SSH und Freetz, Beispiele für abhörsicheren Zugriff über Inet auf Fritzbox/LAN

Aus Zebradem WIKI
Zur Navigation springenZur Suche springen

Vorwort:

Mit Dropbear im Freetz hat man einen SSH Server. Damit sind einige Sachen möglich wie zB FTP, Konsolensteuerung (Telnet) oder das Tunneln im Inet vom heimischen Netzwerk.

Das besondere daran ist die Tatsache das all dies wegen der Verschlüsselung abhörsicher ist.

In diesem HowTo erkläre ich wie man sich eine sicheren Zugang per SSH mit Key Authentification erstellt, also ein Login auf den Zugang ohne Passwort.

Passwörter/User kombinationen haben den Schwachpunkt das man sie unter Umständen knacken kann. Dies kann mit einem Public/Private Key Pair nicht passieren.

Zudem spart man sich das ständige eingeben der Logindaten. So wird die Nutzung von SSH zu einer angenehmen und bevorzugten Variante für Datenübermittlung und Fernzugriff.

Benötigt:
   WinSCP 
   Putty 
   Puttygen
   Dyn - Adresse für Fritzbox
   Unix Editor, zB Crimson Editor 
   Image mit Dropbear im Freetz


Zuerst erstellen wir uns ein Keypair. Dazu nutzen wir Puttygen.

Tool starten und wie im Bild unten einstellen:


Dann auf " Generate " Button drücken und die Maus in der freien Fläche bewegen bis der grüne Balken ganz voll ist. So wird ein zufälliger Schlüssel erzeugt.


Nun den Public und Private Key speichern ( bei Keypassphrase nichts eingeben!). Sicherheitsabfrage beim speichern des Private Key mit ja beantworten.

Die Datei des Public Key nun im Crimson Editor öffnen und wie auf dem Bild markieren und kopieren:


Nun im Freetz unter Einstellungen / SSH: authorized_keys den gerade kopierten Key nach dem Muster im Bild einfügen:


Der Key MUSS!! in einer Zeile stehen, also die Zeilenumbrüche entfernen!!

Danach noch auf Übernehmen drücken. Unter Pakete / Dropbear noch "Passwort Login" deaktivieren und "root Login" erlauben.

Den Start von Dropbear auf automatisch stellen und unter Diensten starten.

In der AVM Firewall eine Weiterleitung des Port 22 / TCP auf die Fritzbox erstellen ( Fritz neu starten).

Somit ist die Fritzbox inkl. Freetz schonmal fertig.


Nun geht es mit Putty weiter. Zb auf dem Laptop von dem aus ihr Zugriff auf die Fritz / das LAN haben wollt.

Zuerst wird der Zugriff ohne Inet für Konsole erklärt

Putty starten, IP der Fritzbox sowie Namen zum speichern der Einstellung (hier: Beispiel Config) angeben:


Unter Data den Auto-Login Username "root" eintragen:


Bei SSH / Auth das abgespeicherte Private key File (.ppk File) angeben:


Dann wieder ganz hoch auf Session und die Einstellungen speichern.

Nach einem Klick auf "open" öffnet sich ganz von selbst die Konsole der Fritzbox.

WinSCP erkläre ich nicht Extra, es muss wie Putty eingestellt werden sowie das .ppk File angegeben werden. Ist das gemacht ist Filetransfer per SSH möglich.


Nun wird das Tunneln mittels Putty über das Inet erklärt

Putty öffnen und bei Host die Dyn - Adresse der Fritzbox und Namen zum speichern (hier: SSH Tunnel) eingeben:


Wieder zu Data / Auto-Login Username und "root" eingeben sowie unter SSH / Auth das .ppk File angeben.

Unter X11 geben wir nun "localhost:0" ein:


Weiter gehts bei "Tunnels".

Hier geben wir nun an unter welchem Localhost-Port ( auf unserem Läppi) welcher Port und welche IP hinter dem Tunnel ereichbar sein soll.

Ein Beispiel:

Unser Port auf dem Läppi soll "8080" sein. Wir wollen das WebIF (Port 80) einer Dbox mit IP 192.168.178.100 erreichen

Bei Source Port geben wir die 8080 ein. Unter Destination die Lan IP der Dbox gefolgt vom Port des Webif, also 80. Auf ADD drücken und die Combi ist übernommen. Nach diesem Muster können beliebige Ziel-IPs/Ports Combis angegeben werden. Jede Combi muss mit ADD übernommen werden.


Sind alle IPs die ich im LAN per Tunnel erreichen möchte angegeben wieder bei Session das ganze abspeichern.

Ein Klick auf "Open" verbindet wieder auf die Fritzbox.

Wenn man nun im Browser des Läppi " http://localhost:8080 " eingibt, gelangt man über den Tunnel auf das WebIF der Dbox.

Das ganze geht natürlich nur solange Putty geöffnet ist und somit den Tunnel aufrecht erhält.

So können zB auch das CCcam oder Freetz WebIF absolut sicher über das Inet kontrolliert werden.

Es ist nicht mehr nötig andere Ports nach außen zu öffnen ( außer dem CS Port). Da der Zugriff nur per Keydatei erfolgt muss man auch keine Angst haben das jemand den Zugang knackt und empfindliche Daten wie zB Dyn Adressen von CS Peers einsehen kann.

Bei Fragen einfach hier posten, sollte aber eigentlich alles erklärt sein.

Viel Erfolg...

PS: Wenn man Putty und das Keyfile auf einem USB Stick ablegt, ist von jedem beliebigen Rechner aus ein Zugriff via SSH möglich.