Moin! Daniel Laczi wrote: > VPN -> SSH/etc. auf Jump Host in der DMZ -> Server > > Manche Kunden haben auch eine Firewall, die eine Preauthentication > machen kann. Nach der Authentifizierung geht's dann direkt auf den Jump > Host. > > Wenn was spackt, dann spackt es halt. Was wenn dein Internet spackt, die > Firewall etc.? ;) "Simplicity is enemy of complex" - Je mehr Bausteine dazwischen stecken, desto eher versagt Einer. Und wie schon in einer meiner Mails angedeutet: Wenn das Hotel-WLAN, aus welchem Grund auch immer, den einen Port, den Du für's Port-Knocking bräuchtest, filtert - dann nimmst Du doch wieder das Handy und ärgerst Dich dann ggf. über die Telekom, die via LTE standortabhängig(!) Ports >8000 blockt... 😤 Oder anders rum gesprochen: In Deinem Fall musst Du VPN und/oder Firewall optimieren. Und ich hab noch keinen gehört, der bei seinem (kommerziellen) VPN *aus* *Sicherheitsgedanken* angefangen an, irgendwas an der Crypto zu schrauben ;) BTW, würde Deine/diese Lösung für mich bedeuten, dass ich zu jedem meiner Server in den verschiedenen RZ ein VPN aufbauen müsste, wenn ich dort (per SSH) drauf will. Oder generell ein (voll)vermaschtes Netz via VPN aufbauen. Aber dann ist ja die Angriffsfläche noch größer, da ein kompromittierter Rechner ausreicht, um in das Netz rein zukommen. So, ich denke, wir sind an dem Punkt angekommen, wo weitere Diskussionen dazu eher bei einem Bier/Wein (oder einem Smoothie für Martin ;) ) weitergeführt werden sollten. Prost! Sven -- Leukämie → http://de.wikipedia.org/wiki/Leuk%C3%A4mie Heilung → http://de.wikipedia.org/wiki/Knochenmark#Knochenmarkspende Typisierung → https://akb.de/online-registrierung/ https://zkrd.de/de/adressen/ Fragen? → sven@velt.de -- Mailing-Liste der Linux User Schwabach (LUSC) e.V. Vor und beim Posten bitte => http://lusc.de/List-Netiquette <= und => http://lusc.de/List-Howto <= beachten. Danke!