---

Hej
Jeg kunne godt bruge lidt hjælp til ssh tunnelling.
Mit spørgsmål drejer sig om cygwin og remote desktop på windows, men
eftersom ssh har noget med unix at gøre, prøver jeg at spørge her i
gruppen. Jeg har hørt at remote desktop på windows kan sikres bedre ved
at bruge ssh tunnelling. Som sagt bruger jeg cygwin på min windows
hvilket jeg allerede har sat op. I min firewall har jeg åbnet for port
22(ssh) og 3389(remote desktop).

Jeg synes at have læst et sted at man kan undgå at åbne for port 3389
ved at bruge ssh tunnelling altså dermed blot connecte gennem port 22.
Er det rigtigt? I så fald hvordan sætter man det op og laver sin connection?

peter

---

Peter <x@xxx.com> writes:

> gruppen. Jeg har hørt at remote desktop på windows kan sikres bedre ved
> at bruge ssh tunnelling. Som sagt bruger jeg cygwin på min windows
> hvilket jeg allerede har sat op. I min firewall har jeg åbnet for port
> 22(ssh) og 3389(remote desktop).
>
> Jeg synes at have læst et sted at man kan undgå at åbne for port 3389
> ved at bruge ssh tunnelling altså dermed blot connecte gennem port 22.
> Er det rigtigt? I så fald hvordan sætter man det op og laver sin connection?

Hvis der kører en ssh-server på maskinen du vil have en 'remote
desktop'-forbindelse til, kan du bruger `ssh <maskine>
-L 33389:127.0.0.1:3389` så skal du bare lave forbindelse til port 33389
på din egen maskine for at få fat i den anden.

..Henrik

--
| inu\/ & Emacs er hvad der skal til!
|_aTe/\

---

Peter <x@xxx.com> wrote:

>Jeg kunne godt bruge lidt hjælp til ssh tunnelling.

Ok...

>Mit spørgsmål drejer sig om cygwin og remote desktop på windows, men
>eftersom ssh har noget med unix at gøre, prøver jeg at spørge her i
>gruppen. Jeg har hørt at remote desktop på windows kan sikres bedre ved
>at bruge ssh tunnelling. Som sagt bruger jeg cygwin på min windows
>hvilket jeg allerede har sat op. I min firewall har jeg åbnet for port
>22(ssh) og 3389(remote desktop).

>Jeg synes at have læst et sted at man kan undgå at åbne for port 3389
>ved at bruge ssh tunnelling altså dermed blot connecte gennem port 22.
>Er det rigtigt? I så fald hvordan sætter man det op og laver sin connection?

Principielt er det bare at starte ssh-clienten med kommandoen:

ssh -L localhost:20000:localhost:3389 <din wan ip-addresse>

og herefter kan du 'nå' fjerneskrivebordet på hjemmecomputeren på
adressen 'localhost:20000'.

I længden blive det for besværligt med kommandolinie parametre så de
fleste vil lægge parametrene i ssh-clientens opsætningfil 'ssh_config'
som du finder i dit <cygwin>/etc directory. Tilføj f.eks linierne:

<-klip->

Host            hjem
User            <dit brugernavn hjemme>
HostName         <Din WAN IP-adresse hjemme>
GatewayPorts         yes
LocalForward 20000      localhost:3389

<-klip->

og du kan nu kalde op med kommandoen

ssh hjem

og umiddelbart bruge fjernskrivebordet.

- - - -

Men alt omkring ssh er godt dokumenteret på http://www.openssh.org/, kig
efter manual siderne....


<mlr>

--

The two basic principles of Windows system administration:

* For minor problems, reboot
* For major problems, reinstall

---

Michael Rasmussen wrote:
> Peter <x@xxx.com> wrote:
>
>
>>Jeg kunne godt bruge lidt hjælp til ssh tunnelling.
>
>
> Ok...
>
>
>>Mit spørgsmål drejer sig om cygwin og remote desktop på windows, men
>>eftersom ssh har noget med unix at gøre, prøver jeg at spørge her i
>>gruppen. Jeg har hørt at remote desktop på windows kan sikres bedre ved
>>at bruge ssh tunnelling. Som sagt bruger jeg cygwin på min windows
>>hvilket jeg allerede har sat op. I min firewall har jeg åbnet for port
>>22(ssh) og 3389(remote desktop).
>
>
>>Jeg synes at have læst et sted at man kan undgå at åbne for port 3389
>>ved at bruge ssh tunnelling altså dermed blot connecte gennem port 22.
>>Er det rigtigt? I så fald hvordan sætter man det op og laver sin connection?
>
>
> Principielt er det bare at starte ssh-clienten med kommandoen:
>
> ssh -L localhost:20000:localhost:3389 <din wan ip-addresse>
>
> og herefter kan du 'nå' fjerneskrivebordet på hjemmecomputeren på
> adressen 'localhost:20000'.
>
> I længden blive det for besværligt med kommandolinie parametre så de
> fleste vil lægge parametrene i ssh-clientens opsætningfil 'ssh_config'
> som du finder i dit <cygwin>/etc directory. Tilføj f.eks linierne:
>
> <-klip->
>
> Host            hjem
> User            <dit brugernavn hjemme>
> HostName         <Din WAN IP-adresse hjemme>
> GatewayPorts         yes
> LocalForward 20000      localhost:3389
>
> <-klip->
>
> og du kan nu kalde op med kommandoen
>
> ssh hjem
>
> og umiddelbart bruge fjernskrivebordet.
>
> - - - -
>
> Men alt omkring ssh er godt dokumenteret på http://www.openssh.org/, kig
> efter manual siderne....
>
>
> <mlr>
>

Tak for svarene.
Hvis vi siger at host og hjem begge sidder bad routere i dit eksempel,
hvilke porte skal der så åbnes for i de to routere?

peter

---

Peter <x@xxx.com> wrote:

>Hvis vi siger at host og hjem begge sidder bad routere i dit eksempel,
>hvilke porte skal der så åbnes for i de to routere?

SSH bruger standardmæssigt port 22 - og når du kører fjernskrivebordet
gennem en SSH tunnel, skal der principielt kun åbnes for SSH.

Altså kan du roligt lukke port 3389 igen.

- - -

Du har ssh-clienten og ssh-serveren bag hver sin router / firewall ?!

Under alle omstændigheder skal routeren foran ssh-serveren åbnes så
serveren kan 'ses' fra internettet. Dvs du skal definere en 'Virtual
Server' der sender trafik til wan-sidens port 22 videre til port 22 på
ssh-serveren.

Det er sjældent at bredbåndsroutere lukker af for udgående ssh-trafik,
så du behøver næppe røre routeren foran ssh-clienten.


<mlr>

--

The two basic principles of Windows system administration:

* For minor problems, reboot
* For major problems, reinstall

---

Michael Rasmussen wrote:
> Peter <x@xxx.com> wrote:
>
>
>>Jeg kunne godt bruge lidt hjælp til ssh tunnelling.
>
>
> Ok...
>
>
>>Mit spørgsmål drejer sig om cygwin og remote desktop på windows, men
>>eftersom ssh har noget med unix at gøre, prøver jeg at spørge her i
>>gruppen. Jeg har hørt at remote desktop på windows kan sikres bedre ved
>>at bruge ssh tunnelling. Som sagt bruger jeg cygwin på min windows
>>hvilket jeg allerede har sat op. I min firewall har jeg åbnet for port
>>22(ssh) og 3389(remote desktop).
>
>
>>Jeg synes at have læst et sted at man kan undgå at åbne for port 3389
>>ved at bruge ssh tunnelling altså dermed blot connecte gennem port 22.
>>Er det rigtigt? I så fald hvordan sætter man det op og laver sin connection?
>
>
> Principielt er det bare at starte ssh-clienten med kommandoen:
>
> ssh -L localhost:20000:localhost:3389 <din wan ip-addresse>
>
> og herefter kan du 'nå' fjerneskrivebordet på hjemmecomputeren på
> adressen 'localhost:20000'.
>
> I længden blive det for besværligt med kommandolinie parametre så de
> fleste vil lægge parametrene i ssh-clientens opsætningfil 'ssh_config'
> som du finder i dit <cygwin>/etc directory. Tilføj f.eks linierne:
>
> <-klip->
>
> Host            hjem
> User            <dit brugernavn hjemme>
> HostName         <Din WAN IP-adresse hjemme>
> GatewayPorts         yes
> LocalForward 20000      localhost:3389
>
> <-klip->
>
> og du kan nu kalde op med kommandoen
>
> ssh hjem
>
> og umiddelbart bruge fjernskrivebordet.
>
> - - - -
>
> Men alt omkring ssh er godt dokumenteret på http://www.openssh.org/, kig
> efter manual siderne....
>
>
> <mlr>
>
Hmm, jeg kan ikke få eksemplet til at virke. Den siger "bad forwarding".
Måske har jeg ikke helt forstået essencen/tricket så. Jeg kan ikke få
rettigheder med windows stifinder til at skrive til filen ssh_config med
f.eks notepad.

---

Peter <x@xxx.com> wrote:
> Hmm, jeg kan ikke få eksemplet til at virke. Den siger "bad forwarding".

Ja, nøjes med
ssh -L 20000:localhost:3389 <din wan ip-addresse>

/Niels

--
Niels Baggesen -- @home -- Århus -- Denmark -- niels@baggesen.net
The purpose of computing is insight, not numbers -- R W Hamming

---

Niels Baggesen wrote:
> Peter <x@xxx.com> wrote:
>
>>Hmm, jeg kan ikke få eksemplet til at virke. Den siger "bad forwarding".
>
>
> Ja, nøjes med
> ssh -L 20000:localhost:3389 <din wan ip-addresse>
>
> /Niels
>
Nu kom jeg igennem til cygwin på serveren. Men, ms' remote
desktop-klient vil ikke forbinde til computeren "localhost:20000". Hvis
jeg nøjes med at skrive "localhost", dur det self. heller ikke eftersom
det er dens egen terminal som jeg jo allerede er logget ind på. Hvad så?

---

Peter wrote:
> Niels Baggesen wrote:
>
>>Peter <x@xxx.com> wrote:
>>
>>
>>>Hmm, jeg kan ikke få eksemplet til at virke. Den siger "bad forwarding".
>>
>>
>>Ja, nøjes med
>>ssh -L 20000:localhost:3389 <din wan ip-addresse>
>>
>>/Niels
>>
>
> Nu kom jeg igennem til cygwin på serveren. Men, ms' remote
> desktop-klient vil ikke forbinde til computeren "localhost:20000". Hvis
> jeg nøjes med at skrive "localhost", dur det self. heller ikke eftersom
> det er dens egen terminal som jeg jo allerede er logget ind på. Hvad så?
Beskriver denne artikel ikke mit problem:
http://support.microsoft.com/default.aspx?scid=kb;en-us;304304

Det burde da virke så, ikk? Jeg bliver i tvivl om at ssh-kommandoen så
er rigtig..

---

Peter wrote:
> Peter wrote:
>
>>Niels Baggesen wrote:
>>
>>
>>>Peter <x@xxx.com> wrote:
>>>
>>>
>>>
>>>>Hmm, jeg kan ikke få eksemplet til at virke. Den siger "bad forwarding".
>>>
>>>
>>>Ja, nøjes med
>>>ssh -L 20000:localhost:3389 <din wan ip-addresse>
>>>
>>>/Niels
>>>
>>
>>Nu kom jeg igennem til cygwin på serveren. Men, ms' remote
>>desktop-klient vil ikke forbinde til computeren "localhost:20000". Hvis
>>jeg nøjes med at skrive "localhost", dur det self. heller ikke eftersom
>>det er dens egen terminal som jeg jo allerede er logget ind på. Hvad så?
>
> Beskriver denne artikel ikke mit problem:
> http://support.microsoft.com/default.aspx?scid=kb;en-us;304304
>
> Det burde da virke så, ikk? Jeg bliver i tvivl om at ssh-kommandoen så
> er rigtig..

Hmm, fik det lige testet på en windows 2000 pro og der virker det fint
at forbinde til localhost:20000. Problemet består så vidt jeg så kan
forstå i at windows xp i rd-klienten tror at man med kommandoen
localhost:20000 forsøger at forbinde til dens egen single user terminal
server på localhost i stedet for på fjerncomputeren. Hvordan tæmmer jeg
rd-klienten på windows xp?

---

Peter <x@xxx.com> wrote:

>Hmm, fik det lige testet på en windows 2000 pro og der virker det fint
>at forbinde til localhost:20000. Problemet består så vidt jeg så kan
>forstå i at windows xp i rd-klienten tror at man med kommandoen
>localhost:20000 forsøger at forbinde til dens egen single user terminal
>server på localhost i stedet for på fjerncomputeren. Hvordan tæmmer jeg
>rd-klienten på windows xp?

Jeg bruger samme opsætning på en XP, og det fungerer uden problemer. Så
problemet ligger næppe i rd-klienten, men et-eller-andet sted i din
SSH...

Bemærk at du kun kan forward'e til given port een gang - dvs står W2K
maskinen med en åben ssh-forbindelse med forwarding til port 3389 kan du
ikke samtidig lave samme nummer på XP-maskinen - Men ssh-clienten plejer
at skælde ud hvis man forsøger ?!

Alternativt er det måske XP's firewall der laver knuder - Den burde ikke
gøre den, når du anvender localhost. Men man ved sgu' aldrig med
microsofts programmer....

<mlr>

--

The two basic principles of Windows system administration:

* For minor problems, reboot
* For major problems, reinstall