Hallo Zoltan,

erstmal danke für den aufschlussreichen Beitrag.!!!.

Welchen zusätzlichen Gewinn hab ich denn, wenn der normale Zugang nach wie vor möglich ist? Oder anders gefragt, worin liegt denn die Gefahr bei dem Standard Zugang?

Gruß Bruno

Hallo Hartmut,

vielen Dank für Deine Antwort/Meinung.

Erlaube mir bitte folgende Bemerkungen zu Deinem Antwort:

Der Zugriff über den bisherigen weg (Portal bzw. über registrierten DynDNS) funktioniert weiterhin genauso. Die beschriebene Lösung würde ich zusätzlich einrichten. So bleibt die Flexibilität erhalten.

Das stimmt, aber: jedem, der diese Lösung realisieren möchte, werde ich - soweit ich kann - helfen und unterstützen. Denn: wenn ich hier im Forum eine Frage stelle, wird mir AUCH immer geholfen.
Ich denke, man braucht noch viel mehr know how um diese Lücken auszunutzen. Und man sollte natürlich immer die neueste Version von SSH aus dem Netz laden.
Einen grösseren Sicherheitsloch als Nutzung von unverschlüsselten Kennwörtern kann ich mir schwer vostellen (ist ja eine Ansichtssache).

Gruß
Zoltan

Hallo Zoltan,

hier dann meine Meinung:

Die Lösung gefällt mir gut !!!, da dann die Verbindung sowohl verschlüsselt ist als man auch (z.B. mit Zertifikaten) eine deutlich sichere Anmeldung als mit Username / Passwort hinbekommen könnte.

Für z.B. Fernwartung oder den Zugriff von einem (eigenen) Laptop aus ist das alles wunderbar, der Fallstrick ist halt die notwendige Installation eines SSH-Clients auf dem (Visu-)PC, damit entfällt dann die Möglichkeit des Zugriffs durch einen beliebigen PC, den man unterwegs gerade nutzen kann.
Nachteilig ist vielleicht auch der nicht unerhebliche Know-How-Bedarf bei der Einrichtung, nicht jeder EIBler mit mit Begriffen wie "SSH-Tunneling", "NAT" oder "Port-Forwarding" auf Anhieb zurecht kommen. Auch die SSH-Komponenten müssen erfahrungsgemäß wegen Sicherheitsmängeln ständig aktuell gehalten werden, man reißt sich da leicht ein Sicherheitsloch rein, das dann vielleicht stärker wiegt als der "unsichere" Zugang über ein Portal oder ähnliches.


Gruß
Hartmut

gesicherte remote Verbindung zum HS

Hallo,

weil ich den Zugriff auf den HS aus dem Internet gerade gebraucht habe
und wegen der nicht abgesicherten Übertragung bedenken hatte, habe ich die Verbindung auf die folgende Art und Weise realisiert. (Allerdings braucht die Lösung einen SSH-Server im Heimnetzwerk)

Ich würde natürlich gerne Euer Meinung dazu hören bzw. lesen.

Konfiguration zu Hause:
=======================
-Ich habe also einen linux-Server in lokalen Netzwerk, der diverse andere Aufgaben erledigt und auf dem ein SSH-Server gestartet ist. (Der SSH-Server für Linux ist kostenlos und wird bei vielen Distributionen standardmässig installiert/gestartet.)
-Mein DSL-Router hält ständig die Verbindung ins Internet offen und
aktualisiert nach jedem Einwählen die Ip-Adresse für den registrierten
DNS-Alias (in diesem Beispiel:meinalias.dnsalias.com).
-Weiterhin habe ich im Router folgende NAT-Regel definiert: alle SSH-Verbindungsanfragen (Port:22) aus dem Internet auf meinalias.dnsalias.com werden auf den Linux-Server in das lokale Heimnetzwerk umgeleitet.

Konfiguration unterwegs:
========================
-auf dem Rechner von dem ich auf den HS zugreifen will bzw auf dem HS-Expoerte installiert ist (z.Bsp mein Laptop), habe ich einen kostenlosen SSH-Client (Putty)installiert. Dort ist eine SSH-Verbindung zu meinalias.dnsalias.com und eine getunnelte Port-Weiterleitung definiert (sh. Screenshots).

Somit kann ich auf dem lokalen Rechner einen Port (zBsp:8000) definieren , der über die SSH-Tunnel zum meinalias.dnsalias.com auf
den definierten Port 80 des HS (IP-Adresse:192.168.15.85) umgeleitet wird.

Beim Übertragen der Daten aus dem HS-Expoerten habe ich "andere Adresse" ausgewählt und Localhost und Port 8000 eingetragen. Die Visu ist dann über http://localhost:8000/hs, die hslist entsprechend über http://localhost:8000/hslist zu erreichen. Die Einstellungen sind im Screenshots zu sehen.

Auf diese Weise wird vom Lokalen Rechner zum HS eine Verbindung über das Internet getunnelt, wobei die übertragenen Daten per SSH verschlüsselt sind.

Was haltet Ihr von dieser Lösung?

Gruß
Zoltan

Hallo Manuel,

ich rate Dir jetzt Dich mal mit Deiner Beschreibung für den Router auseinanderzu setzen. Seite 58 findest Du ganz toll beschrieben, wie Du Kontakt mit dyndns aufnimmst und wie Du dies aktivierst.

Vorher solltest Du noch klären welchen Hardwarestand Dein Router hat. Es gibt 3 Varianten von V2 bis V6

Du bekommst von deinem Provider eine dynamische IP, welche täglich wechselt.
Eine statische mußt Du bezahlen.

so ich habe mal nach geschaut, aber bei den Einstellungen im Router blicke ich nicht durch

Ich habe einen TP-Link Wireless Router Mod. TL-WR541G

Ich weiß nicht ob es relevant ist, mein Provider ist die Fa. Paracom mein DSL bekomme ich über eine Richtfunkstrecke auf der ich quasi immer online bin, nachdem ich mich einmalig angemeldet habe.

Habe ich dadurch immer die gleiche IP?

Ich glaub ich versuche es erstmal über das Portal!?

Also wenn ich Volker richtig verstehe, bei Internetverbindung einfach: Verbindung halten einstellen? Dann müsste ich den HS im Portal finden?

@DJGockel
Ich habe im Experten folgendes eingestellt.
Internet-Zugang: Router - Verbindung halten (Portal)
Damit habe ich die Möglichkeit sowohl über dyndns als auch über das Giraportal zu gehen.
Brauchte ich aber noch nie...

Achja -
Portal-Adresse: homeserver.gira.de

hallo,

bei vielen routern besteht auch die möglichkeit, dass man mehrere dyn adressen eintragen kann...falls mal einer ausfällt.

mein draytek hat 3 eintragsmöglichkeiten.

Ich habe DynDNS und No-Ip im Einsatz gehabt. Würde No-IP jaderzeit DynDNS vorziehen. Die Account Deaktivierung bei DynDNS hatte mir schon einige male, als ich sie wirklich brauchte (Urlaub) Ärger gemacht. Bei No-IP und seinen Vorgängern seit 5 Jahren keinen Ärger.

Gruß Bruno

hallo,

anbei ein bild von meinen einstellungen.

ich nehme als dynprovider no-ip.com

http://www.no-ip.com/

das tickert bei mir seit 3 jahren ohne probleme.

ok ich ich danke euch, für die Hilfe, werde dann heute Nachmittag
mal im Router nachschauen, ich meine ich habe da auch einen Punkt mit dyndns und häkchen gesehen.

@volker:
was stelle ich dann bei Internet Zugang ein?

Hallo Michael,
Hallo Manuel,

setze auch eine Fritzbox ein und hatte jahrelang keine Probleme. Wie bemerkt in diesem Jahr 2 x gesperrt, weil angeblich dyndns x-fach angepingt wurde. Sperrung wird per Mail mitgeteilt und kann problemlos wieder auf der Website entsperrt werden (Mail).
Setze jetzt auf die Empfehlung von dyndns (die weisen auf Ihrer WEbsite auf derartige Fehlerquelle hin, insbesondere empfehlen sie auch eigene getestete Router. Zu denen gehört die Fritzbox nicht).

Auszugsweise:

• Full-featured and easy to use interface
• Allows detection of IP locally or by a remote server
• Runs as a system service
• User-defined IP detection interval
• Performs forced updates once a month to prevent Dynamic DNS hosts from expiring due to inactivity
• Allows scheduling of Offline setting for maintenance
• Supports e-mail notifications
• Logs to screen and to file with a visual warning when update error occurs
• Supports multiple interface devices or LAN connections
• Customizable icons for visual notifications of client status
• Current release notes

In theory there is little difference between a "software" DDNS client and a DDNS client built into a router. In fact, some routers actually use one of the software clients by embedding it into the router.
However, practice often differs from theory and in practice we have found that router based clients just don't provide the same level of reliability and user experience as software clients. For this reason, our current recommendation is that customers use a software client whenever possible, even if their router has a DDNS client built into it and even if that DDNS client has been certified by us.
Ten Reasons Software Clients Are Better

1. They've been around longer and so have had many of the bugs worked out by now.
2. The software clients generally have better logging so you can more easily determine if the updates are succeeding and if not why.
3. Software clients can generally support all three of our services as well as supporting both Dynamic DNS and Custom DNS hosts at the same time.
4. Software clients often have some facility for letting you know when there has been a problem (via e-mail, notification alert, etc).
5. Software clients often support HTTPS in addition to HTTP for added security.
6. Routers some times get moved from one location to another without the DDNS client info being changed, resulting in your host being updated with the wrong info.
7. Software clients are less likely to start sending invalid/abusive updates as often as 1 every second (yes, we have actually seen a single router send as many as 86400 abusive updates in one day).
8. When a bug is discovered in a software client (and there are always bugs) the client can often be patched in a day (or two at most). Router clients can generally not be fixed so quickly.
9. Software clients can know when you are about to go off-line because you've issued a shutdown command and can send an update to set your host "off-line".
10. Software clients can be configured to "force" an update every 28 days if your IP address has not changed, thereby keeping Dynamic DNS hosts in free accounts from expiring.

Möchte keinen beunruhigen. Wer mehr wissen will soll sich das mal live anschauen.

Der Client braucht keinen Server Manuel. Bei mir läuft er zwar auf einen Server, doch auch auf Workstation scheint er mir ausreichend und einloggen tut man sich ja eh einmal mindestens am Tag. Nimm es ruhig und gelassen.

Auch ich löse das mit meiner Fritzbox 7170.
Da muß man im Menü ein Häkchen für dyndns setzen und schon übermittelt die Box automatisch die eigene IP an dyndns.
Das läuft problemlos bei mir.

@DJGockel
Der HS muß natürlich eine ständige Verbindung ins Internet haben -Einstellung im Experten.

@Michel
Ich habe die Zwangstrennung auf 2 Uhr Nachts stehen.
Da interessiert mich eine evtl Wartezeit nicht

Also ich habe seit 1 Jahr eine neue Fritz.box, die alleine für die Aktualisierung der IP-Adresse bei dyndns.org sorgt, also ohne zusätzlichen Client.

Bisher ohne Probleme, wobei es nach der Übermittlung einer neuen IP systembedingt schon mal etwas länger dauern kann, bis der HS wieder über dyndns.org erreichbar ist.

redstar ich danke Dir für die Anleitung, wenn ich diese richtig verstehe ist dieser Client doch für echte Server gedacht, oder?
Wie verheirate ich diesen nun mit dem HS?