SSH Port Forward von WAN

Es gibt 24 Antworten in diesem Thema, welches 8.646 mal aufgerufen wurde. Der letzte Beitrag () ist von parsec.

    Hallo Leute.

    Also ich habs geschafft externen zugriff auf port 22 zu aktivieren, wenn ich allerdings einen anderen Port freigeben will, damit die UDM ned auf 22 aus dem Internet erreichbar ist, mag das ding nicht mehr.
    Ich hab einen Forward auf 22 eingerichtet, hab eine WAN lokal regel erstellt, eine WAN eingehend .. aber er mag ned. Bitte um Rat

    • Offizieller Beitrag

    Guten Morgen,


    habe ich das richtig verstanden: Du möchtest aus dem bösen Internet direkt auf die Console Deiner UDM-P zugreifen können?


    Davon würde ich Dir wegen so vieler Punkte abraten und das lieber per VPN lösen - meine Meinung.

    Ja, das ist richtig, ich würde gerne aus dem WAN per SSH auf die Konsole der UDM zugreifen. Ich weiss das dies nicht dem guten Umgang entspricht, aber die UDM hängt sowieso ganz lässig ihr eigenes Web interface ins Netz ohne das ich ihr das vorher dediziert gesagt habe, weswegen ich jetzt bei SSH nicht so das problem sehe.

    Edit: Ausserdem sprechen wir von Ubiquiti. Wenn Sicherheit ein Thema wäre, würde ich anderes Equipment als eine UDM-P als Gateway verwenden.

    Ich glaube die UDM wird das nicht zulassen, weil es einfach gegen die Regeln der Sicherheit verstößt .

    Das ist selbst für Unifi eine Nummer zu hart :kissing_face:

    Vigor 167 - OPNsense- 4x US-8-60W - US-8-150W- US-24-250W - 4 x UAP-AC-PRO- 4 x UAP-AC-M 6 x USW-Flex-Mini - Proxmox-Cluster -TrueNas- Fhem- Homematic und jede Menge anderen Blödsinn der eigentlich nur Strom frisst aber mir freude macht :smiling_face_with_sunglasses:

    Gefällt mir 1

    Ich hab zwar keine UDM, aber mein USG hängt nichts einfach so ins Netz. SSH auf zu machen von außen ist kompletter Unfug und leichtsinnig.

    Gefällt mir 1

    Hi!


    Das ist ja mal eine ungewöhnliche Frage!


    Du mangest 1000 Ubnt Geräte und willst nun wirklich den Port ins WAN bringen. Aber okay!



    Firewall-Gruppe erstellen; Inhalt der Port / die Ports, die du erreichen willst.


    Firewall-Regel WAN Lokal erstellen; Inhalt Accept TCP from any to Port-Gruppe (die Du erstellt hast auswählen).


    Portweiterleitung ist nicht notwendig, die von Dir erstellte Firewall-Regel muss an der Spitze der Firewall-Regeln stehen.


    Gruß!

    Naja, die tausend Geräte sind über 10 Sites verteilt wo jede ihren eigenen Gateway/Controller hat. Wir hatten unsere SSH Ports immer schon draussen, früher jedoch bissl besser gesichert mit ner stateful firewall davor. Ich denke das ich auch weiterhin einen jump host verwenden werde, muss den aber noch einrichten.
    Danke, werd mal deinen Lösungsweg versuchen.

    Warum nicht per VPN ins Netz und dann per SSH? Ist sicher und unkompliziert.

    jkasten


    Offensichtlich will er das so nicht machen.

    VPN hatte razor doch auch schon vorgeschlagen.


    Gruß!


    Zusatz!


    jkasten


    Du hast aber grundsätzlich recht!

    Schon richtig, aber eine Antwort darauf warum nicht per VPN kam nicht.

    jkasten


    Stimmt, aber vielleicht bekommen wir den besonderen Usecase noch mitgeteilt.

    Ich will ja dazulernen!


    Gruß!

    VPN deswegen nicht weil ich ja dahinter einen Endpunkt für den VPN bräuchte von welchem aus ich mich dann per SSH mit dem Gateway verbinde. Da ich aber bei jedem Standort mehrere Public IPs habe und sowieso über andere Punkte rein komm, is ein VPN ned notwendig.

    Die Frage war auch eher algemein gestellt um mal die Firewall konfiguration der UDM ein wenig kennen zu lernen. Ist ja auch nur ein quick'n'dirty fix bis ich alles richtig eingerichtet habe.

    Verstehe ich nicht ganz... VPN verbinden, SSH Client starten, IP der UDM/USG eingeben und los. Was meinst Du mit Endpunkt?

    Danke 1
    Zitat von parsec

    Naja .. einen VPN Endpunkt halt ?!

    Also so ein Ding das jede VPN Verbindung by-design braucht. Weisst schon, auf protokollebene und so ..

    das ist die UDM. Oder was meinst du?

    Gefällt mir 1
    • Offizieller Beitrag
    Zitat von jkasten

    das ist die UDM. Oder was meinst du?

    Das hätte ich auch angenommen :thinking_face:. Bei mir ist das USG der Endpunkt, auf dem ich lande, wenn ich eine VPN-Verbindung nach Hause aufbaue. Wenn diese Verbindung steht, dann erreiche ich alles, was ich will, mit der internen IP-Adresse - wie im LAN auch. Ganz easy.

    Zitat von razor

    Das hätte ich auch angenommen :thinking_face:. Bei mir ist das USG der Endpunkt, auf dem ich lande, wenn ich eine VPN-Verbindung nach Hause aufbaue. Wenn diese Verbindung steht, dann erreiche ich alles, was ich will, mit der internen IP-Adresse - wie im LAN auch. Ganz easy.

    Deswegen meine Frage was er meint

    Gefällt mir 1

    Hallo Zusammen.


    Auch von meiner Seite aus ein NoGo den Port 22 zu öffnen und per WAN erreichbar zu machen. Ich hatte diesen einmal auf meiner DS918 freigegeben, damit wir SFTP nutzen können. Nach 5 Minuten habe ich ihn gleich wieder geschlossen. An der Firewall hat es nur "geklingelt". (Afrika, China, Russland,...).


    Wie schon mehrfach geraten auch MEINE Empfehlung: VPN direkt zur UDM und dann über den Tunnel die Console üder die interne IP nutzen. Aus Erfahrung heraus, ist eine Freigabe von Port 22 für SSH nicht zu empfehlen.

    Ich denke darüber sollte man eigentlich nicht diskutieren müssen. Der Sicherheitsaspekt ist nun mal wesentlich größer per VPN. Aber es kommt ja nichts mehr vom Threadersteller, warum er das nicht per VPN machen will bzw was er mit Endpunkt meint. Ich klink mich hier mal aus 🤘

    Hi!


    Ich habe noch die Hoffnung, das parsec uns erklären wird, warum er dies so machen möchte!

    Gruß!