Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Kein Zugriff über SSH auf 4 Geräte in einem gerouteten Firmennetz mit 40 subnetzen

Mitglied: sporex

sporex (Level 1) - Jetzt verbinden

02.12.2019 um 18:12 Uhr, 299 Aufrufe, 11 Kommentare

Ich habe 40 Geräte mit Raspberry Pi units in einem gerouteten Firmennetz mit 40 Subnetzen in Kamerun ausgerollt.
In 36 der 40 Subnetze funktioniert alles einwandfrei (Je ein RPi pro subnetz).

In 4 von den 40 subnetzen wird der Zugriff über SSH (port 22) verweigert: SSH access denied.
Da alle 40 SD Karten der RPi mit dem gleichen Image programmiert sind schließe ich einen Fehler von meiner Seite aus.

Ein ping auf die IP Adressen der 4 fraglichen Geräte wird beantwortet.
Wenn ich einen Ping-Sweep (Advanced IP scanner) mache sehe ich in den 4 betroffenen VLAN-DATA subnetzen nur eine IP Adresse, nämlich die meine. Es kann sich also nicht um einen Adressen Konflikt handeln.
Der Unterschied beim ping-sweep ist dass ich bei den Geräten die erreichbar sind den Apache2 http server sehe der auf allen units läuft, bei den anderen sehe ich in nicht.

Welche Fragen muss ich dem Netzwerk Administrator stellen damit er das Problem löst?
Ich bin fast sicher dass das Problem an den Routereinstellungen der vier Subnetze liegt da ich identische SD Images verwende bei denen nur die statische IP und das gateway angepasst wurden.

Das Problem ist dass die 4 betroffenen Geräte ausgerechnet 900km entfernt sind und ich nicht einfach dort hinfahren kann.

Herzlichen Dank im Voraus.

Gruß Chris
pingsweep - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
02.12.2019, aktualisiert um 18:50 Uhr
Wenn man wirklich sicher gehen kann das es keinen Fehler bei den SD Karten der RasPis gibt, dann liegt die Vermutung nahe das es in den VLAN Subnetzen keinen DHCP Server gibt, sprich Endgeräte also keine gültige IP Adresse bekommen.
Wir gehen mal davon aus das deine RasPis ihre IP per DHCP beziehen, richtig ?!
Was denkbar ist ist auch die Möglichkeit das die Layer 3 IP Adresse (Router oder L3 Switch) in diesen betroffenen VLANs fehlt. Das hat dann ebenso zur Folge das ein ggf. eingerichteter DHCP Server nicht funktioniert.
Ausnahme ist allerdings wenn der DHCP Server separat in diesen VLANs rennt.
Leider machst du dazu nur sehr rudimentäre bis keine Aussagen zur Adressierung von Endgeräten in den VLAN Segmenten so das man hier nur im freien Fall raten kann.
Möglich ist auch das der DHCP Server schlicht eine falsche Gateway Adresse in den betroffenen VLAN Segmenten vergibt.
All das führt dazu das die RasPis dann nicht erreichbar sind.

Troubleshooting ist eigentlich relativ einfach. Sage dem dortigen Admin er soll einen Test Laptop in den betreffenden Port dieser VLANs stecken und die Adressvergabe checken.
Je nachdem was für ein OS der Kollege drauf hat ist das das Kommando ipconfig -all (Winblows) oder ifconfig (Linux, MacOS usw.).
Bei den unixoiden OS muss er zusätzlich noch ip route list oder netstat -r -n angeben um das Default Gateway zu checken.
Die Ausgabe dieser Kommandos muss dann zu den diesen VLANs zugeordneten IP Netzen bzw. VLAN IP Adressen und dem Gateway passen.
Mit dem Test Laptop kann er dann die lokale Gateway IP pingen und testweise einen der laufenden RasPis in einem funktionierenden VLAN.
Wenn beides klappt kannst du dir sicher sein das die SD Karte in den betroffenen RasPi's einen an der Waffel hat bzw. die SSH Konfig auf den Geräten.
Pingbar sind die betroffenen Geräte auch nicht, richtig ?!!
Das würde dann die These der fehlerhaften IP Adressierung von oben bestätigen !
Bitte warten ..
Mitglied: sporex
02.12.2019 um 18:59 Uhr
Danke.
Aber es handelt sich ausschließlich um statische IP Adressen in allen Subnetzen ohne DHCP.
Und diese Adressen sind pingbar und eindeutig (also kein Adressen Konflikt)

Gruß
Bitte warten ..
Mitglied: aqui
02.12.2019, aktualisiert um 19:51 Uhr
OK, dann liegt der Fehler ganz klar am RasPi selber.
Vermutlich oder sehr wahrscheinlich ist dann der SSH Server nicht aktiv.
Das lässt sich aber relativ einfach fixen....
Der Admin dort vor Ort entfernt die SD Karte aus dem RasPi und steckt sie in einen SD Kartenleser und diesen dann in seinen Rechner. Das /boot Verzeichnis auf der Karte ist eine normale FAT32 Partition die in jedem OS einfach zu lesen ist.
Es reicht dann dort eine leere Datei nur mit dem Namen ssh zu erzeugen.
SD Karte zurückstecken in den RasPi, booten, et voila...schon sollte der SSH Server funktionieren.
Bitte warten ..
Mitglied: sporex
02.12.2019 um 20:02 Uhr
Halte ich eher für unwahrscheinlich weil es das gleiche Image ist, das 40 mal kopiert wurde und nur die statische IP und der GW angepasst wurden.Ich glaube das muss am Cisco Router liegen der irgendeinen Port sperrt o.ä

Aber mit Cisco Konfiguration kenne ich mich leider nicht aus.
Bitte warten ..
Mitglied: sporex
02.12.2019 um 20:15 Uhr
Ich glaube mich zu erinnern, ich habe schon ein SSH auf den Router Gateway gemacht
Der Cisco Router hat seine Anmelde Maske angezeigt. Die Authentifizierung kenne ich allerdings nicht.
D.h. das Subnetz ist nicht für SSH port 22 blockiert.
Ich werde das morgen nochmal überprüfen.
Bitte warten ..
Mitglied: NordicMike
02.12.2019, aktualisiert um 21:40 Uhr
Ich vermute auch eine ACL im Cisco.

Um ganz sicher zu gehen kannst Du den Admin zwei Raspis gegenseitig vertauschen lassen, dann siehst Du ob der Fehler wandert. Die IPs müssten dafür noch angepasst werden.
Bitte warten ..
Mitglied: sporex
02.12.2019 um 22:19 Uhr
Das Problem ist dass der Admin, wie ich, hier in Douala sitzt und nur remote Zugriff hat.
Das Personal in 900km Entfernung kann maximal die Units initialisieren durch ein/ausschalten der Stromversorgung.
Bitte warten ..
Mitglied: SlainteMhath
03.12.2019 um 08:45 Uhr
Moin,

Und diese Adressen sind pingbar und eindeutig (also kein Adressen Konflikt)
Das kannst du doch von ausserhalb des Subnetzes gar nicht feststellen... Das würde sich maximal anhand der MAC sagen lassen (die nur im lokalen Subnetz sichtbar ist).

Also: Pi ausschalten lassen, dann pingen. Kommt eine Antwort => doppelte IP. kommt keine Antwort => ACL am CISCO prüfen.

Der Cisco Router hat seine Anmelde Maske angezeigt. ... D.h. das Subnetz ist nicht für SSH port 22 blockiert.
Das ist doch quatsch. Das ssh im Subnet A geht, bedeutet doch nicht, das es im Subnet B auch gehen muss!

lg,
Slainte
Bitte warten ..
Mitglied: aqui
LÖSUNG 03.12.2019 um 10:39 Uhr
Da hat der TO wohl die Arbeitsweise von Cisco ACLs nicht ganz durchschaut....?
Wäre hilfreich die hier ggf. mal zu posten um ggf. Fehler dort zu entdecken.
Oder eben doch doppelte IP...?!
Bitte warten ..
Mitglied: sporex
03.12.2019 um 15:11 Uhr
Das Problem ist gelöst.
Die Leute auf den vier Stationen haben die SD Karten (mit einer neuen SW Version) unter Spannung gewechselt und keinen reboot gemacht. Deshalb waren die units pingbar aber SSH war blockiert.

Danke an alle die Lösungsvorschläge beigetragen haben.
Bitte warten ..
Mitglied: aqui
04.12.2019, aktualisiert um 10:32 Uhr
unter Spannung gewechselt
Holla die Waldfee ! Das ist ja mal ein wirklicher Stresstest für die SD Karte und auf sowas muss man erstmal kommen !!!
Wenn die das überlebt haben spricht das sehr für den SD Karten Hersteller....
Dank für das Feedback ! Case closed...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

VPN Heimnetz und Firmennetz - gleiches Subnetz

Frage von MarkowitschLAN, WAN, Wireless6 Kommentare

Hallo liebe ITler, einer meiner Kollegen hat in der Firma eine VPN Firewall und dahinter die Netzwerkadresse 192.168.1.X. Leider ...

Firewall

FortiOS SSH Backdoor - erlaubt unberechtigten Zugriff

Tipp von R3nD0mFirewall1 Kommentar

Und noch eine Backdoor / Lücke in einem komerziellen Firewall-Produkt. Eine Lücke erlaubt es eine SSH verbindung mit einem ...

Firewall

Zyxel USG 40 Zugriff auf NAS funktioniert nicht

gelöst Frage von AlexwehleFirewall7 Kommentare

Guten Morgen liebe Gemeinde ich habe bei mir zuhause eine Zyxel USG 40 hinter einem T-online Router stehen. Zudem ...

Monitoring

Malwareerkennung im Firmennetz

Frage von BleppSatterMonitoring8 Kommentare

Hallo Leute, wir haben bei uns in letzter Zeit ein stärkeres Spamaufkommen, wobei die Mails oftmals korrekte Mailadressen und ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 4 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 5 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 5 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 7 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Router & Routing
Mikrotik CRS305 4Port SFP+ Router-Switch, VMWare und Fritzbox (Netzwerk Internetproblem)
Frage von SickcultureRouter & Routing18 Kommentare

Auf der Suche nach Antworten im Netz kommt man unweigerlich auf eure Seite und die deutsche Mikrotik Blog Seite. ...

Router & Routing
Fritz VPN und WoL mit Mikrotik HEX RB750Gr2 möglich?
gelöst Frage von SionzrisRouter & Routing17 Kommentare

Hallo erstmal und danke fürs anklicken :) Ich habe folgendes Setup geplant und scheitere zurzeit an der Realisierung vom ...

Windows Server
Netzwerk Planung Homeoffice
Frage von siopoqruipWindows Server17 Kommentare

Hallo, ich plane zurzeit ein kleines Netzwerk. 5-8 User jeder mit eigenem Laptop (Lenovo T590) Windows 10 Professional Homeoffice ...

MikroTik RouterOS
Mikrotik Router empfehlenswert?
gelöst Frage von matze2090MikroTik RouterOS16 Kommentare

Hallo, ich würde gerne mir Mikrotik anschauen. Reicht dieser Router zum erstmal Test? Er Kostet ca 23€. Ich habe ...