dyndns für vernzugrif au ubuntu server?
Hallo zusammen, mal eine frage und zwar, gibt es eine möglichkein eine dyndns unter ubuntu server ein zu binden, so dass ich von extern drauf zugreifen kann? wäre froh um hilfe.
Habe schon einiges versucht mit fester IP und so n quatsch hat aber nicht wirklich geklappt.
Ich würde habe die dyndns auch schon in meinen router eingebaut, weiss einfach noch nicht genau, wie ich das zu meinem vorteil nutzen kann.
Somit wäre mein ziel/ frage, kann ich die dyndns in linux ubuntu server 20.04 einbauen um einen vernzugrief auserhalb des netzwerkes durch zu führen?
danke schon mal im voraus.
2 Antworten
Normalerweise richtet man DynDNS am Router ein, nicht am dahinterliegenden Server. Viele Geräte haben diese Funktion nämlich bereits integriert.
Falls das nicht möglich ist, kann man es mit Sicherheit auch über Ubuntu einbinden, kommt halt auf den verwendeten Anbieter an.
Z.b. kann man bei Domaindiscount24 einfach einen Link aufrufen und die IP des Aufrufers wird dann bei der Domain eingetragen..
Wenn DynDNS beim Router hinterlegt ist (und funktioniert) brauchst du am Server nichts mehr für DynDNS einrichten.
Wenn es nicht geht ist entweder dss Port Forwarding falsch eingerichtet oder die Firewall am Server blockiert die eingehenden Verbindungen
konnte das problem mitlerweile lösen aber danke für die hilfe.
Somit wäre mein ziel/ frage, kann ich die dyndns in linux ubuntu server 20.04 einbauen um einen vernzugrief auserhalb des netzwerkes durch zu führen?
Was genau ist dein Problem? Du baust DynDNS nicht in einen Server ein, sondern lässt die Domain des DynDNS-Dienstes eben auf deine aktuelle IP zeigen. Wenn du das im Router eingerichtet hast, wird die dahinterliegende IP vermutlich automatisch aktualisiert.
Wenn du jetzt von außerhalb des Netzwerkes auf den Server zugreifen willst, musst du Portfreigaben einrichten. Funktioniert das denn schon, wenn du die IP direkt nutzt?
Habe schon einiges versucht mit fester IP und so n quatsch hat aber nicht wirklich geklappt.
Was genau hast du mit "fester IP" versucht. Du wirst als Privatkunde sehr wahrscheinlich keine feste IPv4 haben. Wenn du DSLite nutzt, hast du nicht mal eine eigene, öffentliche IPv4
ich habe gestern eine portfreigabe gemacht für den 25565 port für einen mc server. heisst die ip vom server habe ich eigentlich freigegeben. Jetzt weiss ich einfach nicht genau, wie ich den vernzugriff starte.
Das ganze mit der festen IP habe ich versucht, mit einem buissnes abo. Ich lebe in der schweiz, wo das ziemlich einfach möglich ist an so ein abo zu kommen ohne grössere kosten.
Jetzt weiss ich einfach nicht genau, wie ich den vernzugriff starte.
wenn du eine Portfreigabe eingerichtet hast und eine öffentliche IPv4 besitzt, solltest du diese jetzt einfach weitergeben und von extern auf den Server beitreten können
Ja, aber das tut nichts zur Sache und ich werde den Kontakt nicht weitergeben.
ok schade dacht so könnte das ganze einfacher gehen.
Also heisst ich muss einfach bei der ssh verbindung den servernamen durch die ip austauschen oder wie?
Und das mit oder ohne port?
SSH braucht einen anderen Port.
Bei deinem Wissen,was sich hier zeigt, rate ich aber davon ab, den SSH Port bzw eigentlich irgendeinen port freizugeben in dein lokales Netzwerk hinein. Außer du willst Mitglied in einem Botnetz werden.
Dein Passwort muss sehr lang und gut sein.
Alle Software aktualisiert.
Firewall einrichten
Zugriffsverwaltung einrichten, sodass bspw nach 3 mal gescheitertem Login Versuch eine Zeit lang die ip gesperrt wird
Und vieles mehr.
ok aber mit welchem login genau über ssh muss ich dann mich einlogen? wäre das dann immer noch mit ssh blablal@hier_mein_IP:port odoer wie?
Es wäre dann
ssh user@dyndns-dienst.whatever
Falls der Port nicht geändert wird, was ich aber stark empfehle. Der Standard-Port wird nämlich automatisiert gescannt, sodass da sehr schnell sehr viele Login-Versuche gemacht werden und irgendwann - mehr oder weniger schnell - hat man deinen Server gehackt.
das habe ich gerade versucht, klappt aber nicht. was ich mich gerade einfach frage der dinst ist es auch möglich, dass der mit einem punkt ist? heist user@mein_hostname.ddns.net?
jup, SSH sollte man nicht "einfach so" öffentlich machen.
Am besten hängt der Dienst in einer DMZ, sodass dein restliches Netz nicht angreifbar ist. Alles auf dem neuesten Stand, langes Passwort, SSH-Login nur mit Pubkey (nicht mit Password), Fail2ban eingerichtet, alternativer SSH-Port usw ...
Dein MC-Server selbst sollte auf einem unpriviligierten User laufen
ok aber mit welchem login genau über ssh muss ich dann mich einlogen? wäre das dann immer noch mit ssh blablal@hier_mein_IP:port odoer wie?
Es ist dann
ssh <user>@<address> -p <port>
Dieser Port muss dann auch im Portforwarding eingerichtet sein.
das habe ich gerade versucht, klappt aber nicht. was ich mich gerade einfach frage der dinst ist es auch möglich, dass der mit einem punkt ist? heist user@ mein_hostname.ddns.net?
ja ...
Hast du den SSH-Port im Router freigegeben oder nicht?
Wenn nein, wird das auf jeden Fall nicht funktionieren.
Wenn ja, dann solltest du in den Logs nachschauen, was da passiert. Vielleicht auch mal mit traceroute schauen, was nacheinander passiert.
habe das ganze frei gegeben. habe es gerade versucht und erfolgreich geschaft. jetzt was ich mich frage, wie kann ich das zu machen, dass das ganze gesichert ist und nicht für jeden zugänglich.
habe das ganze frei gegeben. habe es gerade versucht und erfolgreich geschaft. jetzt was ich mich frage, wie kann ich das zu machen, dass das ganze gesichert ist und nicht für jeden zugänglich.
ich zitiere meinen Kommentar nochmal:
Am besten hängt der Dienst in einer DMZ, sodass dein restliches Netz nicht angreifbar ist. Alles auf dem neuesten Stand, langes Passwort, SSH-Login nur mit Pubkey (nicht mit Password), Fail2ban eingerichtet, alternativer SSH-Port usw ...
DMZ braucht zusätzliche Hardware, wenn du nur einen Consumer-Router hast. Fail2Ban ist zusätzliche Software, die du herunterladen kannst und der Rest ist Konfiguration des SSH-Daemons. Dafür musst du dessen Konfiguration bearbeiten und den Dienst neustarten
Kurze Suche mit einer beliebigen Suchmaschine ergibt bspw. das hier:
- https://www.strato.de/faq/server/wie-kann-ich-den-ssh-dienst-auf-meinem-linux-server-absichern/
- https://www.heise.de/ct/artikel/SSH-absichern-221597.html
- https://www.bennetrichter.de/anleitungen/ssh-server-fail2ban-linux/
- https://developer-blog.net/ssh-absichern/
und viele mehr.
ok heisst ich kann das ganze auf mein nas/server drauf machen oder wie? und ich habe nicht nur einen normalen router, sondern einen buissnes router, wo ich schon mehr möglichkeiten habe als mit einem normalen.
das ist mir schon klar dass ich das auch so machen kann viellen dank für die links. dachte einfach ich frag mal vllt hättet ihr mir hier weiterhelfen können.
ok heisst ich kann das ganze auf mein nas/server drauf machen oder wie?
Der SSH-Daemon läuft ja schon auf dem Server, sonst könntest du dich damit nicht verbinden. Du installierst jetzt noch Fail2Ban und richtest es korrekt ein. Anleitungen findest du im Netz genug
und ich habe nicht nur einen normalen router, sondern einen buissnes router, wo ich schon mehr möglichkeiten habe als mit einem normalen.
Das bringt dir alles nichts, wenn dir das Wissen fehlt.
ok danke dir. heisst mit fail2ban ist das ganze gesichert oder wie? und es kann nicht auf das netzwerk zugegriffen werden?
ok danke dir. heisst mit fail2ban ist das ganze gesichert oder wie? und es kann nicht auf das netzwerk zugegriffen werden?
Nein, natürlich nicht. Das ist nur ein Schritt, um das ganze etwas sicherer zu machen. Lies dir durch, was es macht ...
100% Sicherheit gibt es nicht. Und mit einer unsicheren Konfiguration macht man es Angreifern leichter, einzudringen.
Ich bin mir sicher: In der kurzen Zeit, seit du den SSH-Port geöffnet hast, wurden vermutlich schon dutzende Login-Versuche gemacht. Wenn du Passwort-Login auf dem Root-Account zulässt und ein unsicheres Passwort nutzt, ist es nur eine Frage der Zeit, bis jemand Zugriff hat
ok wie verhindere ich das ganze? mit einer stärkeren firewall oder wie?
ok wie verhindere ich das ganze? mit einer stärkeren firewall oder wie?
Indem du dich in das ganze Thema erst einliest, bevor du Dinge tust. Ressourcen dafür gibt es im Netz genug und julihan41 hat ein paar Links ja schon gepostet und ich hab schon einige Kommentare hier in dieser Diskussion dagelassen.
ja ist gut danke vielmals für die hilfe. dachte einfach ich frage nochmal zur sicherheit, nicht dass ich etwas falsch verstanden habe. ihr habt mir echt weitergeholfen.
das ganze habe ich im tuoter hinterlegt und habe auch ein port forwarding gemacht, weil ich zugriff auf einen mc server von aussen zulassen wolte. Jetzt habe ich einen freien port, eine dyndns, weiss aber nicht wie drauf zugreifen.