Sie sind hier: Home Dienste» SSH über stunnel

Mittels stunnel und SSH auf trash.net zugreifen

Von Roman (romanf auf trash.net)

Wenn eine Firewall oder ein HTTP/HTTPS-Proxy verhindert, dass du direkt per SSH auf trash.net zugreifen kannst (ist oft in Firmen der Fall), dann kann dir unser stunnel-Service vielleicht helfen.

Warnung: Die Verwendung von stunnel kann gegen die Vorschriften deines Arbeitgebers verstossen! Bitte kläre zuerst, was erlaubt ist und was nicht.

stunnel besteht aus einem Client- und einem Server-Teil.
Der Server-Teil läuft auf trash.net, lauscht auf access1.trash.net:443 auf eingehende Verbindungen und reicht die Daten dann lokal an den SSH Dienst weiter.
Den Client-Teil musst du auf deinem lokalen Gerät installieren und richtig konfigurieren (s. unten).

Wie der Name sagt, macht stunnel einen SSL-verschlüsselten Tunnel. Ist alles korrekt eingerichtet, musst du auf deinem Gerät nur noch einen SSH-Client (z.B. PuTTY) starten und auf "localhost" verbinden. Die Verbindung wird dann vom stunnel-Client aufgenommen, durch die Firewall / den Proxy geschleust und an den stunnel-Server übergeben. Dieser verbindet dann auf den SSH-Server. Et voilà, SSH mittels stunnel.

Schritt-für-Schritt Anleitung zur Installation und Konfiguration des stunnel-Clients:

  1. Den passenden stunnel-Client runterladen und installieren: https://www.stunnel.org/downloads.html
  2. Die Konfiguration öffnen und einen neuen Abschnitt am Ende eintragen:
    ; Disguise SSH as HTTPS traffic
[ssh]
    client = yes
    accept = 127.0.0.1:22
    connect = proxy-host.deine-firma.tld:port
    protocol = connect
    protocolHost = access1.trash.net:443
    protocolAuthentication = basic
    protocolUsername = domain\account
    protocolPassword = xxxx
    (Du musst natürlich "connect" sowie Username und Passwort anpassen.)
  3. Konfiguration speichern und "Reload Configuration" auslösen.

Gemäss stunnel-Dokumentation sollte auch die Authentisierungs-Methode NTLM unterstützt sein. Ich habe das aber mit dem ISA-Proxy in meiner Firma aber nicht hingekriegt...

Hinweise:

  • Das Zertifikat auf access1.trash.net:443 ist von Let's Encrypt signiert.
  • Aktuell ist nur der Service SSH konfiguriert, es können nach Bedarf auch weitere Dienste eingerichtet werden, z.B IMAPS oder sonst ein TCP-Service.
  • 2020-05-29: ab sofort ist die Liste der gültigen Ciphers auf strenge Varianten eingeschränkt. Wer einen Client einsetzen muss, der damit nicht klar kommt, soll sich bitte auf der Support-Liste melden. Liste der Ciphers:
    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-RSA-AES256-SHA384
    • ECDHE-RSA-AES256-SHA
    • ECDHE-RSA-AES128-SHA256
    • ECDHE-RSA-AES128SHA
    • AES256-GCM-SHA384
    • AES128-GCM-SHA256
    • AES256-SHA256
    • AES128-SHA256
    • AES128-SHA
    • DES-CBC3-SHA