Securepoint UTM: Mit PuTTY oder KiTTY einen ssh-Tunnel zu einem anderen Subnetz aufbauen

Das die Securepoint UTM mehrere Subnetzte direkt, also mittels physischen Schnittstellen oder via VLAN kann, ist klar. Dieser Beitrag zielt auch gar nicht direkt auf die UTM bzw. Securepoint ab, vielmehr geht es diesmal um eine kleine Hilfestellung für Admins.

Folgendes Kunden-Szenario:

Bei Kunden gibt es zwei Internet-Zugänge und zwei bislang von einander getrennte Subnetze. An einem der Internet-Zugänge hängt eine Securepoint UTM, an dem Anderen eine AVM FRITZ!Box.

Nun soll von dem “UTM-LAN” aus auch auf das andere Netz und vice versa zugegriffen werden. Dazu wurde aus dem “FRITZ!Box-LAN” ein Kabel mit der UTM verbunden.

Während die Einrichtung der Schnittstelle und des Portfilters in der UTM soweit kein Thema ist, klappt der Zugriff aus dem “UTM-LAN” auf die FRITZ!Box bzw. deren Web-Interface und weiteren Netzwerk-Geräten erstmal noch nicht, denn: Der Fritte fehlt schlicht noch eine Route zum “UTM-LAN”.

Hat man jetzt erstmal keinen Zugriff auf das “FRITZ!Box-LAN” sei es direkt vor Ort, per pcvisit o.ä. kann man sich mit einem ssh-Tunnel aka ssh-Port-Forwarding (durch die UTM) behelfen. Der “Trick” dabei ist einfach:

Statt mit einer IP-Adresse aus dem UTM-LAN “daherzukommen”, kommt die Verbindung direkt aus der UTM bzw. der Schnittstelle die mit deM “FRITZ!Box-LAN” verbunden ist. Ergo aus dem Subnetz der Fritte und somit wird keine Route benötigt.

Unter Windows kann man beispielsweise PuTTY oder KiTTY verwenden, die Herangehensweise ist bei beiden identisch. Für auf die Schnelle bietet sich KiTTY Portable an.

  • PuTTY/KiTTY starten.
  • Bei “Session” den “Host Name” oder die IP-Adresse der UTM eintragen.
  • Zu “Connection – SSH – Tunnels” wechseln.
  • Bei “Source Port” den lokal zu verwendeten Port eintragen.
  • Bei “Destination” die IP-Adresse der FRITZ!Box samt Port (!) eintragen.
  • Auf “Add” klicken.
  • Auf “Open” klicken.
  • Den ssh-Schlüssel der UTM bestätigen und an der UTM anmelden.
    Bemerkung: Das admin-Konto reicht völlig aus, es muss kein root-Konto angelegt bzw. verwendet werden!
  • Im Browser “localhost:8080” oder “127.0.0.1:8080” eingeben.
    Bemerkung 1: Es kann passieren, das beim ersten Verbindungsaufbau der Tunnel nicht erstellt wird, dann PuTTY/KiTTY beenden und nochmal starten.
    Bemerkung 2: Bei der Nutzung von “localhost” kann es passieren, das die FRITZ!Box die Verbindung wegen des DNS-Rebind-Schutzes ablehnt, in diesem Fall einfach “127.0.0.1” benutzen.

So gelangt man auf das Web-Interface der FRITZ!Box, sobald die Route eingetragen ist kann man auf den ssh-Tunnel verzichten. Das Ganze funktioniert i.d.R. auch wenn keine FRITZ!Box, sondern ein LANCOM, Speedport, … auf der anderen Seite verwendet wird.

2 Kommentare

  • Hallo Andy, guter Artikel. Hätte nicht auch eine Hide Nat Regel im Portforwarding der Firewall auf das Interface mit einer IP-Adresse im FritzBox Netz funktioniert oder habe ich einen Denkfehler?

  • Gute Frage, könnte gehen, getestet habe ich das allerdings bislang nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.