Beiträge von parsec

So, um mir meine Frage jetzt selbst zu beantworten.

Man muss keinen internen forward setzen, weil man den SSH Port einfach in der Dropbear konfig ändern kann.

Dazu einfach das start script anpassen und den port in der firewall freigeben.

In /etc/init.d/dropbear Zeile 10 findet man

DROPBEAR_ARGS="$DROPBEAR_ARGS -R -b /etc/issue"

dort einfach den gewünschten port anhand der dropbear syntax einfügen

DROPBEAR_ARGS="$DROPBEAR_ARGS -p 1234 -R -b /etc/issue"

dann mit '/etc/init.d/dropbear restart' den dropbear dienst neu starten.

Noch eine kleine phylosophische Sache am Rande.
Ein offener SSH Port ist keine Sicherheitslücke, wenn die Admins dahinter wissen was sie tun. Ich kenne unzählige Systeme in wirklich großen Umgebungen die offene SSH Ports haben um verschiedenste Dienste zu erledigen wie Cluster Management, Monitoring, distributed computing, etc. etc.. Normalerweisse ist es auch kein Problem einen SSH Server so ein zu stellen das er sicher ist und es wäre für Unifi ein leichtes gewesen die Konfigurationsmöglichkeiten mit in das Frontend ein zu bauen mit allerhand spielereien wie einer ganz einfach bann konfig oder port knocking. Das sie es nicht getan haben, zeigt nur wie schlecht deren Techniker sind, oder wie wenig sie darauf vertrauen das ihr equipment tatsächlich von Experten verwendet wird. Die schon fast mobbingähnlichen Zustände die ich durch meine Frage hier gesehen habe, erklären mir aber leider das Verhalten von mittelklasse Netzwerkhardware herstellern.
Bildung hilft gegen Bandenbildung.

Naja, ich Arbeite auch in der IT und seit 20 Jahren mit Linux systemen, bin sysengi und consultant. Daher hab ich die idee

Also, um mich hier mal zurück zu melden.
Erstens versteh ich eure Panik nicht SSH nach draussen auf zu machen. Wenn ich sichere passwörter verwende, nicht port 22 verwende und mit rate limiting arbeite is das überhaupt kein Problem. Ich kenne fast keinen admin der seine SSH ports nicht direkt ins Netz hängt. Man muss halt wissen was man tut.

Ihr mädelt da auch rum wegen VPN .. Leute, die Option den Gateway als VPN Endpunkt zu benutzen haben vielleicht eure USGs aber nicht die UDM. Ausserdem is ein VPN, dessen Schlüssel ich nicht selber erstellt habe weil proprietary software(unifi), weniger sicher als ein offener SSH port.

Zitat von EJHome

Hi!

Das ist ja mal eine ungewöhnliche Frage!

Du mangest 1000 Ubnt Geräte und willst nun wirklich den Port ins WAN bringen. Aber okay!

Firewall-Gruppe erstellen; Inhalt der Port / die Ports, die du erreichen willst.

Firewall-Regel WAN Lokal erstellen; Inhalt Accept TCP from any to Port-Gruppe (die Du erstellt hast auswählen).

Portweiterleitung ist nicht notwendig, die von Dir erstellte Firewall-Regel muss an der Spitze der Firewall-Regeln stehen.

Gruß!

Alles anzeigen

Und hierzu. Ja, das würde funktionieren wenn ich den Port 22 nach draussen aufmachen will, das wär ja auch ez, aber gar nicht meine Frage. Ich will von draussen kommend zb. über den Port 43522 den SSH dienst erreichen.

Ich hab dieses Problem auch. Und ich verwende die UDM eigentlich in Umgebungen wo ich die Statistik echt brauchen könnte, aber da sich Unifi gedacht hat
"hey, is ja nicht so wichtig, nur ein setting das 20% unserer Softwaresuite braucht um zu funktionieren.. lass mal raus machen"
sitz ich jetzt da und darf mir überlegen wie ich die Statistiken sammle ohne dabei nen anderen Gateway davor zu hängen.

Werd ich mir definitiv ansehen. Dankeschön fürs teilen.

Naja .. einen VPN Endpunkt halt ?!

Also so ein Ding das jede VPN Verbindung by-design braucht. Weisst schon, auf protokollebene und so ..

VPN deswegen nicht weil ich ja dahinter einen Endpunkt für den VPN bräuchte von welchem aus ich mich dann per SSH mit dem Gateway verbinde. Da ich aber bei jedem Standort mehrere Public IPs habe und sowieso über andere Punkte rein komm, is ein VPN ned notwendig.

Die Frage war auch eher algemein gestellt um mal die Firewall konfiguration der UDM ein wenig kennen zu lernen. Ist ja auch nur ein quick'n'dirty fix bis ich alles richtig eingerichtet habe.

Naja, die tausend Geräte sind über 10 Sites verteilt wo jede ihren eigenen Gateway/Controller hat. Wir hatten unsere SSH Ports immer schon draussen, früher jedoch bissl besser gesichert mit ner stateful firewall davor. Ich denke das ich auch weiterhin einen jump host verwenden werde, muss den aber noch einrichten.
Danke, werd mal deinen Lösungsweg versuchen.

Versuch mal in den Site einstellungen UAPSD zu deaktivieren.

Ja, das ist richtig, ich würde gerne aus dem WAN per SSH auf die Konsole der UDM zugreifen. Ich weiss das dies nicht dem guten Umgang entspricht, aber die UDM hängt sowieso ganz lässig ihr eigenes Web interface ins Netz ohne das ich ihr das vorher dediziert gesagt habe, weswegen ich jetzt bei SSH nicht so das problem sehe.

Edit: Ausserdem sprechen wir von Ubiquiti. Wenn Sicherheit ein Thema wäre, würde ich anderes Equipment als eine UDM-P als Gateway verwenden.

Hallo Leute.

Also ich habs geschafft externen zugriff auf port 22 zu aktivieren, wenn ich allerdings einen anderen Port freigeben will, damit die UDM ned auf 22 aus dem Internet erreichbar ist, mag das ding nicht mehr.
Ich hab einen Forward auf 22 eingerichtet, hab eine WAN lokal regel erstellt, eine WAN eingehend .. aber er mag ned. Bitte um Rat