🖥️ Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: disg grundlagen_linux ssh_ueber_bastion-proxy
it-themen:windows:ssh_ueber_bastion-proxy

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
it-themen:windows:ssh_ueber_bastion-proxy [11.12.2025 17:31] larsit-themen:windows:ssh_ueber_bastion-proxy [11.12.2025 17:44] (aktuell) – [**9. Zusammenfassung**] lars
Zeile 19: Zeile 19:
  
 --- ---
 +##1. Voraussetzungen
  
-## **1Voraussetzungen**+  Windows 10/11 mit installiertem **OpenSSH-Client** 
 +  * Ein erzeugtes SSH-Schlüsselpaar (z. BED25519) 
 +  Zugriff auf den Bastion Host (öffentliche IP + SSH-Port) 
 +  Interne Systeme sind vom Bastion aus erreichbar
  
-* Windows 10/11 mit installiertem **OpenSSH-Client** 
-* Ein erzeugtes SSH-Schlüsselpaar (z. B. ED25519) 
-* Zugriff auf den Bastion Host (öffentliche IP + SSH-Port) 
-* Interne Systeme sind vom Bastion aus erreichbar 
  
 --- ---
- +##2. SSH-Key unter Windows erzeugen
-## **2. SSH-Key unter Windows erzeugen**+
  
 Falls noch kein Key vorhanden ist: Falls noch kein Key vorhanden ist:
  
 ``` ```
-ssh-keygen -t ed25519 -C "windows-client"+ ssh-keygen -t ed25519 -C "windows-client"
 ``` ```
  
Zeile 40: Zeile 39:
  
 ``` ```
-C:\Users\<Benutzer>\.ssh\id_ed25519 + C:\Users\<Benutzer>\.ssh\id_ed25519 
-C:\Users\<Benutzer>\.ssh\id_ed25519.pub+ C:\Users\<Benutzer>\.ssh\id_ed25519.pub
 ``` ```
  
Zeile 47: Zeile 46:
  
 --- ---
- +##3. Public Key auf dem Bastion Host hinterlegen
-## **3. Public Key auf dem Bastion Host hinterlegen**+
  
 Der öffentliche Schlüssel muss auf dem Bastion in: Der öffentliche Schlüssel muss auf dem Bastion in:
  
 ``` ```
-~/.ssh/authorized_keys+ ~/.ssh/authorized_keys
 ``` ```
  
Zeile 61: Zeile 59:
  
 ``` ```
-type $env:USERPROFILE\.ssh\id_ed25519.pub | ssh benutzer@bastion.fqdn -p <PORT> "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"+ type $env:USERPROFILE\.ssh\id_ed25519.pub | ssh benutzer@bastion.fqdn -p <PORT> "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"
 ``` ```
  
 Wichtig: Wichtig:
  
-* Die Datei `authorized_keys` darf **nur dem Benutzer selbst gehören** +  * Die Datei `authorized_keys` darf **nur dem Benutzer selbst gehören** 
-* Rechte setzen:+  * Rechte setzen:
  
 ``` ```
-chmod 700 ~/.ssh +  chmod 700 ~/.ssh 
-chmod 600 ~/.ssh/authorized_keys+  chmod 600 ~/.ssh/authorized_keys
 ``` ```
  
 --- ---
- +##4. Verbindung zum Bastion Host testen
-## **4. Verbindung zum Bastion Host testen**+
  
 ``` ```
-ssh bastion+ ssh bastion
 ``` ```
  
 Erwartetes Verhalten: Erwartetes Verhalten:
  
-* Keine Passwortabfrage +  * Keine Passwortabfrage 
-* Anmeldung über Public-Key +  * Anmeldung über Public-Key 
-* Stabiler SSH-Login+  * Stabiler SSH-Login
  
 Falls der Key nicht akzeptiert wird: prüfen, ob der **richtige Public Key** auf dem Bastion eingetragen wurde. Falls der Key nicht akzeptiert wird: prüfen, ob der **richtige Public Key** auf dem Bastion eingetragen wurde.
Zeile 92: Zeile 89:
 --- ---
  
-## **5. Konfiguration der Datei `~/.ssh/config` unter Windows**+##5. Konfiguration der Datei `~/.ssh/config` unter Windows
  
 Unter Windows befindet sich die Datei hier: Unter Windows befindet sich die Datei hier:
Zeile 106: Zeile 103:
 Host bastion Host bastion
     HostName bastion.example.com     HostName bastion.example.com
-    Port 58222+    Port <individuelles Port>
     User jumpuser     User jumpuser
     IdentityFile C:/Users/<Benutzer>/.ssh/id_ed25519     IdentityFile C:/Users/<Benutzer>/.ssh/id_ed25519
Zeile 114: Zeile 111:
 # Interne Hosts werden automatisch über Bastion geroutet # Interne Hosts werden automatisch über Bastion geroutet
 Host server1 Host server1
-    HostName 192.168.100.10+    HostName 192.168.100.xx
     User admin     User admin
     ProxyJump bastion     ProxyJump bastion
     IdentityFile C:/Users/<Benutzer>/.ssh/id_ed25519     IdentityFile C:/Users/<Benutzer>/.ssh/id_ed25519
  
-Host pihole +Host server2 
-    HostName 192.168.100.20+    HostName 192.168.100.xx
     User admin     User admin
     ProxyJump bastion     ProxyJump bastion
Zeile 130: Zeile 127:
 * Windows verwendet **Schrägstriche `/`** in Pfaden * Windows verwendet **Schrägstriche `/`** in Pfaden
 * Kein `ControlMaster` unter Windows verwenden (nicht kompatibel) * Kein `ControlMaster` unter Windows verwenden (nicht kompatibel)
- 
 --- ---
  
-## **6. Verbindung zu internen Systemen nutzen**+ 
 +##6. Verbindung zu internen Systemen nutzen
  
 Durch die Config reichen nun einfache Befehle: Durch die Config reichen nun einfache Befehle:
  
 ``` ```
-ssh server1 + ssh server1 
-ssh pihole+ ssh pihole
 ``` ```
  
 Ablauf: Ablauf:
  
-1. Windows verbindet automatisch zum Bastion Host +  1. Windows verbindet automatisch zum Bastion Host 
-2. Authentifizierung erfolgt per SSH-Key +  2. Authentifizierung erfolgt per SSH-Key 
-3. Der Zielserver wird über einen Tunnel erreicht +  3. Der Zielserver wird über einen Tunnel erreicht 
-4. Es erfolgt keine Passwortabfrage+  4. Es erfolgt keine Passwortabfrage
  
 --- ---
 +##7. Fehlersuche (Troubleshooting)
  
-## **7. Fehlersuche (Troubleshooting)** +^Problem                                     Ursache                             Lösung                                            ^
- +
-Problem                                     Ursache                             Lösung                                            +
-| ------------------------------------------- | ----------------------------------- | ------------------------------------------------- |+
 | *Permission denied (publickey)*             | Public Key fehlt oder falscher User | Key erneut prüfen, in `authorized_keys` eintragen | | *Permission denied (publickey)*             | Public Key fehlt oder falscher User | Key erneut prüfen, in `authorized_keys` eintragen |
 | Verbindung nutzt Port 22 statt Bastion-Port | Host-Name stimmt nicht überein      | In `Host`-Block identischen Namen verwenden       | | Verbindung nutzt Port 22 statt Bastion-Port | Host-Name stimmt nicht überein      | In `Host`-Block identischen Namen verwenden       |
Zeile 161: Zeile 156:
  
 --- ---
- +##8. Sicherheitshinweise
-## **8. Sicherheitshinweise**+
  
 * Jeder Client sollte **einen eigenen SSH-Key** besitzen * Jeder Client sollte **einen eigenen SSH-Key** besitzen
Zeile 170: Zeile 164:
  
 --- ---
- +##9. Zusammenfassung
-## **9. Zusammenfassung**+
  
 Mit der oben beschriebenen Einrichtung ermöglicht Windows eine vollständig passwortlose SSH-Anmeldung über einen Bastion Host. Mit der oben beschriebenen Einrichtung ermöglicht Windows eine vollständig passwortlose SSH-Anmeldung über einen Bastion Host.
it-themen/windows/ssh_ueber_bastion-proxy.1765470715.txt.gz · Zuletzt geändert: von lars