====== Zugang zu Rechnern in privaten Subnetzen von außen ====== Wenn die PCs einer Arbeitsgruppe sicherheitshalber in einem privaten Subnetz (IP 10.4.x.x oder 10.5.x.x), besteht nach wie vor die berechtigte Bedürfnis, auch von außerhalb des Universitätsnetzes darauf zuzugreifen. Hierzu gibt es Möglichkeiten. ===== VPN ===== Das Rechenzentrum bietet als offizielle Lösung das [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=vpn|VPN ("Virtual Private Network")]]. Die Nutzer bekommen hiermit eine IP aus dem Subnetz 132.230.239.0/24. Auf der [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=vpn#anleitungen_und_informationen_zu_unterschiedlichen_betriebssystemen|Wikiseite]] gibt es Links zur Einrichtung von: * Windows über [[https://www.rz.uni-freiburg.de/services/netztel/wlan-vpn/vpn-clients#section-1|AnyConnect]] * MacOS X und iOS * Linux * Android * Nokia Die Dokumentationsseiten im RZ sind leider nicht immer übersichtlich. Deswegen hier noch Anleitungen für verschiedene Plattforme: * [[VPN unter Debian Linux]] * [[VPN unter Linux mit vpnc]] * [[VPN under MacOS]]. ===== SSH Tunneling ===== Bei Linux und MacOS kann man mithilfe von SSH-Tunneling Zugriff auf einen im privaten Subnetz versteckten PC erlangen. Man kann das direkt auf der Kommandozeile machen wie so (Beispiel mit klose): ssh -o ProxyCommand="ssh -W %h:%p login.uni-freiburg.de" klose.physik.privat Einfacher geht es aber, wenn man das Tunneling in ~/.ssh/config so einrichtet, wie man es haben möchte. Der Link * [[~/.ssh/config|~/.ssh/config]] enthält eine Beispielversion dieser Datei. Den Inhalt kann man übernehmen und abändern, um eigene Lieblingshosts zu definieren, damit sie über einen anderen, öffentlichen Host erreichbar sind, obwohl sie in einem privaten Subnetz versteckt sind. Bei entsprechend eingerichteter Config-Datei kann man - auch von außerhalb des Uni-Netzes - folgenden Befehl eintippen: ssh klose Weitere Informationen zum SSH-Tunneling findet man hier: * https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Proxies_and_Jump_Hosts ==== Warnung ==== Die Beispielsversion von ''~/.ssh/config'' verwendet den Login-Server ''login.uni-freiburg.de'' im RZ als Zwischenstation, aber jeder andere öffentlich zugänglicher Universitäts-Linux-Host müsste auch klappen. Das RZ bietet diesen Server zwar nicht offiziell zum Tunneling an, er kann aber durchaus so verwendet werden. Ich habe aber gemerkt, dass oft ein neuer Tunneling-Zugriff nicht sofort wieder möglich ist, wenn man eine bestehende Verbindung gerade eben getrennt hat. Das RZ garantiert den Tunneling-Service über den Login-Server nicht. Stattdessen bietet das RZ die offizielle VPN-Lösung.