[all] hoe "beveiligd" van buiten inloggen op de webinterface van de DB ?

[Gast]

Helemaal met haakneus eens.

 

Gebruik de ingebouwde SSH server (dropbear) en connect secure via SSH met je dreambox. Je kunt dan veilig alles doen, incluis webserver, en zelfs je lokale netwerk benaderen dankzij goede encryptie (en compressie, ook handig voor de nogal bandbreedtespilzieke webif).

 

Ik heb al een keer een post geplaatst hoe je dat doet met PuTTY.

[Haakneus]

Citaat:

Ik heb al een keer een post geplaatst hoe je dat doet met PuTTY.

Ben even aan het zoeken naar deze post, maar kan ik niet vinden als ik zoek op "putty". Heb je nog een linkje? Ik ben geinteresserd hoe dit precies werkt.

[Haakneus]

Even zitten piele-muizen. Het is mogelijk in Putty een tunnel aan te maken (zie bijlage). Hiermee maak je een tunnel van de locale machine poort 80 naar de dreambox poort 80. Dan kan je met http://localhost:80 naar je box connecten, over een ssh tunnel: dus helemaal veilig. Een wachtwoord op je webinterface is dan niet meer nodig.

Zorg dan dat je alle inkomende poorten in je router dicht hebt staan, behalve poort 22. Poort 22 is de ssh poort. Zorg ook voor een sterk wachtwoord.

[Gast]

Juistem. Je kunt ook gewoon 'localhost' gebruiken in plaats van de naam van de dreambox 'dm7025.lan' (omdat de connectie van "lokaal" komt), dat is makkelijker en scheelt een name lookup.

 

Je kunt zelfs de streaming via PuTTY doen (forward poort 8001) ik heb dat met radio geprobeerd en dat werkt prima, je kunt dan gewoon in de WebIf klikken op een zender.

 

Als je een keyfile gebruikt, kun je zelfs zonder wachtwoord toe (is nog veiliger), en je kunt dropbear configureren om geen wachtwoord te accepteren.

 

Opmerking: Je kunt geen SSH connectie maken met de dreambox als je (root) password nog leeg is. Dat kostte mij ook wat hoofdbrekens in den beginne.

[Gast]

waar is dat programma te vinden? wil ik wel eens proberen

groetjs Frank

[Gast MiLo]

Handleiding enzo:

http://www.milosoftware.com/sat/dropbear.html

Is geschreven voor de 7025, maar zou voor alle dreamboxen moeten werken.

[TVguy]

Werkt perfect. Waarvoor dank.

 

Maar hoe krijg je dan via puTTY de webinterface van de dreambox te zien? Dit ontgaat mij even. PuTTY kan het toch niet "forwarden" naar firefox of andere browser ?

[Gast MiLo]

Jawel, dat is precies wat PuTTY wel kan.

 

Als je een SSH sessie voor je dreambox hebt gemaakt, Kijk dan onder Connection/SSH/Tunnels. Hier kun je poorten van je PC naar de dreambox tunnelen, zelfs naar andere machines op het netwerk.

 

Voor de webinterface de source en destination intikken en dan op Add klikken. De keuzebolletjes op "local" en "auto" laten staan.

Source port: 80 -> Destination: localhost:80

Source port: 8001 -> Destination: localhost:8001

Source port: 16001 -> Destination: localhost:16001

Als je na het openen van deze sessie in je browser intikt:

http://localhost/

kom je op de webinterface van de dreambox uit. Door het forwarden van poort 8001 kun je ook nog streamen (niet met TV geprobeerd vanwege te weinig bandbreedte, maar radio werkt prima). Op http://localhost:16001/ kun je dan CCcam zien.

[TVguy]

Inderdaad. Werkt prima.

 

Als je op een andere locatie zit wordt <localhost> in puTTY en in de URL van de browser vervangen door het (WAN) IP adres op het web en dan gaat het net zo werken ?

 

In de firewall worden de drie poorten dan wel ge-forward naar het LAN IP van de Dreambox.

 

 

[TVguy]

Sorry. Niet de 3 poorten forwarden natuurlijk. Dit zou het gebruik van puTTY teniet doen. Alleen poort 22 forwarden naar de Dreambox zou het moeten doen.

[Gast MiLo]

Origineel bericht van: TVguy

Alleen poort 22 forwarden naar de Dreambox zou het moeten doen.

Juistem, dat is nu de kracht van SSH.

Per dreambox hoef je maar een poort te forwarden naar poort 22 van de dreambox vanaf de router, en dat hoeft niet perse van buitenaf poort 22 te zijn. Alle data gaat encrypted over de lijn, dus 'afluisteren' kan niet. Port forwarding is dus ook niet beperkt tot HTTP, elk protocol werkt gewoon over de SSH tunnels.

[koekjedebij]

Origineel bericht van: MiLo

Origineel bericht van: TVguy

Alleen poort 22 forwarden naar de Dreambox zou het moeten doen.

Juistem, dat is nu de kracht van SSH.

Per dreambox hoef je maar een poort te forwarden naar poort 22 van de dreambox vanaf de router, en dat hoeft niet perse van buitenaf poort 22 te zijn. Alle data gaat encrypted over de lijn, dus 'afluisteren' kan niet. Port forwarding is dus ook niet beperkt tot HTTP, elk protocol werkt gewoon over de SSH tunnels.

Sterker nog, je hoeft niet PER dreambox een poort forwarden.
Gewoon SSH-en naar je router en vanaf daar portforwading doen is genoeg (optie -L commandline line), in de portforward geef je al aan naar welke dreambox je wilt.
Zo bereik ik een 8-tal boxen vanaf buiten met slechts 1 poort.
Immers, binnen in je LAN hoeft het niet secure te zijn.

[woodytwo]

Kun je ook de SSH listen poort veranderen in een andere

en hoe en waar zou dit moeten in een DM7025 ?

 

[Fabian]

Ik heb op mijn router de mogelijkheid om een VPN verbinding te creëren. Is een VPN verbinding via mijn router naar de DB toe ook veilig?

[VenimK]

Origineel bericht van: woodytwo

Kun je ook de SSH listen poort veranderen in een andere
en hoe en waar zou dit moeten in een DM7025 ?

Bestand services kan je vinden in /etc
ssh 22/tcp # SSH Remote Login Protocol
ssh 22/udp