Error beim Leiten eines ssh Tunnels über einen Router
Hallo zusammen,
ich möchte übers Internet per ssh Tunnel einen Fernzugriff auf einen Server zugreifen. Der Server sitzt hinter einem Router auf dem ich einen Virtuellen Server eingerichtet habe, dieser leitet den Port 22 von außerhalb auf den Port 22 des Servers. Auf dem Server läuft freeSSHd. Wenn ich mit Shields Up meinen Port 22 scanne, wird mir dieser als Open angezeigt. (Wenn ich freeSSHd beende wird mir dieser Port als stealth angezeigt. Was doch eigentlich bedeuten müßte, dass der Virtuelle Server funktioniert und meine Anfrage durch den Router zum Server kommt, oder?). Wenn ich aber mit Putty eine Verbindung aufbauen will (über die WAN-Adresse und den Port) bekomme ich die Fehlermeldung "Putty Fatal Error - Network error: Connection refused".
Mein Putty sollte allerdings auch korrekt eingestellt sein, wenn ich nämlich zum aufbau der Verbindung nur meine LAN-Adresse verwende also nicht über den Router gehe funktioniert das ganze Spiel. Aber was kann ich an meinem Router machen außer den Virtuellen Server einzurichten?
Gruß Sophie
ich möchte übers Internet per ssh Tunnel einen Fernzugriff auf einen Server zugreifen. Der Server sitzt hinter einem Router auf dem ich einen Virtuellen Server eingerichtet habe, dieser leitet den Port 22 von außerhalb auf den Port 22 des Servers. Auf dem Server läuft freeSSHd. Wenn ich mit Shields Up meinen Port 22 scanne, wird mir dieser als Open angezeigt. (Wenn ich freeSSHd beende wird mir dieser Port als stealth angezeigt. Was doch eigentlich bedeuten müßte, dass der Virtuelle Server funktioniert und meine Anfrage durch den Router zum Server kommt, oder?). Wenn ich aber mit Putty eine Verbindung aufbauen will (über die WAN-Adresse und den Port) bekomme ich die Fehlermeldung "Putty Fatal Error - Network error: Connection refused".
Mein Putty sollte allerdings auch korrekt eingestellt sein, wenn ich nämlich zum aufbau der Verbindung nur meine LAN-Adresse verwende also nicht über den Router gehe funktioniert das ganze Spiel. Aber was kann ich an meinem Router machen außer den Virtuellen Server einzurichten?
Gruß Sophie
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 75985
Url: https://administrator.de/forum/error-beim-leiten-eines-ssh-tunnels-ueber-einen-router-75985.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
12 Kommentare
Neuester Kommentar
Besser du testest den Zugang wirklich mal von aussen und NICHT von innen über den Umweg aussen wieder nach innen. Viele Router können das nicht, da es dann zu NAT Problematiken kommt.
Wenn du ein Notebook mit Telefon Modem hast kannst du dich schnell mal über einen Internet by Call Provider wie z.B. Arcor extern ins Internet einwählen mit den folgenden Zugangsdaten:
Rufnummer: 01920791
Benutzername: arcor
Passwort: internet
Dann eröffnest du mal deinen SSH Tunnel und testest das einmal unter wirklichen externen Bedingungen. Vermutlich funktioniert es dann.
Wenn nicht macht es Sinn mal einen Sniffer wie den Wireshark zwischen Router und freeSSHd schleifst und prüfst ob der Router die eingehenden TCP 22 Packete wirklich an die lokale IP forwardet. Tut er das nicht hast du ein problem im Router...andernfalls im Server !
Wenn du ein Notebook mit Telefon Modem hast kannst du dich schnell mal über einen Internet by Call Provider wie z.B. Arcor extern ins Internet einwählen mit den folgenden Zugangsdaten:
Rufnummer: 01920791
Benutzername: arcor
Passwort: internet
Dann eröffnest du mal deinen SSH Tunnel und testest das einmal unter wirklichen externen Bedingungen. Vermutlich funktioniert es dann.
Wenn nicht macht es Sinn mal einen Sniffer wie den Wireshark zwischen Router und freeSSHd schleifst und prüfst ob der Router die eingehenden TCP 22 Packete wirklich an die lokale IP forwardet. Tut er das nicht hast du ein problem im Router...andernfalls im Server !
Hallo Sophie,
Du hast recht, bei einigen Routern heißt die Portweiterleitung "virt. server", ich denke mal, daß Du einen D-Link Router hast.
Das Thema VPN ist für Dich vielleicht ein wenig zu fortgeschritten. Da ich Dir nicht zu PPTP-VPN, welches sich unter Windows recht einfach einrichten läßt, raten möchte, da die Sicherheit nur bedingt gewährleistet ist, empfehle ich Dir mal folgenden Vorschlag auszubrobieren:
VPN für Arme - TCP in SSH tunneln mit Putty
Da wird Dir von einem Forumsteilnehmer ein Weg gezeigt, wie Du mit ssh auf Deinen Server kommst. Ich habe dieses auch schon mal so ähnlich für Windows gelöst, man kann dann auch ganz bequem mit WinSCP (nettes Programm) Dateien hin- und herschieben, und ist dabei in einem sicheren Umfeld.
Hast Du keine Lust zum Basteln, geht das ganze auch mit dem Programm Teamviewer. Du installierst den Client auf dem Server und vergibst das Paßwort schon im Vorwege. Auf www.Teamviewer.de steht einiges dazu. Mit der Software, welche Du auf Deinem PC installierst, loggst Du Dich auf Deinem Server ein und steuerst diesen wie mit VNC. Seitdem ich dieses Programm habe, hat sich meine CO2-Bilanz erheblich gebessert, weil ich nicht für jeden Kleinkram zu meinen Kunden fahren muß.
Viel Spaß beim ausbrobieren,
Gruß,
Arch Stanton
Du hast recht, bei einigen Routern heißt die Portweiterleitung "virt. server", ich denke mal, daß Du einen D-Link Router hast.
Das Thema VPN ist für Dich vielleicht ein wenig zu fortgeschritten. Da ich Dir nicht zu PPTP-VPN, welches sich unter Windows recht einfach einrichten läßt, raten möchte, da die Sicherheit nur bedingt gewährleistet ist, empfehle ich Dir mal folgenden Vorschlag auszubrobieren:
VPN für Arme - TCP in SSH tunneln mit Putty
Da wird Dir von einem Forumsteilnehmer ein Weg gezeigt, wie Du mit ssh auf Deinen Server kommst. Ich habe dieses auch schon mal so ähnlich für Windows gelöst, man kann dann auch ganz bequem mit WinSCP (nettes Programm) Dateien hin- und herschieben, und ist dabei in einem sicheren Umfeld.
Hast Du keine Lust zum Basteln, geht das ganze auch mit dem Programm Teamviewer. Du installierst den Client auf dem Server und vergibst das Paßwort schon im Vorwege. Auf www.Teamviewer.de steht einiges dazu. Mit der Software, welche Du auf Deinem PC installierst, loggst Du Dich auf Deinem Server ein und steuerst diesen wie mit VNC. Seitdem ich dieses Programm habe, hat sich meine CO2-Bilanz erheblich gebessert, weil ich nicht für jeden Kleinkram zu meinen Kunden fahren muß.
Viel Spaß beim ausbrobieren,
Gruß,
Arch Stanton
Auf solch eine Diskussion habe ich schlichtweg keinen Bock!!!
Nur eine kurze Anmerkung: Da der Mensch ein Gewohnheitstier ist, wird er sich bei der Wahl der Paßwörter nicht viel Mühe geben. Ich benutze im übrigen auch PPTP und habe z.B. einen Zugang mit Service und passwd. service123 eingerichtet. Soll ich nun PPTP als sichere Option empfehlen?
Gruß,
Arch Stanton
Nur eine kurze Anmerkung: Da der Mensch ein Gewohnheitstier ist, wird er sich bei der Wahl der Paßwörter nicht viel Mühe geben. Ich benutze im übrigen auch PPTP und habe z.B. einen Zugang mit Service und passwd. service123 eingerichtet. Soll ich nun PPTP als sichere Option empfehlen?
Gruß,
Arch Stanton
Was hat die Wahl des Passworts mit der Sicherheit des Algorithmuses zu tun ? Du hast kein Bock auf die Diskussion - verbreitest aber das falsche Gerücht das PPTP unsicher sei. Das versteh ich nicht. Ich verwende übrigens IPSec .. nicht weil es sicherer ist sondern weil irgendwelche Pappnasen meinen Kunden mal erzählt haben PPTP sei so unsicher. Feste IP-Adressen haben etwa 60% meiner Kunden nicht, was wiederherum dafür führt dass sich die meisten für den IPSec Aggressive Mode entscheiden weil Zertifikate doch ne Nummer zu große sei. Also verwenden wir IPSec Aggressiv Mode. Im Gegensatz zum wirklich sicheren Main Mode kann da der Hashwert des PreShared Keys abgefangen werden. Nun kann jmd. versuchen offline den HashWert zu knacken. Viel Spass. Im Übrigen ist das bei MS Chap V2 ähnlich. Im schlimmsten Fall kommt der Angreifer nur an den Hash-Wert des Passwortes .. Im Prinzip also gleich sicher oder gleich unsicher .. aber was soll`s. IPSec kostet mehr Geld. Und das ist gut für die Wirtschaft :D
Das ist wieder so typisch. Sein Halbwissen in Foren verbreiten und dann angepisst sein wenn jmd. mal versucht etwas richtig zu stellen. Ich hab dich weder persönlich beleidigt noch sonst etwas. Ich habe dich lediglich korrigiert. Aber was soll`s. .. es kann mir ja auch egal sein.
ich denke ich werde mein Account hier eh löschen .. bei dem müll der hier größtenteils verbreitet wird bekomm ich nur herzrasen .. :D
frohes fest.
ich denke ich werde mein Account hier eh löschen .. bei dem müll der hier größtenteils verbreitet wird bekomm ich nur herzrasen .. :D
frohes fest.
Hallo Sophie,
ich wünsche Dir viel Erfolg beim Probieren, bei fragen einfach mal fragen.
Wenn der Router nicht unbedingt notwendig ist und eine Neuanschaffung ansteht, dann ist vielleicht der Einsatz eines ausgemusterten PC´s und die Installation von IP-COP eine interessante Alternative. Da gibt es eine richtig geniale VPN-Erweiterung, mit automatischer Clienterstellung für Windows (open VPN).
p.s. ich wollte nicht, daß sich wg. mir jemand hier abmeldet. Aber es ist sicher besser so. Der Kerl war ein absoluter Profi und solche Probleme, wie sie hier häufig vorkommen, waren unter seinem Niveau. Wir müssen dankbar sein, daß er uns gnädigerweise einige Weisheiten zukommen ließ.
Gruß,
Arch Stanton
ich wünsche Dir viel Erfolg beim Probieren, bei fragen einfach mal fragen.
Wenn der Router nicht unbedingt notwendig ist und eine Neuanschaffung ansteht, dann ist vielleicht der Einsatz eines ausgemusterten PC´s und die Installation von IP-COP eine interessante Alternative. Da gibt es eine richtig geniale VPN-Erweiterung, mit automatischer Clienterstellung für Windows (open VPN).
p.s. ich wollte nicht, daß sich wg. mir jemand hier abmeldet. Aber es ist sicher besser so. Der Kerl war ein absoluter Profi und solche Probleme, wie sie hier häufig vorkommen, waren unter seinem Niveau. Wir müssen dankbar sein, daß er uns gnädigerweise einige Weisheiten zukommen ließ.
Gruß,
Arch Stanton