darkzonesd
Goto Top

SSH Verbindungsaufbau - Timeout?

Guten Morgen zusammen,

ich stehe gerade am frühen morgen schon auf dem Schlauch.

Ich möchte mich per SSH auf einen OpenSUSE Server verbinden. Dieser Hat openssh installiert und am laufen.
ssh
Zusätzlich ist die lokale Firewall ausgeschalten.
fw
Ich habe von meinem VLAN aus (1000) vollzugriff auf das andere VLAN (1600). Mein traffic wird auch akzeptiert auf der Firewall und sollte an den Host geroutet werden. Nur bekomme ich immer einen Timeout beim Verbindungsaufbau..
opensusessh.drawio
sshtk
timeout

Ping geht aufjedenfall ohne Probleme..

Weiß jemand was ich falsch mache? face-smile

Viele Grüße

Content-Key: 11549214109

Url: https://administrator.de/contentid/11549214109

Printed on: February 27, 2024 at 23:02 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Nov 23, 2023 updated at 07:41:23 (UTC)
Goto Top
Moin,

  • Was sagt traceroute?
  • Was sagt nmap?
  • Was steht im ssh-log des servers?
  • Was sagt tcpdump am Ziel?

lks
Member: fredmy
fredmy Nov 23, 2023 at 07:24:17 (UTC)
Goto Top
Hallo,
wie ist der sshd konfiguriert ?
Password ?
nur key ?
welche User ? darf root überhaupt ?


Fred
Member: DarkZoneSD
DarkZoneSD Nov 23, 2023 updated at 07:39:51 (UTC)
Goto Top
Moin,
Morgen,

Was sagt traceroute?
Routenverfolgung zu 10.1.60.110 über maximal 30 Hops

  1     1 ms     1 ms     1 ms  10.1.0.254
  2     2 ms     1 ms     1 ms  10.1.60.110

Ablaufverfolgung beendet.
Was sagt nmap?
nmap
Was steht im ssh-log des servers?
linux-5hun:~ # journalctl -xe | grep sshd
--Subject: Unit sshd.service has finished start-up
--Unit sshd.service has finished starting up.
Was sagt tcpdump am Ziel?
tcpdump
lks
Grüße
Member: Lochkartenstanzer
Lochkartenstanzer Nov 23, 2023 at 07:41:49 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

  • Was sagt traceroute?
  • Was sagt nmap?
  • Was steht im ssh-log des servers?
  • Was sagt tcpdump am Ziel?

Ergänzung:

  • Kommt man im gleichen Netz/VLAN auf den Server per ssh?
Mitglied: 8030021182
8030021182 Nov 23, 2023 updated at 07:44:52 (UTC)
Goto Top
  • Was passiert wenn du aus dem selben VLAN wie des Servers connectest?
  • Ist "root" überhaupt für Passwort- oder Key-Login per SSH in der sshd_config aktiviert?

Gruß Katrin
Member: erikro
erikro Nov 23, 2023 at 07:46:00 (UTC)
Goto Top
Moin,

Zitat von @DarkZoneSD:
Weiß jemand was ich falsch mache? face-smile

1. Du versuchst ssh mit root. Pfui! face-wink Das macht man nicht und ist bei allen mir bekannten ssh-Lösungen im Standard abgeschaltet.

2. Ist die Rückroute eingerichtet? Ich sehe da in der Grafik nur vom Adminserver zum Zielserver. Welche FW ist das denn zwischen den beiden?

3. Installiere Wireshark auf beiden Seiten und schau mal, was ankommt. Auf beiden Seiten nach der IP der jeweils anderen filtern.

hth

Erik
Member: DarkZoneSD
DarkZoneSD Nov 23, 2023 at 07:46:53 (UTC)
Goto Top
Hallo,
Moin
wie ist der sshd konfiguriert ?
momentan komplett auf default, keine extra AllowUsers oder AllowGroups sshusers.
Password ?
nur key ?
password
welche User ? darf root überhaupt ?
wie kann man das nachschauen?
Fred
Grüße
Mitglied: 8030021182
8030021182 Nov 23, 2023 updated at 07:54:56 (UTC)
Goto Top
Zitat von @DarkZoneSD:
momentan komplett auf default
Root wird per Default SSH-Login verboten! .
Wenn man Login für Root erlauben will (bitte nicht machen), musst du das in der /etc/ssh/sshd_config angeben und den Dienst neu starten.
PermitRootLogin yes
Member: DarkZoneSD
DarkZoneSD Nov 23, 2023 at 07:55:31 (UTC)
Goto Top
Wenn man Passwort-Login für Root erlauben will (bitte nicht machen), musst du das in der sshd-config angeben.
PermitRootLogin yes

Habe ich zum testen gerade eben gemacht, sshd neu gestartet und geht trotzdem nicht. Werde es sofort wieder aus der config raus nehmen.
Member: DarkZoneSD
DarkZoneSD Nov 23, 2023 at 08:02:48 (UTC)
Goto Top
1. Du versuchst ssh mit root. Pfui! face-wink Das macht man nicht und ist bei allen mir bekannten ssh-Lösungen im Standard abgeschaltet.
Ist leider nicht von uns eingerichtet werden weshalb ich nur die root-login daten habe.. Habe aber jetzt einen anderen benutzer bekommen mit dem ich mich anmelden kann. Leider selber Fehler.
2. Ist die Rückroute eingerichtet? Ich sehe da in der Grafik nur vom Adminserver zum Zielserver. Welche FW ist das denn zwischen den beiden?
ist auch eingerichtet.
tkanit
3. Installiere Wireshark auf beiden Seiten und schau mal, was ankommt. Auf beiden Seiten nach der IP der jeweils anderen filtern.
Kann ich leider nicht (bzw. nur sehr zeitaufwendig), da der Server so unperformant ist, das die bedienung über das GUI komplett hakt. Deshalb wollte ich auch eine SSH verbindung aufbauen.
Erik
Flo
Member: Lochkartenstanzer
Lochkartenstanzer Nov 23, 2023 updated at 08:05:48 (UTC)
Goto Top
Zitat von @DarkZoneSD:

Moin,
Morgen,

Was sagt traceroute?
Routenverfolgung zu 10.1.60.110 über maximal 30 Hops

  1     1 ms     1 ms     1 ms  10.1.0.254
  2     2 ms     1 ms     1 ms  10.1.60.110

Ablaufverfolgung beendet.

o.k.

Was sagt nmap?
nmap

Es werden keine Pakete "durchgestelltt. Prüf die Firewall, das routing und den ssh-daemon.

Was steht im ssh-log des servers?
linux-5hun:~ # journalctl -xe | grep sshd
--Subject: Unit sshd.service has finished start-up
--Unit sshd.service has finished starting up.

falsches LOG in /var/log müßte eine Datei oder ein verzeichnis mit ssh im Namen sein, Dort mal schauen, was der sshd da reinschreibt.

Was sagt tcpdump am Ziel?
tcpdump

Es gehen also keine Antworten raus. Es müßte mindestens ein SYN/ACK-Antwort-Paket vorhanden sein. Schau im ssh- oder firewall-log (unter /var/log), ob das ereignis irgendwo dokumentiert ist.

lks
Member: Lochkartenstanzer
Lochkartenstanzer Nov 23, 2023 at 08:10:30 (UTC)
Goto Top
Zitat von @DarkZoneSD:

Kann ich leider nicht (bzw. nur sehr zeitaufwendig), da der Server so unperformant ist, das die bedienung über das GUI komplett hakt. Deshalb wollte ich auch eine SSH verbindung aufbauen.

Dann melde Dich doch einfach über die Konsole an. (CTRL-ALT-Fn mit F1 bis F8 druchprobieren, bis Du einen Konsolenlogin findest)

lks
Member: commodity
commodity Nov 23, 2023 updated at 08:18:22 (UTC)
Goto Top
Es gehen also keine Antworten raus. Schau im ssh- oder firewall-log (unter /var/log), ob das ereignis irgendwo dokumentiert ist.
Genau, ist im tcpdump ja klar zu sehen face-smile

Viele Grüße, commodity
Member: DarkZoneSD
DarkZoneSD Nov 23, 2023 at 08:33:18 (UTC)
Goto Top
Dann melde Dich doch einfach über die Konsole an. (CTRL-ALT-Fn mit F1 bis F8 druchprobieren, bis Du einen Konsolenlogin findest)
Daran hätte man denken können 🙄 Danke. Ich durchforste mal die logs..
lks
Florian
Member: erikro
erikro Nov 23, 2023 at 08:36:08 (UTC)
Goto Top
Moin,

Zitat von @DarkZoneSD:
1. Du versuchst ssh mit root. Pfui! face-wink Das macht man nicht und ist bei allen mir bekannten ssh-Lösungen im Standard abgeschaltet.
Ist leider nicht von uns eingerichtet werden weshalb ich nur die root-login daten habe.. Habe aber jetzt einen anderen benutzer bekommen mit dem ich mich anmelden kann. Leider selber Fehler.
2. Ist die Rückroute eingerichtet? Ich sehe da in der Grafik nur vom Adminserver zum Zielserver. Welche FW ist das denn zwischen den beiden?
ist auch eingerichtet.

Hmmmm, die Grafik sieht anders aus. Warum steht da "NAT enabled"? Du willst doch zwischen zwei VLANs routen. Da ist NAT eher kontraproduktiv.

3. Installiere Wireshark auf beiden Seiten und schau mal, was ankommt. Auf beiden Seiten nach der IP der jeweils anderen filtern.
Kann ich leider nicht (bzw. nur sehr zeitaufwendig), da der Server so unperformant ist, das die bedienung über das GUI komplett hakt. Deshalb wollte ich auch eine SSH verbindung aufbauen.

Dann nimm halt tshark. face-wink

Liebe Grüße

Erik
Mitglied: 8030021182
8030021182 Nov 23, 2023 updated at 09:18:56 (UTC)
Goto Top
Und prüfen ob da nicht doch noch eine andere Firewall auf der Kiste läuft, denn das firewalld laut Screenshot keine Config hat könnte sein das eine andere noch aktiv ist. Ergo mal abgrasen mit ...
  • iptables -S
  • ip6tables -S
  • nft show ruleset
  • ufw status
  • ...
Member: DarkZoneSD
DarkZoneSD Nov 23, 2023 at 09:26:32 (UTC)
Goto Top
Zitat von @8030021182:

Und prüfen ob da nicht doch noch eine andere Firewall auf der Kiste läuft, denn das firewalld laut Screenshot keine Config hat könnte sein das eine andere noch aktiv ist. Ergo mal abgrasen mit ...
  • iptables -S
unify@linux-5hun:/var/log> iptables -S | grep 22
-A input_ext -i tun+ -p tcp -m tcp --dport 22 -j ACCEPT
* ip6tables -S
  • nft show ruleset
Nicht installiert
* ufw status
Nicht installiert
Mitglied: 8030021182
Solution 8030021182 Nov 23, 2023 updated at 09:36:02 (UTC)
Goto Top
Zitat von @DarkZoneSD:
unify@linux-5hun:/var/log> iptables -S | grep 22
-A input_ext -i tun+ -p tcp -m tcp --dport 22 -j ACCEPT
Na bitte da hast du's, mit der Regel ist SSH nur über die Tunnel-Interfaces zugelassen.
Den Rest an Regeln sehen wir ja leider nicht wenn du grepst 🤐.
Also mal alle Regeln flushen und du wirst sehen das es dann fluppt 😉
iptables -F
iptables -X
iptables -P INPUT ACCEPT
Member: DarkZoneSD
DarkZoneSD Nov 23, 2023 at 09:38:31 (UTC)
Goto Top
success

👍👍

Dankeschön face-smile
Mitglied: 8030021182
8030021182 Nov 23, 2023 at 09:39:55 (UTC)
Goto Top
🤙 🤗