Fernwartung Speedport W921V

einfach0815 · 27. August 2015

Hallo Forum, dies ist mein erster Beitrag. Ich habe folgendes Problem: Mein Vater wohnt weit weit weg und hat oft Probleme mit seinem Computer. Jetzt dachte ich mir, ich mach alles aus der Ferne. Da habe ich schon das erste Problem: der Telekom Router Speedport W921V hat kein Fernwartungsinterface. Ich dachte mir jetzt folgendes. Ich leite den Port 80 am Router auf einen Linuxrechner, der hinter dem Router steht um und von dort wieder auf den Router zurück, so daß ich die Weboberfläche des Routers zu sehen bekomme. Geniale Sache, dachte ich. funktioniert nur nicht. Könnt ihr mir sagen warum?

Code

#! /bin/bash


echo "--------------------------------------------------------------------------------"
echo "iptables-Modul im Kernel laden"
modprobe ip_tables


echo "--------------------------------------------------------------------------------"
echo "Connection-Tracking aktivieren"
echo "(Status der Verbindungen wird beruecksichtigt)"
modprobe ip_conntrack


echo "--------------------------------------------------------------------------------"
echo "Zusaetzliche Infos fuer FTP"
modprobe ip_conntrack_ftp


echo "--------------------------------------------------------------------------------"
echo "Standart-Regeln setzen"
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP




echo "--------------------------------------------------------------------------------"
echo "Alle Regeln löschen"
iptables -F
iptables -t mangle -F
iptables -t nat -F
iptables -X
iptables -t mangle -X
iptables -t nat -X


echo "--------------------------------------------------------------------------------"
echo "Bestehende Verbinungen erlauben"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


echo "--------------------------------------------------------------------------------"
echo "Externe Anfragen des Serverdienstes zulassen"
iptables -A OUTPUT -o enp1s0 -p udp --dport 53 --sport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o enp1s0 -p tcp --dport 53 --sport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT


echo "--------------------------------------------------------------------------------"
echo "Interne Verbinungen für ssh von der Schnittstelle $1 und dem Netz $2 zu dem Rechner $3 erlauben"
iptables -A INPUT -i enp1s0 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o enp1s0 -p tcp --dport 22 -j ACCEPT


iptables -A INPUT -i enp1s0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o enp1s0 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.2.1
iptables -t nat -A POSTROUTING -p tcp -d 192.168.2.1 --dport 80 -j MASQUERADE


echo "Protkolleintrag Intern-Server-Chain"
iptables -N Endefirewall
iptables -A Endefirewall -j LOG --log-prefix " Am Ende herausgefallen "
iptables -A Endefirewall -j DROP


iptables -A OUTPUT -j Endefirewall
iptables -A INPUT -j Endefirewall
iptables -A FORWARD -j Endefirewall

Alles anzeigen

Sauerland · 27. August 2015

Warum nicht mit ssh?

einfach0815 · 27. August 2015

Weil der Speedport kein ssh zuläst

Sauerland · 27. August 2015

Aber der Rechner dahinter?

Auf dem einen ssh-Server laufen lassen, Portforwarding im Speedport einrichten, mit ssh -X und z.B. Xephyr ein grafischen Browser auf dem Server starten und einloggen in den Speedport.

Funktioniert hier mit nem W501V und dahinter geschaltetem TP-Link1043ND .........

Dafür würde ein Raspberry mit Raspbian reichen......

Sauerland · 27. August 2015

DynDNS nicht zu vergessen.....

LinuPia · 27. August 2015

Was du mit diesem Script tust, ist in etwa so, dass du die Garage samt Gartenzaum einreißt, weil du die Garagentür nicht aufkriegst.
Eine ziemlich ungewöhnliche und sehr teure Vorgehensweise.
Das wäre ja -ich weiß nicht, ob es so heftige Drogen gibt- noch akzeptabel,
aber du tust damit noch ein Zweites, was auch nicht wirklich zielführend ist:
Du kannst jemanden, der mit einer Schußverletzung zu dir kommt, nicht mit dem Maschinengewehr heilen, weil man, wenn man lange genug draufhält, das Loch dann nicht mehr sehen kann.

Erklären, warum das Script nicht so sonderlich dolle ist, macht nicht wirklich Sinn.
Zumindest solltest du angeben, wo dieses Script denn laufen sollte.

Aber die Ausgabe deiner Aufrufversuche sollten dir längst gezeigt haben, dass die Kernelmodule längst geladen sind.
Die kann man (fast immer) nur einmal laden.
Dein Versuch wäre so, als würde man pro Patrone einen Geschützturm auf den Flugzeugträger bauen. Da fliegt dann nix mehr.

Im Wesentliche ist dir aber nicht klar, was du willst, und was du tust.

Finger weg von der Firewall! Da fummelst du erst rein, wenn du den großen Linuxrettungsschwimmerschein mit dreijähriger Unterwassererfahrung im Pazifik vorweisen kannst.
Wenn du trotzdem Feuerwehrmann speilen willst, nimm ein einfaches Interface für iptables z.B. ufw YaST hat auch was hübsch Buntes um damit zu spielen.
Auf einem W501V kann man sehr wohl SSH betreiben. Sogar einen Server. Is abba Gefrickel.
Welches OS hat dein Vater? (Mag ja sein, dass RDP/VNC gar nicht gebraucht wird)

In jedem Fall genügt es, auf dem Router die Ports weiterzu leiten.
Zumindest ein Port (welcher, hängt ein wenig davon ab, wie geschickt man es konfiguriert) MUSS für dich von außen immer erreichbar sein. Wie sonst könntest du dich dorthin verbinden?
Zur Verbindung von außen musst du noch mindestens die IP Adresse des Routers kennen. Kannst du deinem Vater zumuten bei jeden Zugriff vorher auf dem Router nachzugucken, wie die gerade heißt?
Wenn nicht, brauchst du einen eigenen Servcie dafür (Die Linuxkiste könnte sich auf eine deiner Kiste alle dreißig Minuten kurz verbinden, womit du die IP-Adresse aus den logs lesen könntest) oder du brauchst einen externen DynDNS Service.

Und Sauerland hat darüberhinaus immer noch recht: SSH auf der Linuxkiste, wäre das einfachste.

Es gibt aber noch viel mehr Methoden Papis Netz zu hacken.
Du könntest, wenn du eh schon eine Linuxkiste bei Papi laufen hast, auch ein VPN aufsetzen....
Und... und... und....

Aber beantworte schildere erst einmal, welche Rechner mit welchem OS alles mit im Spiel ist,
und was deinem Papa zugemutet werden kann, wäre auch nett zu wissen.

muck · 27. August 2015

Warum nicht einfach per Teamviewer auf den Rechner zugreifen? Von dem aus kann man dann ja wenn nötig mit dessen browser auf den router gehen.

einfach0815 · 27. August 2015

Auf Papas Kiste läuft Linux, das Skript lüuft auf Papas Kiste. Ich habe einen Speedport W921V und da gibt es keinen Administrationsfernzugang. Im Internet habe ich von der Methode gelesen, daß man den Port 80 auf dem W921 an den Linuxrechner weiterleitet und dann praktisch als interne Verbindung wieder zurück zum Router. Ich weis, von hinten nach vorn und zurück ins Auge geschossen, aber wenns nicht anders geht. Ich habe noip

Sauerland · 27. August 2015

@ muck
Wir sind bei Linux, Teamviewer ist proprietär und auch noch ein Windows Programm (mit eingebautem wine).

Sauerland · 27. August 2015

Zitat von einfach0815

Im Internet habe ich von der Methode gelesen, daß man den Port 80 auf dem W921 an den Linuxrechner weiterleitet

Und dann unverschlüsselt darauf zugreifen?

Wofür sind ssh, vpn und Konsorten wohl da?

Für NoIP gibt es auch ein schönes Linux-Programm:

Code

noip2 -S
1 noip2 process active.


Process 1812, started as noip2, (version 2.1.9)
Using configuration from /usr/local/etc/no-ip2.conf
Last IP Address set xx.xx.xx.xx
Account yyyyyyyyyyy
configured for:
        host  zzzzzzzzzz.no-ip.biz
        host  zzzzzzzzzz1.no-ip.biz
Updating every 30 minutes via /dev/enp2s0 with NAT enabled.

Alles anzeigen

Fernwartung Speedport W921V

USB Kamera nur von Zoom benutzbar

Acer E 15 mit wifi BCM43142 -- kein wlan Zugang

Frage zu Micro OS (Aeon)

Arbeitsfläche größer als Monitorauschnitt

Bluetooth mit Aussetzern

Nidrnox

hudel

uli11

Lioh

dax67

Teilen

Tags