Diskussion:Gratis Internet (3): DNS Tunnel unter Windows: Unterschied zwischen den Versionen
(Comment provided by Marvin - via ArticleComments extension) |
Niki (Diskussion | Beiträge) (Comment provided by Niki - via ArticleComments extension) |
||
Zeile 234: | Zeile 234: | ||
--Marvin 21:47, 17. Jul. 2009 (MSD) | --Marvin 21:47, 17. Jul. 2009 (MSD) | ||
+ | </div> | ||
+ | == Niki said ... == | ||
+ | |||
+ | <div class='commentBlock'> | ||
+ | @Marvin: Ja, das System ist definitiv nicht unkompliziert und erfordert einiges an Wissen um es anständig zum Laufen zu bekommen. Wieso es Chip abgedruckt hat ist mir zumindest ein Rätsel ;-) | ||
+ | |||
+ | 1.) Zu deinen Fragen: Du benötigst '''unbedingt''' die Möglichkeit einen NS Eintrag zu setzen (Delegation). Anders wird der Tunnel nie funktionieren!! (Das System verwendet Labels unterhalb als Sequenznummern). | ||
+ | |||
+ | 2.) Deine Ergebnisse passen schonmal. Bei einem TXT Request soll die Uhrzeit kommen und bei einem A-Request das was du als "-i" eingegeben hast, in deinem Fall also 0.0.0.0. Nur wirst du so keine Freude haben, da du deinen eigenen Server direkt befragst. Der Trick mit dem Tunnel basiert ja darauf dass du deine Anfragen an den DNS Server des Hotspots stellst und dieser wiederum deinen DNS Server befragt (und das kann er nur wenn die Tunnel-Domain ordentlich mit einem NS Record deligiert wurde). | ||
+ | |||
+ | 3.) nomde führst du mit ".dns.meine-domain.de." aus. Der erste Punkt ist falsch und gehört nicht hin. Ausserdem fragst du dann mit "test.passwort.tunnel.meine-domain.de." ab. Das verstehe ich nicht, das müsste wenn lauten "test.dns.meine-domain.de". | ||
+ | |||
+ | 4.) Natürlich, bisher ''kann'' das aus mehreren Gründen nicht funktionieren! | ||
+ | |||
+ | Wie ich schon oft geschrieben habe mein Tipp: Alles nach und nach überprüfen: | ||
+ | # Antwortet der Server korrekt authoritiv (auf TXT und A Records) | ||
+ | # Antwortet der Server rekursiv mit Hilfe eines rekursiven Servers (z.B. des Providers)? Falls nein stimmt was mit der Delegation nicht. | ||
+ | # Antwortet der Server mit dem SSH Banner wenn man "nackt" mit nomde verbindet? Wenn nein, stimmt was mit der Konfiguration von nomde nicht... | ||
+ | |||
+ | Erst dann darf man wagen sich an Versuche mit PuTTY & Co ranzuwagen... | ||
+ | |||
+ | HTH, | ||
+ | Niki | ||
+ | |||
+ | |||
+ | --[[Benutzer:Niki|Niki]] 22:19, 17. Jul. 2009 (MSD) | ||
</div> | </div> |
Version vom 17. Juli 2009, 19:19 Uhr
Comments on Gratis Internet (3): DNS Tunnel unter Windows <comments />
Dennis said ...
User said ...
In der aktuellen CHIP 06/2009 in der DNS-Trick für kostenloses Surfen via HotSpots auf Seite 144 zu finden, auch der Name Nikolaus Hammler ist dort erwehnt im zusammenhang mit der Nutzung vonb Windows.
Der Artikel ist SUPER und freut mich sehr, dass ich jetzt vor deren Abzockerei gewappnet bin :-) .
--User 05:03, 9. Mai 2009 (MSD)
Chris said ...
Hallo, ich glaube ich bin zu dumm um das einzurichten...
Die Abfrage ./droute.pl -r *IP_VON_MEINSERVER* sshdns.*MEINSERVER.MEINEDOMAIN.TLD*
führt in der Konsole zu der fortlaufenden Ausgabe:
- (Ʋ×]·ç}DÛM=#(Ʋ×]·ç}DÛM=#(Ʋ×]·ç}DÛM=#(Ʋ×]·ç}DÛM=#(Ʋ×]·ç}DÛM=#(Ʋ×]·ç}DÛM=#(Ʋ×]·ç}DÛM=#(Ʋ×]·ç}DÛM=
Scheint eine Endlosschlaufe zu sein....
Und auf dem Server wird auf der Konsole folgendes ausgegeben:
UDP connection from *MEINE_PRIVATEIP*:1300 query 7887: (54-19184.id-8560.down.sshdns.*MEINSERVER.MEINEDOMAIN.TLD*, IN, TXT) - 54-19184.id-8560.down.sshdns.*MEINSERVER.MEINEDOMAIN.TLD*. 0 IN TXT "Hi: Mon May 11 23:53:35 CEST 2009" NOERROR
- id = 7887
- qr = 1 opcode = QUERY aa = 1 tc = 0 rd = 1
- ra = 0 ad = 0 cd = 0 rcode = NOERROR
- qdcount = 1 ancount = 1 nscount = 0 arcount = 0
Bei dig erhalte ich die richtige IP Adresse zurück, welche ich mit -i angegeben habe. Kann mir jemand helfen?
--Chris 01:40, 12. Mai 2009 (MSD)
Niki said ...
Hi Chris,
Was steht bei dir am Server (droute.pl) in der Zeile
$opts{forward}
?
Dieser SSH Server muss von dem Punkt an dem nomde läuft erreichbar sein, z.B. sshdns:127.0.0.1:22
lg Niki
--Niki 13:19, 12. Mai 2009 (MSD)
Berniebaer said ...
Hmm, irgendwie scheinen die Informationen aus dem Artikel in der Chip nicht mit den Informationen hier auf der Webseite übereinzustimmen. Brauche ich denn nun einen Server auf dem der SSH-Tunnel läuft?
Vielen Dank Bernd
--Berniebaer 14:05, 19. Mai 2009 (MSD)
Niki said ...
Hi Berniebaer,
Doch, im großen und ganzen stimmen sie überein.
Was nun stimmt: Ein Tunnel ist immer ein Konstrukt zwischen zwei PCs, das "rennt" nicht auf einem.
Du brauchst:
- Einen Rechner/Server/Computer/vServer/... auf dem du die Möglichkeit hast ein Programm zu starten. Ausserdem muss ein UNIX System (z.B. Linux) drauf laufen.
- Es muss perl installiert sein samt benötigter Module (z.B. Net::DNS)
- Port 53 (DNS) muss frei sein und du musst ihn verwenden dürfen.
- Du brauchst entweder root-Rechte oder Rechte, dein Programm an Port 53 lauschen zu lassen.
Also in Summe: Entweder einen eigenen Linux-Server zu Hause oder einen vServer.
Was du nun über den *DNS-Tunnel* laufen lässt bleibt dir überlassen. Am geschicktesten ist aber sicher SSH, d.h. über den DNS-Tunnel läuft dann eine SSH Verbindung, z.B. zum SSH Server auf dem gleichen Rechner. Erst über SSH werden dann mit Hilfe von Socks die restlichen Protokolle (www, Mail etc) getunnelt.
--Niki 21:23, 19. Mai 2009 (MSD)
Berniebaer said ...
Vielen Dank für die rasche Antwort, habe einfach nicht genau gelesen.
LG BB
--Berniebaer 23:05, 19. Mai 2009 (MSD)
Faustus said ...
Moin Ich hab mal eine Frage, ich habe es in der Praxis getestet funktioniert wirklich 1 A. Da kam mir nur eine Idee, ich benutze Proxifier um mit dem localen Socks5 alle Programme zu tunneln. Da kam mir folgende Idee : Warum machen wir nicht 3,4,5.... DNS Connections auf über droute (mir Putty), und binded alle geöffnetet Socks5 in ein proxychain mit ein, so sollte die Verbindung doch einigermassen schneller von statten gehen, falls mehrere Verbindungen angefordert werden. In der Praxis funktioniert das leider nicht, ich öffne mit Putty zwar einen neuen TunnelPort, aber wenn ich dann beide localen proxys in Proxifier eintrage, geht keine Verbindung mehr raus. Woran könnte das liegen? . Liege ich falsch mit meiner behauptung das dies funktionieren könnte auf einem Host ? Oder bräuchte ich dann mehrere Server ?
--Faustus 16:22, 27. Mai 2009 (MSD)
Niki said ...
@Faustus: Sorry, dazu kann ich dir nichts sagen. Ich habe das Ding eigentlich "für den Notfall" gebastelt. Aber normalerweise müsste es gehen, das Ding verwendet ja Sequenznummern. Unter Linux hab ich es gerade getestet: Zwei parallele SSH Sessions sind möglich, also muss das gleiche auch für Windows funktionieren. Probier zuerstmal parallel die droute.exe auszuführen. Normalerweise sollte das gehen. In weiterer Folge zweimal eine SSH Verbindung per PuTTY - jeweils über ein eigenes droute. Müsste eigentlich auch gehn. Ansonsten liegt der Fehler vielleicht bei Proxyfier (kenn das Programm nicht).
--Niki 20:00, 29. Mai 2009 (MSD)
onkelarnie said ...
Hi, ich habe jetzt auch einmal einen Tunnel aufgesetzt und versuche gerade diesen mit einem Win Client anzusteuern. mit #dig @<ip-des-servers> www.nobaq.net escheint auch schon eine Ausgabe auf der Cleint und Serverseite, daß der NS antwortet. Doch leider funktioniert der Proxy über Putty nicht. Wie aknn man die Clientseite testen ?
Danke Arne
--onkelarnie 14:27, 15. Jun. 2009 (MSD)
Niki said ...
@onkelarnie: Steht eh oben im Artikel:
droute -r <DNS-des-Providers-oder-lokaler> sshdns.<DNS-Eintrag-zum-Tunnel>
z.B.:
droute -r 195.3.96.67 sshdns.tunnel.nobaq.net.
Dann müsste der Banner des SSH Servers erscheinen, z.B.:
SSH-1.99-OpenSSH_4.3p2 Debian-9
--Niki 14:37, 15. Jun. 2009 (MSD)
onkelarnie said ...
hi, ich bekomme keinerlei ausgabe:
linux-server mit laufendem nomde.pl:
./nomde.pl -i 0.0.0.0 into.<domain1>.org port 53 TCP/UDP vom router ist weitergeleitet über dyndns ist ne subdomain weitergeleitet: into.<domain3>.org > ip_des_routers
nameserverconfig: into.<domain1>.org IN NS into.<domain2>.org into.<domain2>.org CNAME into.<domain3>.org
wenn ich jetzt eingebe:
droute -r <mein_DNS_SERVER> sshdns.into.<domain1>.org
dann passiert gar nichts.
mit der eingabe: dig @into.<domain3>.org www.nobaq.net antwortet der server.
--onkelarnie 15:11, 15. Jun. 2009 (MSD)
Maël said ...
Hallo Zusammen. Beschäftige mich gerade mit der erstellung eines DNS Tunnels. Erstmals riiesen Danke für diese Anleitung. Leiter habe ich keine Kentnisse von Perl.
Deshalb nun meine Frage: Die droute.exe welche hier heruntergeladen werden kann. auf welchem Port läuft diese? Das heisst was muss forgewarded sein? SSH und DNS?
Danke und Gruss
--Maël 10:34, 17. Jun. 2009 (MSD)
Niki said ...
@onkelarnie: Wenn du willst dass ich dir helfe, schreib bitte deine echten Daten rein (kannst mir auch ein E-Mail schicken), aber raten fange ich jetzt sicher nicht an ;-) Was mir auf den ersten Blick auffällt: Was soll das sein?
dig @into.<domain3>.org www.nobaq.net
Damit fragst du den Server auf into.<domain3>.org rekursiv nach den Daten für www.nobaq.net. Du willst doch wohl eher was wie:
NS_SERVER=`grep '^nameserver' /etc/resolv.conf | awk '{print $2}'` dig @$NS_SERVER into.<domainX>.org
@Maël: Nein, die droute.exe ist der Clientteil, der braucht gar kein Portforwarding. Genau das ist ja der Clou daran wieso es auch hinter Firewalls funktioniert: Weil DNS meistens immer durchgeht. Den Server (nomde) wirst du wohl auf einem UNIX System installieren müssen. Hast du eine öffentliche IP am Rechner passt alles, sonst musst du nur Port 53 (vor allem UDP aber auch TCP) weiterleiten.
--Niki 01:20, 18. Jun. 2009 (MSD)
Marvin said ...
Hi, hoffe mir kann hier jmd helfen... Bin auf den Trick durch einen Chip-Artikel aufgmerksam geworden und bin seit gestern dabei, es umzusetzen... ist nur leider alles schwerer als gedacht...
Ich habe einen VServer mit statischer IP sowie, bei einem anderen Provider, eine Domain. Bei meinem Domainprovider (Xlhost) kann ich DNS-A, TXT und CNAME festlegen. Ich habe nun also eine Subdomain dns.meine-url.de anlegt, diese leitet auf die IP des Servers. Diese Weiterleitung klappt schonmal. Auf dem VServer (Debian) habe ich dann das besagte Tool installiert und mit ./nomde.pl -i 0.0.0.0 .dns.meine-domain.de. gestartet. Es sagt dann "Waiting for connections". Wenn ich auf dem gleichen VServer " dig @62.75.211.21 test.passwort.tunnel.meine-domain.de. TXT" ausführe bekomme ich eine Antwort und die Uhrzeit, mit A am Ende bekomme ich als Antwort 0.0.0.0. Werde später nochmal probieren den Befehl von einem anderen Commputer auszuführen...
Nun möchte ich als Client einen Windows-PC nutzen und habe Putty wie angegeben konfiguriert, leider ffunktioniert ab hier nichts mehr. Putty gibt nichts aus, surfen lässt sich auch nicht, auf dem Server wird auch keine eingehende Verbindung angezeigt. Ich habe mal mit Wireshark den Datenstro mitgesnifft und da sind so einige DNS anfragen an den Server unterwegs, ka was davon wichtig ist...
Würde mich wirklich über jede Hilfe freuen!!
--Marvin 21:47, 17. Jul. 2009 (MSD)
Niki said ...
@Marvin: Ja, das System ist definitiv nicht unkompliziert und erfordert einiges an Wissen um es anständig zum Laufen zu bekommen. Wieso es Chip abgedruckt hat ist mir zumindest ein Rätsel ;-)
1.) Zu deinen Fragen: Du benötigst unbedingt die Möglichkeit einen NS Eintrag zu setzen (Delegation). Anders wird der Tunnel nie funktionieren!! (Das System verwendet Labels unterhalb als Sequenznummern).
2.) Deine Ergebnisse passen schonmal. Bei einem TXT Request soll die Uhrzeit kommen und bei einem A-Request das was du als "-i" eingegeben hast, in deinem Fall also 0.0.0.0. Nur wirst du so keine Freude haben, da du deinen eigenen Server direkt befragst. Der Trick mit dem Tunnel basiert ja darauf dass du deine Anfragen an den DNS Server des Hotspots stellst und dieser wiederum deinen DNS Server befragt (und das kann er nur wenn die Tunnel-Domain ordentlich mit einem NS Record deligiert wurde).
3.) nomde führst du mit ".dns.meine-domain.de." aus. Der erste Punkt ist falsch und gehört nicht hin. Ausserdem fragst du dann mit "test.passwort.tunnel.meine-domain.de." ab. Das verstehe ich nicht, das müsste wenn lauten "test.dns.meine-domain.de".
4.) Natürlich, bisher kann das aus mehreren Gründen nicht funktionieren!
Wie ich schon oft geschrieben habe mein Tipp: Alles nach und nach überprüfen:
- Antwortet der Server korrekt authoritiv (auf TXT und A Records)
- Antwortet der Server rekursiv mit Hilfe eines rekursiven Servers (z.B. des Providers)? Falls nein stimmt was mit der Delegation nicht.
- Antwortet der Server mit dem SSH Banner wenn man "nackt" mit nomde verbindet? Wenn nein, stimmt was mit der Konfiguration von nomde nicht...
Erst dann darf man wagen sich an Versuche mit PuTTY & Co ranzuwagen...
HTH, Niki
--Niki 22:19, 17. Jul. 2009 (MSD)
Hey, das aktuelle Putty hat’s auch schon drin. Mir fehlte wohl echt die nötige Perl-Kenntnis… Applaus!!! Hoffentlich finden das nicht zu viele Leute, sonst wirds bald das Netz überlasten und dann abgestellt werden, also nicht mehr lange funktionieren... Liebe Grüße, Dennis
--Dennis 00:48, 13. Jan 2008 (MSD)