Suche aufrufen
Menü aufrufen
49
436
13
3372
RadioWiki
Toggle preferences menu
Persönliches Menü aufrufen
Nicht angemeldet
Ihre IP-Adresse wird öffentlich sichtbar sein, wenn Sie Änderungen vornehmen.

Zugang von Aussen

Aus RadioWiki
Weitere Optionen
Version vom 18. Dezember 2011, 17:48 Uhr von Antrares (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Da das ACR-Wiki Sück für Stück von einem "Lyrikbot" verunstaltet wird, habe ich diese Seite mal zurück ins Radio-Wiki geholt. (In der Hoffnung, dass nach dem …“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Da das ACR-Wiki Sück für Stück von einem "Lyrikbot" verunstaltet wird, habe ich diese Seite mal zurück ins Radio-Wiki geholt. (In der Hoffnung, dass nach dem Sternwarten-Wiki und dann dem ACR-Wiki nun nicht auch noch das Radio-Wiki gekapert wird...)

Aktuelle Zugangsmöglichkeiten

Der Fileserver auf der Sternwarte (Perseid) ermöglicht unter der Adresse acr-radebeul.dyndns.org einen wohlbeschränkten Zugriff von außen auf die inneren Rechner der Sternwarte. Zusätzlich ist der Zugriff mittels SSH über die IPV6-Adresse 2001:6f8:900:b0b::2 möglich. Es existiert weiterhin ein Backup-Zugang über die Adresse rm-radeberg.dyndns.org.

Vom Fileserver aus ist der Zugriff auf andere Rechner innerhalb der Sternwarte möglich. Praktisch genutzt wird bisher der Zugang zum Radioid, dem Steuerungsrechner für das Radioteleskop.

Zugang ueber SSH

SSH (Secure Shell) ist an von Haus aus ein Verfahren (Protokoll), um sich mit einem entfernten Computer verbinden und über eine Textkonsole daran arbeiten zu können. Dabei wird die gesamte Verbindung verschlüsselt.

Quasi als Nebenprodukt kann man damit u.a. Dateien übertragen, Verbindungen zwischen zwei Computern herstellen die sonst nicht miteinander reden dürfen sowie mit grafischen Programmen arbeiten, die auf dem entfernten Rechner laufen. Alles, was über SSH getan wird ist verschlüsselt und kann nicht abgehört werden. SSH kann man auch als VPN für Arme bezeichnen.

SSH erlaubt einige Basteleien mit verschlüsselten Verbindungen und genau die verwenden wir, um Zugang zum Radioteleskop zu bekommen.

  • Zugang
  acr-radebeul.dyndns.org, port 23

Über diesen Zugang kommt man über einen Tunnel direkt beim Perseiden auf der Sternwarte an. Dieser kann dann Verbindungen zum Radiod weiterleiten.

    • Anmeldung mit Schlüsseldatei

Die Anmeldung kann nur mit Hilfe einer speziellen Datei erfolgen. Diese enthält einen sog. private Key. Man bekommt die Datei persönlich von Robert Müller oder erstellt sie sich selbst.

    • Kleine Erläuterung zum Prinzip der Anmeldung mittels Schlüsseldatei

Der private Key dient im Rahmen eines Public-Key Verfahrens zur Authentifizierung beim Perseiden auf der Sternwarte. Dabei wird ein Schlüsselpaar verwendet, von dem eine Teil geheimgehalten werden muss (private Key) und der andere der ganzen Welt bekannt sein kann (public Key). Auf dem Perseiden wird der passende nichtgeheime public Key hinterlegt.

Den Schlüssel kann man sich mittels ssh-keygen (Linux) selbst herstellen. Dabei entsteht ein Pärchen von public und private Key. Der private Key ist geheim, währende man den public Key an Robert Müller (mail@penner2001.de) schicken kann und dann Zugang zum Perseiden bekommt. Im Folgenden wird angenommen, dass man in seinem Linux-Account als den Schlüssel für den Perseid als Standardschlüssel liegen hat. Wenn man vorher noch nie mit diesen merkwürdigen Sachen in Berührung gekommen ist dann ist das auch genau so.

Verwendung von SSH unter Linux/Unix/Mac(?) (inkl. Tunnel zum Radiod)

  • Anmeldevorgang über Kommandozeile

Die folgende Kommandzeile baut die nötigen Tunnel zum Steuerungsrechner des RT auf: 

  ssh user@acr-radebeul.dyndns.org -p 23 -L 7273:radioid:7273 -L 5004:radioid:5004 -i keyfile [-X]

<user> ist durch den entsprechenden login-namen zu ersetzen. -X kann optional zur Weiterleitung des X-Servers verwendet werden

  • Anmeldung mit ssh-config

unter Benutzung einer Konfigurationsdatei für ssh kann der Anmeldevorgang kurz und knapp z.B. so formuliert werden: 

  ssh perseid

eine passende Konfiguration könnte dann so aussehen (Ort: .ssh/config relativ zum home-pfad): 

Host perseid
 HostName acr-radebeul.dyndns.org
 User user
 Port 23
 Compression yes
 ForwardX11 yes
 IdentityFile ~/.ssh/user_key
 LocalForward 7273 radioid:7273
 LocalForward 5004 radioid:5004
 ServerAliveInterval 55

Die Anmeldung per ssh am Perseiden reicht aus, um die benötigten Datenströme für das INDI-Protokoll sowie den Videostrom weiterzuleiten. Eine Weiterverbindung zum Radioiden ist nicht mehr erforderlich.

Verwendung von SSH unter Windows (inkl. Tunnel zum Radiod)

Man kann das Programm Putty verwenden (am einfachsten den Windows-Installer downloaden, putty.exe reicht auch). Der Rest geht dann eben ein bisschen anders als unter Linux (Anleitung folgt irgendwann...). Auch hier wird natürlich die Schlüsseldatei benötigt. Sie muss allerdings noch einmal umkonvertiert werden, da Putty ein anderes Format verwendet als das typische Linux-SSH.

Es ist angedacht, fertige Konfigurationsdateien für Putty zum Draufklicken zu verteilen (falls das irgendwie geht).

Zugriff auf Perseid-Dateien mit Windows

Zum reinen Datenaustausch eignet sich WinSCP ganz gut. Der OpenSSH-Schlüssel muss mit dem mit Winscp mitgelieferten Tool PuTTYgen umkonvertiert werden.

OpenVPN

OpenVPN ist eine VPN (Virtual Private Network)-Software. In diesem Fall wird sie dazu eingesetzt, um den angeschlossenen Heimcomputer in das Sternwartennetz zu integrieren. Er kann nach korrekter Installation dieser Software durch einen abgesicherten Tunnel hindurch auf die Computer der Sternwarte zugreifen, fast als wenn er direkt in der Sternwarte stehen würde.

Die Software ist für Linux, Windows und Mac OS X u. a. verfügbar.

Authentifizierung

Die Authentifizierung des Heimcomputers erfolgt, ähnlich wie beim SSH-Zugang, mittels einer Schlüsseldatei. Bei der aktuellen Konfiguration gibt es allerdings eine doppelte Absicherungsschicht. Zusätzlich muss sich auch der Server gegenüber dem Client ausweisen. Zu OpenVPN gibt es daher eine längliche Konfigurationsdatei sowie insgesamt 4 Schlüsseldateien. Diese besorgt man sich bei Robert Müller (mail@penner2001.de).

Installation unter Linux

Das Paket openvpn muss über die übliche Softwareverwaltung installiert werden. Dann packt man als root das erhaltene Tar-File (s.o.) im Root-Verzeichnis / aus und erhält die Datei /etc/openvpn/perseid_server.conf sowie das Unterverzeichnis /etc/open/openvpn/perseid_server mit allen notwendigen Dingen. Anlegen des Verzeichnisses /var/openvpn, Neustart des OpenVPN-Daemons bzw. auch gleich des ganzen Rechners komplettiert die Installation.

Installation unter Windows

  • (geht so für Win7 und WinVista), für XP muss ggf. bissl was anders gemacht werden
  • OpenVPN Client runterladen: [1]
  • die config files in den C:\Program Files(x86)\OpenVPN\config kopieren
  • die "perseid_server.conf" in "perseid_server.ovpn" ändern
  • nun mit Adminrechten(!!!) die Datei editieren (am besten einen ordentlichen (Freeware)Editor wie PSpad ( [2] ) oder ähnliches benutzen)
    • dafür muss der Editor unter adminrechten laufen! (also mit rechtsklick->Ausführen als... starten)
  • bei allen pfadangaben das /etc/openvpn/ entfernen
    • Bsp: /etc/openvpn/perseid_server/ca.crt -> perseid_server/ca.crt
  • die Zeile log /var/log/openvpn.perseid_server.log auskommentieren oder löschen
  • die Zeile daemon auskommentieren oder löschen
  • Datei speichern


  • Aufm Desktop sollte ne OpenVPN Verknüpfung sein -> mit rechts anklicken und "Als Administrator ausführen" wählen
  • Jetzt ist in der Taskleiste ein OpenVPN Icon, entweder Doppelklick, oder Rechtsklick->Connect
  • FERTSCH, sollte gehen!


  • wer sich den Client als Service einrichten will: [3]

[update]: es gibt jetzt eine zweite vorbereitete Datei perseid_server.ovpn, die alle nötigen Änderungen enthalten sollte. Bitte checken.

OpenVPN mit IPV6 als Carrier (experimental)

Openvpn kann bisher als Carrier leider nur IPV4 verwenden. Es sollte allerdings möglich sein, mit einem Proxy folgende Verbindung zu erzeugen: 

[Openvpn-Client] <-ipv4-> [Proxy] <---ipv6---> [Proxy] <-ipv4-> [Openvpn-Server]

Als Proxy könnte sich z.B. fproxy eignen, allerdings nur mit TCP. Muss ich mal ausprobieren...

Webproxy Squid

Um den einfachen Zugang zu den auf dem Perseiden befindlichen Webseiten und Webapplikationen sowie den Zugriff auf evtl. vom aktuellen Rechner geblockte Seiten zu ermöglichen, läuft auf dem Perseiden der Webproxy Squid auf Port 3128. Er nimmt Anfragen von sternwarteninternen Rechnern und Rechnern aus dem VPN-Netz zu beliebigen Zielen entgegen. Wenn man einen SSH-Tunnel zu perseid:3128 baut und localhost:3128 als Proxy angibt, kann man alle sternwarteninternen Seiten erreichen. Bei Verwendung des OpenVPN-Zugangs ist der Proxy unter 172.16.2.1, Port 3128 direkt zu erreichen.

Zur Beachtung:

  • Bitte daran denken, dass über den Proxy zwar Zugriffe auf externe Webseiten möglich sind, diese aber das Traffic-Konto des ACR belasten.
  • Standardmäßig werden alle Zugriffe protokolliert.
  • Wenn nennenswerter Traffic auf externe Seiten auflaufen sollte, müsste der Zugriff eingeschränkt werden.

Backup-Zugang

Zusätzlich zu dem aufgeführten Zugang über acr-radebeul.dyndns.org gibt es noch genau das Gleiche über rm-radeberg.dyndns.org. Die zweite Variante ermöglicht läuft über einen weiteren zwischengeschalteten Rechner und ist daher eher als Backup für den bevorzugten ersten Zugang anzusehen. Alle Dienst, die über acr-radebeul.dyndns.org verfügbar sind werden ebensp über rm-radeberg.dyndns.org angeboten. Dazu muss in der Konfiguration einfach rm-radeberg.dyndns.org anstatt acr-radebeul.dyndns.org eingetragen werden.

Der physisische Transport der Daten zwischen Sternwarte und dem Übergang ins drahtgebundene Netz findet allerdings über das gleiche "Funkkabel" wie beim Hauptzugang statt. Wenn dort was klemmt geht auch mit dem Backup-Zugang nichts.

NX (Nomachine.com)

Wikipedia sagt: "NX ist eine Remote-Desktop-Software des italienischen Unternehmens NoMachine [..] Mit NX kann man den Bildschirminhalt eines entfernten Computers auf einen lokalen Rechner (auch betriebssystemübergreifend) übertragen und damit arbeiten, als säße man direkt davor." Dieses Dings (in der Variante Freenx) ist auf dem Perseiden installiert. Über eine DSL-Verbindung kann man damit recht gut von zu Hause aus am Perseiden arbeiten, über dünnere Leitungen dann eher zur Not.

Um es zu benutzen, lädt man sich den Client von der der Nomachine-Seite herunter und folgt den Anweisungen ;-). Server ist die 172.16.2.1, Port 22. Der NX-Dienst ist nicht von außen zugänglich, man muss entweder per OpenVPN mit dem Perseiden verbunden sein oder man baut sich einen SSH-Tunnel.

Hinweis für XFCE4

Diese Desktopumgebung wird nicht direkt angeboten. Man wähle im NX-Client "Custom" und dann unter Settings

  • "Run the following command": /usr/bin/xfce4-session (der Befehl startxfce4 ging mal, führt nun aber zu winzigen Systemschriften)
  • New Virtual Desktop
Abgerufen von „https://radioastronomie.sternwarte-radebeul.de/radiowiki/index.php?title=Zugang_von_Aussen&oldid=2956