FAQ/Fernzugriff auf den IPCop

Aus IpcopWiki

< FAQ
Wechseln zu: Navigation, Suche


Inhaltsverzeichnis

Welches ist der empfohlene Weg, den IPCop zu verwalten?

Die Web-Oberfläche des IPCop ist der beste Weg um die Firewall zu verwalten. Es wird keine Software auf dem Client-Computer benötigt, die nicht schon vorhanden ist.

Wenn Sie etwas aufwendigeres tun müssen, z.B. nachdem Sie eine neue Netzwerkkarte installiert haben, dann ist der Anschluß einer Tastatur und eines Monitors an den IPCop eine Möglichkeit (und evtl. die Einzige, wenn das Netzwerk nicht läuft).

Die andere Methode wäre, SSH zu benutzen. SSH ist eine sehr mächtige und sichere Kommandozeilen-Oberfläche. Es gibt SSH-Clients für fast alle Betriebssysteme.
zum Seitenanfang
zum Inhaltsverzeichnis


Warum kann ich mich nicht per Telnet zum IPCop verbinden?

Telnet ist im IPCop nicht enthalten und hat auf dem IPCop aus folgenden Gründen nichts zu suchen: Weil es viele, gut dokumentierte Sicherheitslücken sowie fertig benutzbare Tools zum erschnüffeln des Telnet-Passworts gibt, diese machen Telnet zu unsicher für den IPCop. Deshalb benutzt IPCop stattdessen SSH.
zum Seitenanfang
zum Inhaltsverzeichnis


Kann ich Telnet auf dem IPCop aktivieren?

Es ist praktisch alles möglich, wer allerdings Telnet unbedingt Installieren will sollte sich einerseits relativ gut mit Linux auskennen und andererseits sollte er sich der Gefahren bewusst sein. SSH ist ein sicherer Ersatz mit dem gleichen Funktionsumfang.
zum Seitenanfang
zum Inhaltsverzeichnis


Was ist SSH, und warum ist es besser als Telnet?

SSH bedeutet (S)ecure (SH)ell und benutzt Verschlüsselung um bekannte Schwächen von Telnet zu umgehen. Wenn Sie sich über Telnet mit einem Server verbinden, werden sowohl Ihr Benutzername als auch Ihr Passwort im Klartext übermittelt. Dies kann von einem Angreifer abgefangen werden, um Zugang zu Ihrem Account zu erlangen.

SSH-Sitzungen werden mittels Blockverschlüsselung verschlüsselt, was verhindert, daß sensible Daten bei der Übertragung ausgespäht werden können. Telnet wird hauptsächlich in Windows-Umgebungen eingesetzt, da dort kein SSH-Client vorhanden ist.
zum Seitenanfang
zum Inhaltsverzeichnis


Wo gibt es kostenlose SSH-Clients?

Windows PuTTY - http://www.chiark.greenend.org.uk/~sgtatham/putty/

Macintosh NiftyTelnet SSH - http://www.lysator.liu.se/~jonasw/freeware/niftyssh/

Unix OpenSSH - http://www.openssh.org

Umfangreichere Auflistungen verschiedener SSH-Clients, auch für andere Betriebssysteme, findet man unter http://www.freessh.org
zum Seitenanfang
zum Inhaltsverzeichnis


Warum kann ich mich nicht per SSH mit dem IPCop verbinden?

SSH lauscht normalerweise auf Port 22. IPCop nutzt jedoch Port 222. Alle SSH-Verbindungen müssen auf Port 222 eingestellt werden. Und vergessen Sie nicht, SSH zu aktivieren.
zum Seitenanfang
zum Inhaltsverzeichnis


Wie kann ich SSH aktivieren?

Öffnen Sie die Web-Oberfläche des IPCop.

Wählen Sie im Menü den Eintrag "System > SSH-Zugriff". Bis Version 1.2 war dies unter "Externer Zugang" vefügbar.

Klicken Sie das Kontrollkästchen neben SSH-Zugriff und klicken Sie auf "Speichern".
zum Seitenanfang
zum Inhaltsverzeichnis


Wie kann ich SSH nach außen verfügbar machen?

Öffnen Sie die Web-Oberfläche des IPCop.

Wählen Sie im Menü den Eintrag "Firewall > Externer Zugang".

Fügen Sie einen Eintrag für:

TCP 

hinzu. Fügen Sie eine Adresse* oder "leer" für Zugang von beliebigen Adressen hinzu

Port 222 

Klicken Sie das Kontrollkästchen "Aktiviert" an und klicken Sie auf "Speichern".

  • Sie können den Zugriff zur Erhöhung der Sicherheit auf eine einzige IP-Adresse oder ein Subnetz beschränken, anstatt ihn für alle Welt zu öffnen.

Um eine einzelne IP-Adresse zuzulassen, geben Sie diese einfach ein. Für ein ganzes Subnetz benutzen Sie die CIDR Adresse des Subnetzes, z.B. 52.124.37.0/24. Dies würde Zugriff von allen IPs, die mit 52.124.37. anfangen, erlauben.
zum Seitenanfang
zum Inhaltsverzeichnis


Warum kann ich mich nicht per FTP mit dem IPCop verbinden?

Aus Sicherheitsgründen läuft der FTP Daemon auf dem IPCop nicht. FTP überträgt Benutzername und Passwort im Klartext innerhalb der Pakete, was es sehr einfach macht, diese auszuspähen.
zum Seitenanfang
zum Inhaltsverzeichnis


Wie kopiere ich also Dateien zum IPCop?

Um Dateien zu und vom IPCop zu kopieren benutzen Sie bitte eines der folgenden SCP-Programme: pscp (Windows), WinSCP (Windows), NiftyTelnet SSH r3 (Mac) oder scp (Unix). Umfangreichere Auflistungen findet man unter http://www.freessh.org. Bitte denken Sie daran, daß diese SCP-Programme sich über den Port 222 zum IPCop verbinden - Sie müssen die Verbindungseinstellungen bearbeiten, um nicht den Standard-Port 22, sondern Port 222 für die Verbindung zu verwenden.
zum Seitenanfang
zum Inhaltsverzeichnis


Warum kann ich nicht zum IPCop browsen?

HTTP lauscht üblicherweise auf Port 80. IPCop verwendet aber stattdessen Port 81, um Weiterleitungen von Port 80 zu vereinfachen. Um einen IPCop anzusteuern, müssen Sie eine URL mit folgendem Aufbau benutzen:

http://192.168.0.1:81/ 

Anmerkung: Sie sollten natürlich die IP-Adresse durch die tatsächliche IP (bzw. den Namen) Ihres IPCop ersetzen. Außerdem können manche Browser auch die Angabe des verwendeten Protokolls (der "http://" Teil der Adresse) benötigen, wenn keine Standard-Ports verwendet werden.
zum Seitenanfang
zum Inhaltsverzeichnis


Warum kann ich auch nicht über HTTPS zum IPCop browsen?

Wie im obigen Beispiel, lauscht HTTPS normalerweise auf Port 443. IPCop verwendet aber stattdessen Port 445, um Weiterleitungen von Port 443 zu vereinfachen. Um einen IPCop anzusteuern, müssen Sie eine URL mit folgendem Aufbau benutzen:

https://192.168.0.1:445/ 

Anmerkung: Sie sollten natürlich die IP-Adresse durch die tatsächliche IP (bzw. den Namen) Ihres IPCop ersetzen. Außerdem können manche Browser auch die Angabe des verwendeten Protokolls (der "https://" Teil der Adresse) benötigen, wenn keine Standard-Ports verwendet werden.
zum Seitenanfang
zum Inhaltsverzeichnis


Ich habe gerade IPCop 1.4.0 installiert, wenn ich mich allerdings über den Web-Browser darauf verbinden will, bekomme ich eine Fehlermeldung in der Art: "Sie haben ein ungültiges Zertifikat erhalten..." Was muß ich tun?

Dies liegt daran, weil der Herausgeber des Zertifikates nicht zum fqdn (hostname.domainname) passt.

Dies rührt von einem Upgrade von Version 1.3 mittels eines Backup her, oder wenn sich Hostname bzw. Domänenname seit der Erstellung des Zertifikates nach der Installation geändert haben.

Für Version 1.4.8 steht ein Script zur Reparatur dieses Problems zur Verfügung: Benutzen Sie auf der Konsole

/usr/local/bin/httpscert read 

um herauszufinden, ob es ein Problem gibt,

/usr/local/bin/httpscert new 

um das Zertifikat an den benutzten fqdn anzupassen.
zum Seitenanfang
zum Inhaltsverzeichnis


Persönliche Werkzeuge