9
SSH Zugriff über Port 443 und hinter Firewalls
Hallo,
ich habe mehrere Linux Server, welche sich hinter Firewalls befinden. Auf die Firewalls besitze ich keinen Zugriff. Die Linux Server sind per Port 443 erreichbar, besitzen aber keine public IP. Wie kann ich einen SSH Zugang zu den Linux Server aufbauen. Am liebsten wäre es mir wenn sich die Server an einer zentralen Stelle melden und über die zentrale Stelle der SSH Zugang aufgebaut wird. Wie kann ich das Umsetzen?
Danke für Eure Unterstützung
Stefan
ich habe mehrere Linux Server, welche sich hinter Firewalls befinden. Auf die Firewalls besitze ich keinen Zugriff. Die Linux Server sind per Port 443 erreichbar, besitzen aber keine public IP. Wie kann ich einen SSH Zugang zu den Linux Server aufbauen. Am liebsten wäre es mir wenn sich die Server an einer zentralen Stelle melden und über die zentrale Stelle der SSH Zugang aufgebaut wird. Wie kann ich das Umsetzen?
Danke für Eure Unterstützung
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 667280
Url: https://administrator.de/contentid/667280
Printed on: April 29, 2024 at 02:04 o'clock
9 Comments
Latest comment
Moin,
vermutlich gar nicht.
Da Du auf die Firewall nicht zugreifen kannst, kannst Du kein eingehendes VPN oder Port-Weiterleitung einrichten.
Du könntest ein ausgehendes VPN erstellen.
Dabeei verbinden sich die Server per VPN mit einem Server im Internet und darüber kannst Du dann zugreifen.
Eine Anleitung habe ich nicht, aber such mal nach VPN ohne öffentliche IP.
Die Chance ist aber gering wenn die Firewall ihren Namen verdient.
Also frage gleich den Netzwerk-Administrator.
Die sind über solche Spezial-Lösungen meist "wenig glücklich".
auch Stefan
vermutlich gar nicht.
Da Du auf die Firewall nicht zugreifen kannst, kannst Du kein eingehendes VPN oder Port-Weiterleitung einrichten.
Du könntest ein ausgehendes VPN erstellen.
Dabeei verbinden sich die Server per VPN mit einem Server im Internet und darüber kannst Du dann zugreifen.
Eine Anleitung habe ich nicht, aber such mal nach VPN ohne öffentliche IP.
Die Chance ist aber gering wenn die Firewall ihren Namen verdient.
Also frage gleich den Netzwerk-Administrator.
Die sind über solche Spezial-Lösungen meist "wenig glücklich".
auch Stefan
Hi,
wie wäre es mit Guacamole?
Alternativ mit einem Reverse-SSH zu einem Server auf den du Zugriff hast.
Grundsätzlich gilt aber:
Es wird schon einen Grund geben, warum derjenige, der die Firewall konfigurieren darf den Zugriff nicht zulässt. Also solltest du vielleicht denjenigen zuerstmal kontaktieren.
Des Weiteren kann das Überwinden der IT-Sicherheit des Arbeitgebers eine (fristlose) Kündigung rechtfertigen. Also OBACHT!
Viele Grüße
wie wäre es mit Guacamole?
Alternativ mit einem Reverse-SSH zu einem Server auf den du Zugriff hast.
Grundsätzlich gilt aber:
Es wird schon einen Grund geben, warum derjenige, der die Firewall konfigurieren darf den Zugriff nicht zulässt. Also solltest du vielleicht denjenigen zuerstmal kontaktieren.
Des Weiteren kann das Überwinden der IT-Sicherheit des Arbeitgebers eine (fristlose) Kündigung rechtfertigen. Also OBACHT!
Viele Grüße
Danke für Eure Unterstützung.
Es ist intern alles abgesprochen, somit umgehe ich keine IT Security. Ein Ziel ist es auch die Lösung sehr universell zu haben. So das einfach neue Server hinzukommen können.
Es dient einem Versuchsaufbau. Die Linux Server sind einzelne Kubernetes Cluster, welche mit Rancher überwacht werden. Mit Rancher kann ich das gesamte Kubernetes Cluster monitoren und administrieren. Nur um Docker upzudaten oder für Probleme wird der SSH Zugang benötigt.
Die Server selber sind in Microsoft Azure mit Azure Arc eingebunden und werden hier überwacht.
Guacamole werde ich mir mal anschauen. Danke
Grüße
Stefan
Es ist intern alles abgesprochen, somit umgehe ich keine IT Security. Ein Ziel ist es auch die Lösung sehr universell zu haben. So das einfach neue Server hinzukommen können.
Es dient einem Versuchsaufbau. Die Linux Server sind einzelne Kubernetes Cluster, welche mit Rancher überwacht werden. Mit Rancher kann ich das gesamte Kubernetes Cluster monitoren und administrieren. Nur um Docker upzudaten oder für Probleme wird der SSH Zugang benötigt.
Die Server selber sind in Microsoft Azure mit Azure Arc eingebunden und werden hier überwacht.
Guacamole werde ich mir mal anschauen. Danke
Grüße
Stefan
Zitat von @Stefan3110:
Es ist intern alles abgesprochen, somit umgehe ich keine IT Security. Ein Ziel ist es auch die Lösung sehr universell zu haben. So das einfach neue Server hinzukommen können.
Es ist intern alles abgesprochen, somit umgehe ich keine IT Security. Ein Ziel ist es auch die Lösung sehr universell zu haben. So das einfach neue Server hinzukommen können.
Moin,
Wenn es intern abgesprochen ist, spricht ja nichts dagegen, auf der Firewall eine VPN-Server einzurichten und per VPN reinzugehen. Das ist universell und ganz leicht einzurichten und birgt das kleinste Risiko im Gegensatz zu anderen Lösungen.
Mann muß nicht immer Umwege gehen.
lks
1
Hallo,
du benötigst:
1. einen (Linux)Server mit einer festen IP Addresse, du mußt Zugriff auf die Firewall dieses Servers haben, dies wird der VPN Hub.
2. Die Linux Server welche per SSH erreicht werden sollen, müssen ausgehend einen Port auf der vorgelagerten Firewall erlaubt haben.
Welche(r) Port(s) freigeschaltet sein müssen, hängt von der Wahl des VPN Clienten ab.
Auf diesen Servern installierst du dann einen VPN Client (Wireguard oder openVPN, ggf. auch IPsec) und die Server verbinden sich dann automatisch per VPN mit dem VPN Hub.
Dann kannst du SSH durch das VPN tunneln und dich mit den Servern per SSH verbinden.
Kein Zauberwerk.
@aqui hat hier eine Anleitung für ein ähnliches Szenario dazu geschrieben.
du benötigst:
1. einen (Linux)Server mit einer festen IP Addresse, du mußt Zugriff auf die Firewall dieses Servers haben, dies wird der VPN Hub.
2. Die Linux Server welche per SSH erreicht werden sollen, müssen ausgehend einen Port auf der vorgelagerten Firewall erlaubt haben.
Welche(r) Port(s) freigeschaltet sein müssen, hängt von der Wahl des VPN Clienten ab.
Auf diesen Servern installierst du dann einen VPN Client (Wireguard oder openVPN, ggf. auch IPsec) und die Server verbinden sich dann automatisch per VPN mit dem VPN Hub.
Dann kannst du SSH durch das VPN tunneln und dich mit den Servern per SSH verbinden.
Kein Zauberwerk.
@aqui hat hier eine Anleitung für ein ähnliches Szenario dazu geschrieben.
Moin,
Gruß,
Dani
Ein Ziel ist es auch die Lösung sehr universell zu haben.
wir nutzen dafür The Bastion von OVH.So das einfach neue Server hinzukommen können.
Wir deployen neue Server mit Ansible. Über das Playbook werden die notwendigen Public Keys der Gruppen hinzugefügt. Im Anschluss fügt Ansible auf dem Bastion Host den neuen Server in die jeweilige Gruppe hinzu. Damit verbunden erfolgt auch gleich ein Connection Test. Gruß,
Dani
Zitat von @Stefan3110:
Am liebsten wäre es mir wenn sich die Server an einer zentralen Stelle melden und über die zentrale Stelle der SSH Zugang aufgebaut wird. Wie kann ich das Umsetzen?
Das nennt sich Reverse SSH. Der Server baut einen Tunnel zu einem anderen Server auf. Sobald der Tunnel steht, wird ein Rücktunnel aufgebaut.Am liebsten wäre es mir wenn sich die Server an einer zentralen Stelle melden und über die zentrale Stelle der SSH Zugang aufgebaut wird. Wie kann ich das Umsetzen?
Zitat von @Stefan3110:
Es dient einem Versuchsaufbau. Die Linux Server sind einzelne Kubernetes Cluster, welche mit Rancher überwacht werden. Mit Rancher kann ich das gesamte Kubernetes Cluster monitoren und administrieren. Nur um Docker upzudaten oder für Probleme wird der SSH Zugang benötigt.
Die Server selber sind in Microsoft Azure mit Azure Arc eingebunden und werden hier überwacht.
Es dient einem Versuchsaufbau. Die Linux Server sind einzelne Kubernetes Cluster, welche mit Rancher überwacht werden. Mit Rancher kann ich das gesamte Kubernetes Cluster monitoren und administrieren. Nur um Docker upzudaten oder für Probleme wird der SSH Zugang benötigt.
Die Server selber sind in Microsoft Azure mit Azure Arc eingebunden und werden hier überwacht.
Wenn das alles in Azure ist gibts da was von Ratiopharm.
Azure Bastion
Danke für Eure Antworten.
An Azure Bastion dachte ich auch schon. Nutze es auch für die VMs in Azure.
Bei Azure Arc werden die Server nicht im Azure gehostet. Auf dem Server wird durch ein Script eine Erweiterung deployet und dieses Erweiterung gibt die Möglichkeit die Maschine in Azure zu Verwalten, Administrieren und Monitoren (alles läuft verschlüsselt über Port 443). Für diese Aufgaben werden über Azure Policys Erweiterungen auf der VM / Server installiert.
Azure Arc
Was mir jetzt noch fehlt ist ein SSH Zugang. Da die Server keine lange Lebenszeit besitzen oder hinteren mehren Firewalls stehen, soll an den Firewalls nichts gemacht werden. Es funktioniert auch alles bis auf den SSH Zugang.
Die von Euch beschriebenen Lösungen werde ich mir nochmal durch denken. Vielen Dank.
An Azure Bastion dachte ich auch schon. Nutze es auch für die VMs in Azure.
Bei Azure Arc werden die Server nicht im Azure gehostet. Auf dem Server wird durch ein Script eine Erweiterung deployet und dieses Erweiterung gibt die Möglichkeit die Maschine in Azure zu Verwalten, Administrieren und Monitoren (alles läuft verschlüsselt über Port 443). Für diese Aufgaben werden über Azure Policys Erweiterungen auf der VM / Server installiert.
Azure Arc
Was mir jetzt noch fehlt ist ein SSH Zugang. Da die Server keine lange Lebenszeit besitzen oder hinteren mehren Firewalls stehen, soll an den Firewalls nichts gemacht werden. Es funktioniert auch alles bis auf den SSH Zugang.
Die von Euch beschriebenen Lösungen werde ich mir nochmal durch denken. Vielen Dank.
