SSH Tunnel in Webserver

Ab Version 5.5.0.78 kann der Webserver Prozess einen SSH Tunnel zu einem Webserver im Internet aufbauen. Dies wird von Vertec zum Anbinden des kundenseitigen Servers an Vertec Webaccess verwendet (siehe den Artikel Vertec via Webaccess).

Der Tunnel zum Vertec Webaccess Server wird mit Hilfe des SSH (secure shell) Protokolls aufgebaut. Es handelt sich dabei um ein "remote port forwarding" via SSH.

Es wird für jeden Webserver Abschnitt ein Tunnel aufgebaut, falls die SSH Remotehost Einstellungen vorhanden ist.

Im [Webserver] Abschnitt im Vertec.ini gibt es dazu die folgenden Konfigurationsoptionen:

[WebserverMobile]
SSH Remotehost=ssh.vertec-mobile.com
SSH Remoteport=63155
SSH User=vtc001
SSH Password=UT2UKJo4FGcQWV+TZG

SSH Remotehost: Die URL des Vertec Webaccess Servers, z.B. ssh.vertec-mobile.com.

SSH Remoteport: Die kundenspezifische Portnummer auf dem Webaccess Server.

SSH User: Der kundenspezifische Username für den Webaccess Server.

SSH Password: Das Passwort für den Webaccess Server.

Als Localhost und Localport werden die IP / Port Konfiguration des Webservers verwendet. Beim Start des Webservers wird ein SSH Tunnel mit Remote Port forwarding eingerichtet.

Für die SSH Verbindung wird dabei das Hilfsprogramm VertecTunnel.exe benötigt. Dieses wird von Vertec mitgeliefert und muss sich im gleichen Verzeichnis befinden wie VertecServer.exe.

Für SSH wird üblicherweise der Port 22 benutzt. Damit die Verbindung zum Webaccess-Server aufgebaut werden kann muss deshalb in einer allfällig vorhandenen Firewall der Port 22 für ausgehende Verbindungen zum Server ssh.vertec-mobile.com (IP: 88.198.210.186) geöffnet werden. Es reicht in der Regel, den Port nur ausgehend zu öffnen. Bei Firewalls, die mit Stateful Packet Inspection arbeiten, sind unter Umständen weitergehende Konfigurationen notwendig.

Debugging von SSH Verbindungsproblemen

VertecTunnel vor dem Start des Vertec Service manuell (durch Doppelclick) starten. Anschliessend Vertec Server starten.

Die Verbindung läuft dann über das separat gestartete VertecTunnel und etwaige Fehlermeldungen werden im Console Fenster angezeigt.

Server Keys

Das SSH Protokoll identifiziert den Server mit Hilfe eines Public/private Key Verfahrens. Damit die Identität des Server überprüft werden kann, muss ein Server Key des Servers vorliegen. Dieser muss im gleichen Verzeichnis wie VertecTunnel.exe liege und den Namen des Servers + .key haben (z.B. ssh.vertec-mobile.com.key).

Ist kein passender Server-Key vorhanden, meldet VertecTunnel einen Fehler und baut keine Verbindung auf.

Vertec liefert den Server-Key für den vertec-mobile Server mit.

Falls mit einem anderen Server verbunden werden soll, muss der Server Key heruntergeladen werden. Das geschieht durch Aufruf von VertecTunnel.exe mit dem Argument /acceptkey.

VertecTunnel zeigt dann den Fingerprint des Serverkeys an und fragt, ob dieser akzeptiert werden soll. Wenn darauf y und Enter gedrückt wird, dann wird der Serverkey vom Server akzeptiert und ins Vertec Verzeichnis geschrieben. Achtung: für diesen Vorgang muss Schreibzugriff auf das Vertec Verzeichnis möglich sein. Am Besten VertecTunnel.exe /acceptkey mit Admin-Rechten aufrufen.


25.10.2010 | 25.02.2014: IP Nummer geändert.
Produktlinien: Diverse