SSH: Proxyfunktion als VPN-Ersatz
Eine gewisse Zeit hatte ich OpenVPN auf meinem Server im Einsatz, um vertrauenswürdige Internetverbindungen herstellen zu können. Das gleiche erreiche ich nun einfacher mit SSH.
Motivation
In Hotels, auf Konferenzen, Parteitagen oder ähnlichen Veranstaltungen wird oft ein frei zugängliches WLAN angeboten. Dies ist löblich, aber da ich den anderen Leuten im Netz oder dem Netzbetreiber selbst in der Regel nie komplett vertrauen will, brauche ich einen hochgradig verschlüsselten Kanal zu einem von mir kontrollierten Computer, von dem ich beruhigt aufs Internet zugreifen kann.
OpenVPN
Mit dem auf OpenSSL aufsetzenden System OpenVPN habe ich bis vor ca. einem Jahr diesen verschlüsselten Tunnel aufgebaut. Die Einrichtung war leider nicht wirklich einfach und einen Dienst, den ich vielleicht fünf Mal im Jahr brauche, permanent laufen zu lassen, mag ich nicht. Die Systemressourcen sind mir zu kostbar.
Darüber hinaus meide ich wenn möglich gern alles, was auf *SSL zurückgreift. Ich glaube, dass seit Heartbleed auch andere Leute so denken.
SSH als SOCKS-Proxy
Auf all meinen Rechnern ist ein SSH-Server zur Fernwartung eingerichtet und mit dem Parameter -D kann man den SSH-Client anweisen, einen SOCKS-Proxyserver bereitzustellen, sobald die Verbindung zum SSH-Server steht. Anwendungen, wie Browser, Mailprogramm usw. kann man so konfigurieren, dass der Verkehr über den Proxy läuft. In vielen Linuxdistributionen kann man das sogar sehr einfach mittels Klickibunti systemweit einrichten.
Wenn zu erwarten ist, dass die fremden Netze den SSH-Port sperren, kann man den SSH-Server auf einem grundsätzlich erreichbaren Port, wie 80 oder 443 laufen lassen.
Fazit
SSH tunnelt sauber IPv6, ich muss keinen Dienst extra laufen lassen und ich nutze ein Werkzeug, das ich schon sehr lange kenne, ein bisschen öfter. Mehr kann ich mir nicht wünschen.
Versucht es doch auch einmal.
Kommentare