Zugriff via OpenSSH bei Kernel 3.2.x

[HlgVater]

Hallo,

ich betreibe einen Xen-Server auf Debian Squeeze Basis. Bis einschliesslich Kernel 2.6.32 konnte ich von aussen (d.h. per Notebook - OpenVPN - OpenSSH-Server) auf meinen Server sowie die DomUs zugreifen. Seit dem Update auf Kernel 3.2.0 aus den Backports bekomme ich bei den Versuchen immer einen "Network Error - Connection Timeout" Ich erreiche nur eine DomU mit 2.6.xx Kernel. An der Firewall kann es also nicht liegen. Meine Vermutung geht in die Kernel-Richtung. Wahrscheinlich hat sich da etwas geändert. Leider hat mir Google auch nicht weiter geholfen. Nun hoffe ich darauf, von hier einen Hinweis zu bekommen.

[syssi]

ich betreibe einen Xen-Server auf Debian Squeeze Basis. Bis einschliesslich Kernel 2.6.32 konnte ich von aussen (d.h. per Notebook - OpenVPN - OpenSSH-Server) auf meinen Server sowie die DomUs zugreifen. Seit dem Update auf Kernel 3.2.0 aus den Backports bekomme ich bei den Versuchen immer einen "Network Error - Connection Timeout" Ich erreiche nur eine DomU mit 2.6.xx Kernel. An der Firewall kann es also nicht liegen. Meine Vermutung geht in die Kernel-Richtung. Wahrscheinlich hat sich da etwas geändert. Leider hat mir Google auch nicht weiter geholfen. Nun hoffe ich darauf, von hier einen Hinweis zu bekommen.

Was spricht denn dagegen per "xm console" auf die domU zuzugreifen und schauen, ob es ein Netzwerkgeraet gibt etc.

[HlgVater]

Hallo

Es gibt jeweils Netzgeräte und die funtkionieren auch. Das heisst lokale SSH-Logins, Samba, NFS usw alles geht. Nur halt keine Verbindung von meinem Notebook bzw anderen Notebooks via OpenVPN und dann SSH-Login. Irgendwo ist halt der Wurm drin.

Nochmal einige Daten zur Verdeutlichung:

-- Dom0 = Debian Squeeze - openssh-server 1:5.5p1-6+squeeze1 - linux-image-3.2.0-0.bpo.1-amd 3.2.4-1~bpo60+1 -- lokale SSH-Verbindung: ja -- SSH-Verbindung via OpenVPN: nein
vorheriger Kernel - linux-image-2.6.32-5-xen-amd6 2.6.32-41 -- lokale SSH-Verbindung: ja -- SSH-Verbindung via OpenVPN: ja

--DomU = Debian Squeeze - openssh-server 1:5.5p1-6+squeeze1 - linux-image-3.2.0-0.bpo.1-amd 3.2.4-1~bpo60+1 -- lokale SSH-Verbindung: ja -- SSH-Verbindung via OpenVPN: nein
vorheriger Kernel - linux-image-2.6.32-5-xen-amd6 2.6.32-41 -- lokale SSH-Verbindung: ja -- SSH-Verbindung via OpenVPN: ja

Bin jetzt dabei einen zweiten PC ebenfalls mit Debian auszustatten und dann auch mit den Updates auf Kernel 3.2.x um damit dem Fehler auf die Spur zu kommen. Meine Vermutung richtet sich entweder auf den Kernel 3.2.x oder einen Teil des OpenSSH-Servers.

Möchte ungern wieder zurück auf den 2.6.xx-Kernel. Anderseits aber auch nicht auch nicht die OpenVPN-Verbindung von unterwegs missen. An der OpenVPN-Verbindung und meiner Firewall (beides per IpFire realisiert) kann es eigentlich nicht liegen. Denn meine TV-DomU kann ich über diesen Weg erreichen. Die läuft aber auch nur mit einem 2.6.xx Kernel.

Hoffe nun darauf, dass jemand hier einen zündenden Gedanken für mich hat.

Weiterhin noch einen schönen Abend ....

[syssi]

Du solltest das Problem versuchen mittels Netzwerktraces und Logfile weiter einzugrenzen. Startet OpenVPN beim neuen Kernel? Kommt eine Verbindung mit dem VPN-Server zu Stande. Was sagen pings ueber die VPN-Verbindung, wo versickern die pings, sollten sie nicht durch kommen. Wo versickert der Aufbau einer SSH-Session usw.

[HlgVater]

Hallo

habe nun das Problem weiter eingrenzen können. Liegt doch nicht am Kernel 3.2.x. Denn wenn ich die nicht erreichbaren virtuellen Maschinen mit Kernel 2.6.32 starte, ist auch keine Verbindung über die Kombi OpenVPN mit OpenSSH mehr möglich. Also fange ich wieder an von vorne zu suchen. Irgendein Modul beim letzten Update muss bei mir etwas verändert haben.

Was mich halt immer verwundert, das bei gleicher Konfiguration drei Maschinen auf dem Xen-Server (Dom0 inklusive) nicht erreiche,aber eine Maschine, die ich nicht update, immer noch erreiche.

Werde wohl nochmal eine Sicherung einer nicht erreichbaren DomU rauskramen und damit probieren.

Den Vorschlag mit dem Ping habe ich ausprobiert. Ping auf die Dom0 sowie auch die DomU funktioniert. Nur die SSH-Verbindung klappt nicht. Webzugriff z.Bsp. auf die Firewall und so klappt auch. Nur halt Port 22 scheint blockiert zu sein durch etwas. Allerdings lokal ohne den Weg über OpenVPN funktioniert auch dieser Port.

Fragen und Probleme ......

Trotzdem schon mal ein Danke für die Mithilfe.

Gruß

[syssi]

Wie aeussert sich ein "nicht verbinden" von SSH ueber OpenVPN? Bekommst du ein "connection refused" oder versickert die Verbindung einfach? Lauscht der SSH-Daemon moeglicherweise nicht an der lokalen OpenVPN-IP oder versuchst du SSH ueber die normale oeffentliche IP (jedoch ueber den Tunnel) zu erreichen und das Routing schlaegt fehl? tcpdump / wireshark oder tcpflow koennen da wirklich aufschlussreich sein.

[HlgVater]

Wie aeussert sich ein "nicht verbinden" von SSH ueber OpenVPN? Bekommst du ein "connection refused" oder versickert die Verbindung einfach? Lauscht der SSH-Daemon moeglicherweise nicht an der lokalen OpenVPN-IP oder versuchst du SSH ueber die normale oeffentliche IP (jedoch ueber den Tunnel) zu erreichen und das Routing schlaegt fehl? tcpdump / wireshark oder tcpflow koennen da wirklich aufschlussreich sein.

Ganz einfach .... ich mache mit dem Notebook via UMTS eine OpenVPN-Verbindung auf. Bin also im heimischen Netz. Nun möchte ich eine SSH-Verbindung zu einer DomU oder zu meiner Dom0 per Putty öffnen. Das Fenster von Putty öffnet sich, aber nach einiger Zeit kommt nur die Fehlermeldung: "Network Error: Connection Timed Out". Andere Rechner in meinem heimischen Netz bzw eine bestimmte DomU kann ich auf diesem Weg erreichen. Nur halt die Dom0 und zwei kürzlich geupdatete virtuelle Maschinen kann ich nicht mehr erreichen.

Ich kann also weder per tcpdump noch per wireshark irgend etwas aufzeichnen. Ich bekomme ja zu den wichtigen PCs keine Verbindung.

[syssi]

Koenntest du noch verraten, auf welcher Maschine der VPN-Server laeuft? Auf der dom0, einer domU oder einem ganz separaten System? Wenn du dir weiterhin Unterstützung erhoffst, dann wirst du vermutlich deine Netzwerkstruktur einmal skizzieren müssen und die Art der XEN-Konfiguration (bridged, routed). Funktionieren andere Dienste über die VPN-Verbindung? Ich vermute mal nicht.

[HlgVater]

Der VPN-Server wird von der IpFire-DomU bereit gestellt. Das ist gleichzeitig die Firewall für mein gesamtes Netz. Daneben betreibe ich noch drei DomU mit Debian Squeeze: eine für interne Netz; eine zu probieren usw und die letzte nur für VDR. Die ersten beiden kann ich nicht per SSH über VPN erreichen. Die VDR-DomU schon. Das ganze wird durch drei Windows-HVM komplementiert und läuft auf einer Debian-Squeeze-Dom0. Die XEN-Konfiguration im Brigde-Modus und stammt noch von der ersten c't-Server-Variante mit Xen. Seitdem bin ich mit XEN und den diversen Kernel dabei. Aktuell ist es also XEN 4.0.1 und Kernel 3.2.0.

Wie schon erwähnt laufen schon andere Dienste über die VPN. Ich kann mich per VPN-Verbindung auf meiner Firewall sowohl per SSH als auch per Webfrontend einloggen. RDP-Verbindungen zu den Windows-HVM -- kein Problem per VPN. Nur die zwei DomUs und die Dom0 nicht.

[syssi]

Angenommen du loggst du per SSH auf deiner Firewall ein, kannst du dich dann per SSH weiter verbinden?

[HlgVater]

Hallo

Ja ich kann mich dann ohne Probleme auf allen Maschinen per SSH weiter verbinden. Nur der direkte Weg funktioniert bei 4 Maschinen nicht.