expertenaustausch > linux.debian.user.german

Andreas Tille (14.01.2020, 19:20)
Hallo,

seit einiger Zeit habe ich bei verschiedenen Freunden ein paar Debian
Systeme installiert. Bisher habe ich immer "Turnschuhadministration"
gemacht, wenn wirklich mal was war. So sieht man sich mal wieder.

Hin und wieder besteht aber doch der Bedarf, mal schnell eine
Fernwartung zu machen. Gibt es eine geteste Anleitung wie man das
ohne großen Aufwand hinbekommt?

Viele Grüße

Andreas.
Dirk Wernien (14.01.2020, 20:40)
Am Dienstag, 14. Januar 2020, 17:32:13 CET schrieb Andreas Tille:
> Hallo, Moin Andreas,


> Hin und wieder besteht aber doch der Bedarf, mal schnell eine
> Fernwartung zu machen. Gibt es eine geteste Anleitung wie man das
> ohne großen Aufwand hinbekommt? Getestet?


Ich nehme für Konsole ssh mit private-key und graphisch nomachine?

> Viele Grüße
> Andreas.

Tschüss
dirk
Uwe Herrmuth (14.01.2020, 20:40)
Hallo Andreas,

Andreas schrieb am 14.01.2020 um 17:32:

> Hin und wieder besteht aber doch der Bedarf, mal schnell eine
> Fernwartung zu machen. Gibt es eine geteste Anleitung wie man das
> ohne großen Aufwand hinbekommt?


Ich hab gute Erfahrungen mit x2go gemacht.
Von Vorteil wäre, wenn Deine Freunde irgendein dyndns hätten.
Es geht aber auch ohne, dann muss die aktuelle IP-Adresse halt
irgendwie anders zu Dir kommen.
<https://wiki.x2go.org/doku.php>

Viele Grüße
Uwe
nac (14.01.2020, 20:50)
Hi Andreas,

ich vermute SSH reicht nicht? Wie wäre es mit x2go? Wenn es proprietär sein darf wäre da noch teamviewer.

Vlg

nac
Andreas Tille (15.01.2020, 00:30)
On Tue, Jan 14, 2020 at 06:34:55PM +0100, Uwe Herrmuth wrote:
> Hallo Andreas,
> Andreas schrieb am 14.01.2020 um 17:32:
> Ich hab gute Erfahrungen mit x2go gemacht.
> Von Vorteil wäre, wenn Deine Freunde irgendein dyndns hätten.


Dyndns haben sie nicht.

> Es geht aber auch ohne, dann muss die aktuelle IP-Adresse halt
> irgendwie anders zu Dir kommen.
> <https://wiki.x2go.org/doku.php>


Die Doku ist recht lang und ich habe mal explizit nach dem Stichwort
Fernwartung gesucht, was in der Doku zu finden ist - nur eben nicht wie
es konkret geht. Ich bin auf der Suche nach einer Anleitung, die ich in
weniger als 15min (so lange brauche ich zu Fuß hin und zurück)
zuverlässig hinbekomme. Mit ssh hatte ich es mal in 2-3min hinbekommen,
aber wie gesagt, daß war am Ende nicht sehr praktikabel.

Viele Grüße

Andreas.
Andreas Tille (15.01.2020, 00:40)
On Tue, Jan 14, 2020 at 06:48:24PM +0100, Alexander Dahl wrote:
> Statische VPN-Tunnel zwischen den vorgelagerten Routern und dann einfach
> per beliebigem Remote Zugriff, SSH, VNC, ?
> Wenn das auf beiden Seiten fli4l-Router sind, könnte ich
> Beispiel-Configs liefern. O:-)


Meine Fritzbox könnte ich zur Not mit fli4l ausrüsten (aber ich denke
die kann auch VPN-Tunnel. Den Router in dem einen Haus habe ich mal
gesehen - den fasse ich nicht an!

Viele Grüße

Andreas.
Andreas Tille (15.01.2020, 00:50)
On Tue, Jan 14, 2020 at 06:27:08PM +0100, Dirk Wernien wrote:
> Ich nehme für Konsole ssh mit private-key und graphisch nomachine?


Wir sitzen ja nun beide hinter Routern und jeder Rechner hat seine
dynamische IP. Der Zielrechner müßte also einen ssh-Tunnel aufmachen.
Das hatte ich sogar schon mal probehalber zu einem von mir
kontrollierten Server im Netz gemacht. Es hat sich aber auf die
Dauer nicht so bewährt. Ich mußte immer erklären, ruf mal das
Script auf, das den Tunnel aufmacht etc. Das war den Freunden
zu "mystisch". :-)

Prinzipiell reicht aber Konsole.

Viele Grüße
Andreas.
Andre Tann (15.01.2020, 01:00)
Moin,

Am 14.01.20 um 17:32 schrieb Andreas Tille:

> Hin und wieder besteht aber doch der Bedarf, mal schnell eine
> Fernwartung zu machen. Gibt es eine geteste Anleitung wie man das
> ohne großen Aufwand hinbekommt?


Zoom-Meetings gibts kostenlos, und man kann Screen sharen und auch die
Kontrolle an den anderen übergeben. Guckst Du zoom.com. Geht aber nur,
wenn Du auch die Zoom-App installierst. Bei der reinen Browserversion
funktioniert das nicht.

Kann man auch gleich noch Audio mit drüber machen, dann kosts nix, auch
wenn Du in Neuseeland im Urlaub bist :)
Marino Salvalaggio (15.01.2020, 08:10)
Hi Andreas,

das Hauptproblem solcher Sitzungen ist zumeist die Sicherheit...

Da ich auf Systeme mit unterschiedlichen Betriebssystem zugreifen muss,
(Windows, Android, Linux) nutze ich eine Applikation, welche für private
User kostenlos ist. Für kommerzielle Anwender muss jedoch eine Lizenz
gekauft werden.

Da ja je nach dem Gegenüber diverse Bedingungen anzutreffen sind, ist
das die einfachste Lösung, da so nicht immer wieder Zugriffe neu
ausgehandelt werden müssen. Auch zwischengeschaltete Router müssen nicht
explizit neu konfiguriert werden. Für die Sicherheit läuft allesvia
VPN, jedoch muss der User sich bewusst sein, dass diese Applikation
natürlich nur bei Bedarf gestartet wird; Autostart sollte nie gesetzt
sein...

Wenn Du mehr darüber wissen möchtest werden ich Dir direkt Auskunft geben.
Ich möchte hier jedoch keine Werbung betreiben.

Andreas Tille schrieb am 14.01.2020 um 17:32:
[..]
Dirk S. (15.01.2020, 09:20)
On Tue, Jan 14, 2020 at 08:26:58PM +0100, Andreas Tille wrote:
> On Tue, Jan 14, 2020 at 06:34:55PM +0100, Uwe Herrmuth wrote:
> Dyndns haben sie nicht.


Dann richte es halt ein. Muss aber nicht, es reicht, wenn Deine Seite
per DynDNS o.ä. erreichbar ist. Dann erstellst Du beim Gegenüber ein
klickbares Symbol, welches nichts weiter als (Beispiel):
ssh -C -R 333:localhost:22 user
beinhaltet.
Vorbedingung hierfür:
Authentifizierung per bekanntem Schlüssel (Du solltest das vorher
_einmal_ händisch machen, nicht das eine Nachfrage "trust this
yes/no/weissnicht" im Script-Nirwana verschwindet), und der User muss
bei ihm und Dir vorhanden sein, idealerweise mit derselben UID.
Eine Authentifizierung mit Passwort geht selbstverständlich auch, dann
muss derjenige, bei dem Du Fernwartung machen willst, beim Tunnelaufbau
eben noch das (hinreichend sichere) Passwort eingeben. Sollte machbar
sein.

Den Tunnel übernimmst Du dann auf Deinem Rechner mit
ssh -p 333 localhost
und bis damit dann auf seinem Rechner, kannst z.B. via su - auf root
wechseln und alles machen, was notwendig ist. Mache ich so seit ca. 15
Jahren.

> Ich mußte immer erklären, ruf mal das
> Script auf, das den Tunnel aufmacht etc. Das war den Freunden
> zu "mystisch". :-)


Wer damit schon nicht klar kommt (Deine Ausführung zeigt ganz deutlich,
dass sie darauf keinen Bock haben), bei dem würde ich jegliche Hilfe
einstellen - es sei denn, Du willst missionieren. Der oben gezeigte
Remote-Tunnel ist in jeglicher Hinsicht sicher (sicher in sich, da ssh;
sicher, weil die Verbindung nur besteht, wenn der Gegenüber sie aktiv
aufbaut), außerdem ist Konsole auch bei langsamen Uplinks ausreichend
brauchbar. Wer dann noch mehr benötigt (z.B. VNC für Hilfe am Desktop),
der kann das alles durch ssh tunneln.

LG

Dirk
Uwe Herrmuth (15.01.2020, 10:20)
Hallo Andreas,

Andreas schrieb am 14.01.2020 um 20:26:

> Dyndns haben sie nicht.

Kann man in jedem Falle einrichten, allerdings nicht immer kostenlos.
Die Speedport-Router, die die Telekom mitliefert, haben zum Beispiel
nur voreingestellte DynDNS-Dienste, die nicht kostenlos sind.
Da habe ich dann auf dem Zielrechner ein Lesezeichen im Webbrowser
gesetzt, was auf eine Seite führt, die die öffentliche IP des Rechners
(besser des Routers) anzeigt. Muss ja nicht immer die Seite der Zeitung
mit den blutigen vier Buchstaben sein. Gibt ja noch mehr. Ich hab mir
auf meinem eigen Webserver so eine Seite gebastelt.

> Die Doku ist recht lang und ich habe mal explizit nach dem Stichwort
> Fernwartung gesucht, was in der Doku zu finden ist - nur eben nicht
> wie es konkret geht. Ich bin auf der Suche nach einer Anleitung, die
> ich in weniger als 15min (so lange brauche ich zu Fuß hin und zurück)
> zuverlässig hinbekomme. Mit ssh hatte ich es mal in 2-3min
> hinbekommen, aber wie gesagt, daß war am Ende nicht sehr praktikabel.


Auf dem Zielrechner muss der ssh-Server laufen und Du musst als
Benutzer einen Zugang haben. Möglichst mit dem Public-Key-Verfahren.
Ich hab außerdem den Standard-Port 22 auf einen anderen Port gelegt.
Im Router muss natürlich eine Portweiterleitung auf den Zielrechner
eingerichtet sein.
Auf dem Zielrechner muss x2goserver-desktopsharing installiert und der
Benutzer muss Mitglied der Gruppe x2godesktopsharing sein.

Wenn diese Voraussetzungen erfüllt sind, beschränken sich die Aktionen
des Hilfesuchenden auf
- eventuell Ermittlung der öffentlichen IP
- Start der Anwendung x2godesktopsharing
- Freigabe des Desktops
- Anruf bei Dir mit dem Schrei Hilfe ;-) (und eventueller Übermittlung
der öffentlichen IP)
- nach Verbindungsaufnahme Bestätigung, dass Dir der Zugang gewährt
wird

Also wenn es viel ist, 4 Mausklicks bis zum Anruf und dann noch mal
einer wenn die Verbindung steht. Wenn Du die Verbindung beendest (das
Fenster mit dem Remote-Desktop schließt), wird auch automatisch
x2godesktopsharing auf dem Zielrechner beendet, der Hilfesuchende muss
sich also hinterher um nichts weiter kümmern.

<https://wiki.x2go.org/doku.php/doc:usage:desktop-sharing>

Viele Grüße
Uwe
Alexander Reichle-Schmehl (15.01.2020, 15:50)
Hi!

Am 2020-01-14 20:26, schrieb Andreas Tille:

> Dyndns haben sie nicht.


Sicher? Haben das nicht inzwischen die meisten router ohnehin
integriert? Meine Fritzbox bietet zum Beispiel die Option, ganz
automatisch <ganzunleserlicheskuerzel>.myfritz.net zu aktualisieren.
Das ist zwar unleserlich, kann man aber Schlimmstenfalls im ssh-Client
als Alias hinterlegen, oder - falls man eine eigene Domain hat - einfach
<namedeskumpels>.<meinedomain> als DNS-Alias einrichten.

Im router kann man in der Regel auch eine IP fest für ein bestimmtes
System reservieren, und dann klappt auch eine Port Weiterleitung. Wenn
das ssh ohnehin nur key login zulässt (das hast du glaube ich in einer
anderen Mail erwähnt?) dann stellt das ja auch kein Sicherheitsrisiko
da, die Portweiterleitung aktiv zu lassen.

Nur so als Idee in den Raum geworfen ;)

Mit besten Grüßen,
Alexander
Jochen van Geldern (15.01.2020, 17:20)
Am Wed, 15 Jan 2020 14:40:11 +0100
schrieb Alexander Reichle-Schmehl <alexander>:

> Hi!
> Am 2020-01-14 20:26, schrieb Andreas Tille:
> > Dyndns haben sie nicht.

> Sicher? Haben das nicht inzwischen die meisten router ohnehin
> integriert? Meine Fritzbox bietet zum Beispiel die Option, ganz
> automatisch <ganzunleserlicheskuerzel>.myfritz.net zu aktualisieren.


Nun dafür muss die Konfiguration des Routers des Freundes (Welche auch
nicht unbedingt sein Eigentum sein muss) extra für die Einrichtung so
einer Fernwartung ändern. Ist den nötig wenn es auch anders geht?
Ein von den zuwartenden Rechner herausgehenden Tunnel (VPN oder SSH)
zum Wartungssystem würden reichen.

Wie man so etwas mach ist hier schon beschrieben worden.
Rolf Lucius (15.01.2020, 19:20)
Hallo...

Am Mittwoch, 15. Januar 2020, 09:07:40 CET schrieb Uwe Herrmuth:

> Da habe ich dann auf dem Zielrechner ein Lesezeichen im Webbrowser
> gesetzt, was auf eine Seite führt, die die öffentliche IP des Rechners
> (besser des Routers) anzeigt. Muss ja nicht immer die Seite der Zeitung
> mit den blutigen vier Buchstaben sein. Gibt ja noch mehr. Ich hab mir
> auf meinem eigen Webserver so eine Seite gebastelt.


Oh nein, bitte nicht die blutigen vier Buchstaben. Dann lieber ganz einfach

ohne überflüssigen Kram.

Viele Grüße
Rolf
Marc Haber (16.01.2020, 09:20)
On Wed, 15 Jan 2020 23:45:52 +0100, Hilmar Preuße <hille42>
wrote:
>Am 15.01.2020 um 17:54 teilte Rolf Lucius mit:
>Zeigt mir auch keine korrekte IP an. Ich sitze an einem DS-Lite
>Anschluß, i.e. auf meinen WAN-Interface ist nur eine IPv6-Adresse.
>Trotzdem zeigt die Seite eine IPv4-Adresse an. Ich vermute es ist die,
>die auf dem IPv6-IPv4 Gateway sitzt.


Genau. An solchen Anschlüssen ist sowieso kein Portforward möglich.

Es wird Zeit, dass IPv4 und seine Lebenserhaltungsmaßnahmen endlich
verschwinden.

Grüße
Marc

Ähnliche Themen