Fernwartung im anderen Netz eines Raspberry Pi 3 mit Debian 9

[pro2311]

Hallo zusammen,
ich habe mal eine Frage an die Usergemeinde, die schon etwas mehr Erfahrung mit einem Raspberry gemacht haben als ich.

Ich möchte auf meinem Raspberry PI V3 mit Debian 9 als Betriebssystem eine Fernwartung über ein Handy LTE Netz einrichten. Ich weiß aber nicht genau wie ich das am besten machen soll (Schutz des Zugangs, welche Einstellungen wo etc.)

Kann mir jemand bei dem Thema ein wenig weiter helfen?

Danke

[Lord_Carlos]

Das einfachste waere beim Router eine Portweiterleitung zu aktiveren. So das wenn man die externe IP deines routers angibt, der die Daten an dein Pi weiterleitet.

Am besten einen zufaellig port nehmen, damit es von Aussen nicht gleich wie ein SSH port aus sieht. z.B. Router port 12562 leitet auf den Pi port 22 weiter. Wenn du jetzt von deinem LTE Netz die externe IP deines Routers eingibst + port 12562 dann landest du auf deinem Pi.

Problem ist, die externe IP kann sich aendern. Deswegen holt man sich gerne ne dyn DNS. z.B. bei https://dynv6.com/
Das richtet man dann im router ein. Wenn der eine neue externe IP bekommt, gibt er das an dynv6 weiter.

Dann kannst zu vom LTE netzwerk deine-wahl.dynv6.net:12562 und du landest auf deinem PI.

Auf dem PI musst du noch die standart Absicherung machen, wie password login verbieten. Nur via key etc. Da gibt es hunderte Artikel zu. Einfach "secure linux" oder "secure ssh" suchen.

[pro2311]

Zuerst einmal Danke für die Info.

Was ich aber noch nicht ganz begriffen habe ist ich habe ein Handy im LTE Netz und daran hängt das Raspberry und das möchte ich Fernwarten...??

Ich bekomme doch hier über wieistmeineip.de die IP von meinem Handy die sich immer ändert und über ifconfig die meines Raspberry.....

Wie geht es dann weiter?

[TomL]

Was ich aber noch nicht ganz begriffen habe ist ich habe ein Handy im LTE Netz und daran hängt das Raspberry und das möchte ich Fernwarten...??

Ich bekomme doch hier über wieistmeineip.de die IP von meinem Handy die sich immer ändert und über ifconfig die meines Raspberry.....

Bei einem solchen Problem würde ich auf dem RPi das telegram-cli installieren, mit dem eine Nachricht empfangen werden kann. In einer solchen Nachricht würde ich dem PI mitteilen, dass er sich mit meinem PC verbinden soll.... also das die Verbindung wegen der wechselnden LTE-IP vom Pi ausgehend via OpenVPN aufgebaut wird. Bei mir wäre es dann so, dass mein DSL-Router via DynDNS konstant unter gleichem Namen erreichbar wäre. Funktionieren wird das, ich halte das aber für eine technisch ziemlich anspruchsvolle Lösung. Vielleicht gibts aber noch andere einfachere Möglichkeiten.

[debianoli]

Was ich aber noch nicht ganz begriffen habe ist ich habe ein Handy im LTE Netz und daran hängt das Raspberry und das möchte ich Fernwarten...??

Ich bekomme doch hier über wieistmeineip.de die IP von meinem Handy die sich immer ändert und über ifconfig die meines Raspberry.....

Mir ist irgendwie nicht klar, was du eigentlich willst. Wenn du die IP des Handy auslesen kannst, dann hast du physikalischen Zugriff auf das Gerät. Wozu dann Fernwartung? In dem Fall hängst du den Pi an deinen Router und gehst per Rechner und ssh auf das Gerät.

Oder sieht das anders aus? Schildere erst einmal, was genau du willst, weshalb der Pi am LTE Handy hängt etc. Sonst ist das nur ein Stochern im Nebel.

[pro2311]

Also ich habe das Handy und mein Raspberry auf einem Flugplatz. Dort läuft eine Anwendung mit mySQL unter Python3 die Daten aufnimmt. Wenn ich zum einen ein Backup haben möchte muss ich das immer per Mail verschicken was eigentlich kein Problem ist. Geht auch mit Cronjob oder auch mit Python. Wenn ich aber eine neue Oberfläche oder Probleme auf dem Raspberry lösen möchte, die bekomme ich immer per Mail aus Watchdog muss ich immer vor Ort und das möchte ich mir ersparen. Somit möchte ich von meinem Rechner zu Hause auf das Paspberry zugreifen.

[uname]

Ich habe weder einen Pi noch dauerhaftes mobiles Internet für diesen Zweck. Trotzdem würde ich es so machen, dass der Pi die Verbindung zu deinem DSL-Router weitergeleitet auf deinen Linux-Desktop (ich hoffe du hast sowas) an SSH durchführt und gleichzeitig einen Remote-Tunnel für den SSH- Rückweg bereitstellt. Ich denken SSH reicht für die Administration. OpenVPN macht es nur nochkomplizierter daher nur Remote-SSH verwenden.

Lese: https://www.rustimation.eu/index.php/re ... r-schritt/

[Lord_Carlos]

Sowas?
Pi <-> Handy <----- LTE -------> Internet <---- Du

Uh, da kommt hinzu das LTE manchmal schon hinter einem NAT ist. Vom provider aus.

Pi <-> Handy <----- LTE -------> Provider NAT<--------> Internet <---- Du
Dann kann man nicht ohne weites direct mit dem Handy verbinden.

Ich wuerde es mit reverse SSH versuchen. Das habe ich aber noch nie selber benutzt.
Pi <-> Handy <----- LTE -------> Prodiver <--------> Internet <-------> Ein server der immer an ist und mit dem du dich verbinden kannst <--------> Internet <-------> Du
https://unix.stackexchange.com/question ... eling-work

Vielleicht hat dein LTE auch kein NAT und du kannst dem Handy sagen es soll alles an das Pi weiterheiten.

Oder VPN.
Dann verbindet sich dein Pi und du mit dem selben VPN server.
Pi <-- VPN via Internet --> Dein VPN server <--- VPN via Internet ---> Du

[MSfree]

... Somit möchte ich von meinem Rechner zu Hause auf das Paspberry zugreifen.

Verkehrte Welt?

Warum nimmt dein Raspberry nicht selbst Kontakt mit dem Rechner zuhause auf und schiebt seine Daten dahin? Das wäre irgendwie viel einfacher, logischer und bedarfsorientierter.

[uname]

Verkehrte Welt?

Naja er möchte halt auch administrieren. Da bietet sich wirklich ein Remote-SSH-Tunnel an.

Kurze Zwischenfrage bzw. wird ja auch benötigt:
Wie kann am besten vom Pi per Shellscript getestet werden, dass der Remote-SSHServer (dyn-DSL-IP, Port z.B. 12345, weitergeleitet auf interne IP, Port 22) aktiv ist?
Kennt jemand einen schönen Befehl, den man z. B. jede Minute per CRON durchführen kann? Am besten so, dass sich nicht über die Zeit der Pi selbst aufhängt. (z. B. telnet, nc, ... am besten gleich mit Script)

[MSfree]

Naja er möchte halt auch administrieren.

Fragt sich nur was?
Der Raspi ist ja vor Ort, kann also per Tastaur und ohne Netzwerk administriert werden. Der Rechner zuhause könnte dann vom Raspi aus administriert werden.

Da bietet sich wirklich ein Remote-SSH-Tunnel an.

Für mich sieht das nach von-hinten-durch-die-Brust-ins-Auge aus. Also, warum erst vom Raspi nach hause und von da per Remote-SSH zurück auf den Raspi?

[uname]

Der Raspi ist ja vor Ort,

Nein. Der Raspi ist eben nicht vor Ort wenn ich es richtig verstanden habe. Der Raspi ist per LTE beim Flugplatz und er möchte von zuhause den Rapsi administrieren.

Also, warum erst vom Raspi nach hause und von da per Remote-SSH zurück auf den Raspi?

Da wohl bei LTE das Port-Forwarding und dynamische Namen wie bei DSL wohl nicht so einfach möglich ist. Aber vielleicht liege ich damit falsch.

[pro2311]

Vielleicht zur Erklärung warum möchte ich es von zu Hause administrieren. Ich habe schon gehabt das sich das Programm durch Fehlbedienung nicht mehr nutzen lies. Somit musste der Raspi einmal neu gestartet werden. Nur deswegen dort hin fahren der Aufwand ist zu hoch. Per Autostart wird schon alles gestartet was gebraucht wird. Dann kam noch dazu das es ein Problem hatte und Verzeichnisse gelöscht hat. Ob das Fremd gesteuert war oder was anderes kann ich nicht sagen. Somit kam ich auf die Idee ob sowas zu machen ist und wie. Hinzu kommt noch ein vermutlicher Vandalismus gegen die Anwendung die es mir nicht erlaubt zu sagen was passiert als nächstes...

[MSfree]

Vielleicht zur Erklärung warum möchte ich es von zu Hause administrieren.

OK, dann habe ich wohl auf der Leitung gestanden.

Ich würde das wohl mit OpenVPN lösen, SSH-Tunnel mit reverse Portforwards geht aber auch.

Der Raspi könnte so konfiguriert werden, daß er per OpenVPN (SSH) eine Verbindung zu deinem Rechner zuhause (oder im Büro) aufbaut. Darüber kommst du dann von dem Heim/Bürorechner wieder zurück auf den Raspi. Der Verbindungsaufbau via OpenVPN ist vollautomatisch, einmal konfiguriert startet der bei jedem Boot neu, und baut auch bei einer eventuell stattfindenden LTE-Zwangstrennung oder DSL-Zwangstrennung (zuhause/Büro) die Verbindung neu auf. Mit SSH ist das nicht ganz so einfach, weil sich Verbindungsabbrüche in der Regel erstmal über einen TCP-Timeout hinziehen, was durchaus 20 minuten dauern kann.

Die Frage ist nur, ob man mit LTE so eine Dauerverbindung hinbekommt oder ob einen die Mobilfunkanbieter nicht immer wieder rauswerfen. Und dann könnte das durchaus auch ein gewisses Datenvolumen verursachen, was entsprechende kosten bedeutet.

[uname]

Mein Ansatz mit SSH-Remote-Port-Forwarding war so gedacht, dass der Pi schaut ob überhaupt ein SSH-Server bei dir zuhause aktiv ist. Ist dieser nicht aktiv so kann/wird auch keine Verbindung aufgebaut werden. Erst wenn du fernwarten willst würdest du den SSH-Server zuhause starten und dann würde z. B. per CRON nach einer Minute die Verbindung aufgebaut. Ich denke das sollte aber auch bei OpenVPN gehen. Normalerweise würde man jedoch sowohl SSH als auch OpenVPN umgekehrt nutzen ... ist aber hier nicht sinnvoll oder möglich durch das ganze LTE-Zeug beim Flugplatz.

[pro2311]

Da wir im Handy eine Karte haben auf der nur ein gewisses Datenvolumen verfügbar ist und das Datenvolumen sich im Moment noch im kb Bereich sich bewegt kann ich das ja mal probieren.
Wo finde ich zu OpenVPN (SSH) ein Tutorial oder eine Anleitung nach der ich vorgehen kann? Im Netz gibt es ja viel was nicht zu gebrauchen ist....

[uname]

Ich würde einen PreShared-Key nehmen. Netztechnisch musst du innerhalb des VPN nicht viel konfigurieren, da ja Client und Server sich anschließend nur unterhalten wollen.

Schau hier: https://wiki.debian.org/OpenVPN

Den UDP-Port für OpenVPN musst du natürlich am DSL-Router weiterleiten.
Ob das am Ende eine gute Idee ist den VPN-Tunnel 7/24 offen zu halten weiß ich nicht.
Durch den Tunnel kannst du dann z. B. SSH nutzen. Musst natürlich auf den Pi dafür einen SSH-Server installieren falls nicht vorhanden.

[MSfree]

Da wir im Handy eine Karte haben auf der nur ein gewisses Datenvolumen verfügbar ist und das Datenvolumen sich im Moment noch im kb Bereich sich bewegt kann ich das ja mal probieren.

Sowohl ein bestehender OpenVPN-Tunnel als auch eine SSH-verbindung tauschen in regelmässigen Abständen Nachrichten untereinander aus, um sicherzustellen, daß die Verbindung noch besteht. Das sind halt ein paar Netzwerkpakete pro Stunde, Dazu kommen die Datenmengen, die beim Verbindungsaufbau selbst entstehen und das Volumen beim eigentlich Administrieren. Vermutlich wird das unter 50MByte pro Monat bleiben, aber nagel mich bitte nicht darauf fest.

Wo finde ich zu OpenVPN (SSH) ein Tutorial oder eine Anleitung nach der ich vorgehen kann?

https://openvpn.net/community-resources/how-to/

[TomL]

Hinzu kommt noch ein vermutlicher Vandalismus gegen die Anwendung die es mir nicht erlaubt zu sagen was passiert als nächstes...

Wenn das bedeutet, dass fremde Personen Zugang zu diesem Pi haben, würde ich Dir davon abraten, die einfache Static-Key-Variante mit OpenVPN zu verwenden, sondern deutlich sicherer nur eine Password-Gesicherte TLS-Authentifizierung zu erlauben. Zusätzlich würde ich sowohl das Password als auch die Keyfiles bei Nichtgebrauch in einem LUKS-Container sichern, der nur bei Bedarf vor dem Verbindungsaufbau dazugemountet wird und sofort wieder getrennt wird. Fakt ist, wenn fremde Zugang zu dem PI haben und sich des Static-Keys bemächtigen, hast Du ab dem Moment keinerlei Kontrolle mehr darüber, wer sich auf Deinen Rechner bzw. Netzwerk zuhause (oder im Büro, etc.) aufschaltet. Ich betrachte das als hochgradig fahrlässig.

Ich erinnere lieber noch mal... eine LTE-Verbindung mit begrenztem Guthaben würde ich nur bedarfsorientiert öffnen.... entweder tuts der Pi automatisch zu vorgegebenen Zeiten oder er bekommt eine kurze Aufforderung via Message. Und sofort nach Beendigung der Arbeiten wird sowohl die Verbindung als auch der Container wieder geschlossen. Damit hast Du wenigstens eine kleine Chance, dass die Zugangsdaten in Dein System geschützt sind.

[MSfree]

Wenn das bedeutet, dass fremde Personen Zugang zu diesem Pi haben, würde ich Dir davon abraten, die einfache Static-Key-Variante mit OpenVPN zu verwenden,

Ack

sondern deutlich sicherer nur eine Password-Gesicherte TLS-Authentifizierung zu erlauben.

Paßwortabsicherung bei einem Client, der sich automatisch verbinden soll, ist einigermassen sinnlos, denn das Paßwort muß irgendwo im Klartext abgelegt werden (spätestens im aufrufenden Skript).

Zusätzlich würde ich sowohl das Password als auch die Keyfiles bei Nichtgebrauch in einem LUKS-Container sichern, der nur bei Bedarf vor dem Verbindungsaufbau dazugemountet wird und sofort wieder getrennt wird.

Und den LUKS-Container mountet man dann per Shellskript, in dem das Paßwort lesbar ist, vor dem Verbindungsaufbau mit OpenVPN. Welchen Sicherheitsvorteil soll das bringen?

Fakt ist, wenn fremde Zugang zu dem PI haben und sich des Static-Keys bemächtigen, hast Du ab dem Moment keinerlei Kontrolle mehr darüber, wer sich auf Deinen Rechner bzw. Netzwerk zuhause (oder im Büro, etc.) aufschaltet. Ich betrachte das als hochgradig fahrlässig.

Wer den static Key aus der SD-Karte des Raspis auslesen kann, kann auch die Skripte, die den LUKS-Container mounten und OpenVPN mit Paßwort aufrufen, auslesen und die Paßwörter extrahieren. Mit anderen Worten, komplizierter (security by obscurity) aber ohne Sicherheitsgewinn.

Ich gebe dir ja recht, das static Keys eine gewisse Problematik mitbringen. Vor allem muß man bei einer Komprometierung einen neuen Key generieren. Solange das nicht wie im heimischen WLAN mit preshared Key läuft, bei dem zig Geräte mit neuem Key versehen werden müssen, sondern nur ein Client und ein Server involviert sind, ist das auch nicht unsicherer als merklich komplizierter zu erzeugende SSL-Zertifikate, die man einzeln zurückziehen kann.

Ein echter Sicherheitsgewinn wäre es, wenn man den OpenVPN-Server (zuhause oder om Büro) in eine DMZ sperrt, damit eine kompromitierte Netzverbindung nicht direkt ins heimische Netz eindringen kann.

[TomL]

...ist einigermassen sinnlos, denn das Paßwort muß irgendwo im Klartext abgelegt werden (spätestens im aufrufenden Skript).

Und den LUKS-Container mountet man dann per Shellskript, in dem das Paßwort lesbar ist, vor dem Verbindungsaufbau mit OpenVPN. Welchen Sicherheitsvorteil soll das bringen?

Äääh, wer auf so eine Lösung kommt, muss eigentlich nicht weiter über Sicherheit nachdenken.... das wäre ja imho mehr als nur fahrlässig. Definitiv würde ich auf einem so exponierten System kein Password für den Container irgendwo in Reinschrift hinterlegen.

Ohne das jetzt groß durchdacht zu haben, hatte ich von Anfang an eine Lösung im Kopf, die vermutlich schon passen würde. Ich würde das Container-Password in ein kleines und unauffälliges Mini-Binary (C, CPP) packen, was das notwendige tut, um den Container zu öffnen, zu verbinden und sofort wieder schließen. Und das man das Pwd dann da nicht in Klartext reinschreibt ist ja wohl auch klar. Ich würde irgend 'ne dämliche 300-Zeichen-Textzeile durch base64 (o.ä.) verhuddeln lassen und dann diesen String im Binary als Klartext hinterlegen. Um dann in der Fibonacci-Reihenfolge ein 10- oder 12-Zeichen-Password daraus für den Container rauszulesen. Irgendwie sowas.... ich will ja nicht die NSA austricksen, aber für Spanner und Gelegenheitshacker reicht sowas allemal. Und wennn ich Probleme hätte, z.B. wegen spawn, exec, system (oder so, das einzige, was ich mir vorstellen könnte) würde ich hier um Hilfe fragen.... schließlich sind das ja nur ein paar Codezeilen. Mir ist völlig klar, dass das Schwachstellen hat.... aber es ja hier nicht darum, echte Profis abzuhalten, sondern Spanner und Fummler.

Und wie gesagt, in meiner ersten Antwort hatte ich ja schon drauf hingewiesen, dass das eine technische Herausforderung ist, wenn man die Sicherheit nicht außen vor lassen will. Und wenn man unbeaufsichtige Zugänge in sein Netz bereitstellen will, sollte man da schon über entsprechende Sachkenntnis verfügen. Also einfach nur ein paar Bash-Scripte mit Klartext-Passwörtern und Keyfiles geht ja wohl gar nicht.... dann kann man sichs auch ganz sparen, über Sicherheit nachzudenken.

Ein echter Sicherheitsgewinn wäre es, wenn man den OpenVPN-Server (zuhause oder om Büro) in eine DMZ sperrt, damit eine kompromitierte Netzverbindung nicht direkt ins heimische Netz eindringen kann.

Ja, das ist ne richtig gute Idee. Vielleicht reichts ja schon, dass in eine VM zu sperren und via Paketfilter die Zugänge ins LAN zu sperren. Ich hab sowas schon gemacht: eine VM als regulärer Lan-Client = Internet ja, LAN nein.

[uname]

Die Sicherheit ist so eine Sache und damit kommen wir wieder zurück zu meiner Remote-SSH-Idee.
Für Remote-SSH könnte man nur themporär zuhause den SSH-Server starten und zudem reicht dem Benutzer die Shell /bin/false.

https://kram.nz/2018/01/remote-ssh-tunnel/
(das sudo-Zeug bitte überlesen)

[MSfree]

Für Remote-SSH könnte man nur themporär zuhause den SSH-Server starten

Das könnte man mit dem OpenVPN-Server ebenfalls.

und zudem reicht dem Benutzer die Shell /bin/false.

OpenVPN öffnet gar keine Shell.

Ich will aber die Idee mit SSH nicht schlechtreden, die ist genauso machbar und sinvoll einsetzbar wie OpenVPN. Da soll sich der OP selbst entscheiden.

[debianoli]

Funktioniert dyn-dns mit LTE? Wenn ja, wäre das doch die einfachste Lösung: Man hängt einen LTE-Stick an den Pi, der damit direkt ins Internet geht. Damit umgeht man das ganze Gewurschte mit dem Handy als AP. Auf dem Pi läuft ein SSH-Server, der auf einem unüblichen Port lauscht und nur User-Logins zulässt. Dazu läuft ein dyn-dns-Client auf dem Pi, der den Pi über einen kostenlosen dyn-dns-Account erreichbar macht. Das könnte man dann natürlich auch noch per Cron auf bestimmte Zeitfenster beschränken.

[TomL]

Die Frage ist nur, ob man mit LTE so eine Dauerverbindung hinbekommt oder ob einen die Mobilfunkanbieter nicht immer wieder rauswerfen. Und dann könnte das durchaus auch ein gewisses Datenvolumen verursachen, was entsprechende kosten bedeutet.

Das lässt sich meiner Meinung nach aber relativ einfach lösen. Ich würde dem Pi einfach nen billigen 3G-Surfstick gönnen, dort die Simcard einsetzen und schon kann man ihn On-The-Fly und nur bei Bedarf entweder via SMS oder telegram-Msg genau dann auffordern eine Verbindung aufzubauen, wenn man es braucht. Das bedeutet, allein die Bereitschaft in der Wartestellung ist somit kostenneutral für das Mobil-Guthaben.

Funktioniert dyn-dns mit LTE?

Das funkioniert meiner Meinung nach nicht.... und falls seitens des Mobilfunkbetreibers auch noch NAT dazwischen ist, sowieso nicht.