SSH zu internem Server / Zu blöd dazu

axelg · June 19, 2013 at 6:21 PM

Hallo,

ich benutze die EFW in der Version 2.5. Übliche Dinge gelingen, wie VPN usw. Jetzt möchte ich von extern einen SSH Tunnel zu einem Server im grünen Netz aufbauen, auf dem ein SSH Server läuft, der aber nicht auf dem Standardport lauscht, sondern auf 40022.

Jetzt habe ich versucht ein Portforwarding einzurichten: eingehend alle IPs, Port 40022, TCP weiterleiten auf 192.168.1.1 Port 40022.

In den Firewall Logs sehe ich INPUT:DROP von der IPAdresse, von der ich den Tunnel aufbauen will. Ich sehe auch, der ausgehende Port ändert sich immer wieder und wird nicht akzeptiert.

Wahrscheinlich stehe ich einfach auf der Leitung, vielleicht kann ja hier jemand helfen.

Grüße

Axel

P.S. SSH zur EFW geht

Sabine · June 19, 2013 at 7:05 PM Official Post

Hallo,
hast du die Portweiterleitung von“ Uplink main-IP Alle bekannten „ gemacht ?

Mach mal eine Screenshot, damit ich sehen kann wie du das gemacht hast.

Gruß Sabine

axelg · June 20, 2013 at 7:10 AM

Hallo Sabine,

Danke für die schnelle Antwort, im Anhang der Screenshot. Neustart der Endian hat auch nichts gebracht. Grüße

Axel

Sabine · June 20, 2013 at 7:12 AM Official Post

Moin,
du hast unter " Eingehender Port " nichts eingetragen !

axelg · June 20, 2013 at 7:46 AM

Hallo Sabine,

habe ich auch schon probiert. Mein Rechner, der von aussen zugreift nimmt aber immer einen anderen Port, sodass im Log dann sowas kommt:

Gruß

Axel

Sabine · June 20, 2013 at 7:55 AM Official Post

Ohne " Eingehender Port " geht das nicht . . .
Der ankommende Source Port ist egal, du siehst ja das er auf Port 40022 will . . .

Hast du mal einen Neustart gemacht ?

axelg · June 20, 2013 at 8:31 AM

Hi,

habe den eingehenden Port auf 40022 gesetzt, Neustart gemacht, weiterhin INPUT:DROP
Das sieht aus, als ob die Pakete schon direkt bei Ankunft verworfen werden. Leider bin ich kein Spezialist, was das angeht.

Grüße

Axel

Sabine · June 20, 2013 at 8:34 AM Official Post

Lösch die Regel mal und mach einen Neustart, dann machst du die Regel noch mal neu !

Es sieht so aus als wenn die Pakete in SPI System hängen bleiben, die werden wohl bei Endian automatisch gesetzt . . . . .und manchmal geht das in die Hose . .

axelg · June 20, 2013 at 9:01 AM

Hi,

Regel gelöscht, neu gestartet, Regel neu angelegt, neu gestartet, Ergebnis:

Hmmm
Gruß

Axel

Sabine · June 20, 2013 at 9:07 AM Official Post

Oh, sehe gerade bei " IP einfügen " muss die Ip vom Rechner hin den du erreichen willst !

Der Rechner hatt wohl eine andere IP, Oder ?

axelg · June 20, 2013 at 9:16 AM

Vielleicht bin ich doch zu blöd:

ich will, von aussen kommend per ssh auf den Server mit der internen IP 10.200.84.231. Dort auf Port 40022 . Meine externe IP ist die 95.131.98.xxx

Was meint denn "Zugriff von"? Vielleicht habe ich ein Verständnisproblem.

Sabine · June 20, 2013 at 9:31 AM Official Post

Quote

ich will, von aussen kommend per ssh auf den Server mit der internen IP 10.200.84.231. Dort auf Port 40022

Das ist schon richtig so .. .

Was mich jetzt noch wunder ist das du Extern die 95.131.98.xxx hast und das Paket auf 91.45.8.xx aufschlägt . .

axelg · June 20, 2013 at 9:50 AM

91.45.8.xx ist meine IP, von der ich per ssh Client auf den ssh Server zugreifen will.

Sabine · June 20, 2013 at 10:21 AM Official Post

Müsste eigentlich so aussehen bei dir . .
Wo bei ich mir bei " Zugriff von Quelltyp nicht ganz sicher bin . . . .sieht hier auf der 2.5 Enterprise etwas anders aus.

axelg · June 20, 2013 at 11:39 AM

Hi,

ich habe die Einstellungen von Deinem Bild übernommen. Wenn ich "Gestatten mit IPS" auswähle, sehe ich keine "DROP" mehr, komme aber auch nicht weiter.

Bei nur "Gestatten" habe ich wieder das da:

Ratlos

Sabine · June 20, 2013 at 12:14 PM Official Post

Schalte mal unten das Protokoll ein !
Dann siehst du ob es an die IP an den Server weiter geht.

Bei mir sieht das halt anders aus . . .

axelg · June 20, 2013 at 12:45 PM

Hi,

hab das Log aktiviert: Jetzt sehe ich "PORTFWACCESS:ACCEPT:1 TCP " , aber immer noch keine Reaktion auf dem SSH Server.

Hmmm

Sabine · June 20, 2013 at 1:09 PM Official Post

Ahhhh, jetzt geht es durch ! ! . . 8-)

Jetzt liegt es an deinem Server . .
Kommst du von deinem Rechner ( Intern ) mit dem Port 40022 auf den Server ?

axelg · June 21, 2013 at 9:00 AM

Guten Morgen, bin wieder dran:

Sabine: Erst mal vielen Dank für die Betreuung gestern. Einen Schritt weiter bin ich jetzt schon.

Aber:Im internen Netz kann ich mich per ssh auf Port 22 verbinden. Nur raus komme ich nicht. Ich habe jetzt die ausgehende Firewall aktiviert und für den ssh Server alle ausgehenden Ports erlaubt, ohne Erfolg. Ich habe so den Eindruck, daß der "Rückweg" nicht gefunden wird. Hat noch jemand eine Idee?

Grüße

Axel

axelg · June 21, 2013 at 9:30 AM

So, Problem weiter eingegrenzt: Ich habe noch einen anderen Standort via VPN angeschlossen. Ein tracert vom ssh Server zeigt mir, daß die Verbindung nicht durch die lokale EFW rausgeht, sondern die entfernte, die als VPN-Server für die lokale EFW dient. Sollte eigentlich nicht passieren. Jetzt muß ich dort weitersuchen.