SSH Problem

[XaGo]

Hallo

nun ich hab mich eben hier angemeldet, weil ich ein großes Problem hab. Ich bin jetzt nicht so der "Debian kenner". Bin aber mit der ein oder anderen Grundlage vertraut

Ich habe neben mir einen Debian SSH server stehen. Dieser läuft im Netzwerk. Jedoch nicht über das Internet. Ich könnte über die internet lan ip (192.168.2.104) ohne probleme darüber connecten. Habe auch im Router den Port 22 (für erstmal, der wird später noch geändert wenn es funktioniert) freigeschaltet, wenn ich doch versuche über putty mit meiner öffentlichen IP drauf zuzgreifen bekomme ich folgende Fehlermeldung:

Network error: Connection refused

Ich arbeite an diesem einen (beschissenen) Fehler schon seid..... keine ahnung wie viel stunden... schon den ganzen tag. Im internet finde ich nur Angefangene threads wo der erstelle nachher sagt

alles kla es funktioniert jetzt

, aber alles was ihm vorher gesagt wurde habe ich ausprobiert. Und was genau er dann umgestellt hat sagt er auch nicht.

Zudem müsste ja die sshd und ssh config in ordnung sein wenn ich über LAN drauf zugreifen kann oder?

Habe zudem einen Dyndns Domain, woran ich zu erst dachte das es lag, aber wenn man nicht mal über die IP connecten kann, kann man es mit der Domain eh nicht.

Ich tippe nach wie vor das da irgendwas am Router nicht stimmt. Das ist ein Speedport W723V, sind denn da irgendwelche Probleme bekannt?

Ich hoffe ihr könnt mir weiterhelfen, sonst fliegt der Server von meinem Balkon runter!!! ich bin langsam mit den nerven am ende.

MfG XaGo

[wilfried]

könntest mal deine sshd_config posten?

[XaGo]

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

Jap ich weiß... der admin darf ich dann aber auch nicht mehr einloggen....wenns denn funktionieren würde..

danke für die schnelle antwort =)

MfG XaGo

[wilfried]

das sieht soweit gut aus,
hast eine Firewall am laufen, bzw. wie hast deinen speedport konfiguriert?

[XaGo]

Im Router läuft natürlich eine Firewall, hab mal ausprobiert den Port 22 Weiterzuleiten, und zu triggern. Beides funktioniert leider nicht. Auf Debian wüsste ich persönlich jetzt nicht das es eine Firewall gibt. Woran es vielleicht auch scheitern könnte, das habe ich eben vergessen. Ich benutze eine Sinus 1054 als Repeater, dort ist jedoch die Firewall (muss ja) ausgeschaltet.

Von sonstigen Firewalls/Überwindungs programmen wüsste ich jetzt nicht.

[uname]

Als Client auch Debian? Welche IP? Funktioniert Ping und Arp? Router kennt alle Geräte? SSH per localhost funktioniert?

[XaGo]

Als Client auch Debian? Client ist Putty auf nem Windows 7 rechner
Welche IP? Auf die Internen IP (192.168.usw.) funktioniert es, auf der externen nicht!
Funktioniert Ping und Arp? Anpingen kann ich die interne sowie die externe ip. - Arp sagt mir leider jetzt nichts.
Router kennt alle Geräte? Der router erkennt den Server. Auf ihn hab ich ja auch den Port 22 weitergeleitet.
SSH per localhost funktioniert? wenn du unter localhost die interne IP meinst ja.

[Cae]

wenn du unter localhost die interne IP meinst ja.

Nö, localhost ist localhost bzw. 127.0.0.1.

Ich würde mal im /var/log/auth.log nachschauen, ob sich etwas tut. Ansonsten mal per netcat auf Port 22 der Zieladdresse verbinden. Ach ja, du hast ja Windows. Mh, nimm telnet, das könnte auch gehen.

Code: Alles auswählen

telnet ext-IP 22

Falls du jetzt keinen Telnetclient hast, suche und finde ihn in den Windows-Funktionen in Systemsteuerung/Software.

Sonst wäre tcpdump am Server bzw. nmap auf Port 22 externer IP nicht schlecht.

Gruß Cae

[XaGo]

Also - Telnet auf interner IP funktioniert, extern leider wiedermal nicht =(

Sonst wäre tcpdump am Server bzw. nmap auf Port 22 externer IP nicht schlecht.

könntest du das genauer erläutern? bzw für mich verständlich machen?

[Cae]

könntest du das genauer erläutern? bzw für mich verständlich machen?

tcpdump oder auch ngrep lauscht auf dem Interface und löst die Pakete in mehr oder weniger menschenlesbare Form auf. Damit könntest du hinter der Firewall oder direkt am Server kontrollieren, was überhaupt physikalisch ankommt. Wireshark ist ebenfalls sehr gut, aber ein GUI-Programm.
Das Lesen solcher Streams braucht eine gewisse Erfahrung, deswegen bist du mit dem Portscanner nmap möglicherweise schneller am Ziel.

nmap ist plattformübergreifend verfügbar und mittels des GUI-Frontends Zenmap auch recht DAU-kompatibel. Da stellst du ein, dass Port 22/TCP der externen IP zu scannen sei (aus dem Kopf müsste oben nmap -p22 -T4 -A ext-IP rauskommen) -T ist das Timing, -A schmeißt auch die Skripte an.
Wenn du damit zum Beispiel *nicht* den SSH-Pub-Key auslesen kannst oder den Version String (z.B. "OpenSSH 5.5p1 Debian 6+squeeze1 (protocol 2.0)"), dann ist wohl die Firewall zu oder das Port Forwarding geht in die Hose.

Gruß Cae

[XaGo]

Tach zusammen.

Zenmap zeigt nichts gescheites an. Hinter der firewall, im internen bereich ist der port 22 freigeschaltet, aber von aussen nicht. Zudem habe ich gerade noch einen interessanten Foreneintrag gefunden, von einem Herrn der das gleiche Problem hat, oder hatte. Ich bin mir jetzt sicher das es ein Routerproblem ist!

http://foren.t-online.de/foren/read/ser ... 86215.html

habt ihr dennoch ideen wie ich das mit dem router hinkriege? wäre schweinegeil!!

MfG XaGo

[Cae]

Hinter der firewall, im internen bereich ist der port 22 freigeschaltet, aber von aussen nicht.

Dann solltest du vielleicht genau das ändern?! Entweder du fragst den Zuständigen oder das Handbuch.

Gruß Cae