SSH-Client-Paket?

Status
Für weitere Antworten geschlossen.

datenmessie

Benutzer
Mitglied seit
06. Mrz 2013
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen,

gibt es ein Paket oder eine andere Möglichkeit, um eine SSH-Shell in der Benutzeroberfläche von DSM 4.2 zu öffnen? Ich möchte gerne über das Internet auf meine DS213+ zugreifen und von dort auf einen lokalen Linuxserver per SSH. Leider sitze ich meist hinter einer Firewall, sodass ich den SSH-Port nicht auf irgendeinem anderen Port nach außen freigeben kann. Die Ports sind für mich auf 21, 80 und 443 beschränkt und die brauche ich nun mal leider für die DS.
Danke schon mal!

Viele Grüße
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118

datenmessie

Benutzer
Mitglied seit
06. Mrz 2013
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
@jahlives: Danke, das Prinzip war mir bisher nicht bekannt. Wäre also der einzige Weg über einen Webserver, den ich auf der DS laufen lasse und der dann eines der dort vorgeschlagenen Programme zu nutzen?
Bevor ich anfange im Trüben zu fischen, gibt es jemanden mit Praxiserfahrung?

Vorschlagen kann man das aber für kommende Versionen natürlich trotzdem mal. So schwierig kann das ja auf einem Linux-basierten System, das ja selbst auch SSH unterstützt nicht sein.
 

Quertz

Benutzer
Mitglied seit
21. Jan 2013
Beiträge
65
Punkte für Reaktionen
0
Punkte
0
Geht Open VPN, wenn Du Port 443 dafür hernimmst?
Oder SSH über Port 443( entweder Portmapping im Router oder den SSH-Port der DS ändern. Dann kann man über SSH andere Protokolle tunneln. Habs noch nie ausprobiert, aber man sollte auch eine SSH Verbindung darüber tunneln können.
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
also ich für meinen Teil finde es überflüssig, auf einer NAS (=Server-System) Client-Programme laufen zu lassen ... es macht so ein System nur zusätzlich unsicher

die Vorstellung, dass der DS-Manager auf der DiskStation läuft, ist falsch ... er läuft auf dem PC/Mac, wo man den Browser benutzt und sendet nur Pakete an den Webserver

Itari
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
also ich für meinen Teil finde es überflüssig, auf einer NAS (=Server-System) Client-Programme laufen zu lassen ... es macht so ein System nur zusätzlich unsicher

die Vorstellung, dass der DS-Manager auf der DiskStation läuft, ist falsch ... er läuft auf dem PC/Mac, wo man den Browser benutzt und sendet nur Pakete an den Webserver

Itari

VPN-Client, LDAP-Client oder Domain beitreten geht doch auch? Für mich gehört eine Firewall und QoS auch nicht zu Aufgaben einer NAS, sind aber trotzdem dabei.

Also ich finde es schon sinnvoll, da man die NAS selbst (Terminal) und andere Systeme im lokalen Netzwerk administrieren kann, ohne weitere Ports freizugeben. Der DSM Port reicht dann auch. Daher habe ich es auch vorgeschlagen.
 
Zuletzt bearbeitet:

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Also ich finde es schon sinnvoll, da man die NAS selbst (Terminal) und andere Systeme im lokalen Netzwerk administrieren kann, ohne weitere Ports freizugeben.

die Portfreigabe ist eigentlich eine Aufgabe des Routers ... und solange man in einem lokalen Netzwerk ist, ist sie nicht notwendig. Der Topic-Starter sucht ja gerade eine Lösung, um aus dem Internet auf die DS zu gelangen und von dort weiter (vermutlich wieder ins Internet) zu gehen. Das ist schon eine heftige Geschichte in Sachen (Un-)Sicherheit ... meine Bemerkung zielte auch nicht darauf, ob man das prinzipiell machen kann oder nicht (man kann), sondern darauf, ob wir uns dazu eine Funktionalität auf der DS wünschen würden ... und zu dem Wunsch hab ich 'nein' gesagt aus Gründen

Itari
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
die Portfreigabe ist eigentlich eine Aufgabe des Routers ... und solange man in einem lokalen Netzwerk ist, ist sie nicht notwendig. Der Topic-Starter sucht ja gerade eine Lösung, um aus dem Internet auf die DS zu gelangen und von dort weiter (vermutlich wieder ins Internet) zu gehen. Das ist schon eine heftige Geschichte in Sachen (Un-)Sicherheit ... meine Bemerkung zielte auch nicht darauf, ob man das prinzipiell machen kann oder nicht (man kann), sondern darauf, ob wir uns dazu eine Funktionalität auf der DS wünschen würden ... und zu dem Wunsch hab ich 'nein' gesagt aus Gründen

Itari

Die Sicherheit wird dadurch nicht negativ beeinträchtigt, da ja wieder eine Authentifizierung von dem web SSH Client auf die anderen Systeme erfolgt. Und man muss zuvor erstmal durch die automatische Blockierung, 2 Stufen Authentifizierung und relativem langem Passwort bei dem DSM Login kommen. Besser als wenn auf jedes interne System per portforwarding von extern per SSH zugegriffen werden kann, find ich jedenfalls.
 
Zuletzt bearbeitet:

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Die Sicherheit wird dadurch nicht negativ beeinträchtigt

doch, wird sie und zwar konzeptionell ... ich eröffne einen Zugang aus dem Internet zu einem PC, welcher für sich selbst keinen Internetzugang geöffnet hat (via Router) ... und jeder Zugang zum Internet ist ein Sicherheitsrisiko - per Definition

Itari
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
doch, wird sie und zwar konzeptionell ... ich eröffne einen Zugang aus dem Internet zu einem PC, welcher für sich selbst keinen Internetzugang geöffnet hat (via Router) ... und jeder Zugang zum Internet ist ein Sicherheitsrisiko - per Definition

Itari
Dann dürfte man ja noch nicht mal DSM (also Port 5000 oder 5001) plus andere Ports auf die NAS weiterleiten. Das ist natürlich das sicherste.

Wenn aber Port 5000 bzw. 5001 bereits weitergeleitet wurde, ist ein web SSH Client kein zusätzliches Sicherheitsrisiko.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.612
Punkte für Reaktionen
3.641
Punkte
468
Was ihr hier diskutiert, ist das für und wieder eines "Hopping Servers", egal ob das nun die DS ist oder ein andere Server.

Wenn sehr viele Systeme von "aussen" administriert werden müssen, steht man vor der Wahl, ein mitunter komplexes Regelwerk aufzubauen, um alle Beteiligten irgendwie von aussen direkt zu erreichen, oder intern einen Server als "Sprungbrett" aufzubauen, über den alles läuft.

Natürlich stellt so ein Server zunächst mal ein Sicherheitsrisko dar, wird er mal gehackt, kommt man leicht an den Rest. Andererseits kann man sich auf den Schutz dieses Servers konzentrieren, verliert sich nicht in komplexen Regelwerken für die Firewalls, kann besser protokollieren oder einschränken wer, wann, was macht/machen darf, braucht nicht alle Tools zur Administration/Überwachung anderer Systeme auf seinem PC/Notebook ...

Wie immer gibt es also Vor- und Nachteile, die man abwägen muss - meine Meinung

Gruß Benares
 

ManiAx4

Benutzer
Mitglied seit
10. Aug 2014
Beiträge
24
Punkte für Reaktionen
0
Punkte
0
Mahlzeit @ll.. :)

ich weiß dieser Tread ist sehr sehr alt, dennoch wollte ich mal Fragen ob sich zu diesem Thema was getan hat.

So mal ich aktuell die Vorteile dafür sehe.
Aus meiner privaten Sicht, ist es unvorteilhaft, den SSH Zugang über das Internet verfügbar zu machen. Bis auf den NAS ist sonst nichts von außen erreichbar, wenn man die VPN Verbindung zur DS dazu zählt. Mein Netzwerk ist über Ubiquitti gelöst, außerdem habe ich ein MineCraft Server aktuell auf meiner DS415 Plus laufen. Beide Dinge versuche ich gerade über SSH (teilweise zwingend nötig) zu administrieren. Deswegen wäre es doch schon sehr schön, wenn ich mich auf die DSM einloggen könnte, oder über VPN und dann einen SSH Clint direkt auf dem NAS hätte.

Denn je weniger Ports ich öffnen muss und zugänglich mache, desto weniger gefahren kann ich mir als SSH Laie einbrocken. Denn ich fange jetzt auch erst langsam an mich in die Materie und des SSH Zugriffs einzuarbeiten. Denn in meinem LAN sind die SSH Zugänge soweit offen, bloß werden dann durch meinen Ubiquiti Security Gateway geblockt, wenn es Richtung WAN Ausgang, bzw. Internet geht.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Du hast doch sowieso VPN laufen, wo ist das Problem sich mit eine App (Putty für Windows, ssh für Linux und bei mobile-Geräten gibts auch mehr als genug SSH-Clients) sich nach der VPN-Einwahl mit einem SSH-Client einzuwählen? Via VPN kommst Du doch eh an alles dran...
 

ManiAx4

Benutzer
Mitglied seit
10. Aug 2014
Beiträge
24
Punkte für Reaktionen
0
Punkte
0
Ich gebe dir da Recht, bloß ich habe aktuell nicht so groß vertrauen, bzw. kenne ich mich im Android Playstore noch besonders aus. Weswegen ich bis jetzt noch kein SSH Client auf dem Handy installiert habe.
Werde ich aber wohl auch über kurz oder Lang haben..

Dennoch ist die Haupt-anlaufstelle mein NAS, von aussen und wohl der sicherste Bereich in meinem Netzwerk und das einzige, was wirklich 24/7 läuft und vom Internet aus erreichbar ist/wäre. So mal ich den NAS eh eher als Schnittstelle sehe, als "nur" als Netzwerk-Speicher. Und ich bin mittlerweile komplett überzeugt von Synology. Was wohl auch den ausschlag gebenden Grund für mich bringt, weiterhin so viel wie möglich über die DSM zu erledigen. Was aktuell für mich bedeutet abschließend ein SSH Client Packet zu haben, um alles über meinen NAS zu steuern.. :)

Klar gibt es andere Möglichkeiten, aber es wäre schön sehr nice... wenn es nach meinem Empfinden geht.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Ich verstehe nicht wirklich, was du eigentlich jetzt benötigst. Du hast bereits ein VPN und damit prinzipiell den vollen Zugriff auf dein Netz. Wozu braucht man da noch einen SSH-Client auf der DS?
Und wieso sollte das Vertrauen in Synology und deren Apps besser sein als in eine bewährte SSH-App, das erschließt sich mir auch nicht.

Wie kommst du denn von aussen "sicher" auf deine Anlaufstelle NAS?
 

ManiAx4

Benutzer
Mitglied seit
10. Aug 2014
Beiträge
24
Punkte für Reaktionen
0
Punkte
0
Ok ich versuche es zu erklären.
Mein Momentanes Netzwer:
FB (von meinen Anbieter) -> Ubiquiti Gateway -> Devolo Powerline -> Ubi Switch -> Compluter/Clients/NAS/WLAN/Drucker usw..

Sowohl in der FB als auch im Gateway habe ich aktuell folgende Ports freigegeben: 443; 6690 (CloudStation); 1900 (AudioStation); 80; 5000-5001 DSM; 1723 VPN.
Je nachdem UDP, oder TCP. Mehr habe ich nicht.

Ein Zugriff über SSH ist aktuell nur über über das Lokale Netzwerk möglich. Da ich entsprechende Ports nicht freigeben will nach außen. Was aktuell für mich bedeutet, dass ich zwingend eine VPN Verbindung aufbauen müsste um Zugriff mittels SSH zu bekommen. Einfacher wäre aber, wenn ich einfach eine SSL Verbindung über die DSM Oberfläche aufbauen könnte und dann einfach eine art Putty Packet hätte, wo drinnen ich dann mein SSH verwalten könnte.

Wie gesagt, es ist nicht zwingend und ich weiß das es zig andere und vllt. auch elegantere Wege gibt.
Dennoch besonders wenn man unterwegs ist, wäre die Möglichkeit sich einfach mal auf die DSM einzuloggen und dann einen SSH Client zu haben schon sehr gut. So mal, dieser Client auch Geräte unabhängig wäre. Sondern nur durch die DSM beschränkt wäre. Sei es ein Tablet bei Freunden, ein Computer im Ausland, oder mal vom Handy unterwegs. Denn der Client ist ja auf dem NAS.

Gruß

Björn
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Ja, ich denke, ich hab's verstanden.
Die Vorteile die du beschreibst, sehe ich indes nicht. Wie oft musst du über SSH arbeiten in deinem Netz? Und vor allem dann, wenn du selbst nicht in deinem Netz bist? Und warum musst du das dann auch noch von allem möglichen fremden Clients aus machen können?

Die Verbindung über Port 5001 oder gar 5000 ist jedenfalls unsicherer als ein VPN bei dem du auf dem Client einen SSH Zugang öffnest.
Mir genügt für diesen Zweck jedenfalls mein Smartphone (habe ich eh immer dabei) um über VPN per SSH in mein Netz zu kommen.

Davon ab kenne ich schlicht kein SSH-Client-Paket für die DS.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Vielleicht nochmal so als gedankliche Grundlage: Ein Server ist "kein"(!) Client. Irgendwie erinnert mich das ganze schon wieder zu sehr an Leute die sich auf einen Server schalten um zu "arbeiten" (und ich rede nicht von einem Terminalserver)... Du kannst aber durchaus mal Google befragen ("html5 ssh client open source"), da ergibt sich schon einiges... Schlussendlich muss ja sowieso jeder selbst wissen, wie er was mit seinem Zeugs anstellt und welchen Gefahren er seine Daten aussetzt. Da Du sowieso irgendwie schon das meiste einfach nur freigegeben hast, kannst Du ja schon fast auf das VPN verzichten. Ist sowieso nur im Weg und die ständige Einwahl stört natürlich auch massiv :eek:
 

ManiAx4

Benutzer
Mitglied seit
10. Aug 2014
Beiträge
24
Punkte für Reaktionen
0
Punkte
0
Kommt schon Mädels.. es geht hier um meinen Privaten NAS.. Keine Firma, oder sonst was wichtiges. Es geht um Interesse, neues auszuprobieren und zu schauen was alles Möglich ist.

@blurrr: Ein Server ungleich Client.. das ist richtig. Ein NAS ist aber aber auch ungleich eines Servers und dennoch nutzen viele darauf die Funktionen wie VM´s, Docker usw.. Ich zum Beispiel nutze meine DS auch noch als TS-Server. Brauche ich einen Teamspeak, oder Minecraft Server auf meiner DS? Oder meine Docker Installationen? Nein ich brauche sie nicht um ehrlich zu sein. Ich spiele noch nicht mal MineCraft. Warum mache ich es? Um zu lernen, um besser zu werden und aus Ehrgeiz, es doch irgendwie hin zu bekommen. PS. Wo ist bitte mein NAS offen? Alle Freigaben gehen zum NAS und werden benötigt um die Standard Dienste vom NAS nutzen zu können. Wenn das offen ist, weiß ich auch nicht weiter.. Nutzt Du deinen NAS nur Lokal, oder hast Du deinen NAS als Exposed Host eingetragen?? :D
Ps. Port 5000 zeigt auch auf den NAS, wird aber dann durch die DSM Einstellungen auf 5001 umgeleitet, so das wenn überhaupt nur eine Verbindung über Port 5001 mit der GUI möglich ist. Und ohne Port kommt mein Website Server. Dennoch sind das alles nur Einstellungen/Werte die der NAS benötigt.

Ein kurzes Beispiel: Ich habe eine DS415Plus, welcher Aktuell 8 GB Arbeitsspeicher hat und nicht 2, oder 3 GB (weiß gerade nicht wie viel die sonst hatten). Zum einen habe ich das gemacht, damit gewisse Dinge schneller laufen, aber hauptsächlich weil ich es gelesen habe und angefixt von der Idee war und es Ausprobieren zu wollte. Ich hatte noch nie meinen NAS auseinander gebaut. Interesse halt und jetzt aktuell kommt es sogar meinem Minecraft Server auf dem NAS zugute.

Und da ich beruflich in einer sehr großen Firma arbeite ist das Netzwerk so abgeriegelt, das ich in der Firma keine VPN Verbindung aufbauen kann. Was bei uns auch strikt verboten wäre. Dennoch kann ich aber auf meine DSM zugreifen über ein Browser. Was mich zur recht simplen und einfachen Frage bewegt hat, könnte man ein SSH Befehl auch über einen SSH Client (Packet) erledigen, welcher direkt und selber auf dem NAS liegt. So das ich den NAS mehr, oder weniger einfach als HOP benutzen kann, um wie in diesem Beispiel meinen Minecraft Server zu bedienen?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat