ssh login via dyndns

[latenite]

Hallo Leute

ganz begeistert von sshfs wolle ich mir jetzt mein heimnetzwerk auch von "draussen - internet" zugänglich machen.
Also bei dyndns.org angemeldet.

das geht:

- ping der eigenen ip von draussen
-ssh login innerhalb des netzwerkes


das geht nicht:

ssh login mit dyndns.org

das habe ich soweit probiert...

Code: Alles auswählen

12:44 kai@t23 ~ -> ssh 192.168.3.3
kai@192.168.3.3's password: 
Linux desktop 2.6.22.6 #1 SMP Tue Sep 25 08:12:41 CEST 2007 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have new mail.
Last login: Sun Jan 20 12:38:04 2008 from 192.168.3.102
[12:45:02] [kai@desktop:~] $ nmap poeritz.dyndns.org

Starting Nmap 4.50 ( http://insecure.org ) at 2008-01-20 12:45 CET

[12:46:44] [kai@desktop:~] $ logout
Connection to 192.168.3.3 closed.
12:46 kai@t23 ~ -> nmap poeritz.dyndns.org

Starting Nmap 4.20 ( http://insecure.org ) at 2008-01-20 12:47 CET
Interesting ports on e179030117.adsl.alicedsl.de (85.179.30.117):
Not shown: 1694 closed ports
PORT     STATE    SERVICE
53/tcp   open     domain
80/tcp   open     http
1720/tcp filtered H.323/Q.931

Nmap finished: 1 IP address (1 host up) scanned in 12.675 seconds
12:47 kai@t23 ~ -> ssh 85.179.30.117:root@192.168.3.3
85.179.30.117:root@192.168.3.3's password: 
Permission denied, please try again.
85.179.30.117:root@192.168.3.3's password: 

12:49 kai@t23 ~ -> ssh 85.179.30.117:kai@192.168.3.3
85.179.30.117:kai@192.168.3.3's password: 
Permission denied, please try again.
85.179.30.117:kai@192.168.3.3's password: 
Permission denied, please try again.
85.179.30.117:kai@192.168.3.3's password: 
Permission denied (publickey,password).
12:49 kai@t23 ~ -> 

was mache ich noch falsch??

[Saxman]

Ich hab hier einen Buffallo router der macht die DNS Auflösung selber.. Soll heißen wenn Ich meine dyndns Adresse aus meinem netzwerk heraus scanne sehe ich "das gleiche" wie du, und zwar das netzwerk von innen.

Wenn ich meine dyndns adresse von einem rechner außerhalb meines netzwerkes scanne sehe ich hingegen die nach außen offenen ports.

Und du solltest natürlich auch nicht vergessen am router die ports (ssh u.a) an deinen rechner zu forwarden damit das ganze funktioniert.

Schönen Gruß

[latenite]

portforwarding ist auf der firewall 129.168.2.1 (die macht das dyndns)

und dem router 192.168.3.1 eingestellt.

trotzdem komme ich nicht auf meinen desktop pc 102.168.3.3

kann jemand helfen?

[cosmac]

hi,

probier mal, in der /etc/sshd_config diese zusätzliche Option:

Code: Alles auswählen

UseDNS  no

damit versucht der sshd nicht mehr, die IP des externen
Rechners in einen Hostname aufzulösen, was mit dyndns
wohl nicht geht.

[fuzzy]

[...]
nmap meine-dyndns.org

Starting Nmap 4.20 ( http://insecure.org ) at 2008-01-20 12:47 CET
Interesting ports on xxx
Not shown: 1694 closed ports
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
1720/tcp filtered H.323/Q.931

Nmap finished: 1 IP address (1 host up) scanned in 12.675 seconds

aus meiner Sicht sollte hier ssh offen od. mindestens gefiltert sein.

ssh aktuelle-IP-von-meine-dyndns.org:useri@lokale-IP

Äh, da ist mir diese ssh-option nicht so geläufig, muss nicht falsch sein

Sofern der Router weiterleitet, sollte von "außerhalb" ssh direkt user@meine-dyndns.org können.

Code: Alles auswählen

ssh -v user@meine-dyndns.org

und/oder

Code: Alles auswählen

ssh -v user@aktuelle-IP-von-meine-dyndns.org

eventuell noch mit jeweiliger Portangabe [-p port], wenn es nicht port 22 ist.
Ich habe die Angaben hier mal anonymisiert.

@cosmac
wenn man ssh mit der aktuellen IP der dyndns.org-adresse "füttert" sollte es doch erstmal unabhängig von dem "UseDNS no"-Eintrag klappen, oder habe ich einen Denkfehler?

Gruß fuzzy

[latenite]

habe meine /etc/ssh/sshd_config um

Code: Alles auswählen

UseDNS no

ergänzt...der Fehler bleibt beim alten.

Dann habe ich versucht mich ubers netz auf meinen laptop via ssh einzuloggen...selber Fehler:

Code: Alles auswählen

01:38 kai@t23 ~ -> ssh 85.179.30.117:kai@192.168.3.103
The authenticity of host '192.168.3.103 (192.168.3.103)' can't be established.
RSA key fingerprint is 2b:12:11:16:70:d1:70:64:5f:6a:f9:0a:f3:3e:2a:16.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.3.103' (RSA) to the list of known hosts.
85.179.30.117:kai@192.168.3.103's password: 
Permission denied, please try again.
85.179.30.117:kai@192.168.3.103's password: 

(ich im netz z.b in der uni) -> (meiner firewall mit der ip von dyndns ermittelt) -> (mein router) -> (mein DesktopPC das Ziel)

(meine ip /unwichtig) ->(ip der firewall 85.179.30.117 bzw poeritz.dyndns.org im WAN, ip im LAN 192.168.2.1) ->(ipdes routes 192.168.3.3) -> (feste ip des Desktop PCs 192.168.3.3 / des laptops via dhcp 192.168.3.103)

Auf firewall und router habe ich das hier eingestellt:

http://img252.imageshack.us/img252/3476/fwwanil7.png
http://img253.imageshack.us/img253/8392/fwlanol1.png
http://img259.imageshack.us/img259/3084/fwnatua0.png
http://img407.imageshack.us/img407/8958/rtforwji4.png

Ich hoffe jemand kann mir sagen was da noch falsch ist?!

Danke

[Simmel]

http://img407.imageshack.us/img407/8958/rtforwji4.png

Ich hoffe jemand kann mir sagen was da noch falsch ist?!

Danke

Joar,
ich denke doch, in diesem Bild sind 2 interne IPs mit demselben Port freigegeben, wenn das der Fall sit kann das nicht funktionieren, bzw möglicherweise wird der untere (der letzte) Eintrag freigegeben und nur dieser und der andere überschrieben.

Kann es sein das du mehrere Rechner mit dem selben Port natten willst? Das geht nämlich nicht. Wenn du von aussen "ssh'st" ist das ja so gesehen nur ein Rechner, dyndns verwaltet ja nur eine IP hinter der sich ja nicht 2 interne verbergen können (ich hoffe du verstehst was ich meine?).

Cheers,
Simmel

[fuzzy]

...also ich will nicht ausschließen, dass ich da einen Denkfehler habe....
Ist es okay dass der Port 22 von ausserhalb auf 2 Rechner weitergeleitet wird?

Ich kenne das von einem (einfachen)Router, da klappte es nur wenn z.B. RechnerA-> port 22 und RechnerB -> port222.
Auf RechnerB müsste dann der ssh Port auf 222 geändert werden (/etc/ssh/sshd_config) und der Port muss dann zum verbinden angegeben werden:
ssh -p 222 user(auf-rechnerB)@meine-dyndns.org

Gruß fuzzy

[latenite]

ok ich habe den zeiten eintag im router deaktiviert.

wobei ich das mit den 2 IPs und dem selbem port nicht verstehe...
Ich gehe doch ÜBER eine IP an einen port.

Wieso kann ich dann nicht über 192.168.3.3 am Port 22

UND über 192.168.3.102 an port 22

???

P.S. der fehler bleibt der selbe:

Code: Alles auswählen

03:24 kai@t23 ~ -> ssh 85.179.30.117:kai@192.168.3.3
85.179.30.117:kai@192.168.3.3's password: 
Permission denied, please try again.
85.179.30.117:kai@192.168.3.3's password: 
Permission denied, please try again.
85.179.30.117:kai@192.168.3.3's password: 
Connection closed by 192.168.3.3
03:28 kai@t23 ~ -> 

ist meine eingabe:

Code: Alles auswählen

 ssh 85.179.30.117:kai@192.168.3.3

ueberhaupt richtig?

[fuzzy]

Ich habe das ssh manual lange nicht mehr gelesen....

Ich weiss das in diesem Falle sicher folgendes klappen sollte:

Code: Alles auswählen

ssh -v kai@85.179.30.117

...wenn der Port offen/gefiltert ist, die weiterleitung klappt und der port auch am lokalen Rechner offen ist...

Gruß fuzzy

[latenite]

das ging leider nicht:

Code: Alles auswählen

04:14 kai@t23 ~ -> ssh -v kai@85.179.30.117
OpenSSH_4.6p1 Debian-5, OpenSSL 0.9.8e 23 Feb 2007
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to 85.179.30.117 [85.179.30.117] port 22.
debug1: connect to address 85.179.30.117 port 22: Connection refused
ssh: connect to host 85.179.30.117 port 22: Connection refused
04:15 kai@t23 ~ -> nmap poeritz.dyndns.org

Starting Nmap 4.20 ( http://insecure.org ) at 2008-01-20 16:16 CET
Interesting ports on e179030117.adsl.alicedsl.de (85.179.30.117):
Not shown: 1694 closed ports
PORT     STATE    SERVICE
53/tcp   open     domain
80/tcp   open     http
1720/tcp filtered H.323/Q.931

Nmap finished: 1 IP address (1 host up) scanned in 27.126 seconds
04:16 kai@t23 ~ -> 

die IP meiner firewall....ok aber warum...
kai@?

hinter der firewall sind doch der router und da sind mehrere PCs (desktop 192.168.3.3 und laptop 192.168.3.103) mit Username "kai".... wer entscheidet denn welcher user dann gewählt wird??


was kann ich noch tun? macht das denn keiner von euch? mal schnell zu hause auf den rechner gehen aus dem netz...da bin ich doch nicht der erste!! Und ne firewall+router hat doch auch jeder?

p.s. ohne firewall (bei meiner mutter) gehts ganz einfach:

Code: Alles auswählen

ssh name@ip

mir geht s ja darum an meiner firewall->uber den router-> an einen bestimmten meiner pc zu kommen

wie kann ich das anstellen?

[fuzzy]

Ich habe 2 varianten gehabt um mit einer dyndns-Adresse an mein Netz @home zu kommen.

1. Debianrouter mit einem offenen Port und "dyndns"
Ich war dann per ssh auf den router und von da aus an die lokalen rechner gekommen.

2. einfacher HardwareRouter mit 2 Clients.
RechnerA (192.168.0.2) Port 22
RechnerB (192.168.0.3) Port 222
Am Router Portforwarding für RechnerA 192.168.0.2 -> Port 22
für RechnerB 192.168.0.3 -> Port222
z.B. habe ich auf rechner A und B jeweils den user fuzzy

Code: Alles auswählen

ssh fuzzy@IP-dyndns.org

damit wird Port 22 angesprochen und es geht auf RechnerA und man kann sich gleich mit dem gewünschten user auf RechnerA einloggen.

Code: Alles auswählen

ssh -p 222 fuzzy@IP-dyndns.org

damit wird Port 222 angesprochen und es geht auf RechnerB etc.
Wie gesagt, so habe ich das erfolgreich probiert.

Ich habe es mit DEM-Hardwarerouter nicht anders hinbekommen, aber möglicherweise/bestimmt habe ich da auch Optionen nciht geblickt......
Ich halte es für möglich, dass es so klappt wie Du Dir das vorstellst - eventuell/höchstwahrscheinlich benötigst Du dann noch eine Anpassung der ssh-Optionen. Da können hier bestimmt mehr leute etwas passendes zu sagen.

Gruß fuzzy

[latenite]

Code: Alles auswählen

04:46 kai@t23 ~ -> ssh -v 85.179.30.117:kai@192.168.3.3
OpenSSH_4.6p1 Debian-5, OpenSSL 0.9.8e 23 Feb 2007
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to 192.168.3.3 [192.168.3.3] port 22.
debug1: Connection established.
debug1: identity file /home/kai/.ssh/identity type -1
debug1: identity file /home/kai/.ssh/id_rsa type -1
debug1: identity file /home/kai/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_4.6p1 Debian-5
debug1: match: OpenSSH_4.6p1 Debian-5 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_4.6p1 Debian-5
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-cbc hmac-md5 none
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Host '192.168.3.3' is known and matches the RSA host key.
debug1: Found key in /home/kai/.ssh/known_hosts:1
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /home/kai/.ssh/identity
debug1: Trying private key: /home/kai/.ssh/id_rsa
debug1: Trying private key: /home/kai/.ssh/id_dsa
debug1: Next authentication method: password
85.179.30.117:kai@192.168.3.3's password: 
debug1: Authentications that can continue: publickey,password
Permission denied, please try again.
85.179.30.117:kai@192.168.3.3's password: 
debug1: Authentications that can continue: publickey,password
Permission denied, please try again.
85.179.30.117:kai@192.168.3.3's password: 
debug1: Authentications that can continue: publickey,password
debug1: No more authentication methods to try.
Permission denied (publickey,password).
04:46 kai@t23 ~ -> 

was mache ich nur falsch? kann ich mit ausschlussverfahren den fehler finden? fange ich bei der fw an? wie?

[fuzzy]

Code: Alles auswählen

nmap -P0 85.179.30.117 | grep ssh

Code: Alles auswählen

telnet 85.179.30.117 22

und diese Befehle jeweils von "aussen" starten, also nicht vom lokalen Netz aus.

[Baer]

debug1: Connecting to 85.179.30.117 [85.179.30.117] port 22.
debug1: connect to address 85.179.30.117 port 22: Connection refused

port 22 ist NICHT offen

ich blick bei deiner konfiguration nicht ganz durch aber ich glaube das ist ein routen problem

mach doch mal ein plänchen in diesem stiel

inet----firewall---router---client_im_LAN

versehe es mit allen IPadressen netzmasken und routen (soweit ersichtlich)

ich denke das problem ist die route zwischen firewall und router

Gruss Urs


[edit ] viel zu lansam

[latenite]

inet--firewall(c-netz 192.168.2.1)--router(c-netz 192.168.3.1)--pc-desktop(c-netz 192.168.3.3)

alle haben feste ips.

Code: Alles auswählen

mom@corvette:~$ nmap -P0 85.179.30.117 | grep ssh
22/tcp   filtered ssh
mom@corvette:~$

hat meine mutter mal von draussen für mich gemacht!

telnet gab n timeout!

was nun?? ich verzweilfe hier

[Baer]

hallo latenite

mit allen IP-Adressen habe ich gemeint jeweils lan und wan, insbesondere vom Router. aber egal.
ich gehe davon aus das die Netmaske jeweils 255.255.255.0 ist was einem C-Netz entsprechen würde, die Netzklassen sind allerdings obsolet.
Wenn das stimmt, sind die Geräte in verschiedenen subnets, telnet und der ssh Befehl welcher mit "Connection refused " gescheitert ist Laufen also ins Leere.
Versuch doch mal port 22 von der Firewall zum router (192.168.2.x, die IP welche du nicht gepostet hast) zu forwarden und von da an weiter.
Gruss Urs

[Danielx]

Hallo!

wobei ich das mit den 2 IPs und dem selbem port nicht verstehe...
Ich gehe doch ÜBER eine IP an einen port.

Wieso kann ich dann nicht über 192.168.3.3 am Port 22

UND über 192.168.3.102 an port 22

Weil beide denselben Start-Port 22 haben (laut Screenshot), das geht eben nicht (der Ziel-Port ist völlig egal, kann logischerweise auch derselbe auf 2 unterschiedlichen IP sein)!
Der Router bekommt auf Port 22 ein Paket rein und wohin soll er es denn jetzt bitte schicken?
An 192.168.3.3 oder 192.168.3.103? Die Angabe ist einfach nicht eindeutig!

Code: Alles auswählen

ssh 85.179.30.117:kai@192.168.3.3

ueberhaupt richtig?

Nein!
Was hinter dem @ steht ist der Rechner zu dem du dich verbindest und das muss 85.179.30.117 sein und nicht deine interne IP die du von außen doch gar nicht erreichen kannst!
Wenn schon, dann (von außen):

Code: Alles auswählen

ssh kai@85.179.30.117

inet--firewall(c-netz 192.168.2.1)--router(c-netz 192.168.3.1)--pc-desktop(c-netz 192.168.3.3)

Schön, laut Screenshots hast du aber folgendes gemacht:
Auf der Firewall (192.168.2.1):
Forward von Port 22 nach 192.168.3.3:22
und auf dem Router (192.168.3.1):
Forward von Port 22 nach 192.168.3.3:22

Du musst doch aber von der Firewall auf den Router und von dort auf den Rechner (pc-desktop)!
Was du jetzt machst, ist ein Forward von der Firewall direkt auf den Rechner, das geht nicht, weil du ja den Router nicht einfach umgehen kannst (anderes Subnetz)!
Allerdings sind deine Angaben etwas lückenhaft (IP-Adressen u.s.w.) so dass hier keine sichere Aussage gemacht werden kann.

Du kannst also mal folgendes probieren:
Auf der Firewall (192.168.2.1):
Forward von Port 22 nach 192.168.2.x:22 (Router)
und auf dem Router (192.168.3.1):
Forward von Port 22 nach 192.168.3.3:22

Gruß,
Daniel