Synology Diskstation SSH Tunnel

Was machen, wenn man nur Port 22 (SSH) der Diskstation über den Router nach außen freigegeben hat, aber trotzdem auf andere Dienste, wie z.B. das DSM zugreifen möchte? Auch Dienste, die nur unverschlüsselt im Netz stehen und die Informationen und vielleicht sogar Passwörter im Klartext übermitteln und daher nicht freigeben möchte, kann man so über einen SSH-Tunnel zugänglich machen.

Das Prinzip ist recht einfach: Man muss nur per Shell einen Tunnel aufbauen und kann auf dahinterstehende Dienste ohne explizite Freigabe durch den Router zugreifen.

 

Was ist ein SSH-Tunnel?

Anschaulich betrachtet, kann man einen SSH-Tunnel mit einem echten Tunnel vergleichen, der zwei Netzwerke miteinander verbindet. Durch diesen sicheren Tunnel können Netzwerk-Protokolle eingebettet und verschlüsselt übertragen werden. Da der Tunnel meist von einem Rechner innerhalb eines fremden und potenziell unsicheren Netzwerks zu einem Server in einem vertrauenswürdigen Netz aufgebaut wird, können so TCP-Protokolle durch das fremde Netz vertraulich genutzt werden

Veranschaulichung SSH Tunneling
By SSHtunnel.png: Christian Muellerderivative work: Acme (This file was derived from SSHtunnel.png:) [CC BY-SA 2.5-2.0-1.0, CC-BY-SA-3.0 or GFDL], via Wikimedia Commons

Aufbau eines SSH-Tunnels mit PuTTY (Windows)

Wenn Sie schon per PuTTY eine SSH-Verbindung eingerichtet haben, dann müssen Sie diese nur ein wenig erweitern. Hier aber nochmals die komplette Einrichtung per PuTTY.

Schritt 1: generelle SSH Verbindung zum NAS

Schritt 1: generelle SSH Verbindung zum NAS

Im ersten Schritt tragen wir die Verbindungsdaten des NAS mit dem extern erreichbaren Namen ein. Ist SSH unter Port 22 erreichbar, so tragen wir auch diesen Port hier ein.

Schritt 2: Port Weiterleitung durch den Tunnel

Schritt 2: Port Weiterleitung durch den Tunnel

Der zweite und letzte Schritt ist die eigentliche Port-Weiterleitung über den SSH-Tunnel. In diesem Fall wollen wir auf das DSM (Port 5001) zugreifen. Dafür müssen wir angeben, unter welcher lokalen IP die Diskstation im Heimnetzwerk (hier: 192.168.178.100) und unter welchem Port der Dienst (hier: 5001) erreichbar ist. Diese Informationen tragen wir unter „Destination“ ein: 192.168.178.100:5001. Als letztes müssen wir angeben, unter welchem Port der Dienst erreichbar sein soll (hier auch 5001). Diesen Port tragen wir bei „Source“ ein. Es kann jeder beliebige Port eingetragen werden. Man muss jedoch darauf achten, dass dieser Port noch frei ist.
Wichtig: Unbedingt auf „Add“ drücken, damit die Einstellungen übernommen werden!

Nun kann über die URL „https://localhost:5001“ das DSM des heimischen NAS im Browser aufgerufen werden.

Aufbau eines SSH-Tunnels unter Linux

Unter Linux kann der Tunnel mit nur einem Befehl aufgebaut werden:

Wobei auch hier nach dem Schalter „-L“ zuerst der Port kommt, unter dem man den Dienst erreichen will und dann die IP und der Port der Dienstes auf der heimischen Diskstation.

Soll mehr als ein Port weitergeleitet werden, dann mit „-L“ eine weitere Verbindung anhängen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.