Konfiguration von ssh-Client und sshd-Server überprüfen

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Konfiguration von ssh-Client und sshd-Server überprüfen? Schau mal ob du hier fündig wirst!


  • alles hat hier begonnen:

    Für den Zugriff per ssh über das Internet, nutzt Du dafür einen anderen Internetanschluss, oder versuchst Du es von deinem Internetanschluss mit dem Hostnamen von NOIP?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample


  • Andere Internetanschluss hätte ich am Handy ...

    Wenn Du den "richtigen/geeigneten" ssh-Client auf deinem Handy hast, dann kannst es auch vom Handy versuchen.
    Vom eigenen Internetanschluss mit der externen IPv4-Adresse (d. h. hier auch mit dem Hostnamen von NOIP), geht es nur wenn der Router hairpin-NAT (oder gleichwertig; es gibt auch andere Bezeichnungen für diese Eigenschaft/Funktion) kann.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Zitat

    Wenn Du den "richtigen/geeigneten" ssh-Client auf deinem Handy hast, dann kannst es auch vom Handy versuchen.
    Vom eigenen Internetanschluss mit der externen IPv4-Adresse (d. h. hier auch mit dem Hostnamen von NOIP), geht es nur wenn der Router hairpin-NAT (oder gleichwertig; es gibt auch andere Bezeichnungen für diese Eigenschaft/Funktion) kann.


    Okay ich habe keinen ssh-Client auf dem Handy (Blackberry Passport) :s

    Mein Router ist eine EasyBox 904 von Vodafone, in der mitgelieferten Anleitung steht leider nichts über hairpin-NAT.


  • Mein Router ist eine EasyBox 904 von Vodafone, in der mitgelieferten Anleitung steht leider nichts über hairpin-NAT.

    Ja, das wird kaum bei einem Router, in der Anleitung zu lesen sein. Teste mal ob Du aus dem (W)LAN von deinem PI, mit nc und dig über deine externe IPv4-Adresse, die TCP-Ports 22 und 53 deines Routers erreichen kannst:

    Code
    dig +tcp +short heise.de @interne-IPv4-Adresse-Router
    dig +tcp +short heise.de @externe-IPv4-Adresse
    nc -v -n -z -w 1 externe-IPv4-Adresse 22
    nc -v -n -z -w 1 externe-IPv4-Adresse 53


    (oder gleichwertig).

    BTW: Warum willst Du aus deinem (W)LAN, deinen PI über die externe IPv4-Adresse erreichen und nicht über seine interne IP-Adresse?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Zitat


    Ja, das wird kaum bei einem Router, in der Anleitung zu lesen sein. Teste mal ob Du aus dem (W)LAN von deinem PI, mit nc und dig über deine externe IPv4-Adresse, die TCP-Ports 22 und 53 deines Routers erreichen kannst:

    Code
    dig +tcp +short heise.de @interne-IPv4-Adresse-Router
    dig +tcp +short heise.de @externe-IPv4-Adresse
    nc -v -n -z -w 1 externe-IPv4-Adresse 22
    nc -v -n -z -w 1 externe-IPv4-Adresse 53


    (oder gleichwertig).


    Ok probiere ich heute Abend wenn ich zu Hause bin aus.


    Zitat


    BTW: Warum willst Du aus deinem (W)LAN, deinen PI über die externe IPv4-Adresse erreichen und nicht über seine interne IP-Adresse?


    Ist mir eigentlich egal wie, hauptsache ich erreiche den Server übers Internet, wusste nicht wie es anders gehen sollte. Wenn du mir erklärst wie es mit der internen IP geht und es dadurch einfach wird und es wahrscheinlicher ist, dass es funktioniert, dann immer her damit :D


  • ..., hauptsache ich erreiche den Server übers Internet, ...

    D. h. Du befindest dich nicht im Bereich deines (W)LANs. Mit welchem Gerät bzw. welches Betriebssystem hat das Gerät, mit dem Du deinen Server (PI) über das Internet erreichen willst?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich komme lokal auf den Pi drauf, wenn ich die lokale IP in den Browser eingebe. Nun möchte ich auch von Überall, Außerhalb darauf zugreifen können. D.h. ich möchte z.B. an den PC bei einem Freund oder in der Stadtbibliothek über Firefox auf den Server zugreifen, da ich ein Mediawiki auf dem Pi laufen habe.


  • ... den PC bei einem Freund oder in der Stadtbibliothek über Firefox auf den Server zugreifen, da ich ein Mediawiki auf dem Pi laufen habe.

    OK, d. h. wenn Du auf deinem PI die Server so konfiguriert hast, dass der Zugriff nicht nur lokal bzw. nicht nur aus dem (W)LAN möglich ist, (z. B. wie für den Port 22:

    Code
    tcp        0      0 0.0.0.0:22              0.0.0.0:*    LISTEN      0          8084        450/sshd


    auf deinem PI,) dann brauchst Du nur noch die entsprechenden Portweiterleitungen in deinem Router zu konfigurieren.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (8. Oktober 2015 um 13:05)

  • Zitat

    OK, d. h. wenn Du auf deinem PI die Server so konfiguriert hast, dass der Zugriff nicht nur lokal bzw. nicht nur aus dem (W)LAN möglich ist


    Was müsste ich denn eingestellt haben damit der Zugriff nicht nur Lokal möglich ist ? Und woran sehe ich das ?

    Zitat

    dann brauchst Du nur noch die entsprechenden Portweiterleitungen in deinem Router zu konfigurieren.


    Ich dachte das habe ich schon ? (siehe Anhang)
    Oder jetzt extra wie bei den angezeigten Ports noch Port 8084 hinzufügen ?


  • Was müsste ich denn eingestellt haben damit der Zugriff nicht nur Lokal möglich ist ?


    Das ist auch von der Art und Weise abhängig, wie der entsprechende Server konfiguriert wird.


    Und woran sehe ich das ?

    U. a. kann man das auch in der Ausgabe von "sudo netstat -tulpen" sehen. Z. B. nur lokaler Zugriff:

    Code
    tcp        0      0 127.0.0.1:3306          0.0.0.0:*     LISTEN      110        9223        1025/mysqld


    und hier Zugriff auch aus dem Internet möglich:

    Code
    tcp        0      0 0.0.0.0:22              0.0.0.0:*    LISTEN      0          8099        451/sshd

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ok
    Wie gehe ich jetzt weiter vor?
    Erstmal abwarten bis ich zu Hause bin und

    Code
    dig +tcp +short heise.de @interne-IPv4-Adresse-Router
     dig +tcp +short heise.de @externe-IPv4-Adresse
    nc -v -n -z -w 1 externe-IPv4-Adresse 22
    nc -v -n -z -w 1 externe-IPv4-Adresse 53


    eintickern kann ?
    Oder sollte ich dann noch was machen?


  • ... eintickern kann ?

    Nein, denn das ist inzwischen geklärt.


    Oder sollte ich dann noch was machen?

    Du solltest dich m. E., ausführlich und intensiv/gründlich mit der Konfiguration deiner Server/Dienste beschäftigen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich inzwischen ein bisschen undurchsichtig, was der Stand ist.
    * Dein Pi ist lokal erreichbar und wenn du per Firefox die IP deines Pi eingibst, dann siehst du Mediawiki?
    * Was zeigt des LOKAL an, wenn du auf <IP>:8080 gehst?
    * Sind die Portweiterleitungen noch so wie auf dem Screenshot? Dort leitest du 80/81 auf 8080 weiter, dein Webserver horcht also auf 8080? Dann müsstest du immer mit <IP>:8080 auf dein Wiki zugreifen.
    * Die Standard-Konfigurationen deiner Dienste sind von außen erreichbar, da sollte kein Problem bestehen. (Der MySQL-Server ist nur lokal erreichbar, das ist auch gut so!)
    * Ganz Unrecht hat rpi444 auch nicht, wenn man einen Server aufsetzt der von außen erreichbar ist, sollte man gut wissen was man tut.

    Einmal editiert, zuletzt von Horroreyes (9. Oktober 2015 um 11:33)

  • Zitat

    * Dein Pi ist lokal erreichbar und wenn du per Firefox die IP deines Pi eingibst, dann siehst du Mediawiki?

    Genau


    Zitat

    * Was zeigt des LOKAL an, wenn du auf <IP>:8080 gehst?


    Teste ich heute Abend!
    Edit: Geht nicht,:Firefox kann keine Verbindung zu dem Server unter 192.168.2.120:8080 aufbauen..

    Zitat

    * Sind die Portweiterleitungen noch so wie auf dem Screenshot? Dort leitest du 80/81 auf 8080 weiter, dein Webserver horcht also auf 8080? Dann müsstest du immer mit <IP>:8080 auf dein Wiki zugreifen.


    Ja sind noch genau so wie auf dem Screenshot


    Zitat

    * Ganz Unrecht hat rpi444 auch nicht, wenn man einen Server aufsetzt der von außen erreichbar ist, sollte man gut wissen was man tut.

    Läuft bloß Mediawiki drauf, um die Sicherheit kümmere ich mich wenn es Online ist :thumbs1:

    Einmal editiert, zuletzt von Taobyebye (9. Oktober 2015 um 18:28)

  • Dann ist vermutlich das Problem die erste Zeile (im Screenshot) deiner Portweiterleitungen. Du leitest Port 80 (und 81) von außen auf Port 8080 auf deinem Raspberry weiter. Der Port 8080 tut aber nichts. mach daraus eine 80 und es sollte funktionieren.


  • Habe ich soeben getan, einfach mal 8080 und 80 einzeln.
    Hat leider nicht geholfen :(

    Lt. deinem "sudo netstat -tulpen" von:

    ps915
    14. September 2012 um 14:36

    lauscht dein PI beim Port 80, nur mit tcp6 (d. h. mit IPv6):

    Code
    Active Internet connections (only servers)
    Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
    tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      110        9210        1026/mysqld
    tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          8084        450/sshd
    tcp6       0      0 :::80                   :::*                    LISTEN      0          8814        751/apache2
    tcp6       0      0 :::22                   :::*                    LISTEN      0          8128        450/sshd


    und auf dem tcp-Port 8080 wird nicht gelauscht.
    Wie ist jetzt, auf deinem PI die Ausgabe von:

    Code
    sudo netstat -tulpen


    ?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (11. Oktober 2015 um 09:48)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!