Arme-Leute-VPN

Das unter der GPL lizenzierte Sshuttle eignet sich perfekt für den Einsatz in öffentlichen Netzen. Es nutzt einen bisher einzigartigen Ansatz, um on-the-fly ein SSH-VPN zwischen unixoiden (Linux, BSD, Mac OS X) Betriebssystemen aufzubauen und den kompletten Client-Datenverkehr zu tunneln.

Das relativ neue Sshuttle findet sich noch nicht in den Paketquellen aller Distributionen, falls vorhanden, fällt die Version – aktuell war zu Redaktionsschluss Sshuttle 0.60 – oft recht altbacken aus. So hat Debian "Sid" etwa Sshuttle 0.54-1 an Bord [2], das aktuelle Ubuntu 11.10 "Oneiric" enthält Version 0.53-0.1. Zum Ausprobieren der aktuellen Version 0.60 kommen Sie daher um ein manuelles Installieren nicht herum. Das stellt aber kein wirkliches Problem dar, weil es sich bei Sshuttle um ein in Python programmiertes Kommandozeilenwerkzeug handelt.

Sshuttle baut das VPN von der Client-Seite herauf, wofür es dort Root-Rechte benötigt. Außerdem muss Iptables installiert sein, das praktisch alle gängigen Distributionen ohnehin bei der Installation einrichten. Die aktuelle Sshuttle-Version ist unter Github [1] gehostet und steht wahlweise als ZIP-Archiv oder Tarball zum Download bereit. Da es sich um ein Python-Programm handelt, genügt das einfache Auspacken des Pakets (oder das Auschecken von Github), und Sie können Sshuttle sofort einsetzen. Ein typischer Aufruf sieht so aus:

$ sudo ./sshuttle --dns -vv -r User@Ziel-Host 0/0

Hier tunnelt -dns zusätzlich den DNS-Verkehr, -vv erhöht die Gesprächigkeit der Anwendung, und das Kürzel 0/0 stellt einen Alias für das IP-Binding 0.0.0.0/0 dar, das alle lokalen Adressen einbezieht. Sie könnten Sshuttle über Verändern dieser Maske problemlos auch auf ein bestimmtes Subnetz oder eine spezifische IP hängen. Das war's schon.

Abbildung 1: Sshuttle erweist sich im Bedarfsfall sehr nützlich, da es auf den Bordmitteln eines Linux-Rechners aufbaut.

Ab jetzt tunnelt Sshuttle den gesamten Traffic, inklusive DNS-Anfragen. Wer den vergleichbaren Aufwand mit SSH-Portforwarding kennt, kann möglicherweise im ersten Moment kaum glauben, dass Sshuttle funktioniert. Dass es das aber tut, verifizieren Sie leicht, indem Sie die externe IP prüfen – etwa durch Besuch eine entsprechenden Test-Webseite [3]. Bei aktiviertem Tunnel sollte hier die IP-Adresse des Servers oder entfernten Hosts erscheinen, andernfalls die des lokalen Routers.

Abbildung 2: Je eine Verbindung vom lokalen Host ohne Proxy und via Sshuttle mit Proxy auf einen entfernten Server.

Quick and Dirty

Möchten Sie wissen, wie Sshuttle das zuwege bringt, dann sollten Sie sich die ausführliche Dokumentation [4] des Tools näher ansehen. Im Prinzip verbiegt Sshuttle via Iptables die Routing-Tabellen auf dem Client, kopiert sich selbst auf den Server und fungiert sozusagen als transparenter Proxy.

Dass dieses Verfahren ähnlich wie ein doppelter SSH-Tunnel nicht ganz astrein ist und insbesondere in Unternehmen ein Sicherheitsproblem darstellt, liegt auf der Hand – muss Sie aber als Privatnutzer nicht stören. Beabsichtigen Sie allerdings, auf diese Weise von zuhause auf Ihren Arbeitsplatzrechner in der Firma zuzugreifen, sollten Sie tunlichst zuvor Ihren zuständigen Admin informieren (sofern Sie der nicht selbst sind), weil das Funktionsprinzip von Sshuttle mit hoher Wahrscheinlichkeit gegen Firmenrichtlinien verstößt.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Beinahe-VPN per SSH
    Der in OpenSSH eingebaute SOCKS-Proxy und das auf SSH aufbauende Python-Programm Sshuttle springen in die Bresche zwischen einfachem Port-Forwarding und einem vollwertigen VPN.
Kommentare

Infos zur Publikation

LU 12/2016: Neue Desktops

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Drucker Epson XP-332 unter ubuntu 14.04 einrichten
Andrea Wagenblast, 30.11.2016 22:07, 2 Antworten
Hallo, habe vergeblich versucht mein Multifunktionsgerät Epson XP-332 als neuen Drucker unter...
Apricity Gnome unter Win 10 via VirtualBox
André Driesel, 30.11.2016 06:28, 2 Antworten
Halo Leute, ich versuche hier schon seit mehreren Tagen Apricity OS Gnome via VirtualBox zum l...
EYE of Gnome
FRank Schubert, 15.11.2016 20:06, 2 Antworten
Hallo, EOG öffnet Fotos nur in der Größenordnung 4000 × 3000 Pixel. Größere Fotos werden nic...
Kamera mit Notebook koppeln
Karl Spiegel, 12.11.2016 15:02, 2 Antworten
Hi, Fotografen ich werde eine SONY alpha 77ii bekommen, und möchte die LifeView-Möglichkeit nu...
Linux auf externe SSD installieren
Roland Seidl, 28.10.2016 20:44, 1 Antworten
Bin mit einem Mac unterwegs. Mac Mini 2012 i7. Würde gerne Linux parallel betreiben. Aber auf e...