Zugriff auf SSH und Web Interface aus externen Netzen

  • Hallo Leute,

    meine Pi weigert sich SSH Verbindungen aus dem Internet entgegen zu nehmen.
    Ich habe bereits eine Portweiterleitung in meiner Fritzbox eingerichtet für die entsprechenden Ports und eine Ausnahme in secure-rmc eingetragen.
    Folgende Anleitung habe ich benutzt:
    http://exdc.net/2013/02/16/kur…d-ssh-uber-wan/

    Ich habe auch schon versucht die Firewall in Raspbmc zu deaktivieren. Funktioniert leider alles nicht. Was könnte ich noch versuchen?:denker:

  • Zugriff auf SSH und Web Interface aus externen Netzen? Schau mal ob du hier fündig wirst!


  • ... aus dem Internet ...


    Hast Du es von einem fremden Internetanschluss versucht oder vom eigenen Internetanschluss?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample


  • Sowohl als auch..


    OK. Dann schau mal auf dem Pi, ob der sshd am konfigurierten Port lauscht und mach mal aus dem Internet (von einem fremden Internetanschluss) einen Portscan (oder gleichwertig) auf die externe (öffentliche IP-Adresse deines Routers) und den lauschenden Port des sshd auf den Pi. Z. B.:

    Code
    sudo nmap -sS <ext.-IPv4-Adresse-Router> -p<lauschender-Port-des-sshd-auf-dem-Pi>

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (3. April 2014 um 13:08)

  • Habe ich gemacht. Der SSH Port 22 wird mir als nicht geöffnet angezeigt:-/
    Ich habe aber definitiv eine Weiterleitung eingetragen:no_sad:
    Edit: bzw ist auf Port 22 ein Timeout..
    Heißt das er ist geöffnet?

    Einmal editiert, zuletzt von vossi91 (3. April 2014 um 15:16)

  • Da gibts keine Probleme.. ich habe glaube so um die 5 Weiterleitungen die bisher Prima funktioniert haben. Keine davon ist auf 80.
    Mit der externen IP funktioniert es leider auch nicht. Schon getestet :/

  • Dann kann es eigentlich nur an der Portweiterleitung liegen da du ja im internen Netz per SSH verbinden kannst.
    Dem Raspberry ist es vollkommen egal ob dein PC im Netzwerk ist oder do über deinen Router ins Netzwerk geroutet wirst - entweder nimmt er die Verbindung an oder er lässt es. Jedenfalls falls du nichts besonderes umkonfiguriert hast.

    Prüfe also die Portweiterleitung mal genauer. Kannst du vielleicht ein Bild Hochladen der Config?

  • Lass die nmap Prüfung mal einen Freund machen... Also nicht du bei dir lokal sondern jemand externes

    Desweiteren würde ich mal vermuten das deine Firtzbox irgendeinen Schutz wie ICMP aktiviert hat, das würde zB auch pings auf deine Internetip blocken


    PS: Bitte nutzt als externen Port etwas anderes als den Standardport!

  • Port wird als gefiltert ausgegeben..

    Ja ICMP ist geblockt, aber inwiefern brauch man das für SSH?:-/

    Starting Nmap 6.40-2 ( http://nmap.org ) at 2014-04-03 16:35 CEST
    Nmap scan report for hostname.selfhost.me (xx.xxx.xxx.xxx)
    Host is up (0.037s latency).
    rDNS record for zielhost:
    PORT STATE SERVICE
    22/tcp filtered ssh


  • Okay ...


    Poste mal aus der Konsole deines Pi, die Ausgaben von:

    Code
    sudo iptables-save
    sudo ss -inputeam | grep -i sshd

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • @raspbmc:~$ sudo iptables-save
    # Generated by iptables-save v1.4.14 on Thu Apr 3 22:06:37 2014
    *mangle
    :PREROUTING ACCEPT [4260:1814334]
    :INPUT ACCEPT [4259:1813758]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [2262:186457]
    :POSTROUTING ACCEPT [2385:208742]
    COMMIT
    # Completed on Thu Apr 3 22:06:37 2014
    # Generated by iptables-save v1.4.14 on Thu Apr 3 22:06:37 2014
    *nat
    :PREROUTING ACCEPT [845:89477]
    :INPUT ACCEPT [286:43378]
    :OUTPUT ACCEPT [284:24804]
    :POSTROUTING ACCEPT [284:24804]
    COMMIT
    # Completed on Thu Apr 3 22:06:37 2014
    # Generated by iptables-save v1.4.14 on Thu Apr 3 22:06:37 2014
    *filter
    :INPUT ACCEPT [4:240]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [2269:187767]
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -s 192.168.178.0/24 -i eth0 -j ACCEPT
    -A INPUT -i eth0 -j DROP
    COMMIT
    # Completed on Thu Apr 3 22:06:37 2014
    pi@raspbmc:~$ sudo ss -inputeam | grep -i sshd
    tcp LISTEN 0 0 *:22 *:* rto:1 cwnd:10 ssthresh:0 users:(("sshd",1094,3)) ino:2890 sk:d69ff2c0
    tcp ESTAB 0 0 192.168.178.80:22 192.168.178.64:52395 timer:(keepalive,119min,0) rto:0.21 ato:0.04 cwnd:10 qack:10 bidir users:(("sshd",1954,3),("sshd",1949,3)) ino:89706 sk:d4d2f860
    tcp LISTEN 0 0 :::22 :::* rto:1 cwnd:10 users:(("sshd",1094,4)) ino:2892 sk:d68b0a80

    Ich hab da so ne Ahnung... irgendwie taucht meine iptable Freigabe nich in der Ausgabe auf :/

    Einmal editiert, zuletzt von vossi91 (3. April 2014 um 22:09)


  • Ja. Zulässig sind nur Verbindungen aus dem Subnetz 192.168.178.0/24. D. h., nicht aus dem Internet. Du musst deine iptables-Regel ändern.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Kannst du mir sagen wie ich das mache? Wie gesagt habe ich schon meine secure-rmc angepasst nach dem Tutorial aus meinem ersten post. Datei auf mit Textedit zeile rein und gespeichert.. Okay so?


  • Kannst du mir sagen wie ich das mache?


    Z. B. so:

    Code
    sudo iptables -F
    sudo iptables -t nat -F
    sudo iptables -t mangle -F
    sudo iptables -X
    sudo iptables -t nat -X
    sudo iptables -t mangle -X

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (3. April 2014 um 22:21)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!