Zugriff auf HZB-interne Rechner über SSH-Tunnel mit PuTTY (Windows)

Viele Rechner sind nicht für den Zugriff von extern verfügbar. Um als Inhaber einer HZB-Kennung trotzdem auch von außerhalb des HZB auf solche Rechner zugreifen zu können, kann ein verschlüsselter Tunnel über den HZB-Außenzugangsrechner display.helmholtz-berlin.de zu dem gewünschten Rechner erstellt werden. Sie machen Ihre Verbindung zu einem Port an Ihrem lokalen PC auf und greifen damit über den Tunnel auf den gewünschten Port an dem internen HZB-Rechner zu.

Sie brauchen dazu…

… Ihre Kennung auf dem Rechner display.helmholtz-berlin.de. Die Kennung ist die gleiche wie Ihre interne HZB-Kennung, hat aber ein separates Passwort (siehe Passwörter).

… den Namen des Rechners und die Portnummer, auf die Sie zugreifen möchten.

… ein geeignetes Programm zum Erstellen des Tunnels. Für Windows empfehlen wir das frei verfügbare PuTTY, dessen Verwendung im Folgenden gezeigt wird. PuTTY kann ohne Administratorrechte heruntergeladen, an beliebiger Stelle gespeichert und von dort ausgeführt werden.

Erstellen der Verbindung zum Außenzugangsrechner

Geben Sie als Hostnamen display.helmholtz-berlin.de ein. Der ssh-Port 22 und das Protokoll SSH sind voreingestellt. Speichern Sie beim ersten Mal diese Angaben unter einem beliebigen Session-Namen, die Sie zukünftig durch Markieren und Load einfach abrufen können.

Jede Änderung, also auch jeden neuen Tunnel, den Sie einrichten, sollten Sie hier immer mit Save speichern, um ihn in zukünftigen Sessions nicht jedesmal erneut einrichten zu müssen.

Verbindungen können beschleunigt werden, wenn Sie unter Connection -> SSHEnable Compression“ anklicken.

Klicken Sie Open (oder Apply, wenn Sie bereits eine Session offen haben).


Beim ersten Verbindungsaufbau müssen Sie den Schlüssel des Zielrechners display.helmholtz-berlin.de akzeptieren. Zur Kontrolle wird Ihnen der Fingerprint angezeigt. Der Wert a6:b8:86:29:28:29:d2:04:d4:f0:8e:f3:29:4b:1b:26 ist der korrekte Fingerprint des Rechners display.helmholtz-berlin.de.

Geben Sie im neuen schwarzen Fenster Ihre HZB-Kennung und das Außenzugangspasswort ein.

Verschiedene getunnelte Verbindungen einrichten (Beispiele)

Klicken Sie rechts im Titelbalken des neuen schwarzen Fensters und wählen Sie den Menupunkt Change Settings…, um zu den Einstellungen zurückzukommen.


Öffnen Sie Connections -> SSH -> Tunnels

Erstellen Sie eine getunnelte Verbindung, bei der Sie über einen lokalen Port einen Remote-Port eines HZB-internen Rechners ansprechen. Wählen Sie die lokale Portnummer immer größer als 1024 und kleiner gleich 65535.

Sie können in einer Session mehrere Tunnels, also mehrere verschiedene Verbindungen erstellen.

Beispiel 1: Zugriff auf eine Webseite eines internen Rechners, z.B. TYPO3

Wollen Sie z.B. von außerhalb des HZB Webseiten im Content Management System mit TYPO3 bearbeiten, so ist das normalerweise nicht möglich. Sie können aber mit Hilfe eines Tunnels eine Verbindung herstellen.

Wählen Sie einen Quellport am lokalen Rechner, im Beispiel 8080. Geben Sie den Zielrechner, das CMS und den Web-Port 80 an. Klicken Sie Add zum Hinzufügen und Apply, um die Einstellungen für die bestehende Session zu übernehmen.


Zum Bearbeiten von Webseiten im CMS mit TYPO3 geben Sie jetzt in Ihrem Browser folgende URL an:


Damit erhalten Sie einen getunnelten Zugang zum CMS-System.

Beispiel 2: Kopieren von Dateien aus Ihrem Heimatverzeichnis am HZB

Normalerweise sind die Heimatverzeichnisse nicht von extern zugreifbar. Wenn Sie Dateien von Ihrem Heimatverzeichnis z.B. an Ihren heimischen PC übertragen wollen, können Sie dazu einen Tunnel verwenden, um dann mit einem geeigneten Programm wie z.B. „WinSCP“ Dateien auszutauschen.

Wählen Sie einen Quellport am lokalen Rechner, im Beispiel 2222. Geben Sie als Zielrechner einen geeigneten Linux-Rechner an, im Beispiel dinux5, und den SSH-Port 22. Klicken Sie Add zum Hinzufügen und Apply, um die Einstellungen für die bestehende Session zu übernehmen.


Jetzt können Sie ein geeignetes Programm zum Kopieren von Daten über SSH aufrufen, z.B. WinSCP. Verbinden Sie sich zum lokalen Port 2222, geben Sie Ihre HZB-Kennung ein. Klicken Sie Anmelden.


Sie greifen jetzt über den eingerichteten Tunnel direkt auf den SSH-Port am HZB-internen Rechner dinux5 zu und haben von dort Zugriff auf die Daten in Ihrem Heimatverzeichnis.

In der linken Hälfte des Fensters sehen Sie Ihr lokales Verzeichnis, rechts Ihr Heimatverzeichnis. Sie können Dateien einfach zwischen beiden Fensterhälften verschieben (kopieren).


Beispiel 3: Zugriff auf einen internen Rechner per Remote Desktop

Wählen Sie einen Quellport am lokalen Rechner >1024, im Beispiel 10.000. Geben Sie als Zieladresse den Namen des Rechners und den RDP-Port 3389 an. Klicken Sie Add, um diesen Tunnel Ihren Einstellungen hinzuzufügen, und Apply, um die Einstellungen auch für die aktuelle Session anzuwenden, wenn Sie bereits eine offen haben.


Ihre gewünschte Remotedesktop-Verbindung starten Sie jetzt über den Port 10000 an Ihrem lokalen PC, die Verbindung wird getunnelt zum RDP-Port des Zielrechners.

Bei der ersten Verbindung müssen Sie einmalig das Zertifikat akzeptieren.