Öffnet in neuem Fenster Opens in a new window Öffnet externe Seite Opens an external site Öffnet externe Seite in neuem Fenster Opens an external site in a new window

Zugriff auf HZB-interne Rechner über SSH-Tunnel mit PuTTY (Windows)

Die meisten Rechner sind nicht für den Zugriff von extern verfügbar. Um als Inhaber einer HZB-Kennung trotzdem auch von außerhalb des HZB auf solche Rechner zugreifen zu können, kann ein verschlüsselter Tunnel über den HZB-Außenzugangsrechner aditum.helmholtz-berlin.de zu dem gewünschten Rechner erstellt werden. Sie machen Ihre Verbindung zu einem Port an Ihrem lokalen PC auf und greifen damit über den Tunnel auf den gewünschten Port an dem internen HZB-Rechner zu.

Sie benötigen dazu…

… Ihre Kennung auf dem Rechner aditum.helmholtz-berlin.de. Die Kennung ist die gleiche wie Ihre interne HZB-Kennung. Zum Login benötigen Sie aber zusätzlich zum Passwort eine Authentifizierung per SSH-Schlüssel. Dazu müssen Sie unter https://www.helmholtz-berlin.de/bin/extern-access Ihren öffentlichen Schlüssel hochladen. Falls Sie noch kein SSH-Schlüsselpaar haben, informieren Sie sich bitte auf der entsprechenden Webseite wie Sie eines erstellen können.

… den Namen des Rechners und die Portnummer, auf die Sie zugreifen möchten.

… ein geeignetes Programm zum Erstellen des Tunnels. Für Windows empfehlen wir, PuTTY aus dem Softwarecenter zu installieren.

Erstellen der Verbindung zum Außenzugangsrechner

Geben Sie als Hostnamen aditum.helmholtz-berlin.de ein. Der ssh-Port auf aditum ist nicht 22 sondern 22022. Das Protokoll SSH ist voreingestellt. Unter SSH -> Auth müssen Sie ganz unten Ihren privaten Schlüssel im .ppk-Format angeben.

Speichern Sie beim ersten Mal diese Angaben unter einem beliebigen Session-Namen, die Sie zukünftig durch Markieren und Load einfach abrufen können. Jede Änderung, also auch jeden neuen Tunnel, den Sie einrichten, sollten Sie hier immer mit Save speichern, um ihn in zukünftigen Sessions nicht jedesmal erneut einrichten zu müssen.

Verbindungen können beschleunigt werden, wenn Sie unter Connection -> SSHEnable Compression“ anklicken.

Klicken Sie Open (oder Apply, wenn Sie bereits eine Session offen haben).

Beim ersten Verbindungsaufbau müssen Sie den Schlüssel des Zielrechners aditum.helmholtz-berlin.de akzeptieren. Zur Kontrolle wird Ihnen der Fingerprint angezeigt. Die Fingerprint-Werte sind:

SHA256:     x+QDQcVKiMe6WuphQHqw75s9CdIH78D6gJdMtRplChg
bzw.
MD5:     5b:9b:e3:59:4d:73:46:f3:85:33:82:7a:1d:a8:cc:4e

Geben Sie im neuen schwarzen Fenster Ihre HZB-Kennung und das zugehörige Passwort ein.

Verschiedene Beispiele getunnelte Verbindungen einzurichten

Klicken Sie rechts im Titelbalken des Konsolenfensters und wählen Sie den Menupunkt Change Settings…, um zu den Einstellungen zurückzukommen.

Öffnen Sie Connections -> SSH -> Tunnels

Erstellen Sie eine getunnelte Verbindung, bei der Sie über einen lokalen Port einen Remote-Port eines HZB-internen Rechners ansprechen. Wählen Sie die lokale Portnummer immer größer als 1024 und kleiner gleich 65535.

Sie können in einer Session mehrere Tunnels, also mehrere verschiedene Verbindungen erstellen.

Beispiel 1: Zugriff auf eine Webseite eines internen Rechners

Wollen Sie z.B. von außerhalb des HZB Webseiten im Content Management System mit TYPO3 bearbeiten, so ist das normalerweise nicht möglich. Sie können aber mit Hilfe eines Tunnels eine Verbindung herstellen.

Wählen Sie einen Quellport am lokalen Rechner, im Beispiel 8080. Geben Sie den Zielrechner, das CMS und den Web-Port 80 an. Klicken Sie Add zum Hinzufügen und Apply, um die Einstellungen für die bestehende Session zu übernehmen.

Zum Bearbeiten von Webseiten im CMS mit TYPO3 geben Sie jetzt in Ihrem Browser folgende URL an:

Damit erhalten Sie einen getunnelten Zugang zum CMS-System.

Beispiel 2: Kopieren von Dateien aus Ihrem Heimatverzeichnis am HZB

Normalerweise sind die Heimatverzeichnisse nicht von extern zugreifbar. Wenn Sie Dateien von Ihrem Heimatverzeichnis z.B. an Ihren heimischen PC übertragen wollen, können Sie dazu einen Tunnel verwenden, um dann mit einem geeigneten Programm wie z.B. „WinSCP“ Dateien auszutauschen.

Wählen Sie einen Quellport am lokalen Rechner, im Beispiel 2222. Geben Sie als Zielrechner einen geeigneten Linux-Rechner an, im Beispiel dinux5, und den SSH-Port 22. Klicken Sie Add zum Hinzufügen und Apply, um die Einstellungen für die bestehende Session zu übernehmen.

Jetzt können Sie ein geeignetes Programm zum Kopieren von Daten über SSH aufrufen, z.B. WinSCP. Verbinden Sie sich zum lokalen Port 2222, geben Sie Ihre HZB-Kennung ein. Klicken Sie Anmelden.

Sie greifen jetzt über den eingerichteten Tunnel direkt auf den SSH-Port am HZB-internen Rechner dinux5 zu und haben von dort Zugriff auf die Daten in Ihrem Heimatverzeichnis.

In der linken Hälfte des Fensters sehen Sie Ihr lokales Verzeichnis, rechts Ihr Heimatverzeichnis. Sie können Dateien einfach zwischen beiden Fensterhälften verschieben (kopieren).

Beispiel 3: Zugriff auf einen internen Rechner per Remote Desktop

Wählen Sie einen Quellport am lokalen Rechner >1024, im Beispiel 10.000. Geben Sie als Zieladresse den Namen des Rechners und den RDP-Port 3389 an. Klicken Sie Add, um diesen Tunnel Ihren Einstellungen hinzuzufügen, und Apply, um die Einstellungen auch für die aktuelle Session anzuwenden, wenn Sie bereits eine offen haben.

Ihre gewünschte Remotedesktop-Verbindung starten Sie jetzt über den Port 10000 an Ihrem lokalen PC, die Verbindung wird getunnelt zum RDP-Port des Zielrechners.

Bei der ersten Verbindung müssen Sie einmalig das Zertifikat akzeptieren.