ubuntuusers.de

Per SSH aus zweitem Netz nicht erreichbar

Status: Ungelöst | Ubuntu-Version: Ubuntu 9.10 (Karmic Koala)
Antworten |

MoRToK

Anmeldungsdatum:
23. April 2010

Beiträge: 25

Hallo zusammen,

wir haben unser Netzwerk neu strukturiert bzw. ergänzt.

Unser altes Netzwerk ist per Firewall mit dem neuen Netzwerk verbunden(IP-Bereich 10.145.0.X und 10.145.1.X). Im alten Netz befindet sich mein Linuxserver(Intranet) und läuft munter vor sich hin.

Aus dem neuen Netz ist dieser ohne Probleme per HTTP erreichbar, allerdings nicht per SSH oder Ping und ich weiss nicht warum.

An der Einstellung in der Firewall liegt es nicht da der Datenverkehr zwischen beiden Netzen komplett freigegen ist. Daher vermute ich eine Einstellung am Server. Nur welche?

Weiss jemand Rat?

LG, MoRToK

GoreToffel

Anmeldungsdatum:
30. April 2008

Beiträge: 55

Ich hab nicht wirklich viel Ahnung, aber eine Sache, die mir einfällt, ist der tcpwrapper...guck mal deine /etc/hosts.allow und /etc/hosts.deny an, ob da was drin steht, dass das auslösen könnte (für die Syntax: "man hosts_access").

Alternativ könnte auch ein ping-Versuch mit einem anschließenden Blick in die /var/log/syslog, v.a. des Servers weiterhelfen.

MoRToK

(Themenstarter)

Anmeldungsdatum:
23. April 2010

Beiträge: 25

Danke für die Antwort.

/etc/hosts.allow und /etc/hosts.deny sind beide ohne Einträge.

Ein Ping bringt nur eine Zeitüberschreibung und das Log zeigt auch nichts.

moelledi

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 86

Moin MoRToK!

Hast du schon die "-v"-Schalter für ssh eingesetzt? Kann man auch mehrfach einsetzen, ssh wird dann immer geschwätziger.

Frohes Schaffen!

nbkr

Avatar von nbkr

Anmeldungsdatum:
29. Oktober 2007

Beiträge: 1936

Wohnort: Aschaffenburg

MoRToK schrieb:

An der Einstellung in der Firewall liegt es nicht da der Datenverkehr zwischen beiden Netzen komplett freigegen ist. Daher vermute ich eine Einstellung am Server. Nur welche?

Könnte an iptables am Server selbst liegen. Die Einstellungen kannst du dir mit

iptables -L -v

ansehen. Auch über /etc/hosts.deny und /etc/hosts.allow lässt sich sowas einstellen.

MoRToK

(Themenstarter)

Anmeldungsdatum:
23. April 2010

Beiträge: 25

Nein, habe ich bestimmt nicht.

Muss ich den Schalter auf dem Server setzen? Wenn ja, wo? ☺

MoRToK

(Themenstarter)

Anmeldungsdatum:
23. April 2010

Beiträge: 25

root@intranet:/# iptables -L -v
Chain INPUT (policy ACCEPT 5849K packets, 1482M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 4835K packets, 2297M bytes)
 pkts bytes target     prot opt in     out     source               destination

Mehr kommt nicht... Und wie gesagt, /etc/hosts.allow und /etc/hosts.deny sind beide ohne Einträge.

nbkr

Avatar von nbkr

Anmeldungsdatum:
29. Oktober 2007

Beiträge: 1936

Wohnort: Aschaffenburg

Auf dem Server wird also nichts blockiert, Routing passt auch, denn sonst würde http nicht gehen. Zeig mal die Konfiguration der Firewall, das muss dort klemmen.

MoRToK

(Themenstarter)

Anmeldungsdatum:
23. April 2010

Beiträge: 25

Hier die (grafische) Einstellung der Firewall:

http://up.picr.de/7148230ddj.gif

Jeder Dienst bzw. Protokoll sind freigegeben, dafür steht das "any".

Oder meinst Du die Firewall auf dem Server? Da das Teil nur im internen Netz erreichbar ist, habe ich dort keine installiert. Es sei denn das passiert bei der Installation automatisch.

nbkr

Avatar von nbkr

Anmeldungsdatum:
29. Oktober 2007

Beiträge: 1936

Wohnort: Aschaffenburg

Was für eine Firewall ist das, gibt es da auch eine nicht grafische Anzeige?

Kannst du ein tcpdump auf beiden Maschine machen um zu sehen was ankommt und was abgeschickt wird?

MoRToK

(Themenstarter)

Anmeldungsdatum:
23. April 2010

Beiträge: 25

Das ist ein Astaro Security Gate 120 Version 8 (ASG120).

Habe die erst kurz im Einsatz. Ob es eine Konsole gibt weiss ich nicht. Bisher läuft alles gut mit der grafischen Oberfläche.

Keine Ahnung wie ich einen TCP-Dump durchführen kann.

nbkr

Avatar von nbkr

Anmeldungsdatum:
29. Oktober 2007

Beiträge: 1936

Wohnort: Aschaffenburg

tcpdump geht so:

Auf dem Client:

tcpdump -i interface dst ip_des_servers

Auf dem Server:

tcpdump -i interface src ip_des_clients

interface musst du natürlich durch den passenden Interfacenamen, also z.B. eth0 oder eth1 ändern. Ebenso ip_des_servers und ip_des_clients anpassen.

Anschließend vom Client zum Server pingen und eine SSH Verbindung von Client zu Server testen.

Astaros kenne ich leider auch nicht. Prinzipiell wäre es aber denkbar, dass dort noch andere Regeln eingebaut sind z.B. ICMP (ping) standardmäßig zu verwerfen. Dann würde die Firewall da doch Probleme machen.

Achja, hast du mal beim Server nachgeschaut ob sich Fehler im Log unter /var/log/messages oder /var/log/auth.log finden?

MoRToK

(Themenstarter)

Anmeldungsdatum:
23. April 2010

Beiträge: 25

Ok, danke für die Hinweise. Habs mal durchgeführt:

Pingprotokoll vom Server:

root@intranet:/# tcpdump -i eth1 src 10.145.1.101
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
12:09:38.011813 IP 10.145.1.101 > 10.145.0.89: ICMP echo request, id 512, seq 19456, length 40
12:09:43.473836 IP 10.145.1.101 > 10.145.0.89: ICMP echo request, id 512, seq 19712, length 40
12:09:48.976958 IP 10.145.1.101 > 10.145.0.89: ICMP echo request, id 512, seq 19968, length 40
12:09:53.979076 IP 10.145.1.101 > 10.145.0.89: ICMP echo request, id 512, seq 20224, length 40
4 packets captured
4 packets received by filter
0 packets dropped by kernel

Pingprotokoll vom Client:

12:11:27.879355 IP rechner.domaene.local > intranet: ICMP echo request, id 512, seq 23296, length 40
12:11:33.330770 IP rechner.domaene.local > intranet: ICMP echo request, id 512, seq 23552, length 40
12:11:38.829045 IP rechner.domaene.local > intranet: ICMP echo request, id 512, seq 23808, length 40
12:11:44.327320 IP rechner.domaene.local > intranet: ICMP echo request, id 512, seq 24064, length 40

SSHprotokoll vom Server:

root@intranet:/# tcpdump -i eth1 src 10.145.1.101
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
12:14:02.535250 IP 10.145.1.101.2590 > 10.145.0.89.ssh: Flags [S], seq 1323699038, win 64512, options [mss 1460,nop,nop,sackOK], length 0
12:14:05.524873 IP 10.145.1.101.2590 > 10.145.0.89.ssh: Flags [S], seq 1323699038, win 64512, options [mss 1460,nop,nop,sackOK], length 0
12:14:11.560706 IP 10.145.1.101.2590 > 10.145.0.89.ssh: Flags [S], seq 1323699038, win 64512, options [mss 1460,nop,nop,sackOK], length 0
3 packets captured
3 packets received by filter
0 packets dropped by kernel

SSHProtokoll vom Client:

12:13:25.561188 IP rechner.domaene.local.2598 > intranet.22: Flags [S], seq 992944672, win 64512, options [mss 1460,nop,nop,sackOK], length 0
12:13:28.482147 IP rechner.domaene.local.2598 > intranet.22: Flags [S], seq 992944672, win 64512, options [mss 1460,nop,nop,sackOK], length 0
12:13:34.417785 IP rechner.domaene.local.2598 > intranet.22: Flags [S], seq 992944672, win 64512, options [mss 1460,nop,nop,sackOK], length 0

Ping wird von der Firewall nicht geblockt. Die Clients im alten Netz kann ich anpingen.

Hoffe das ist aussagekräftig.

MoRToK

(Themenstarter)

Anmeldungsdatum:
23. April 2010

Beiträge: 25

Im /var/log/messages habe ich folgendes gefunden:

May 20 12:09:12 localhost kernel: [30334220.080526] device eth1 entered promiscuous mode
May 20 12:13:21 localhost kernel: [30334469.324518] device eth1 left promiscuous mode
May 20 12:13:22 localhost kernel: [30334470.541535] device eth1 entered promiscuous mode
May 20 12:13:47 localhost kernel: [30334495.357520] device eth1 left promiscuous mode
May 20 12:13:51 localhost kernel: [30334499.052037] device eth1 entered promiscuous mode
May 20 12:14:35 localhost kernel: [30334543.468520] device eth1 left promiscuous mode

auth.log sehe ich nichts ungewöhnliches.

nbkr

Avatar von nbkr

Anmeldungsdatum:
29. Oktober 2007

Beiträge: 1936

Wohnort: Aschaffenburg

Also der hinweg funktioniert. Jetzt nochmal schauen ob auch die Antworten vom Server beim Client ankommen.

Auf dem Server:

tcpdump -i interface dst ip_des_clients

Auf dem Client:

tcpdump -i interface src ip_des_servers

Danach nochmal pingen / ssh versuchen.

Antworten |