SSH-Verbindung über Gateway mit PuTTY-Agent in RDM – Verständnisproblem oder Konfigurationsfehler?
SSH-Verbindung über Gateway mit PuTTY-Agent in RDM – Verständnisproblem oder Konfigurationsfehler?
Ich vermute, dass ich hier ein Verständnisproblem habe und hoffe auf einen Hinweis.
In einigen Fällen möchte ich mir ein separates VPN für den Zugriff auf einen SSH-Server hinter einem Gateway sparen.
Für HTTP/HTTPS sowie SFTP (WinSCP) funktioniert das problemlos über eine SSH-Verbindung mit Port-Forwarding, auch in Kombination mit dem PuTTY-Agent. Dabei baut RDM zunächst die SSH-Verbindung auf, nutzt den PuTTY-Agent zur Authentifizierung, vergibt einen dynamischen lokalen Port und startet anschließend z. B. den Browser auf localhost:<dynamischer Port>. Das ist sehr komfortabel, da keine festen Ports gepflegt werden müssen.
Mit WinSCP funktioniert dieses Vorgehen ebenfalls, allerdings nur ohne dynamischen Port, da $DYNAMIC_PORT$ dort nicht unterstützt wird (wäre aus meiner Sicht ein Feature-Request):
Für eine reine SSH-Verbindung bin ich davon ausgegangen, dass der Ablauf identisch sein müsste – hier verhält sich RDM jedoch anders. Ob es unbedingt ein Portforwarding sein muss steht auf einem anderen Blatt:
- Wird eine Verbindung über VPN/Tunnel/Gateway konfiguriert, wird der im eigentlichen SSH-Eintrag hinterlegte Host durch die Gateway-Einstellungen überschrieben. Der Sinn dieses Verhaltens erschließt sich mir nicht, da damit die Zieladresse faktisch ignoriert wird.
- Alternativ habe ich versucht, das SSH Gateway (Jump Host) zu verwenden. Dort können jedoch nur Verbindungen angelegt werden, ohne den PuTTY-Agent nutzen zu können. Benutzername/Kennwort ist keine Option.
- Hinterlege ich stattdessen den SSH-Key direkt, muss ich am Key zwingend einen Benutzernamen angeben. Das ist für mich nicht nachvollziehbar, da der SSH-Key an sich nicht benutzerspezifisch ist.
- In meinem Szenario melde ich mich z. B. am Gateway mit Benutzer User1 an und anschließend am Zielserver mit User2.
- Lege ich den Benutzernamen im Key nicht fest, wird dieser interaktiv abgefragt.
- Lege ich ihn fest (z. B. User1), funktioniert die Anmeldung am Zielserver mit User2 nicht mehr.
- Verwende ich denselben Key für weitere Server mit anderen Benutzern (z. B. User3), müsste ich den Key mehrfach anlegen, was unnötig komplex ist.
- Auch Variablen wie $PARENT_USERNAME$ lassen sich an dieser Stelle offenbar nicht verwenden, da die Nutzer unterschiedlich sein können
Daher meine Frage:
Übersehe ich in diesem Ablauf eine grundlegende Einstellung oder ein Konzept in RDM?
Das Öffnen einer Webseite oder einer WinSCP-Verbindung über SSH-Portforwarding ist sehr einfach wie man oben sieht, während sich eine einfache SSH-Verbindung über Gateway deutlich komplizierter darstellt.
Vielen Dank für jeden Hinweis oder Erfahrungswert.
2026-01-01 18_02_13-Bearbeiten Website über SSH Forward.png
2026-01-01 18_47_36-Bearbeiten WinSCP über JumpHost.png
2026-01-01 19_37_39-Bearbeiten WinSCP über JumpHost.png
2026-01-01 18_04_06-Bearbeiten Website über SSH Forward.png
All Comments (5)
Hallo,
das Verhalten ist in der Tat interessant, das sollte mM nach ident sein wie beim Website / WinSCP Eintrag.
Welche RDM Version und Datenquelle verwendest du aktuell?
Konfigurierst du das Gateway immer direkt / einzeln in den jeweiligen Einträgen (wie in deinen Screenshots) oder verlinkst du auf einen eigenen SSH Tunnel?
LG,
Min
Hallo Min,
verwendet wird die Version 2025.3.28.0 und als Datenquelle habe ich hier beide SQLite und XML getestet. Auch bei beiden älteren Versionen 2023.2.27.0 und 2024.1.32.0 ist das Verhalten identisch. Wenn man in einer SSH Verbindung einen VPN/Tunnel/Gateway mit SSH Verbindung einstellt, dann wird der dort angegebene Hostname (und Port) nach dem Speichern in den Hostnamen der Allgemeinen Einstellung der Verbindung kopiert.
Bei den Portforwardings habe ich bisher nur Webbrowser oder WinSCP gebraucht. Bei größeren Themen brauche ich dann sowieso die VPN Verbindung, um mehrere Dienste/Geräte zu erreichen. In diesem Fall war dies ein neuer Versuch für einen unkomplizierten Zugriff.
Ein weiterer Unterschied beim Portforwarding im Gegensatz zum SSH Gateway ist, dass ich Agent Forwarding nicht benötige und auch zwei verschiedene SSH-Keys benutzen kann mit unterschiedlichen Benutzern. In dem Fall fand ich es somit zum ersten mal heraus, dass der PuttyAgent beim SSH Gateway nicht einstellbar ist.
Hallo,
danke dir für die zusätzlichen Infos und deine Geduld!
Das Thema ist doch etwas komplexer als zunächst gedacht. Ich bin gerade dabei, das Szenario bei uns nachzustellen, um besser einschätzen zu können, ob dieses Verhalten so vorgesehen ist oder ob wir hier von einem Problem sprechen.
Ich melde mich wieder, sobald ich mehr dazu sagen kann.
Gruß
Stephan
Falls ich euch hier etwas helfen kann, dann gerne bescheid sagen.
Hey,
Vielen Dank für deine Geduld.
Ich glaube, hier wäre es hilfreich, wenn wir uns das Ganze einmal auf deinem System zusammen anschauen könnten. So kann ich alle noch offenen Infos direkt einholen.
Kann ich ein Ticket bei uns mit deiner E-Mail-Adresse hier aufmachen?
Gruß
Stephan