bastion

Der Dienst bastion.desy.de ermöglicht den Zugang zum internen DESY Netzwerk (Intranet) mittels sicheren und verschlüsselten SSH (Secure SHell) Verbindungen. Die Einlog-Daten sind der DESY Accountname und das DESY Passwort.

Generell sind eine Vielzahl von DESY Diensten auch aus dem Internet erreichbar:

Mail und Kalender, Confluence, DESY Sync & Share, um nur einige wenige Dienste aufzuzählen.

Der Zugang auf die wissenschaftlichen Rechen-Ressourcen Maxwell und NAF/BIRD ist auch von außerhalb möglich.

SSH ist ein mächtiges Werkzeug. Im Folgenden werden einige Anwendungsbeispiele beschrieben, die für typische Arbeiten notwendig sein können.

Einfacher Use-Case

 

zB: Text-Login auf PAL via SSH :

zuhause> ssh accountname@bastion.desy.de

bastion> ssh pal.desy.de

pal> 

 

Zugang von externen Rechnern


Sie möchten sich von einem Rechner außerhalb des DESY-Netzwerkes zu einem Rechner innerhalb des DESY-Netzwerkes verbinden, um auf diesem arbeiten zu können? Oder Sie möchten interne DESY-Webseiten aufrufen, sich aber nicht extra dafür zu Ihrem Arbeitsgerät bei DESY verbinden?

Für solche Fälle bietet Ihnen diese Webseite eine grundlegende Hilfestellung, indem sie erläutert, wie Sie eine Verbindung von außerhalb DESYs mithilfe eines sog. SSH-Tunnels herstellen.

Bitte beachten Sie, dass die Windows-spezifischen Anleitungen auf dieser Webseite für Windows 10 Betriebssysteme verfasst wurden. Sollten Sie kein Windows 10 Rechner besitzen, sind die u.g. Windows-spezifischen Anleitungen für Sie nicht anwendbar. In dem Fall benötigen Sie PuTTY, eine Anleitung dafür haben wir für Sie im folgenden PDF aufgeschrieben.

application/pdf SSH-Tunnel mit PuTTY (340KB)
SSH-Tunnel mit PuTTY

💡 Weiterführende Fragen und die Klärung technischer Probleme haben wir am Ende dieser Webseite für Sie zusammengestellt.

Allgemeine Fragen

Kann ich als V2 / V3 Mitarbeiter*in diese Anleitung nutzen?

Für V2 und V3 gelten besondere technische Rahmenbedingungen (Subnetze 89 (V3), sowie 99 (V2)). Sollten Sie bei V2 oder V3 arbeiten und zu Ihrem DESY-Rechner verbinden müssen, wenden Sie sich bitte an Ihre zuständigen Gruppenadministrtor*innen, da in diese Dokumentation auf Ihren Fall nicht ohne Weiteres anwendbar ist.

Speziell für V2 gibt es eine eigene Anleitung. Diese finden Sie auf folgender Webseite:
https://it.desy.de/dienste/uco/dokumentation/home_office_fuer_v2/

Wo finde ich Anleitungen für MacOS?

Eine Kurzanleitung für die Verbindung von einem Mac zu einem Windows Rechner finden Sie weiter unten auf dieser Seite im Abschnitt "Anleitungen - Wie nutze ich einen SSH-Tunnel?". Weiterführende Dokumentation für Mac Geräte auch zu anderen Betriebssystemen wie Linux und anderen Mac Geräten steht Ihnen auf folgender Webseite zur Vefügung (nur verfügbar auf Englisch):
https://it.desy.de/services/operating_systems/macos/remote_access/

Welches ist mein Zielrechner?

Als Zielrechner wählen Sie nach Möglichkeit bitte Ihr persönliches Dienstgerät bei DESY, das Sie üblicherweise für Ihre tägliche Arbeit verwenden und auf dem Sie entsprechend auch aus der Ferne arbeiten möchten.

Es ist auch möglich, den zentralen Windows Terminal Server winterm.desy.de als Zielrechner zu verwenden. Bitte nutzen Sie aber bevorzugt Ihr persönliches Dienstgerät, da der Windows Terminal Server nur begrenzt belastbar ist. Er sollte daher nur für kurze Zugriffe verwendet werden und nicht für die langfristige Arbeit.

Brauche ich einen Zielrechner auch für die Verbindung zu internen Webseiten?

Nein, wenn Sie nur mit Ihrem lokalen Internetprogramm (Browser) eine Verbindung zu internen Webseiten herstellen möchten und nicht an einem entfernten Rechner bei DESY arbeiten müssen, benötigen Sie keinen Zielrechner. Stattdessen muss in Ihrem Browser ein so genannter SOCKS-Proxy konfiguriert werden, der den Webverkehr durch bastion.desy.de führt. Dieses Konzept ist einem SSH-Tunnel ähnlich.

Eine Anleitung zur Konfiguration eines SOCKS-Proxys in Ihrem Browser finden Sie im Abschnitt "Nur mit internen Webseiten verbinden".

Vorbereitungen - Was muss ich als erstes tun?
 

  • Installieren Sie die neuesten Betriebssystem-Updates

Bitte prüfen Sie, ob der Rechner von dem aus Sie die Verbindung aufbauen möchten, alle aktuellen Betriebssystem-Updates installiert hat und installieren Sie diese ggf. bevor Sie dieser Anleitung folgen. Einige der in dieser Anleitung beschriebenen Möglichkeiten sind andernfalls unter Umständen nicht nutzbar.

  • Ermitteln Sie den Namen Ihres Zielrechners

Lassen Sie Ihren Zielrechner bei DESY eingeschaltet! Wie Sie den Namen des Zielrechners ermitteln, erfahren Sie auf folgender Webseite: Rechnernamen ermitteln. Ohne den Namen des Zielrechners ist es nicht möglich, eine Verbindung dorthin aufzubauen.

Hinweis: Der Rechnername besteht nicht bzw. nicht nur aus der PCX Nummer (pcx******)!

  • Lassen Sie sich Berechtigungen auf Ihrem Zielrechner geben

Sollten Sie zu einem DESY-Windows-Rechner verbinden wollen, wenden Sie sich bitte an einen Ihrer zuständigen Windows Gruppenadministrator*innen. Diese berechtigen Ihren Benutzeraccount für den entfernten Zugriff auf den gewünschten Rechner.

Gruppenadministrator*innen besitzen immer die Berechtigung, aus der Ferne auf Rechner ihrer Gruppe zugreifen zu dürfen. Daher können sie Sie auch aus der Ferne für den Fernzugriff auf Ihrem Zielrechner berechtigen.

Anleitungen - Wie nutze ich einen SSH-Tunnel?

 

Ich möchte...

...nur interne Webseiten aufrufen

Hinweis: Diese Anleitung wurde unter Nutzung von Firefox erstellt. In anderen Browsern ist die Einrichtung eines Proxy nicht möglich bzw. wurde bisher nicht getestet.

Abbildung 1

Schritt 1 - Stellen Sie die SSH-Verbindung her

Wenn Sie mit einem Windows Rechner arbeiten, drücken Sie ⊞ Win + R, geben cmd ein und klicken "OK" (Abb. 1), um die Kommandozeile zu öffnen.

Führen Sie folgenden Befehl in der Kommandozeile aus und drücken anschließend die Enter-Taste ↵ (Abb. 2):

ssh -D 2280 username@bastion.desy.de

 

 

Abbildung 2

username erstetzen Sie durch Ihren persönlichen DESY Benutzernamen. Geben Sie Ihr Passwort ein (die Eingabe des Passworts ist nicht sichtbar) und drücken erneut die Eingabe-Taste ↵. Lassen Sie das Fenster bitte geöffnet, bei Bedarf minimieren Sie es.
Wenn Sie diese Proxyverbindung häufiger nutzen, dann ist es wahrscheinlich besser eine Konfigurationsdatei zu erstellen (siehe alternative Art).

Abbildung 3

Schritt 2 - Richten Sie den Browser ein

Starten Sie Firefox und öffnen Sie über das Menü die Einstellungen (☰ -> "⛭ Einstellungen"), scrollen Sie nach ganz unten zum Abschnitt "Verbindungs-Einstellungen" und klicken dort auf den Knopf "Einstellungen...". Tätigen Sie folgende Einstellungen (siehe auch Abb. 3) und klicken anschließend auf "OK".

  • Aktivieren Sie die Option "Manuelle Proxy-Konfiguration"
  • SOCKS-Host: localhost
  • Port: 2280
  • Aktivieren Sie die Option SOCKS v5
  • Aktivieren Sie die Option "Bei Verwendung von SOCKS v5 den Proxy für DNS-Anfragen verwenden"


Sie können interne Webseiten wie https://registry.desy.de nun unter Nutzung Ihres lokalen Firefox aufrufen.

Hinweis: Nach dem Festlegen des Proxys wird mit dem Browser keine Verbindung auf beliebige Webseiten mehr möglich sein oder nur noch sehr langsam, wenn die SSH Verbindung nicht aktiv ist. Außerdem wird hier wie bei einer VPN Verbindung der gesamte Internetverkehr des Browsers über DESY getunnelt.

...von WINDOWS zu WINDOWS verbinden

Abbildung 1

Schritt 1 - Richten Sie den SSH-Tunnel ein

Auf dem Rechner zu Hause drücken Sie bitte ⊞ Win + R, geben cmd ein (Abb. 1) und klicken 'OK'. Geben Sie Folgendes in der Kommandozeile ein (Abb.2):

ssh -L 8006:computername.desy.de:3389 username@bastion.desy.de

 

 

 

Abbildung 2

computername ersetzen Sie durch den gewünschten Zielrechner, username durch Ihren persönlichen DESY Benutzernamen. Drücken Sie anschließend die Eingabe-Taste.

Geben Sie Ihr Passwort ein (die Eingabe des Passworts ist nicht sichtbar) und drücken erneut die Eingabe-Taste. Lassen Sie das Fenster bitte geöffnet, bei Bedarf minimieren Sie es.

 

 

Abbildung 3

Schritt 2 - Verbinden Sie sich mit Ihrem Zielrechner

Klicken Sie auf das Windows-Symbol in der Taskleiste links unten und geben dort 'rdp' ein.

Öffnen Sie den Remote Desktop Client mit einem Klick auf "Remotedesktopverbindung" (Abb. 3).

 

 


 

Abbildung 4

Geben Sie im Feld "Computername" Folgendes ein und klicken auf "Verbinden" (Abb. 4):

localhost:8006

 

 

Klicken Sie auf "Verbinden" (Abb. 4) und geben Ihr Passwort ein. Sollten Sie eine Zertifikatswarnung erhalten, bestätigen Sie diese mit "Ja".

Hinweis

Bei Eingabe des Benutzernamens für die Remote-Desktop-Verbindung muss ggf. die Domain "WIN\" vor dem Benutzernamen eingegeben werden. Sollte die Verbindung nicht erfolgreich hergestellt werden können, stellen Sie bitte sicher, dass Ihr Benutzername in der Form WIN\benutzername hinterlegt ist. Klicken Sie dazu im Fenster der Remotedesktopverbindung auf "Optionen einblenden" (Abb. 4).

...von WINDOWS zu LINUX mit grafischer Oberfläche verbinden

Schritt 1 - Installieren Sie den FastX2 Server auf dem Zielrechner

Über die DESY Webseiten erhalten Sie die Installationsdateien für den FastX Server (für Ubuntu/Debian nutzen Sie bitte xxx.deb, für andere Linux Desktops xxx.rpm), sowie entsprechende Anleitung zur Einrichtung des Servers. Bitte verwenden Sie die neueste Version des Servers, die dort verfügbar ist. Bei grünen DESY Ubuntu Desktops wird empfohlen, den FastX Server installieren zu lassen. Wenden Sie sich dazu bitte unter Nennung des Zielrechners ans UCO (E-Mail: uco@desy.de, Tel: 5005).

Zentrale Workgroup Server wie pal.desy.de stellen bereits einen FastX 2 Server zur Verfügung und können daher bereits ohne diesen Schritt für die Verbindung via FastX 2 genutzt werden.

Schritt 2 - Installieren Sie den FastX2 Client auf Ihrem lokalen Rechner

Den FastX 2 Client installieren Sie bevorzugt via NetInstall/DSM auf dem DESY Windows Gerät, alternativ laden Sie ihn über die DESY Webseiten herunter, achten Sie bitte darauf, dass Sie die neueste Version installieren.
 

Abbildung 1

Schritt 3 - Richten Sie den SSH-Tunnel ein

Drücken Sie ⊞ Win + R. Geben Sie cmd ein (Abb. 1) und klicken 'OK'. Geben Sie in der Kommandozeile folgenden Befehl ein und drücken anschließend die Enter-Taste ↵ (Abb.2):

ssh -L 8006:computername.desy.de:22 username@bastion.desy.de

 


 

 

Abbildung 2

computername ersetzen Sie durch den gewünschten Zielrechner, username durch Ihren persönlichen DESY Benutzernamen. Drücken Sie anschließend die Eingabe-Taste ↵.

Geben Sie Ihr Passwort ein (die Eingabe des Passworts ist nicht sichtbar) und drücken erneut die Eingabe-Taste ↵. Lassen Sie das Fenster bitte geöffnet, bei Bedarf minimieren Sie es.

 

Abbildung 4

Schritt 4 - Verbinden Sie sich mit Ihrem Zielrechner

  1. Starten Sie FastX 2
  2. Klicken Sie auf das Plus-Zeichen rechts oben in der Ecke und wählen Sie "SSH". Konfigurieren Sie die Verbindung mit folgenden Einstellungen und klicken asnchließend auf "Save" (Abb. 4):
     
  • Name: beliebig
  • Host: localhost
  • Port: 8006
     
  1. Geben Sie nach Aufforderung Ihren Benutzernamen und das zugehörige Passwort ein.
  2. Klicken Sie im nächsten Fenster erneut auf das Plus-Zeichen in der rechten oberen Ecke um eine Verbindung aufzubauen.
  1. Im sich nun öffnenden Fenster müssen Sie den so genannten "Window Manager" auswählen, der für die Verbindung verwendet werden soll, XFCE ist ein Ressourcen-schonender Window-Manager und daher für den Fernzugriff empfohlen, da weniger Daten für die Anzeige der grafischen Oberfläche übertragen werden müssen.
...von WINDOWS zu LINUX ohne grafische Oberfläche verbinden

Abbildung 1

Drücken Sie ⊞ Win + R, geben Sie cmd ein (Abb. 1) und klicken 'OK'. Geben Sie in der Kommandozeile Folgendes ein (Abb.2):

ssh username@bastion.desy.de

 

 

Geben Sie nach Aufforderung Ihr Passwort ein und verbinden anschließend zu dem gewünschten Linux-Zielrechner mithilfe von

ssh computername

 

 

Abbildung 2

Anstelle von username geben Sie bitte Ihren persönlichen DESY-Benutzernamen ein, anstelle von computername den Namen des Linux-Rechners zu dem Sie sich verbinden möchten (Abb. 2). Drücken Sie zur Bestätigung die Enter-Taste ↵.

Geben Sie bei Aufforderung Ihr Passwort ein (die Eingabe ist nicht sichtbar) und drücken erneut die Enter-Taste ↵.

Bitte beachten Sie, dass Sie von außerhalb des DESY-Netzwerks in der Regel zunächst zu bastion.desy.de verbinden müssen und erst anschließend zu anderen Linux Rechnern verbinden können.

...von LINUX zu WINDOWS verbinden

Schritt 1 - Installieren Sie einen Remote Desktop Client
 

remmina (empfohlen)
Als RDP Client empfehlen wir zurzeit remmina in der neuesten Version (min. 1.4.3). Diesen können Sie auf grünen DESY Ubuntu Desktop Rechnern mithilfe von snap installieren. Eine Anleitung hierzu finden Sie auf folgender Webseite:
https://confluence.desy.de/display/linux/snap

Alternativ folgen Sie bitte der Anleitung zur Installation auf der offiziellen Webseite:
https://remmina.org/how-to-install-remmina/

xfreerdp
xfreerdp ist grundsätzlich auch nutzbar, muss allerdings zwingend in der Version (2.0.0-dev5) vorliegen (Stand 04/2020), da ältere Versionen aufgrund von Inkompatibilitäten keine Verbindung aufbauen können.

Schritt 2 - Richten Sie den SSH-Tunnel ein

Öffnen Sie ein Terminal und führen folgenden Befehl aus. computername ersetzen Sie durch den gewünschten Zielrechner, username durch Ihren persönlichen DESY Benutzernamen. Drücken Sie anschließend die Eingabe-Taste ↵:

ssh -L 8006:computername.desy.de:3389 username@bastion.desy.de




 

Schritt 3 - Mit remmina zum Zielrechner verbinden (empfohlen)

Starten Sie remmina und geben für die Verbindung folgende Angaben ein:

  • Name: beliebig
  • Protocol: RDP
  • Server: localhost:8006
  • Domain: WIN


Klicken Sie anschließend auf "Connect" um die Verbindung herzustellen. Bitte lassen Sie alle anderen Einstellungen auf ihren Standard-Einstellungen. Es ist insbesondere nicht erforderlich, in remmina einen Tunnel zu konfigurieren, da dieser Tunne zum Zeitpunkt der Verbndungsherstellung bereits über die Kommandozeile erstellt wurde und führt andernfalls dazu, dass eine RDP Verbindung nicht hergestellt werden kann.

Schritt 3 - Mit xfreerdp zum Zielrechner verbinden

Sollte eine Verbindung mit remmina für Sie nicht infrage kommen, können Sie alternativ xfreerdp als RDP Client verwenden. Öffnen Sie dazu ein neues Terminalfenster und geben folgenden Befehl in der Kommandozeile ein. Bitte ersetzen Sie zuvor username durch Ihren DESY Benutzernamen.

xfreerdp /u:username /d:win /v:localhost:8006 /dynamic-resolution

 

Alternative zum SSH-Tunnel: sshuttle

Alternativ zur Nutzung eines SSH-Tunnels ist es möglich, shuttle zu verwenden. sshuttle ist eine Anwendung, die jeglichen Netzwerkverkehr über ein spezifisches Gateway (hier bastion.desy.de) leitet und somit als Alternative zu einer VPN Verbindung dienen kann. Bitte beachten Sie, dass die Verbindung bevorzugt mithilfe eines SSH-Tunnels aufgebaut werden sollte.

  1. Installieren Sie sshuttle über Ihren Linux Paket Manager, oder über github: https://github.com/apenwarr/sshuttle
  2. Führen Sie anschließend folgenden Befehl aus, um die Verbindung einzurichten. Ersetzen Sie username durch Ihren DESY Benutzeraccount.
sshuttle --dns -r username@bastion.desy.de 131.169.0.0/16

  1. Sie können nun beliebige interne Webseiten aufrufen oder RemoteDesktop Programme ohne Angabe besonderer Parameter verwenden. Für eine Verbindung zu winterm rufen Sie die Webadresse
    https://rdsweb.desy.de/rdweb/webclient/ auf. Für eine Verbindung zur Ihrem persönlichen Windows-Rechner nutzen Sie bitte xfreerdp wiefolgt.
xfreerdp /u:username /d:win /v:computername.desy.de /dynamic-resolution


computername ersetzen Sie durch den gewünschten Zielrechner, username durch Ihren persönlichen DESY-Benutzernamen. Drücken Sie anschließend die Eingabe-Taste

...von MAC zu WINDOWS verbinden

Abbildung 1

Installieren Sie den "Microsoft Remote Desktop Client" in der neuesten Version über den AppStore (Abb. 1).

Öffnen Sie anschließend ein Terminal über "Go" -> "Utilities" (Abb. 2) und wählen dort "Terminal". Geben Sie Folgendes in der Kommandozeile ein:

ssh -L 8006:computername.desy.de:3389 username@bastion.desy.de


 

Abbildung 2

computername ersetzen Sie durch den gewünschten Zielrechner, username durch Ihren persönlichen DESY Benutzernamen. Drücken Sie anschließend die Eingabe-Taste ↵.

Geben Sie Ihr Passwort ein (die Eingabe des Passworts ist nicht sichtbar) und drücken erneut die Eingabe-Taste ↵. Lassen Sie das Fenster bitte geöffnet, bei Bedarf minimieren Sie es.

 

 

 


 

Abbildung 3

Starten Sie anschließend den Microsoft Remote Desktop Client und geben Sie für die Verbindung bei PC name folgendes an:

localhost:8006

 

 

Speichern und starten Sie anschließend die Verbindung.

 

 

 

 


 

Technische Fragen und Probleme

Was ist ein SSH-Tunnel?

Ein SSH-Tunnel ist eine Netzwerk-Verbindung zwischen zwei Rechnern, die über einen Vermittlungs-Rechner (hier bastion.desy.de) geführt wird. Er ist beispielsweise erforderlich, wenn der Zielrechner nicht direkt aus dem Internet erreichbar ist. Die folgende Abbildung verdeutlicht den grundlegenden Aufbau.

Ich erhalte eine Warnung zum RSA Key - Was muss ich tun?

Wenn Sie das erste Mal zu bastion.desy.de Verbinden, erhalten Sie in der Regel eine Meldung wie in der nebenstehenden Abbildung. Diese informiert Sie darüber, dass aufgrund eines unbekannten Fingerabdrucks die Identität des Servers nicht ermittelt werden konnte, bestätigen Sie die Meldung bitte mit yes. Anschließend sollte die Verbindung dennoch erfolgreich aufgebaut werden.

Der Befehl "ssh" wird in der Kommandozeile nicht gefunden - Was muss ich tun?

Sollten Sie eine Fehlermeldung wie in der nebenstehenden Abbildung erhalten, aber Windows 10 einsetzen, gehen Sie bitte wiefolgt vor, um das Problem zu beheben:

  1. Installieren Sie alle Betriebssystem-Updates und starten den Rechner anschließend neu


Sollte das Problem danach weiterhin auftreten, prüfen Sie bitte, ob der Windows SSH-Client installiert ist:

  1. Führen Sie einen Rechtsklick auf das Windows-Sysmbol in der linken unteren Ecke der Task-Leiste aus
  2. Klicken Sie auf "Apps und Features"
  3. Klicken Sie im neuen Fester auf "Optionale Features"
  4. Klicken Sie auf "Feature hinzufügen" und wählen aus der Liste "OpenSSH-Client" zur Installation aus
  5. Starten Sie anschließend Ihren Rechner neu
     

Sollte das Problem auch hier nach nicht behoben sein, ist der Einsatz von PuTTY als SSH-Client erforderlich. Eine Anleitung für die Verbindung mit PuTTY entnehmen Sie bitte dem folgenden PDF Dokument.

application/pdf SSH-Tunnel mit PuTTY (340KB)
SSH-Tunnel mit PuTTY
Kann ich mehrere SSH-Tunnel parallel nutzen?

Ja, das ist überhaupt kein Problem. Bitte beachten Sie hierbei aber, dass Sie für jeden SSH-Tunnel einen anderen lokalen Port verwenden. Der lokale Port ist der, der in den u.g. Beispielen direkt vor dem Zielrechner verwendet wird. Bei dem folgenden Kommando ist 8006 der lokale Port.

ssh -L 8006:computername.desy.de:3389 username@bastion.desy.de


Möchten Sie also einen SSH-Tunnel für die Verbindung mit einem Windows Rechner und einen SSH-Tunnel für einen Linux Rechner aufbauen, öffnen Sie zwei Terminals und geben ein:

Terminal 1 (SSH-Tunnel für Windows)

ssh -L 8006:computername.desy.de:3389 username@bastion.desy.de


Terminal 2 (SSH-Tunnel für Linux)

ssh -L 8007:computername.desy.de:22 username@bastion.desy.de


Die Verbindung zum Windows-Rechner bauen Sie anschließend mit localhost:8006 auf und zu Ihrem Linux-Rechner mit localhost:8007.

UCO Hamburg

UCO Hamburg
Telefon: +49 (0)40 8998 5005
E-Mail: UCO Hamburg
Standort: 2b / 131d
Link: https://it.desy.de/dienste/uco