SSH tunnelen via HTTP Proxy

Je kent het wel; je wil contact maken met het thuisfront terwijl je bij een bedrijf zit waar men de beveiliging van het netwerk naar de boze buitenwereld eens wel goed op orde heeft. Goed voor het bedrijf, slecht voor ons eigenwijze tweakers die het beter denken te weten dan lokaal beheer (NOFI voor alle beheerders hier ).

Nu wil je toch je mail lezen en kunnen werken op een server ergens in deze boze buitenwereld. In mijn geval betekend dit dat ik een SSH verbinding wil opzetten naar een server om daar hobbywerk te kunnen doen in de baas z'n tijd ("De baas" weet dit en vindt het ok, maar kan geen invloed uitoefenen op het netwerk of whatsoever). Ik ben ondertussen al op verschillende manieren aan het proberen om een verbinding op te zetten, maar tot nu toe heb ik nog geen succes geboekt.

Dingen die NIET werken om contact te maken met de buitenwereld;

• Simpelweg een SSH verbding maken over poort 22.
• Een SSH verbinding maken over poort 443 (SSL).
• Een SSH verbinding maken over poort 80 (HTTP, er draait een SSHD op poort 80 aan de andere kant "van de lijn")

Ik kan wel normaal internetten via poort 80 (HTTPS werkt dus niet!) vanaf mijn werkplek en andere plekken. Doordat SSH zelfs niet over poort 80 werkt verwacht ik dat alleen HTTP verkeer wordt doorgelaten door de bedrijfsfirewall. Dit levert natuurlijk een idee op: kan ik SSH'en over HTTP?

Het antwoord hier op is: ja, maar het is niet zo makkelijk als het lijkt.
Een ruwe schets van de verwachte opstelling:

(aangepast versie van proxytunnel paper schema.)

Ik ben op onderzoek uitgegaan en heb meerdere voorgestelde oplossingen gevonden:

• Een combo van een Apache2 proxy, opensshd en proxytunnel.
• Corkscrew in ism. een proxy.
• Kleine andere random snippets van informatie via Google.

Voor ik verder ga zal ik eerst even een korte samenvatting geven van wat ik tot mijn beschikking heb kwa systemen. Binnen het bedrijfsnetwerk heb ik een windows 2000 server machine waar ik lokaal administrator rechten op heb. Buiten het bedrijfsnetwerk heb ik een windows XP en een Linux (Ubuntu) bak achter een router met NAT staan, poorten kunnen dus worden geforward naar een van deze machines.

Ik heb ondertussen op de Ubuntu machine een sshd (openssh) draaien en een proxy op apache2. Op mijn eigen lokale windows machine (eerst überhaupt eens kijken of we het thuis aan de praat kunnen krijgen) heb ik putty draaien met proxytunnel gecompileerd voor cygwin. Ook ben ik even bezig geweest met corkscrew.


Op dit moment heb ik het geheel nog niet aan de praat gekregen. Ik begin door alle systemen, servers e.d. een beetje door de bomen het bos niet meer te zien . Mijn volgende idee is om een proxy op de lokale machine te installeren en deze te gebruiken om verbinding te maken met de Apache2 proxy, maar ik weet niet zeker of dit gaat werken.

Nu verwacht ik dat ik niet de enige ben die dit in deze situatie verkeert en vraag me af hoe andere dit hebben aangepakt. Elke tip, trick of goed idee is van harte welkom!

DiedX schreef op maandag 06 juli 2009 @ 13:33:
Check http://thomer.com/howtos/nstx.html eens?

Van de website:

You need:

• another server, one not running DNS. We're going to assume the IP address of this machine is 1.2.3.4. The reason you cannot run DNS on the same machine, is that you're going to run nstx on this machine. Nstx must run on port 53, like DNS.
• a crippled Internet connection, i.e., one that only allows you to issue DNS queries.

Ik heb alleen de mogelijkheid om dingen via poort 80 te doen. Ook vermoed ik dat DNS verkeer voor een groot deel wordt geblockt; vanuit een commandprompt is het bijvoorbeeld niet mogelijk om een ip van een hostname te verkrijgen.

Wolfboy schreef op maandag 06 juli 2009 @ 13:35:
Meestal tunnel ik dit soort dingen via httptunnel: http://www.nocrew.org/software/httptunnel.html

Ik had nog niet eerder gezien dat het onder cygwin werkt en dat er zelfs een aantal win32 binaries zijn. Ik zal er binnenkort eens naar kijken, thanks!

[ Voor 18% gewijzigd door Electrowolf op 06-07-2009 13:55 ]

LuckyY schreef op maandag 06 juli 2009 @ 17:28:
En het gewoon vragen aan de beheerder waarom altijd via de moeilijke weg.... nee heb je Ja kan je krijgen....

Nee heb ik al gekregen, dus daar komen we ook niet verder mee ;-).

Ik heb vandaag nog wel een proxy ontdekt welke verkeer naar buiten regeld, maar hier krijg ik authentication errors mee als ik in Putty een http proxy instel. Bij gebruik van proxytunnel (de cygwin pre-compiled versie) als telnet command krijg ik een foutmelding voor m'n kiezen: "407 - The ISA Server requires authentication. Access to the web proxy service denied.". Duidelijk, ik moet me dus identificeren, maar in de browser configuraties kan ik hier niets over vinden.

Dit is dus iig al wat meer dan waar ik mee begon, de komden paar dagen maar eens verder zoeken hoe we het verder aan de praat kunnen krijgen. Misschien beter proberen me voor te doen als browser (SSL maybe?)?

Ik ga later deze week de logmein service proberen nadat ik dit op een windowsbak heb geïnstalleerd.

Wel wil ik nog verder proberen putty vanaf hier aan de praat te krijgen. Ik ben er nog niet helemaal uit over de authenticatie en de problemen hiermee. De machiene waarvandaan ik werk heeft naar mijn weten geen "persoonlijke" login (het is een ontwikkel machine met maar een algemene user). Ook weet Firefox wel gewoon wat hij/zij met de proxy moet, en deze is een stuk minder met windows geëntergreerd dan IE.

Iig bedankt voor alle ideeën tot nu toe .