20
SSH Verbindungsaufbau - Timeout?
Guten Morgen zusammen,
ich stehe gerade am frühen morgen schon auf dem Schlauch.
Ich möchte mich per SSH auf einen OpenSUSE Server verbinden. Dieser Hat openssh installiert und am laufen.
Zusätzlich ist die lokale Firewall ausgeschalten.
Ich habe von meinem VLAN aus (1000) vollzugriff auf das andere VLAN (1600). Mein traffic wird auch akzeptiert auf der Firewall und sollte an den Host geroutet werden. Nur bekomme ich immer einen Timeout beim Verbindungsaufbau..
Ping geht aufjedenfall ohne Probleme..
Weiß jemand was ich falsch mache?
Viele Grüße
ich stehe gerade am frühen morgen schon auf dem Schlauch.
Ich möchte mich per SSH auf einen OpenSUSE Server verbinden. Dieser Hat openssh installiert und am laufen.
Ping geht aufjedenfall ohne Probleme..
Weiß jemand was ich falsch mache?
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 11549214109
Url: https://administrator.de/contentid/11549214109
Printed on: July 26, 2024 at 23:07 o'clock
20 Comments
Latest comment
Moin,
lks
- Was sagt traceroute?
- Was sagt nmap?
- Was steht im ssh-log des servers?
- Was sagt tcpdump am Ziel?
lks
Hallo,
wie ist der sshd konfiguriert ?
Password ?
nur key ?
welche User ? darf root überhaupt ?
Fred
wie ist der sshd konfiguriert ?
Password ?
nur key ?
welche User ? darf root überhaupt ?
Fred
Moin,
Morgen,Was sagt traceroute?
Routenverfolgung zu 10.1.60.110 über maximal 30 Hops
1 1 ms 1 ms 1 ms 10.1.0.254
2 2 ms 1 ms 1 ms 10.1.60.110
Ablaufverfolgung beendet.Was sagt nmap?
Was steht im ssh-log des servers?
linux-5hun:~ # journalctl -xe | grep sshd
--Subject: Unit sshd.service has finished start-up
--Unit sshd.service has finished starting up.Was sagt tcpdump am Ziel?
lks
GrüßeZitat von @Lochkartenstanzer:
Moin,
Ergänzung:Moin,
- Was sagt traceroute?
- Was sagt nmap?
- Was steht im ssh-log des servers?
- Was sagt tcpdump am Ziel?
- Kommt man im gleichen Netz/VLAN auf den Server per ssh?
- Was passiert wenn du aus dem selben VLAN wie des Servers connectest?
- Ist "root" überhaupt für Passwort- oder Key-Login per SSH in der sshd_config aktiviert?
Gruß Katrin
Moin,
1. Du versuchst ssh mit root. Pfui!
Das macht man nicht und ist bei allen mir bekannten ssh-Lösungen im Standard abgeschaltet.
2. Ist die Rückroute eingerichtet? Ich sehe da in der Grafik nur vom Adminserver zum Zielserver. Welche FW ist das denn zwischen den beiden?
3. Installiere Wireshark auf beiden Seiten und schau mal, was ankommt. Auf beiden Seiten nach der IP der jeweils anderen filtern.
hth
Erik
1. Du versuchst ssh mit root. Pfui!
Das macht man nicht und ist bei allen mir bekannten ssh-Lösungen im Standard abgeschaltet.2. Ist die Rückroute eingerichtet? Ich sehe da in der Grafik nur vom Adminserver zum Zielserver. Welche FW ist das denn zwischen den beiden?
3. Installiere Wireshark auf beiden Seiten und schau mal, was ankommt. Auf beiden Seiten nach der IP der jeweils anderen filtern.
hth
Erik
Hallo,
Moinwie ist der sshd konfiguriert ?
momentan komplett auf default, keine extra AllowUsers oder AllowGroups sshusers.Password ?
nur key ?
passwordnur key ?
welche User ? darf root überhaupt ?
wie kann man das nachschauen?Fred
Grüße
Root wird per Default SSH-Login verboten! .
Wenn man Login für Root erlauben will (bitte nicht machen), musst du das in der /etc/ssh/sshd_config angeben und den Dienst neu starten.
Wenn man Login für Root erlauben will (bitte nicht machen), musst du das in der /etc/ssh/sshd_config angeben und den Dienst neu starten.
PermitRootLogin yesWenn man Passwort-Login für Root erlauben will (bitte nicht machen), musst du das in der sshd-config angeben.
PermitRootLogin yesHabe ich zum testen gerade eben gemacht, sshd neu gestartet und geht trotzdem nicht. Werde es sofort wieder aus der config raus nehmen.
1. Du versuchst ssh mit root. Pfui! Das macht man nicht und ist bei allen mir bekannten ssh-Lösungen im Standard abgeschaltet.
Ist leider nicht von uns eingerichtet werden weshalb ich nur die root-login daten habe.. Habe aber jetzt einen anderen benutzer bekommen mit dem ich mich anmelden kann. Leider selber Fehler. Das macht man nicht und ist bei allen mir bekannten ssh-Lösungen im Standard abgeschaltet.2. Ist die Rückroute eingerichtet? Ich sehe da in der Grafik nur vom Adminserver zum Zielserver. Welche FW ist das denn zwischen den beiden?
ist auch eingerichtet.
3. Installiere Wireshark auf beiden Seiten und schau mal, was ankommt. Auf beiden Seiten nach der IP der jeweils anderen filtern.
Kann ich leider nicht (bzw. nur sehr zeitaufwendig), da der Server so unperformant ist, das die bedienung über das GUI komplett hakt. Deshalb wollte ich auch eine SSH verbindung aufbauen.Erik
FloZitat von @DarkZoneSD:
Moin,
Morgen,Was sagt traceroute?
Routenverfolgung zu 10.1.60.110 über maximal 30 Hops
1 1 ms 1 ms 1 ms 10.1.0.254
2 2 ms 1 ms 1 ms 10.1.60.110
Ablaufverfolgung beendet.o.k.
Was sagt nmap?
Es werden keine Pakete "durchgestelltt. Prüf die Firewall, das routing und den ssh-daemon.
Was steht im ssh-log des servers?
linux-5hun:~ # journalctl -xe | grep sshd
--Subject: Unit sshd.service has finished start-up
--Unit sshd.service has finished starting up.falsches LOG in /var/log müßte eine Datei oder ein verzeichnis mit ssh im Namen sein, Dort mal schauen, was der sshd da reinschreibt.
Was sagt tcpdump am Ziel?
Es gehen also keine Antworten raus. Es müßte mindestens ein SYN/ACK-Antwort-Paket vorhanden sein. Schau im ssh- oder firewall-log (unter /var/log), ob das ereignis irgendwo dokumentiert ist.
lks
Zitat von @DarkZoneSD:
Kann ich leider nicht (bzw. nur sehr zeitaufwendig), da der Server so unperformant ist, das die bedienung über das GUI komplett hakt. Deshalb wollte ich auch eine SSH verbindung aufbauen.
Kann ich leider nicht (bzw. nur sehr zeitaufwendig), da der Server so unperformant ist, das die bedienung über das GUI komplett hakt. Deshalb wollte ich auch eine SSH verbindung aufbauen.
Dann melde Dich doch einfach über die Konsole an. (CTRL-ALT-Fn mit F1 bis F8 druchprobieren, bis Du einen Konsolenlogin findest)
lks
Es gehen also keine Antworten raus. Schau im ssh- oder firewall-log (unter /var/log), ob das ereignis irgendwo dokumentiert ist.
Genau, ist im tcpdump ja klar zu sehen Viele Grüße, commodity
Dann melde Dich doch einfach über die Konsole an. (CTRL-ALT-Fn mit F1 bis F8 druchprobieren, bis Du einen Konsolenlogin findest)
Daran hätte man denken können 🙄 Danke. Ich durchforste mal die logs..lks
Florian
Moin,
Hmmmm, die Grafik sieht anders aus. Warum steht da "NAT enabled"? Du willst doch zwischen zwei VLANs routen. Da ist NAT eher kontraproduktiv.
Dann nimm halt tshark.
Liebe Grüße
Erik
Zitat von @DarkZoneSD:
1. Du versuchst ssh mit root. Pfui! Das macht man nicht und ist bei allen mir bekannten ssh-Lösungen im Standard abgeschaltet.
Ist leider nicht von uns eingerichtet werden weshalb ich nur die root-login daten habe.. Habe aber jetzt einen anderen benutzer bekommen mit dem ich mich anmelden kann. Leider selber Fehler. Das macht man nicht und ist bei allen mir bekannten ssh-Lösungen im Standard abgeschaltet.2. Ist die Rückroute eingerichtet? Ich sehe da in der Grafik nur vom Adminserver zum Zielserver. Welche FW ist das denn zwischen den beiden?
ist auch eingerichtet.Hmmmm, die Grafik sieht anders aus. Warum steht da "NAT enabled"? Du willst doch zwischen zwei VLANs routen. Da ist NAT eher kontraproduktiv.
3. Installiere Wireshark auf beiden Seiten und schau mal, was ankommt. Auf beiden Seiten nach der IP der jeweils anderen filtern.
Kann ich leider nicht (bzw. nur sehr zeitaufwendig), da der Server so unperformant ist, das die bedienung über das GUI komplett hakt. Deshalb wollte ich auch eine SSH verbindung aufbauen.Dann nimm halt tshark.
Liebe Grüße
Erik
Und prüfen ob da nicht doch noch eine andere Firewall auf der Kiste läuft, denn das firewalld laut Screenshot keine Config hat könnte sein das eine andere noch aktiv ist. Ergo mal abgrasen mit ...
iptables -Sip6tables -Snft show rulesetufw status- ...
Zitat von @8030021182:
Und prüfen ob da nicht doch noch eine andere Firewall auf der Kiste läuft, denn das firewalld laut Screenshot keine Config hat könnte sein das eine andere noch aktiv ist. Ergo mal abgrasen mit ...
Und prüfen ob da nicht doch noch eine andere Firewall auf der Kiste läuft, denn das firewalld laut Screenshot keine Config hat könnte sein das eine andere noch aktiv ist. Ergo mal abgrasen mit ...
iptables -S
unify@linux-5hun:/var/log> iptables -S | grep 22
-A input_ext -i tun+ -p tcp -m tcp --dport 22 -j ACCEPT*
Nicht installiertip6tables -Snft show ruleset
*
Nicht installiertufw statusZitat von @DarkZoneSD:
Na bitte da hast du's, mit der Regel ist SSH nur über die Tunnel-Interfaces zugelassen.unify@linux-5hun:/var/log> iptables -S | grep 22
-A input_ext -i tun+ -p tcp -m tcp --dport 22 -j ACCEPTDen Rest an Regeln sehen wir ja leider nicht wenn du grepst 🤐.
Also mal alle Regeln flushen und du wirst sehen das es dann fluppt 😉
iptables -F
iptables -X
iptables -P INPUT ACCEPT
👍👍
Dankeschön
🤙 🤗