SSH-Tunnel weiterreichen bzw. SSH-"proxy" ??

[randfee]

Hi,

auf der Arbeit ärgert mich mehr und mehr, dass wir unsere emails nur per SSH Tunnel von außen abrufen können und damit Handys (ohne sie zu hacken) meist nicht in Frage kommen.

Weitergeleitet werden die folgenden Ports, die man dann einfach in jedem client über localhost einrichten und somit auf seine mails zugreifen kann. Ist ja an sich kein Hexenwerk.
=====================
Imap imap.xxxxxx:143 1143
Smtp smtp.xxxxxx:25 1125
=====================


Jetzt aber die Frage:
Hat jemand eine Idee wie ich zuhause einen Rechner/Server/NAS laufen lassen kann, der permanent den Tunnel offen hält und mir "irgendwie" (das frage ich mich jetzt) den Zugriff von außen per Handy (iPhone, Android) durch den SSH Tunnel hindurch ermöglicht, sodass ich nen Standard Handyclient nutzen kann?

Mir ist konzeptionell nicht ganz klar, wie ich das angehen könnte. Hat wer ne Idee? Für meine Kenntnisse ist das ne Nummer zu hoch, allein einschätzen zu können obs (einfach) geht.

 

[randfee]

um mir die Antwort selber zu geben: Es geht... grundsätzlich... eben gemacht.

Lösungsansatz:

• Shellscript schreiben à la:

  #!/bin/sh
  ssh -l user -i /zertifikat \
  -L proxy_IP:1125:smtp_server:25 \
  -L proxy_IP:1143:imap_server:143 \
  -C ssh_login_server

  , wobei hier mit "proxy_IP" die IP des Rechners gemeint ist, auf dem das so ausgeführt wird
• iPhone per VPN ins LAN einloggen
• als Mailserver eben proxy_IP:1125/1143 angeben, fertig.

Wie gesagt, das funktioniert, aber auch nur ziemlich umständlich. Entweder bin ich jetzt immer per VPN daheim drin, oder ich müsst es selbständig aktivieren. Beides Mist. VPN on Demand wäre der Hammer, geht aber soweit ich weiß nur mit Cisco IPSec... argh.
Über kurz oder lang glaube ich mitlerweile komme ich an einer wirklichen VPN Lösung einfach nicht mehr vorbei. Ich brauche IPSec fürs iPhone und eben solche (on demand) Spielchen.
Ich liebäugel ja schon länger damit mir eine Astaro Firewall zu basteln, die Software ist ja kostenlos. Hat hier jemand eine?

 

[jahlives]

du könntest den Aufruf für dein Script auch in /root/.ssh/authorized_keys machen. Dann würde das Script automatisch jedes Mal aufgerufen wenn du dich mit einem vorgegebenen Key verbindest

command="/deinScript.sh"   ssh-rsa PUBLIC_KEY1_VALUE

obiges in authorized_keys

 

[randfee]

jo stimmt, thx.

Aber ich will eigentlich noch einen Schritt weiter. Im Endeffekt sollte der Tunnel immer stehen, am besten sollte geschaut werden ob er aktiv ist und wenn nicht, sollte der sich selbständig einloggen, wie ich das realisier ist mir noch nicht klar. Darüber hinaus ist das Zertifikat verschlüsselt und wie ich das Passwort dafür dann speichere ist mir auch noch nicht klar .
Zu guter letzt, wie oben beschrieben, fehlt mir noch ein wirklicher VPN Server im Netz, der VPN on demand mit z.B. den iPhones kann . Ich glaube ich bau mir jetzt ne Astaro Kiste, dann hat das ein für alle mal ein Ende.