ubuntuusers.de

ssh Tunnel über AVM

Status: Gelöst | Ubuntu-Version: Xubuntu 20.10 (Groovy Gorilla)
Antworten |

jfish

Anmeldungsdatum:
31. Mai 2011

Beiträge: Zähle...

Hallo Wissende,

ich möchte via SSH auf von Außen auf ein System "drinnen" zugreifen. Dazu habe ich auf der Fritz eine Portweiterleitung von 443 auf 22 eingerichtet. Die Fritz hatte den 443 serienmäßig offen. Zuvor hatte ich es auch mit einen 50000er Port probiert ohne Ergebnis. Mit nmap sehe ich die offenen Ports meiner öffentl.-IP, wobei ich den 50000er Port nie gesehen habe. Deswegen nutze ich den schon offenen 443. Das ist mein Aufruf "ssh -R 443:xxx.xxx.xxx.xxx:22 ich@10.0.0.2". Am Ziel sehe ich mit tcpdump keine Pakete ankommen. Passt meine Syntax für SSH zu den Zweck?

Dankeschön

Thomas_Do Team-Icon

Moderator
Avatar von Thomas_Do

Anmeldungsdatum:
24. November 2009

Beiträge: 8808

Ich denke der Befehl (von außen) sollte ungefähr so aussehen:

ssh ich@xxx.xxx.xxx.xx -p 443

In der Fritzbox muss die Portweiterleitung dann auf den lokalen Rechner (10.0.0.2?) und Port 22 eingerichtet werden.

Chemnitzsurfer

Anmeldungsdatum:
26. April 2011

Beiträge: 882

Wohnort: Chemnitz

Eine echte IP4-Adresse ist vorhanden und nicht nur DS-Lite?

jfish

(Themenstarter)

Anmeldungsdatum:
31. Mai 2011

Beiträge: 8

Danke für eine Eure schnelle Antwort. Das ist IPv4 mit guten vdsl. Das Forwarding auf der Fritz ist nur für v4 freigegeben. Hier der Output: Laut Doku sollte die AVM-Einstellung passen, aber es sieht so aus als ob keine Pakete durchkommen.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
PS C:\WINDOWS\system32> ssh kiter@xxx.xxx.xxx.xxx -p 443 -v
ssh : OpenSSH_for_Windows_7.7p1, LibreSSL 2.6.5
In Zeile:1 Zeichen:1
+ ssh kiter@xxx.xxx.xxx.xxx -p 443 -v
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (OpenSSH_for_Win... LibreSSL 2.6.5:String) [], RemoteException
    + FullyQualifiedErrorId : NativeCommandError
 
debug1: Connecting to xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx] port 443.
debug1: Connection established.
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\jfischer1/.ssh/id_rsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\jfischer1/.ssh/id_rsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\jfischer1/.ssh/id_dsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\jfischer1/.ssh/id_dsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\jfischer1/.ssh/id_ecdsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\jfischer1/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\jfischer1/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\jfischer1/.ssh/id_ed25519-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\jfischer1/.ssh/id_xmss type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\jfischer1/.ssh/id_xmss-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_for_Windows_7.7
ssh_exchange_identification: read: Connection timed out

Prüfung am Ziel

1
2
kiter@lenux:~$ sudo tcpdump -v -i enp9s0 port 22 and dst 10.0.0.1
tcpdump: listening on enp9s0, link-type EN10MB (Ethernet), capture size 262144 bytes

Hier ein Teil des nmap-outputs von Außen geprüft.

Scanning blablabla.de (xxx.xxx.xxx.xxx) [1000 ports]
Discovered open port 443/tcp on xxx.xxx.xxx.xxx
Discovered open port 80/tcp on xxx.xxx.xxx.xxx
Discovered open port 21/tcp on xxx.xxx.xxx.xxx
Discovered open port 8010/tcp on xxx.xxx.xxx.xxx
Discovered open port 8008/tcp on xxx.xxx.xxx.xxx
Completed SYN Stealth Scan at 11:21, 4.57s elapsed (1000 total ports)

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14347

jfish schrieb:

1
2
kiter@lenux:~$ sudo tcpdump -v -i enp9s0 port 22 and dst 10.0.0.1
tcpdump: listening on enp9s0, link-type EN10MB (Ethernet), capture size 262144 bytes

Welche IP-Adresse hat das Gerät auf dem am Port 22 gelauscht wird?

Versuch mal dort mit:

sudo tcpdump -c 30 -vvveni enp9s0 port 22

Konfiguriere deine FritzBox so, dass diese selber, nicht auf dem Port 443 lauscht.

Discovered open port 443/tcp on xxx.xxx.xxx.xxx
Die Fritz hatte den 443 serienmäßig offen. 

jfish

(Themenstarter)

Anmeldungsdatum:
31. Mai 2011

Beiträge: 8

Intern ist das Ziel die 10.0.0.59. Eine FW am Ziel ist ausgeschlossen, da im Subnetz die Zugriffe passen. Das neue Forwarding zeigt von 55222 auf die 22. Der Aufruf und die Ausgabe hier:

nmap -p U:55222,T:55222 xxx.xxx.xxx.xxx
ssh kiter@xxx.xxx.xxx.xxx -p 55222 -v
nmap -p U:55222,T:55222 xxx.xxx.xxx.xxx
Starting Nmap 7.91 ( https://nmap.org ) at 2020-10-30 13:35 Mitteleuropäische Zeit
nmap : WARNING: Your ports include "U:" but you haven't specified UDP scan with -sU.
In Zeile:1 Zeichen:1
+ nmap -p U:55222,T:55222 xxx.xxx.xxx.xxx
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (WARNING: Your p... scan with -sU.:String) [], RemoteException
    + FullyQualifiedErrorId : NativeCommandError
Nmap scan report for blabla.de (xxx.xxx.xxx.xxx)
Host is up (0.034s latency).
PORT      STATE    SERVICE
55222/tcp filtered unknown
Nmap done: 1 IP address (1 host up) scanned in 1.23 seconds
ssh : OpenSSH_for_Windows_7.7p1, LibreSSL 2.6.5
In Zeile:2 Zeichen:1
+ ssh kiter@xxx.xxx.xxx.xxx -p 55222 -v
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (OpenSSH_for_Win... LibreSSL 2.6.5:String) [], RemoteException
    + FullyQualifiedErrorId : NativeCommandError
debug1: Connecting to xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx] port 55222.
debug1: connect to address xxx.xxx.xxx.xxx port 55222: Connection timed out
ssh: connect to host xxx.xxx.xxx.xxx port 55222: Connection timed out
Starting Nmap 7.91 ( https://nmap.org ) at 2020-10-30 13:35 Mitteleuropäische Zeit
nmap : WARNING: Your ports include "U:" but you haven't specified UDP scan with -sU.
In Zeile:3 Zeichen:1
+ nmap -p U:55222,T:55222 xxx.xxx.xxx.xxx
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (WARNING: Your p... scan with -sU.:String) [], RemoteException
    + FullyQualifiedErrorId : NativeCommandError
Nmap scan report for blabla.de (xxx.xxx.xxx.xxx)
Host is up (0.028s latency).
PORT      STATE    SERVICE
55222/tcp filtered unknown
Nmap done: 1 IP address (1 host up) scanned in 1.21 seconds

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14347

jfish schrieb:

Starting Nmap 7.91 ( https://nmap.org ) at 2020-10-30 13:35 Mitteleuropäische Zeit
nmap : WARNING: Your ports include "U:" but you haven't specified UDP scan with -sU.

Teste mal mit einem Portscan aus dem Internet (d. h. von einem fremden Internetanschluss), mit:

sudo nmap -sS <externe-IPv4-Adresse-FritzBox> -p55222

(IPv4-Adresse anpassen und ohne spitze Klammern) und auf deinem Gerät, mit:

sudo tcpdump -c 30 -vvveni enp9s0 port 22

jfish

(Themenstarter)

Anmeldungsdatum:
31. Mai 2011

Beiträge: 8

Hallo,

ich habs. Es war eine Firewall dazwischen. Die Gegenprüfung: ssh via Phone über die Fritz zum Client lief wie geölt. Was aber komisch ist, das Nmap den offenen Port nicht sieht oder muss das so sein? Das Forwarding in der Fritz, leitet den Port tcp:52222 auf die 22 weiter.

Scanning blabla.de (xxx.xxx.xxx.xxx) [1000 ports]
Discovered open port 21/tcp on xxx.xxx.xxx.xxx
Discovered open port 443/tcp on xxx.xxx.xxx.xxx
Discovered open port 80/tcp on xxx.xxx.xxx.xxx
Discovered open port 8010/tcp on xxx.xxx.xxx.xxx
Discovered open port 8008/tcp on xxx.xxx.xxx.xxx
Completed SYN Stealth Scan at 11:44, 5.29s elapsed (1000 total ports)
Antworten |