Tunnel & Fernzugriff
Tunnel ermoeglichen sicheren Zugriff auf Hosts ohne direkte Netzwerkverbindung. Die Verbindung wird verschluesselt ueber WebSocket geleitet - es ist kein VPN erforderlich.
Funktionsweise
┌──────────┐ WebSocket ┌──────────┐ WebSocket ┌──────────┐
│ Ihr PC │ ──────────────────▶│ Backend │◀────────────────── │ Agent │
│ (Browser)│ Port 20000-25000 │ (Server) │ Heartbeat-Kanal │ (Host) │
└──────────┘ └──────────┘ └──────────┘- Sie erstellen einen Tunnel im Frontend
- Das Backend oeffnet einen lokalen Port (20000-25000)
- Der Agent auf dem Zielhost stellt die Verbindung zum Zieldienst her
- Daten werden verschluesselt ueber WebSocket weitergeleitet
- Sie verbinden sich auf
Backend-IP:zugewiesener-Port
Tunnel erstellen
Ueber die Tunnel-Ansicht
- Navigieren Sie zum gewuenschten Modul (z.B. OPNsense)
- Waehlen Sie den Tab Tunnels
- Klicken Sie auf Tunnel hinzufuegen
- Konfigurieren Sie den Tunnel:
| Feld | Beschreibung |
|---|---|
| Host | Zielhost aus der Liste |
| Vorlage | Vordefinierte Konfiguration (SSH, RDP, etc.) |
| Ziel-Port | Port auf dem Zielhost |
| Beschreibung | Optionale Beschreibung |
Ueber das Kontextmenue
- Rechtsklick auf einen Host in der Tabelle
- Waehlen Sie Tunnel starten
- Waehlen Sie eine Vorlage oder konfigurieren Sie manuell
Ueber das Detail-Modal
Im Detail-Modal eines Hosts koennen ebenfalls Tunnel gestartet werden.
Tunnel-Vorlagen
Jedes Modul bietet spezifische Vorlagen:
Allgemein (alle Module)
| Vorlage | Port | Verwendung |
|---|---|---|
| SSH | 22 | Secure Shell |
| Agent SSH | 22 | SSH ueber Agent-Tunnel |
| HTTP | 80 | Webserver |
| HTTPS | 443 | Verschluesselter Webserver |
| VNC | 5900 | Virtual Network Computing |
| Custom | Frei | Beliebiger Dienst |
OPNsense-spezifisch
| Vorlage | Port | Verwendung |
|---|---|---|
| OPNsense WebUI | 443 | Firewall-Verwaltung |
Proxmox VE-spezifisch
| Vorlage | Port | Verwendung |
|---|---|---|
| PVE Web UI | 8006 | PVE-Verwaltung |
Proxmox BS-spezifisch
| Vorlage | Port | Verwendung |
|---|---|---|
| PBS Web UI | 8007 | PBS-Verwaltung |
Windows-spezifisch
| Vorlage | Port | Verwendung |
|---|---|---|
| RDP | 3389 | Remote Desktop |
| WinRM HTTP | 5985 | Windows Remote Management |
| WinRM HTTPS | 5986 | Windows Remote Management (SSL) |
| SMB | 445 | Dateifreigaben |
Tunnel verwalten
Aktive Tunnel
Die Tunnel-Ansicht zeigt alle aktiven Tunnel mit:
- Host und Zielport
- Zugewiesener lokaler Port
- Verbindungsstatus
- Erstellungszeitpunkt
Tunnel beenden
Klicken Sie auf das X-Symbol neben einem aktiven Tunnel, um ihn zu beenden. Der lokale Port wird freigegeben.
Verbindung herstellen
Nach dem Erstellen eines Tunnels wird die Verbindungsadresse angezeigt:
Backend-IP:zugewiesener-PortBeispiel: 10.100.0.17:20042
Kopieren Sie diese Adresse und verwenden Sie sie in Ihrem Client:
- SSH:
ssh user@10.100.0.17 -p 20042 - RDP: Oeffnen Sie
10.100.0.17:20042im RDP-Client - HTTP: Oeffnen Sie
http://10.100.0.17:20042im Browser
Agent-SSH-Tunnel
Der Agent SSH-Tunnel ist ein spezieller Tunneltyp. Der Agent stellt einen eingebetteten SSH-Server bereit, sodass SSH-Zugriff auch dann moeglich ist, wenn auf dem Zielhost kein SSH-Dienst laeuft.
Wann Agent SSH verwenden?
- Der Zielhost hat keinen SSH-Server installiert
- Sie moechten einen dedizierten SSH-Zugang ueber den Agent
- Der regulaere SSH-Port ist blockiert
Sicherheit
- Alle Tunnel-Daten werden ueber WebSocket verschluesselt uebertragen
- Tunnel sind an den authentifizierten Benutzer gebunden
- Jeder Tunnel erhaelt einen zufaelligen Port aus dem Bereich 20000-25000
- Inaktive Tunnel werden automatisch nach Timeout geschlossen
- Tunnel-Zugriff erfordert die entsprechende Modul-Berechtigung (z.B.
opnsense.tunnels)