aus dem Thread W_LAN im Brett Netzwerke hat sich der Gedanke ergeben, statt einer mehr oder weniger proprietären VPN-Verbindung einen SSH-Tunnel zu benutzen, mit dem Vorteil, daß man hier weitestgehend standardisiert und plattformübergreifend arbeiten kann.
Abgesehen von Performancegründen, die unter Hochlast dagegen sprechen könnten, stelle ich als SSH-nur-mäßig-Bewanderter die Frage:
Ist es nicht so, daß man bei einer solchen Implementation jeden Port einzeln konfigurieren müsste? In dem Fall würde man sich ja in der Zahl der benutzbaren Dienste doch stark einschränken. Würde FTP bspw. dann überhaupt noch funktionieren? Ist es möglich, IP-over-SSH zu sprechen? Oder müsste man dafür irgendein anders Tunneling-Protokoll zur Hilfe nehmen?
aus dem Thread W_LAN im Brett Netzwerke hat sich der Gedanke
ergeben, statt einer mehr oder weniger proprietären
VPN-Verbindung einen SSH-Tunnel zu benutzen, mit dem Vorteil,
daß man hier weitestgehend standardisiert und
plattformübergreifend arbeiten kann.
Abgesehen von Performancegründen, die unter Hochlast dagegen
sprechen könnten, stelle ich als SSH-nur-mäßig-Bewanderter die
Frage:
Ist es nicht so, daß man bei einer solchen Implementation
jeden Port einzeln konfigurieren müsste?
Ja, das stimmt…
In dem Fall würde man
sich ja in der Zahl der benutzbaren Dienste doch stark
einschränken.
Why that?
Würde FTP bspw. dann überhaupt noch
funktionieren?
ja, klar, wenn man den FTP-Port tunnelt.
Man kann auch z.B. VNC tunneln, hab ich schonmal gemacht.
Ist es möglich, IP-over-SSH zu sprechen?
Hä?
Oder
müsste man dafür irgendein anders Tunneling-Protokoll zur
Hilfe nehmen?
Apropos: Es gibt nocht ein Tunneling-Protokoll, was ich sehr gut finde, da es nur über einen TCP-Port geht, egal wieviele Ports man weiterleitet.
es heißt zebedee http://www.winton.org.uk/zebedee/
Gruß,
Sebastian
PS: Es kann sogar UDP-Ports und Verschlüsslung
PPS: Du kannst ja das nehmen und dann z.B. den einen Port über ssh laufen lassen
aus dem Thread W_LAN im Brett Netzwerke hat sich der Gedanke
ergeben, statt einer mehr oder weniger proprietären
VPN-Verbindung einen SSH-Tunnel zu benutzen, mit dem Vorteil,
daß man hier weitestgehend standardisiert und
plattformübergreifend arbeiten kann.
Abgesehen von Performancegründen, die unter Hochlast dagegen
sprechen könnten, stelle ich als SSH-nur-mäßig-Bewanderter die
Frage:
Ist es nicht so, daß man bei einer solchen Implementation
jeden Port einzeln konfigurieren müsste?
Ja, das stimmt…
In dem Fall würde man
sich ja in der Zahl der benutzbaren Dienste doch stark
einschränken.
Why that?
Würde FTP bspw. dann überhaupt noch
funktionieren?
ja, klar, wenn man den FTP-Port tunnelt.
Okay, aber der der Datenkanal wird doch dynamisch vom Server geöffnet.
Davon ab müsste man bei mehreren Clients und mehreren Diensten eine ganze Reihe von SSH Instanzen laufen lassen, oder?
Man kann auch z.B. VNC tunneln, hab ich schonmal gemacht.
Ist es möglich, IP-over-SSH zu sprechen?
Hä?
Oder
müsste man dafür irgendein anders Tunneling-Protokoll zur
Hilfe nehmen?
Apropos: Es gibt nocht ein Tunneling-Protokoll, was ich sehr
gut finde, da es nur über einen TCP-Port geht, egal wieviele
Ports man weiterleitet.
es heißt zebedee http://www.winton.org.uk/zebedee/
Würde FTP bspw. dann überhaupt noch
funktionieren?
ja, klar, wenn man den FTP-Port tunnelt.
Okay, aber der der Datenkanal wird doch dynamisch vom Server
geöffnet.
Ja, klar.
Davon ab müsste man bei mehreren Clients und mehreren Diensten
eine ganze Reihe von SSH Instanzen laufen lassen, oder?
Da ich jetzt nicht weiß, worauf du hinauswillst, beschreibe ich jetzt Mal den Vorgang der Verbindungsaufnahme mit dem Server.
Man stellt einen SSH-Tunnel mit dem Server her.
Dabei wird auf dem Server automatisch eine neue SSH-Instanz erstellt.
Dann macht man einen FTP auf localhost. Da der SSH-Client durch den Tunnel alles schickt, was auf der Server-oder Clientseite auf den Port geschickt wird, „denkt“ der FTP-Server (der jetzt mal auf dem SSH-Server mit läuft), dass von localhost verbunden wurde. Der Client denkt, dass der Server auf dem selben Recher wie der Client läuft…
Mit anderen Worten: Es können beliebig viele Clients gleichzeitig auf den Server zugreifen.
aus dem Thread W_LAN im Brett Netzwerke hat sich der Gedanke
ergeben, statt einer mehr oder weniger proprietären
VPN-Verbindung einen SSH-Tunnel zu benutzen, mit dem Vorteil,
daß man hier weitestgehend standardisiert und
plattformübergreifend arbeiten kann.
Abgesehen von Performancegründen, die unter Hochlast dagegen
sprechen könnten, stelle ich als SSH-nur-mäßig-Bewanderter die
Frage:
Ist es nicht so, daß man bei einer solchen Implementation
jeden Port einzeln konfigurieren müsste?
Du mußt jeden Datenstom einzeln tunneln. Wenn Du Datenströme nach Ports sortierst eben jeden Port einzeln. Der Vorschlag im W-Lan war ja, PPP über SSH zu tunneln, was ziemlich transparent wird.
In dem Fall würde man
sich ja in der Zahl der benutzbaren Dienste doch stark
einschränken.
Why that?
Weil manche Dienste extrem miserabel über SSH tunnelbat sind. FTP ist schon ätzend genug, aber mit NFS wirst Du vermutlich endgültig reihern.
Würde FTP bspw. dann überhaupt noch
funktionieren?
ja, klar, wenn man den FTP-Port tunnelt.
Das ird aber ein wüster Hack…
Man kann auch z.B. VNC tunneln, hab ich schonmal gemacht.
Akzeptiert. (Auch wenn PPPoEoSSH ziemlich pervers aussieht!)
Wobei man sich ja damit aus jeglichem LAN aussperrt, sprich für einen Internetzugang ne tolle Sache, aber für integriertes Arbeiten im lokalen Netz PLUS Internet mehr weniger geeignet?
Akzeptiert. (Auch wenn PPPoEoSSH ziemlich pervers aussieht!)
War nicht übertrieben ernst gemeint mit PPPoEoSSH…
Wobei man sich ja damit aus jeglichem LAN aussperrt, sprich
für einen Internetzugang ne tolle Sache, aber für integriertes
Arbeiten im lokalen Netz PLUS Internet mehr weniger geeignet?
Äh… wieso? Meinst Du wegen der MTU? die könnte man ja entsprechend kleinknüppeln (oder an der Fragmentation drehen…)
Akzeptiert. (Auch wenn PPPoEoSSH ziemlich pervers aussieht!)
War nicht übertrieben ernst gemeint mit PPPoEoSSH…
Wobei man sich ja damit aus jeglichem LAN aussperrt, sprich
für einen Internetzugang ne tolle Sache, aber für integriertes
Arbeiten im lokalen Netz PLUS Internet mehr weniger geeignet?
Äh… wieso? Meinst Du wegen der MTU? die könnte man ja
entsprechend kleinknüppeln (oder an der Fragmentation
drehen…)
Nein, nicht wegen der MTU. An der kann man ja wie schon bemerkt drehen. Ich meine, weil PPP ja eine entsprechende Gegenstelle braucht - wer soll das sein? Irgendjemand in meinem Netz? Dann muß ich ja doch wieder was zusätzliches installieren und konfigurieren, oder geht das auch mit Boardmitteln?
Ich meine, weil PPP ja eine entsprechende
Gegenstelle braucht - wer soll das sein?
Ein anderer Rechner halt. Das ist ja Sinn eines Tunnels, daß er zwei Enden hat. Und wenn Du POP3 über SSH machst, mußt Du ja auch ein Login auf dem anderen Rechner haben.
SSH-„Multicast“ is’ nich. Jedenfalls fehlt mir dazu gerade die gute Idee. Du könntest allenfalls verschiedene Netzdevices mit verschiedenen SSH-Instanzen bauen (die dann jeweils „woanders hin“ PPPn).
Irgendjemand in
meinem Netz? Dann muß ich ja doch wieder was zusätzliches
installieren und konfigurieren, oder geht das auch mit
Boardmitteln?
PPPoSSH verbindet zwei Netze über ein unsicheres Netz. An den beiden Tunnel-Enden muß eine entsprechend konfigurierte Maschine stehen.
