URL: https://it.desy.de/dienste/uco/dokumentation/externer_zugang/@@siteview
Breadcrumb Navigation
Zugang von externen Rechnern
Zielgruppe der folgenden Dokumentation sind Endanwender*innen.
Einleitung
Sie möchten sich von einem Rechner außerhalb des DESY-Netzwerkes zu einem Rechner innerhalb des DESY-Netzwerkes verbinden, um auf diesem arbeiten zu können? Oder Sie möchten interne DESY-Webseiten aufrufen, sich aber nicht extra dafür zu Ihrem Arbeitsgerät bei DESY verbinden?
Für solche Fälle bietet Ihnen diese Webseite eine grundlegende Hilfestellung, indem sie erläutert, wie Sie eine Verbindung von außerhalb DESYs mithilfe eines sog. SSH-Tunnels herstellen.
💡 Weiterführende Fragen und die Klärung technischer Probleme haben wir am Ende dieser Webseite für Sie zusammengestellt.
Allgemeine Fragen
Kann ich als V2 / V3 Mitarbeiter*in diese Anleitung nutzen?
Für V2 und V3 gelten besondere technische Rahmenbedingungen. Sollten Sie bei V2 oder V3 arbeiten und zu Ihrem DESY-Rechner verbinden müssen, wenden Sie sich bitte an Ihre zuständigen Gruppenadministrator*innen, da in diese Dokumentation auf Ihren Fall nicht ohne Weiteres anwendbar ist.
Speziell für V2 gibt es eine eigene Anleitung. Diese finden Sie auf folgender Webseite:
https://it.desy.de/dienste/uco/dokumentation/home_office_fuer_v2/
Wo finde ich Anleitungen für MacOS?
Eine Kurzanleitung für die Verbindung von einem Mac zu einem Windows Rechner finden Sie weiter unten auf dieser Seite im Abschnitt "Anleitungen - Wie nutze ich einen SSH-Tunnel?". Weiterführende Dokumentation für Mac Geräte auch zu anderen Betriebssystemen wie Linux und anderen Mac Geräten steht Ihnen auf folgender Webseite zur Vefügung (nur verfügbar auf Englisch):
https://it.desy.de/services/operating_systems/macos/remote_access/
Welches ist mein Zielrechner?
Als Zielrechner wählen Sie nach Möglichkeit bitte Ihr persönliches Dienstgerät bei DESY, das Sie üblicherweise für Ihre tägliche Arbeit verwenden und auf dem Sie entsprechend auch aus der Ferne arbeiten möchten.
Es ist auch möglich, den zentralen Windows Terminal Server winterm.desy.de als Zielrechner zu verwenden. Bitte nutzen Sie aber bevorzugt Ihr persönliches Dienstgerät, da der Windows Terminal Server nur begrenzt belastbar ist. Er sollte daher nur für kurze Zugriffe verwendet werden und nicht für die langfristige Arbeit.
Brauche ich einen Zielrechner auch für die Verbindung zu internen Webseiten?
Nein, wenn Sie nur mit Ihrem lokalen Internetprogramm (Browser) eine Verbindung zu internen Webseiten herstellen möchten und nicht an einem entfernten Rechner bei DESY arbeiten müssen, benötigen Sie keinen Zielrechner. Stattdessen muss in Ihrem Browser ein so genannter SOCKS-Proxy konfiguriert werden, der den Webverkehr durch bastion.desy.de führt. Dieses Konzept ist einem SSH-Tunnel ähnlich.
Eine Anleitung zur Konfiguration eines SOCKS-Proxys in Ihrem Browser finden Sie im Abschnitt "Nur mit internen Webseiten verbinden".
Vorbereitungen - Was muss ich als erstes tun?
-
Ermitteln Sie den Namen Ihres Zielrechners
Lassen Sie Ihren Zielrechner bei DESY eingeschaltet! Wie Sie den Namen des Zielrechners ermitteln, erfahren Sie auf folgender Webseite: Rechnernamen ermitteln. Ohne den Namen des Zielrechners ist es nicht möglich, eine Verbindung dorthin aufzubauen.
Hinweis: Der Rechnername besteht nicht bzw. nicht nur aus der PCX Nummer (pcx******)!
-
Lassen Sie sich Berechtigungen auf Ihrem Zielrechner geben
Sollten Sie zu einem DESY-Windows-Rechner verbinden wollen, wenden Sie sich bitte an einen Ihrer zuständigen Windows Gruppenadministrator*innen. Diese berechtigen Ihren Benutzeraccount für den entfernten Zugriff auf den gewünschten Rechner.
Gruppenadministrator*innen besitzen immer die Berechtigung, aus der Ferne auf Rechner ihrer Gruppe zugreifen zu dürfen. Daher können sie Sie auch aus der Ferne für den Fernzugriff auf Ihrem Zielrechner berechtigen.
Anleitungen - Wie nutze ich einen SSH-Tunnel?
Ich möchte...
... interne Webseiten aufrufen
Hinweis: Diese Anleitung wurde unter Nutzung von Firefox erstellt. In anderen Browsern ist die Einrichtung eines Proxy nicht möglich bzw. wurde bisher nicht getestet.
Schritt 1 - Stellen Sie die SSH-Verbindung her
Wenn Sie mit einem Windows Rechner arbeiten, drücken Sie ⊞ Win + R, geben cmd ein und klicken "OK" (Abb. 1), um die Kommandozeile zu öffnen.
Führen Sie folgenden Befehl in der Kommandozeile aus und drücken anschließend die Enter-Taste ↵ (Abb. 2):
ssh -D 2280 username@bastion.desy.de |
username erstetzen Sie durch Ihren persönlichen DESY Benutzernamen. Geben Sie Ihr Passwort ein (die Eingabe des Passworts ist nicht sichtbar) und drücken erneut die Eingabe-Taste ↵. Lassen Sie das Fenster bitte geöffnet, bei Bedarf minimieren Sie es.
Schritt 2 - Richten Sie den Browser ein
Starten Sie Firefox und öffnen Sie über das Menü die Einstellungen (☰ -> "⛭ Einstellungen"), scrollen Sie nach ganz unten zum Abschnitt "Verbindungs-Einstellungen" und klicken dort auf den Knopf "Einstellungen...". Tätigen Sie folgende Einstellungen (siehe auch Abb. 3) und klicken anschließend auf "OK".
|
Sie können interne Webseiten wie https://registry.desy.de nun unter Nutzung Ihres lokalen Firefox aufrufen.
Hinweis: Nach dem Festlegen des Proxys wird mit dem Browser keine Verbindung auf beliebige Webseiten mehr möglich sein oder nur noch sehr langsam, wenn die SSH Verbindung nicht aktiv ist. Außerdem wird hier wie bei einer VPN Verbindung der gesamte Internetverkehr des Browsers über DESY getunnelt.
...von WINDOWS zu WINDOWS verbinden
Schritt 1 - Richten Sie den SSH-Tunnel ein
Auf dem Rechner zu Hause drücken Sie bitte ⊞ Win + R, geben cmd ein (Abb. 1) und klicken 'OK'. Geben Sie Folgendes in der Kommandozeile ein (Abb.2):
ssh -L 8006:computername.desy.de:3389 username@bastion.desy.de |
computername ersetzen Sie durch den gewünschten Zielrechner, username durch Ihren persönlichen DESY Benutzernamen. Drücken Sie anschließend die Eingabe-Taste.
Geben Sie Ihr Passwort ein (die Eingabe des Passworts ist nicht sichtbar) und drücken erneut die Eingabe-Taste. Lassen Sie das Fenster bitte geöffnet, bei Bedarf minimieren Sie es.
Schritt 2 - Verbinden Sie sich mit Ihrem Zielrechner
Klicken Sie auf das Windows-Symbol in der Taskleiste links unten und geben dort 'rdp' ein.
Öffnen Sie den Remote Desktop Client mit einem Klick auf "Remotedesktopverbindung" (Abb. 3).
Geben Sie im Feld "Computername" Folgendes ein und klicken auf "Verbinden" (Abb. 4):
localhost:8006 |
Klicken Sie auf "Verbinden" (Abb. 4) und geben Ihr Passwort ein. Sollten Sie eine Zertifikatswarnung erhalten, bestätigen Sie diese mit "Ja".
Hinweis
Bei Eingabe des Benutzernamens für die Remote-Desktop-Verbindung muss ggf. die Domain "WIN\" vor dem Benutzernamen eingegeben werden. Sollte die Verbindung nicht erfolgreich hergestellt werden können, stellen Sie bitte sicher, dass Ihr Benutzername in der Form WIN\benutzername hinterlegt ist. Klicken Sie dazu im Fenster der Remotedesktopverbindung auf "Optionen einblenden" (Abb. 4).
...von WINDOWS zu LINUX mit grafischer Oberfläche verbinden
Schritt 1 - Installieren Sie den FastX3 Server auf dem Zielrechner
Über die DESY Webseiten erhalten Sie die Installationsdateien für den FastX Server (für Ubuntu/Debian nutzen Sie bitte xxx.deb, für andere Linux Desktops xxx.rpm), sowie entsprechende Anleitung zur Einrichtung des Servers. Bitte verwenden Sie die neueste Version des Servers, die dort verfügbar ist. Bei grünen DESY Ubuntu Desktops wird empfohlen, den FastX Server installieren zu lassen. Wenden Sie sich dazu bitte unter Nennung des Zielrechners ans UCO (E-Mail: uco@desy.de, Tel: 5005).
Zentrale Workgroup Server wie pal.desy.de stellen bereits einen FastX 3 Server zur Verfügung und können daher bereits ohne diesen Schritt für die Verbindung via FastX 3 genutzt werden.
Schritt 2 - Installieren Sie den FastX3 Client auf Ihrem lokalen Rechner
Den FastX 3 Client installieren Sie bevorzugt via NetInstall/DSM auf dem DESY Windows Gerät, alternativ laden Sie ihn über die DESY Webseiten herunter, achten Sie bitte darauf, dass Sie die neueste Version installieren.
Schritt 3 - Richten Sie den SSH-Tunnel ein
Drücken Sie ⊞ Win + R. Geben Sie cmd ein (Abb. 1) und klicken 'OK'. Geben Sie in der Kommandozeile folgenden Befehl ein und drücken anschließend die Enter-Taste ↵ (Abb.2):
ssh -L 8006:computername.desy.de:22 username@bastion.desy.de |
computername ersetzen Sie durch den gewünschten Zielrechner, username durch Ihren persönlichen DESY Benutzernamen. Drücken Sie anschließend die Eingabe-Taste ↵.
Geben Sie Ihr Passwort ein (die Eingabe des Passworts ist nicht sichtbar) und drücken erneut die Eingabe-Taste ↵. Lassen Sie das Fenster bitte geöffnet, bei Bedarf minimieren Sie es.
Schritt 4 - Verbinden Sie sich mit Ihrem Zielrechner
|
- Im sich nun öffnenden Fenster müssen Sie den so genannten "Window Manager" auswählen, der für die Verbindung verwendet werden soll, XFCE ist ein Ressourcen-schonender Window-Manager und daher für den Fernzugriff empfohlen, da weniger Daten für die Anzeige der grafischen Oberfläche übertragen werden müssen. Sollten Sie diesen nicht als Icon zur Auswahl angeboten bekommen, geben Sie explizit das Kommando startxfce im unteren Bereich des Fensters ein.
...von WINDOWS zu LINUX ohne grafische Oberfläche verbinden
Drücken Sie ⊞ Win + R, geben Sie cmd ein (Abb. 1) und klicken 'OK'. Geben Sie in der Kommandozeile Folgendes ein (Abb.2):
ssh username@bastion.desy.de |
Geben Sie nach Aufforderung Ihr Passwort ein und verbinden anschließend zu dem gewünschten Linux-Zielrechner mithilfe von
ssh computername |
Anstelle von username geben Sie bitte Ihren persönlichen DESY-Benutzernamen ein, anstelle von computername den Namen des Linux-Rechners zu dem Sie sich verbinden möchten (Abb. 2). Drücken Sie zur Bestätigung die Enter-Taste ↵.
Geben Sie bei Aufforderung Ihr Passwort ein (die Eingabe ist nicht sichtbar) und drücken erneut die Enter-Taste ↵.
Bitte beachten Sie, dass Sie von außerhalb des DESY-Netzwerks in der Regel zunächst zu bastion.desy.de verbinden müssen und erst anschließend zu anderen Linux Rechnern verbinden können.
...von LINUX zu WINDOWS verbinden
Schritt 1 - Installieren Sie einen Remote Desktop Client
remmina (empfohlen)
Als RDP Client empfehlen wir zurzeit remmina in der neuesten Version (min. 1.4.3). Diesen können Sie auf grünen DESY Ubuntu Desktop Rechnern mithilfe von snap installieren. Eine Anleitung hierzu finden Sie auf folgender Webseite:
https://confluence.desy.de/display/linux/snap
Alternativ folgen Sie bitte der Anleitung zur Installation auf der offiziellen Webseite:
https://remmina.org/how-to-install-remmina/
xfreerdp
xfreerdp ist grundsätzlich auch nutzbar, muss allerdings zwingend in der Version (2.0.0-dev5) vorliegen (Stand 04/2020), da ältere Versionen aufgrund von Inkompatibilitäten keine Verbindung aufbauen können.
Schritt 2 - Richten Sie den SSH-Tunnel ein
Öffnen Sie ein Terminal und führen folgenden Befehl aus. computername ersetzen Sie durch den gewünschten Zielrechner, username durch Ihren persönlichen DESY Benutzernamen. Drücken Sie anschließend die Eingabe-Taste ↵:
ssh -L 8006:computername.desy.de:3389 username@bastion.desy.de |
Schritt 3 - Mit remmina zum Zielrechner verbinden (empfohlen)
Starten Sie remmina und geben für die Verbindung folgende Angaben ein:
- Name: beliebig
- Protocol: RDP
- Server: localhost:8006
- Domain: WIN
Klicken Sie anschließend auf "Connect" um die Verbindung herzustellen. Bitte lassen Sie alle anderen Einstellungen auf ihren Standard-Einstellungen. Es ist insbesondere nicht erforderlich, in remmina einen Tunnel zu konfigurieren, da dieser Tunne zum Zeitpunkt der Verbndungsherstellung bereits über die Kommandozeile erstellt wurde und führt andernfalls dazu, dass eine RDP Verbindung nicht hergestellt werden kann.
Schritt 3 - Mit xfreerdp zum Zielrechner verbinden
Sollte eine Verbindung mit remmina für Sie nicht infrage kommen, können Sie alternativ xfreerdp als RDP Client verwenden. Öffnen Sie dazu ein neues Terminalfenster und geben folgenden Befehl in der Kommandozeile ein. Bitte ersetzen Sie zuvor username durch Ihren DESY Benutzernamen.
xfreerdp /u:username /d:win /v:localhost:8006 /dynamic-resolution |
Alternative zum SSH-Tunnel: sshuttle
Alternativ zur Nutzung eines SSH-Tunnels ist es möglich, shuttle zu verwenden. sshuttle ist eine Anwendung, die jeglichen Netzwerkverkehr über ein spezifisches Gateway (hier bastion.desy.de) leitet und somit als Alternative zu einer VPN Verbindung dienen kann. Bitte beachten Sie, dass die Verbindung bevorzugt mithilfe eines SSH-Tunnels aufgebaut werden sollte.
- Installieren Sie sshuttle über Ihren Linux Paket Manager, oder über github: https://github.com/apenwarr/sshuttle
- Führen Sie anschließend folgenden Befehl aus, um die Verbindung einzurichten. Ersetzen Sie username durch Ihren DESY Benutzeraccount.
sshuttle --dns -r username@bastion.desy.de 131.169.0.0/16
-
Sie können nun beliebige interne Webseiten aufrufen oder RemoteDesktop Programme ohne Angabe besonderer Parameter verwenden. Für eine Verbindung zu winterm rufen Sie die Webadresse
https://rdsweb.desy.de/rdweb/webclient/ auf. Für eine Verbindung zur Ihrem persönlichen Windows-Rechner nutzen Sie bitte xfreerdp wiefolgt.
xfreerdp /u:username /d:win /v:computername.desy.de /dynamic-resolution
computername ersetzen Sie durch den gewünschten Zielrechner, username durch Ihren persönlichen DESY-Benutzernamen. Drücken Sie anschließend die Eingabe-Taste
...von MAC zu WINDOWS verbinden
Installieren Sie den "Microsoft Remote Desktop Client" in der neuesten Version über den AppStore (Abb. 1).
Öffnen Sie anschließend ein Terminal über "Go" -> "Utilities" (Abb. 2) und wählen dort "Terminal". Geben Sie Folgendes in der Kommandozeile ein:
ssh -L 8006:computername.desy.de:3389 username@bastion.desy.de |
computername ersetzen Sie durch den gewünschten Zielrechner, username durch Ihren persönlichen DESY Benutzernamen. Drücken Sie anschließend die Eingabe-Taste ↵.
Geben Sie Ihr Passwort ein (die Eingabe des Passworts ist nicht sichtbar) und drücken erneut die Eingabe-Taste ↵. Lassen Sie das Fenster bitte geöffnet, bei Bedarf minimieren Sie es.
Starten Sie anschließend den Microsoft Remote Desktop Client und geben Sie für die Verbindung bei PC name folgendes an:
localhost:8006 |
Speichern und starten Sie anschließend die Verbindung.
...von LINUX zum Intranet verbinden
sshuttle ist eine Anwendung, die jeglichen Netzwerkverkehr über ein spezifisches Gateway (hier bastion.desy.de) leitet und somit als Alternative für externe Geräte zu einer VPN Verbindung dienen kann.
- Installieren Sie sshuttle über Ihren Linux Paket Manager, sollte es Ihnen dort nicht zur Verfügung stehen, beziehen Sie es bitte über github: https://github.com/apenwarr/sshuttle
-
Führen Sie anschließend folgenden Befehl aus, um die Verbindung einzurichten (username ersetzen Sie bitte durch Ihren DESY Benutzeraccount)
sshuttle --dns -x bastion.desy.de -r username@bastion.desy.de 131.169.0.0/16
|
- Sie können nun beliebige interne Webseiten aufrufen oder Remote Desktop Programme ohne Angabe besonderer Parameter verwenden. Für eine Verbindung zu winterm rufen Sie die Webadresse https://rdsweb.desy.de/rdweb/webclient/ auf oder nutzen xfreerdp als Remote Desktop Programm
Technische Fragen und Probleme
Meine SSH-Verbindung bricht häufig ab - Was kann ich tun?
Wenn Ihre SSH-Verbindung häufig abbricht, stellen Sie bitte zunächst sicher, dass Ihr Gerät über eine stabile Netzwerkverbindung verfügt. Wenn möglich, verbinden Sie sich vorzugsweise über ein kabelgebundenes Netzwerk und nicht über WLAN. Wenn Ihre SSH-Verbindung auch dann noch regelmäßig abbricht, fügen Sie bitte die beiden Optionen ServerAliveInterval und ServerAliveCount zum SSH-Tunnel-Befehl hinzu. Hier ist ein Beispiel für den Aufbau einer SSH-Verbindung für den Zugriff auf interne Webseiten:
ssh -D 2280 -o ServerAliveInterval=60 -o ServerAliveCountMax=3 username@bastion.desy.de
Wenn Sie die Optionen nicht bei jedem Aufruf angeben wollen, können Sie zu diesem Zweck auch Ihre SSH-Konfigurationsdatei in Ihrem AFS-Home-Verzeichnis anpassen oder erstellen:
~/.ssh/config
Speichern Sie die Datei mit folgendem Inhalt:
Host * ServerAliveInterval 60 ServerAliveCountMax 3
Wenn Sie PuTTY verwenden
Wählen Sie im Menü auf der linken Seite "Verbindung" aus. Im rechten Bereich erscheint ein Feld mit der Bezeichnung "Sekunden zwischen Keepalives". Ändern Sie hier den Wert auf 60. Dies entspricht der SSH-Option "ServerAliveInterval".
Was ist ein SSH-Tunnel?
Ein SSH-Tunnel ist eine Netzwerk-Verbindung zwischen zwei Rechnern, die über einen Vermittlungs-Rechner (hier bastion.desy.de) geführt wird. Er ist beispielsweise erforderlich, wenn der Zielrechner nicht direkt aus dem Internet erreichbar ist. Die folgende Abbildung verdeutlicht den grundlegenden Aufbau.
Ich erhalte eine Warnung zum RSA Key - Was muss ich tun?
Wenn Sie Ihr Gerät (Laptop/PC) zum ersten Mal zu bastion.desy.de verbinden, erhalten Sie eine Meldung wie in der nebenstehenden Abbildung. Diese informiert Sie darüber, dass die Authentizität des Zielservers, in diesem Fall bastion.desy.de, nicht bestätigt werden konnte.
Hintergrund ist, dass sich Ihr Gerät und Zielserver noch nicht "kennen".
Der Zielrechner sendet ein Key Fingerprint (Sicherheitsschlüssel), dass Ihnen angezeigt wird und Sie werden zur Bestätigung des Verbindungsaufbaus aufgefordert. Da Sie zu bastion.desy.de verbinden möchten, können Sie dies tun. Dabei wird auf Ihrem Gerät der Key Fingerprint (Sicherheitsschlüssel) zusammen mit dem Namen (Hostnamen) des Zielrechners in einer Liste gespeichert. Wenn Sie erneut eine Verbindung zu bastion.desy.de aufbauen, kann Ihr Rechner den Eintrag aus der Liste prüfen und die Authentizität des Zielrechners feststellen.
Der Befehl "ssh" wird in der Kommandozeile nicht gefunden - Was muss ich tun?
Sollten Sie eine Fehlermeldung wie in der nebenstehenden Abbildung erhalten, aber Windows 10 einsetzen, gehen Sie bitte wiefolgt vor, um das Problem zu beheben:
- Installieren Sie alle Betriebssystem-Updates und starten den Rechner anschließend neu
Sollte das Problem danach weiterhin auftreten, prüfen Sie bitte, ob der Windows SSH-Client installiert ist:
- Führen Sie einen Rechtsklick auf das Windows-Sysmbol in der linken unteren Ecke der Task-Leiste aus
- Klicken Sie auf "Apps und Features"
- Klicken Sie im neuen Fester auf "Optionale Features"
- Klicken Sie auf "Feature hinzufügen" und wählen aus der Liste "OpenSSH-Client" zur Installation aus
-
Starten Sie anschließend Ihren Rechner neu
Sollte das Problem auch hier nach nicht behoben sein, ist der Einsatz von PuTTY als SSH-Client erforderlich. Eine Anleitung für die Verbindung mit PuTTY entnehmen Sie bitte dem folgenden PDF Dokument.
Kann ich mehrere SSH-Tunnel parallel nutzen?
Ja, das ist überhaupt kein Problem. Bitte beachten Sie hierbei aber, dass Sie für jeden SSH-Tunnel einen anderen lokalen Port verwenden. Der lokale Port ist der, der in den u.g. Beispielen direkt vor dem Zielrechner verwendet wird. Bei dem folgenden Kommando ist 8006 der lokale Port.
ssh -L 8006:computername.desy.de:3389 username@bastion.desy.de
Möchten Sie also einen SSH-Tunnel für die Verbindung mit einem Windows Rechner und einen SSH-Tunnel für einen Linux Rechner aufbauen, öffnen Sie zwei Terminals und geben ein:
Terminal 1 (SSH-Tunnel für Windows)
ssh -L 8006:computername.desy.de:3389 username@bastion.desy.de
Terminal 2 (SSH-Tunnel für Linux)
ssh -L 8007:computername.desy.de:22 username@bastion.desy.de
Die Verbindung zum Windows-Rechner bauen Sie anschließend mit localhost:8006 auf und zu Ihrem Linux-Rechner mit localhost:8007.
UCO Hamburg
Telefon: | +49 (0)40 8998 5005 |
E-Mail: | UCO Hamburg |
Standort: | 2b / 131d |
Link: | https://it.desy.de/dienste/uco |