonie-Tipps Software-Tipps Sonstige Tipps

Teil 1

Vorwort:

Mit Dropbear im Freetz hat man einen SSH Server. Damit sind einige Sachen möglich wie zB FTP, Konsolensteuerung (Telnet) oder das Tunneln im Inet vom heimischen Netzwerk.

Das besondere daran ist die Tatsache das all dies wegen der Verschlüsselung abhörsicher ist.

In diesem HowTo erkläre ich wie man sich eine sicheren Zugang per SSH mit Key Authentification erstellt, also ein Login auf den Zugang ohne Passwort.

Passwörter/User kombinationen haben den Schwachpunkt das man sie unter Umständen knacken kann. Dies kann mit einem Public/Private Key Pair nicht passieren.

Zudem spart man sich das ständige eingeben der Logindaten. So wird die Nutzung von SSH zu einer angenehmen und bevorzugten Variante für Datenübermittlung und Fernzugriff.

Benötigt:
   WinSCP 
   Putty 
   Puttygen
   Dyn - Adresse für Fritzbox
   Unix Editor, zB Crimson Editor 
   Image mit Dropbear im Freetz


Zuerst erstellen wir uns ein Keypair. Dazu nutzen wir Puttygen.

Tool starten und wie im Bild unten einstellen:

1so.jpg


Dann auf " Generate " Button drücken und die Maus in der freien Fläche bewegen bis der grüne Balken ganz voll ist. So wird ein zufälliger Schlüssel erzeugt.

2so.jpg


Nun den Public und Private Key speichern ( bei Keypassphrase nichts eingeben!). Sicherheitsabfrage beim speichern des Private Key mit ja beantworten.

Die Datei des Public Key nun im Crimson Editor öffnen und wie auf dem Bild markieren und kopieren:

3so.jpg


Nun im Freetz unter Einstellungen / SSH: authorized_keys den gerade kopierten Key nach dem Muster im Bild einfügen:

4so.jpg


Der Key MUSS!! in einer Zeile stehen, also die Zeilenumbrüche entfernen!!

Danach noch auf Übernehmen drücken. Unter Pakete / Dropbear noch "Passwort Login" deaktivieren und "root Login" erlauben.

Den Start von Dropbear auf automatisch stellen und unter Diensten starten.

In der AVM Firewall eine Weiterleitung des Port 22 / TCP auf die Fritzbox erstellen ( Fritz neu starten).

Somit ist die Fritzbox inkl. Freetz schonmal fertig.


Nun geht es mit Putty weiter. Zb auf dem Laptop von dem aus ihr Zugriff auf die Fritz / das LAN haben wollt.

Zuerst wird der Zugriff ohne Inet für Konsole erklärt

Putty starten, IP der Fritzbox sowie Namen zum speichern der Einstellung (hier: Beispiel Config) angeben:

5so.jpg


Unter Data den Auto-Login Username "root" eintragen:

6so.jpg

Bei SSH / Auth das abgespeicherte Private key File (.ppk File) angeben:

7so.jpg


Dann wieder ganz hoch auf Session und die Einstellungen speichern.

Nach einem Klick auf "open" öffnet sich ganz von selbst die Konsole der Fritzbox.

WinSCP erkläre ich nicht Extra, es muss wie Putty eingestellt werden sowie das .ppk File angegeben werden. Ist das gemacht ist Filetransfer per SSH möglich.


Nun wird das Tunneln mittels Putty über das Inet erklärt

Putty öffnen und bei Host die Dyn - Adresse der Fritzbox und Namen zum speichern (hier: SSH Tunnel) eingeben:

8so.jpg


Wieder zu Data / Auto-Login Username und "root" eingeben sowie unter SSH / Auth das .ppk File angeben.

Unter X11 geben wir nun "localhost:0" ein:


Weiter gehts bei "Tunnels".

Hier geben wir nun an unter welchem Localhost-Port ( auf unserem Läppi) welcher Port und welche IP hinter dem Tunnel ereichbar sein soll.

Ein Beispiel:

Unser Port auf dem Läppi soll "8080" sein. Wir wollen das WebIF (Port 80) einer Dbox mit IP 192.168.178.100 erreichen

Bei Source Port geben wir die 8080 ein. Unter Destination die Lan IP der Dbox gefolgt vom Port des Webif, also 80. Auf ADD drücken und die Combi ist übernommen. Nach diesem Muster können beliebige Ziel-IPs/Ports Combis angegeben werden. Jede Combi muss mit ADD übernommen werden.

9so.jpg


Sind alle IPs die ich im LAN per Tunnel erreichen möchte angegeben wieder bei Session das ganze abspeichern.

Ein Klick auf "Open" verbindet wieder auf die Fritzbox.

Wenn man nun im Browser des Läppi " http://localhost:8080 " eingibt, gelangt man über den Tunnel auf das WebIF der Dbox.

Das ganze geht natürlich nur solange Putty geöffnet ist und somit den Tunnel aufrecht erhält.

So können zB auch das CCcam oder Freetz WebIF absolut sicher über das Inet kontrolliert werden.

Es ist nicht mehr nötig andere Ports nach außen zu öffnen ( außer dem CS Port). Da der Zugriff nur per Keydatei erfolgt muss man auch keine Angst haben das jemand den Zugang knackt und empfindliche Daten wie zB Dyn Adressen von CS Peers einsehen kann.


PS: Wenn man Putty und das Keyfile auf einem USB Stick ablegt, ist von jedem beliebigen Rechner aus ein Zugriff via SSH möglich.


Teil 2

Zugriff per Proxy und SSH mit Firefox


Beim Zugriff auf das Fritzbox WebIF kommt es über den Weg der im ersten Post beschrieben ist zu Problemen mit dem Referer, und die Seite des WebIF kann nicht geöffnet werden.

Um das zu umgehen gibt es noch die Möglichkeit seinen Browser mit einem Proxy zu konfigurieren. Wie das geht wird im folgenden erläutert.

Putty öffnen und das Profil der SSH Tunnel laden.

Zu SSH/Tunnels gehen und zB Source Port 9090 mit Dynamic erstellen.

Hier gibt man keine IP an, sondern nur den Port.

In dem Profil sollte ja schon bei Session/ Hostname die Dyn Adresse unserer FritzBox bzw. des SSH Server stehen. Für den Fall das man ein neues Profil erstellt hat das dann noch machen.

Profil danach speichern und weiter geht es im Firefox.

Firefox Einstellungen öffnen, nach --> Erweitert --> Netzwerk --> Verbindung --> Einstellungen wechseln.

Manuelle Proxy-Konfiguration wählen

Bei SOCKS-Host trägt man nun " localhost " ein, und beim Port " 9090 "

Drunter bei Socks wählt man die " v5 " Variante.

Fertig.

Wenn nun die Verbindung mit Putty aufgebaut ist geht jeder Datenverkehr des Browsers durch den SSH Tunnel über die Fritzbox.

Das bedeuted man kann einfach die LAN IP des Routers im Browser eingeben und gelangt über den Tunnel dort hin.

Wenn man den SSH Tunnel schliest muss auch der Proxy wieder deaktiviert werden, da ansonsten keine Seite mehr erreichbar ist.

Um das ganze auch angenehm und komfortabel nutzen zu können kann man sich das Firefox Addon " Quick-Proxy " installieren. Nach erfolgter Installation hat man unten rechts im Rahmen des Browser ein kleines rotes " P ". Nach einem Mausklick auf diesen Button wird selbiger grün und der Proxy ist aktiviert. Nochmaliges drücken deaktiviert den Proxy wieder.

So spart man sich das lästige öffnen der Einstellungen.


Wenn man mehr als eine Fritzbox per Proxy/SSH fernwarten möchte kann man am besten das Addon " FoxyProxy " verwenden. Damit kann man zwischen verschieden Proxys wechseln. Nach der Installation erscheint wieder unten rechts das entsprechende Symbol im Browser. Mit einem Klick der rechten Maustaste darauf wechselt man zwischen den Proxys die zuvor in FoxyProxy konfiguriert wurden.

Wichtige Links