Bekomme kein SSH Zugriff aus dem Netzt - Alle anderen schon

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo,
    ich habe ein kleines Problem mit dem SSH Zugang und hoffe sehr, dass ihr einem newbe helfen könnt :)
    Kurz, wie es zu meinem Problem kommt: Ich habe 2 Router in Reihe geschaltet, um besseres WLAN und mehr Anschlüsse zu haben. Nachdem ich mir einen DDNS eingerichtet habe, um auf den BananaPi mit Raspbian aus dem Internet zugreifen zu können, ist mir aufgefallen, dass mein erster (D-Link)Router nur Portweiterleitungen im eigenen Netzwerk unterstützt. Kein Problem: Pi an den ersten Router mit angeschlossen und die index.html ist auch klassisch via DDNS über Port 80 erreichbar. Wollte nun nur noch auf den Pi von meinem PC aus dem zweiten Netzwerk (aber über die DDNS) zugreifen. Ergebnis: Putty.exe: "Network error: Software caused connection abort". Komischerweise können alle meine Freunde via Putty (SSH Port: 22) über die DDNS auf den Pi zugreifen. Nur ich nicht. Komme zwar auf die Internetseite, kriege eine SSH Verbindung jedoch nur netzwerkintern. Bin ziemlich ratlos und würde mich über Lösungsvorschläge freuen.
    Würde mich auch über Resonanz freuen, ob ihr auf die Webpage kommt (Inhalt: It works...MarderPi) und ob ihr eine Loginabfrage erhaltet? Host Name dederke.ddns.net
    Mit freundlichen Grüßen, 0bs

  • Bekomme kein SSH Zugriff aus dem Netzt - Alle anderen schon? Schau mal ob du hier fündig wirst!


  • Würde mich auch über Resonanz freuen, ob ihr auf die Webpage kommt (Inhalt: It works...MarderPi) und ob ihr eine Loginabfrage erhaltet? Host Name dederke.ddns.net

    Ja, das geht und ich erhalte keine Loginabfrage.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Von wo aus willst du auf den PI zugreifen ?
    Aus dem eigenen Netz herraus oder vom Internet ?

    Nimm mal ein Android mit Juice und ohne dich in deinem WLAN anzumelden mach mal eine Verbindung.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Zweites Netzwerk? Du hast also zwei router, der erste hängt am Internet mit PI dran (port 22 offen), daran kommt ein weiterer Router angeschlossen, dran dann dein Laptop. sind beide Router im gleichen Netz?

    --
    man ist das System-Anzeigeprogramm für die Handbuchseiten von Linux.

  • Möchte auf den Pi von einem Untergeordneten Netzwerk zugreifen. Also:
    Netzwerk1: Pi + PC1
    Netzwerk2: PC2
    Möchte mit PC2 auf meinen Pi zugreifen. Mit PC1 bekomme ich zwar übers Netzwerk auf den Pi, aber nicht übers Internet. Mit JuiceSSH bekomme ich mit einer mob. Datenüb. eine Verbindung, jedoch nicht, wenn ich in einem der beiden Netzwerke bin.
    Jetzt wo ich das selber so lese hab ich ev eine Idee wieso es nicht kappt. Hengt das ganze ev mit der Portweiterleitung zusammen, dass die Antwort nicht zurück kommt?
    Verbindung:
    PC1-->Router1(Portw:Input:22->Pi:22)-->Knotenpunkt-->Router1-->Pi
    Antwort:
    Pi-->Router1-->Pi Packet drop


    Zweites Netzwerk? Du hast also zwei router, der erste hängt am Internet mit PI dran (port 22 offen), daran kommt ein weiterer Router angeschlossen, dran dann dein Laptop.{PC}


    Genau so siehts aus.


    sind beide Router im gleichen Netz?


    Nein, ich wüsste nicht wie. Hätte dann zwar vermutlich trotzdem kein Zugriff via Internet, wäre dann aber auch egal.

    Einmal editiert, zuletzt von 0bsidi4n (2. Oktober 2014 um 12:44)

  • Manche Router lassen es nicht zu das aus dem LAN herraus eine Verbindung auf den WAN Port ( DYNDNS Adresse ) gemacht wird.
    Aus dem LAN musst du die SSH Verbindung auf die IP Adresse oder den lokalen dns Namen des PI machen.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Mein Setup zuhause sieht sehr ähnlich aus:

    KABELMODEM von KabelBW mit 4 Ports im 192.168.0.0/24 Netz:
    - 2 Raspis mit 192.168.0.x IPs
    - 2 WLAN-Router von TP-Link: 192.168.1.0/24 und 192.168.2.0/24 Netz

    Von meinem PC hinter dem WLAN-Router komme ich per SSH mit meiner DynDNS IP auf meine Raspis (mit entsprechenden Portweiterleitungen im Kabelmodem).

    Was passiert, wenn Du auf Deinem Raspi "ssh dederke.ddns.net" eingibst, um dich über die DynDNS IP auf den Raspi zu verbinden? Geht das?

    Was sagt "netstat -tulpen|grep ssh"? Sowas in der Art (0.0.0.0 = "höre" auf allen verfügbaren Adressen)?
    tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 4976 3125/sshd


  • ... via DDNS über Port 80 erreichbar. ... Host Name dederke.ddns.net

    ... Komme zwar auf die Internetseite, kriege eine SSH Verbindung jedoch nur netzwerkintern. ....

    Verstehe ich das richtig, Port 80 geht über DDNS und Port 22 geht nicht über DDNS? Wenn ja, dann mach mal einen Portscan, von dort wo Port 80 geht und Port 22 nicht geht:

    Code
    sudo nmap -sS dederke.ddns.net -p22,80
    Code
    sudo nmap -sS ip250571a6.dynamic.kabel-deutschland.de -p22,80
    Code
    sudo nmap -sS 37.5.113.166 -p22,80

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (2. Oktober 2014 um 14:59)

  • Denkt doch nicht immer so kompliziert.
    Ockhams Rasiermesser !

    Vom Internet aus geht ja alles.
    Der Jung will aus seinem LAN eine Verbindung nach dederke.ddns.net machen.
    Das lässt der Router nicht zu.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.


  • Was passiert, wenn Du auf Deinem Raspi "ssh dederke.ddns.net" eingibst, um dich über die DynDNS IP auf den Raspi zu verbinden?


    Da kommt keine Antwort, aber ich kann mir auch nicht vorstellen was dabei raus kommen soll, wenn ich meinem Pi sage (über eine andere Adresse) auf sich selber zuzugreifen..? Da würde ich generell ein Packet drop erwarten...


    Was sagt "netstat -tulpen|grep ssh"?


    lauscht und schnurrt^^ Wenn der Port nicht lauschen würde, düfte ich ja auch aus dem LAN nicht rein kommen.


    Kommst du denn mit dem pc (laptop) überhaupt ins internet?


    Naklar, sonnst könnte ich hier nicht posten, auf die Website zugreifen, etc ;)


    Verstehe ich das richtig, Port 80 geht über DDNS und Port 22 geht nicht über DDNS?


    Naja, geht anscheinend bei allen, nur nicht bei mir. Die beiden Ports sind natürlich offen.

    Code
    PORT   STATE SERVICE
    22/tcp open  ssh
    80/tcp open  http


    Vom Internet aus geht ja alles.
    Der Jung will aus seinem LAN eine Verbindung nach dederke.ddns.net machen.
    Das lässt der Router nicht zu.


    Ich glaube wir sprechen an einander vorbei. Ich versuche aus dem Internet mit SSH auf den Pi zuzugreifen. Das HTTP nach dederke.ddns.net wird vom Router zugelassen, wieso sollte das bei SSH nicht der Fall sein?


  • Ich versuche aus dem Internet mit SSH ...

    Ich denke hier musst Du noch präzisieren, was genau Du mit Internet meinst. Wenn Du in deinem (W)LAN dederke.ddns.net oder die externe/öffentliche IPv4-Adresse benutzt, dann ist das kein Zugriff aus dem Internet. Wenn Du an einem fremden Internetanschluss, dederke.ddns.net oder deine externe IPv4-Adresse benutzt, dann ist das ein Zugriff aus dem Internet. Was ist bei dir der Fall?

    EDIT:

    Wenn z. B. beide IP-Adressen identisch sind, dann bist Du höchst wahrscheinlich in deinem (W)LAN und nicht an einem fremden Internetanschluss (... wie alle deine Freunde):

    Code
    dig +short myip.opendns.com @208.67.222.222 && dig +short dederke.ddns.net

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (2. Oktober 2014 um 16:40)

  • Ich denke hier musst Du noch präzisieren, was genau Du mit Internet meinst. Wenn Du in deinem (W)LAN dederke.ddns.net oder die externe/öffentliche IPv4-Adresse benutzt, dann ist das kein Zugriff aus dem Internet. Wenn Du an einem fremden Internetanschluss, dederke.ddns.net oder deine externe IPv4-Adresse benutzt, dann ist das ein Zugriff aus dem Internet. Was ist bei dir der Fall?

    EDIT:

    Wenn z. B. beide IP-Adressen identisch sind, dann bist Du höchst wahrscheinlich in deinem (W)LAN und nicht an einem fremden Internetanschluss:

    Code
    dig +short myip.opendns.com @208.67.222.222 && dig +short dederke.ddns.net

    Tut mir leid, das scheine ich falsch verstanden zu haben. Dachte, da gäbe es keinen Unterschied. Ich versuche aus dem LAN zuzugreifen.
    Wieso unterbindet der Router das denn und was kann man dagegen tun?


  • Wieso unterbindet der Router das denn und was kann man dagegen tun?


    OK, Du bist im LAN. Stimmt es, dass der Router aus dem LAN, nur ssh (Port 22) unterbindet und http (Port 80) nicht.

    Siehe z. B. auch die Ausgabe von tcpdump:

    Code
    sudo tcpdump -vvveni any port 22 or port 80

    Evtl. macht der http-Client im Vergleich zum ssh-Client, im LAN eine andere Namensauflösung für dederke.ddns.net.

    EDIT:

    Du könntest einen Router benutzen, bei dem Du Ausnahmen für "DNS-Rebind-Schutz" konfigurieren kannst oder einen Router benutzen, der "Hairpin NAT" macht.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (2. Oktober 2014 um 16:51)


  • Tut mir leid, das scheine ich falsch verstanden zu haben. Dachte, da gäbe es keinen Unterschied. Ich versuche aus dem LAN zuzugreifen.
    Wieso unterbindet der Router das denn und was kann man dagegen tun?


    Das -> hier <- schon probiert?
    Ansonsten macht es keinen Sinn aus dem LAN über das Gateway zurück ins LAN und dann zum RPi.
    Das weiß auch das TCP/IP ... und geht den kürzesten Weg ...
    cu,
    -ds-

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!