SSH von Unterwegs

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo zusammen,

    ich möchte von Unterwegs auf meinen Raspberry mittels SSH zugreifen. Dazu möchte ich die APP JuiceSSH (o.ä.) verwenden.

    Ich habe mir auf No-ip.com eine Subdomain angelegt.

    Die Ip-Adresse dort stimmt überein mit der IP-Adresse, die ich beim Raspberry habe (https://ifconfig.me) (Externe IP-Adresse?)

    Bei der Fritzbox habe ich eine Portfreigabe eingerichtet für den Raspberry, der dort die IP 192.168.178.33 besitzt und habe dort den Port 22 freigegeben.

    Nun habe ich zwei Probleme

    1. Ich kann keinerlei (!) Änderungen mehr an der Portfreigabe an der Fritz-Box vornehmen. Keine Namensänderung, keine Änderung des Protokolls, keine Änderung der Ports, Null. Es kommt immer dieFehlermeldung.

    Es ist ein Fehler aufgetreten.

    Fehlerbeschreibung: Ein Gerät mit diesem Namen wurde bereits angelegt.

    2. Vielleicht waren die Vorkehrungen ja schon ausreichend. Aber ich erhalte mit keiner Android-App Zugriff auf meinen Raspi.

    Für Hilfe wäre ich sehr dankbar.

    Danke

    • Offizieller Beitrag

    Nun habe ich zwei Probleme

    Du hast vielleicht schon drei Probleme! =O

    Hast Du lokalen Zugang zum RPi? Dann könntest Du mal in der /var/log/auth.log nachschauen, ob schon u.a. russischer Besuch da war.

    Deaktiviere wenigstens erstmal die Portfreigabe!

  • Ich mache das auf meinem Smartphone mit der MyFritz-App und Rasp-Controller. Geht ganz easy.

    Spoiler anzeigen

    Pi4 V1.1, 4 GB, USB3-Hub, 250 GB SSD, Bullseye 64, Mate-Desktop, SD-Card Extender (ruht)
    Pi3b Pihole (Buster)
    Pi3b, 128-GB-SSD, Buster, mit 10,1" Monitor als MM (ohne Spiegel ;) )
    orangepi zero, ohne Beschäftigung
    Pi 5 4 GB im GeekPi-Gehäuse mit externer SSD (Bookworm)


    Warnung: Raspi und Co. machen süchtig! :)

  • Du hast vielleicht schon drei Probleme! =O

    Hast Du lokalen Zugang zum RPi? Dann könntest Du mal in der /var/log/auth.log nachschauen, ob schon u.a. russischer Besuch da war.

    Deaktiviere wenigstens erstmal die Portfreigabe!

    Die Fritzbox lässt es nicht zu, dass ich die Portfreigabe deaktiviere.

    Lokalen Zugang zum Raspi habe ich, ja. Ich habe ihn auch vom Netz genommen.

    In der Herangehehnsweise bin ich einem Tutorial gefolgt. Aber denke mal, dass ich mir einen anderen Weg suchen muss, wie ich von unterwegs ein Protokoll starten lassen kann.

    • Offizieller Beitrag

    Aber denke mal, dass ich mir einen anderen Weg suchen muss, wie ich von unterwegs ein Protokoll starten lassen kann.

    Das Zauberwort heißt VPN. ;)

    Die Fritzbox lässt es nicht zu, dass ich die Portfreigabe deaktiviere.

    Seltsam... Evtl. hat die Fritte sich verschluckt. Was passiert nach einem Neustart dieser ggf. durch Steckerziehen, ne Minute warten und wieder rein damit. Danach ein erneuter Versuch die Freigabe zu deaktivieren. :conf:

  • Die Fritzbox lässt es nicht zu, dass ich die Portfreigabe deaktiviere.

    Dann solltest Du die FritzBox auf Werkseinstellungen setzen oder ein recovery machen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • ssh sollte man aufgrund seiner Unsicherheit nur innerhalb eines geschützten (Heim-)Netzwerks benutzen.


    Bandbreite spielt dabei offensichtlich keine Rolle.


    Daher am besten per VPN mit der FB verbinden, dann bist du virtuell in deinem Heimnetzwerk. Dann kannst du dich mit ssh verbinden, wie wenn du neben deinem Raspi sitzen würdest.


    Also mach die Luken dicht (FB ggf. zurück setzen, sofort), nimmt die offenen Ports raus, richte VPN ein (IPSec verwenden), und ssh von unterwegs ist kein Problem mehr.

  • ssh sollte man aufgrund seiner Unsicherheit nur innerhalb ...

    BTW: Warum meinst Du, dass ssh unsicher ist bzw. von wo hast Du diese Information?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (28. März 2020 um 00:35)

  • ... hat er nur eine eingeschränkte Sicherheit (Terminal, User und Passwort). Ich würde jedenfalls ungerne auf dieser Basis einen Port ins Internet öffnen.

    OK, aber das muss ja nicht so bleiben. Es wird ja auch für Android (oder gleichwertig) ssh-Clients mit z. B. "shared-key authentication" geben, die der TE dann benutzen kann.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Das ändert doch nichts daran, dass man ein Boot mit einem Leck ...

    Das ist richtig, aber es ist nicht richtig so wie Du mich zitiert hast.

    Ich habe ja nicht geschrieben, dass der TE ssh mit Passwort und dem Port 22, über das Internet benutzen soll.

    Was ich meinte ist, dass man ssh so benutzen kann, dass es sicher ist. Und ssh ist sicher.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ergänzung zu #12:

    Und dass man zuerst innerhalb des eigenen Netzes (also ohne Portfreigabe für den sshd im Router) die sshd_config auf Sicherheit trimmt und sich auf einem (oder besser noch auf allen) zugriffsberechtigten Rechnern und Smartphones je ein Schlüsselpaar (möglichst 4K mit PW-Schutz) anlegt, und die Sammlung aller publicKeys (= authorized_keys) auf den RasPi kopiert und vor dem Deaktivieren der Anmeldung mit Benutzername+PW zuerst mal testet ...

    ... sollte eigentlich selbstverständlich sein. Und nach dem erfolgreichen Test sofort "PasswordAuthentication no", sshd neu starten und erst dann die Portfreigabe aktivieren.

    ssh gilt als sicher (ohne jetzt eine Diskussion über "Sicherheit" loszutreten), wenn der sshd sicher betrieben wird und die privateKeys auch gut gesichert werden.

    Im Unterschied zu des öfters gehörten Meinungen, dass man den Prot für den sshd verbiegen sollte, betrachte ich das als keine Erhöhung der Sicherheit! Es wird damit lediglich die Zeit bis zum Finden des auf einem falschen Port lauschenden ssh ein klein wenig verlängert.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!