[gelöst] ssh port nicht nutzbar - connection refused - Netzwerk und Sicherheit (NICHT WLan)

das nervende Weib

18.04.2006, 19:11

[gelöst] ssh port nicht nutzbar - connection refused

Hellau,
ich verwende die Fritz Box 7050 mit festen IP[ auf den Clients.
Port 22 ist laut fritz.box in der Konfiguration freigeschaltet. Im System hab ich diesen auch freigegeben:

Auszug aus der sshd.conf:

Quellcode

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

Port 22
Protocol 2
AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

Fehler: laptop michi # ssh root@192.168.178.22
ssh: connect to host 192.168.178.22 port 22: Connection refused

Laut netstat:

	Quellcode
1	unix 2 [ ACC ] STREAM HÖRT 12053 /tmp/ssh-QzcgbP6593/agent.6593

Dann habe ich nur so einen anderen Port getestet. Der will auch nicht. Wo ist der Fehler?

Man kann nicht alles wissen, aber alles lernen!

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »monsterherz« (19.04.2006, 20:13)

Zum Seitenanfang

Nic

Fortgeschrittener

Beiträge: 202

2

18.04.2006, 19:21

Ich weiss jetzt nicht genau ob du dich als root auf dem Router anmelden willst, oder 192.168.178.22 ein zweiter Host ist, aber schau auf alle Faelle mal was nmap zu den offenen Ports spricht.

Ach ja, und erklaer bitte nochmal was genau du tun willst, und wie dein Netzwerk-Aufbau ausschaut

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Nic« (18.04.2006, 19:21)

Zum Seitenanfang

capoeira

hofnarr

Beiträge: 600

3

18.04.2006, 19:22

unix-port ist der unixdomainsocket, auch eine named pipe genannt und dient zur localen datenumleitung!!!!

du brauchst natürlich einen offenen tcp-port!!!!

mach doch mal ein /etc/init.d/ssh start

zur verdeutlichung:

localhost ~ # netstat -nap | grep ssh
unix 2 [ ACC ] STREAM LISTENING 2368351 24421/ssh-agent /tmp/ssh-tZiXS24393/agent.24393
localhost ~ # /etc/init.d/sshd start
* Starting sshd ... [ ok ]localhost ~ # netstat -nap | grep ssh
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 23555/sshd
unix 2 [ ACC ] STREAM LISTENING 2368351 24421/ssh-agent /tmp/ssh-tZiXS24393/agent.24393

.... und hier noch die zeilen meiner config dazu:

localhost ~ # grep -v "#" /etc/ssh/sshd_config

Protocol 2
PasswordAuthentication no
UsePAM yes
Subsystem sftp /usr/lib/misc/sftp-server

... der rest ist mit raute kommentiert, deshalb ja das grep

ps.: was programmierst denn schönes?

EDIT: hab erst jetzt deine aw im anderen thread gelesen

sehr empfehlenswerte lektüre: addison-wesley: linux/unix systemprogrammierung
is ein extrem mächtiges werk, eher komplex des ganze, natürlich C und ich hab die beispiele alternierend auf Linux(Gentoo) und BSD (MacOS tiger) gmacht. muß gestehen ich bin noch nicht durch damit, denn es is einfach heavy, aber genial!
btw.: hab ich auch ein bissale in perl reingeschnuppert da es wesentlich "benutzerfreundlicher" is als C

... nur ein weiterer tag im leben eines naren ...

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »capoeira« (18.04.2006, 19:28)

Zum Seitenanfang

monsterherz

das nervende Weib

Beiträge: 1 320

4

18.04.2006, 19:53

	Quellcode
1	Ach ja, und erklaer bitte nochmal was genau du tun willst, und wie dein Netzwerk-Aufbau ausschau

Ich will nur lernen .

Möchte von Client2 auf Client2 zugreifen. Nur zum Test. Da ich mit Dm über SSH auf mein System schauen wollte, und der kam auch nicht drauf. Ein Zugriff auf einen externen Host meinerseits funzt porblemls. Die IP[ sind fest vergeben. Die Fritz-Box ist ein hardware-Router mit dynamischer IP-Zuweisung vom ISP . Nur eine 24-Stunden Trennung.
Client1: Windows 2000
Client 2: Gentoo

Aber vielleicht hab ich auch wieder mal nur einen logischen Denkfehler: Daher meine Frage: ich kann doch über den Hardware-Router auf den Client zugreifen, auch wenn die abgehende IP identisch ist, oder?

Zitat

du brauchst natürlich einen offenen tcp-port!!!!

Jawoll, ist vorhanden. die Portfreigabe in der Box ist auch ziemlich einfach.
hier ein Auszug der Konfig:

Quellcode

laptop michi # /etc/init.d/sshd start
 * Starting sshd ...                                                      [ ok ]
laptop michi # netstat -nap | grep ssh
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN 8814/sshd
unix  2      [ ACC ]     STREAM     HÖRT          12053  6608/ssh-agent      /tm p/ssh-QzcgbP6593/agent.6593
laptop michi # grep -v "#" /etc/ssh/sshd_config
Port 22
Protocol 2
AddressFamily any
PasswordAuthentication no
UsePAM yes
Subsystem       sftp    /usr/lib/misc/sftp-server
laptop michi #

Zitat

hab ich auch ein bissale in perl reingeschnuppert da es wesentlich "benutzerfreundlicher" is als C

Na da muss ich erst schauen. Aber das kommt immer auf die Lektüre an. Mein Perl Buch war nicht besonders. Deshalb hab ich aufgehört.

Zitat

sehr empfehlenswerte lektüre:

Dank dir. Werd ich mir nach dem Abschluss meines derzeitgen Buches mal im Amazon anschauen.

Zitat

ps.: was programmierst denn schönes?

Noch gar nix

Aber kommt alles...

Man kann nicht alles wissen, aber alles lernen!

Zum Seitenanfang

Nic

Fortgeschrittener

Beiträge: 202

5

18.04.2006, 20:21

Also wenn ich das jetzt richtig verstanden habe, hast du ein lokales Netz mit 2 (oder mehr) PCs die ueber einen Router verbunden sind, welcher auch gleichzeitig als Gateway ins Internet fungiert, richtig?

Zitat

Daher meine Frage: ich kann doch über den Hardware-Router auf den Client zugreifen, auch wenn die abgehende IP identisch ist, oder?

Solange die Clients im LAN unterschiedliche IPs haben kannst du natuerlich interagieren. Sonst waeren lokale Netzwerke ja ziemlich schnell fuer die Katz bzw man braeuchte fuer jeden Host einen eigenen Router ins Internet, was dann aber wieder etwas am Sinn der Sache zweifeln laesst

Wie gesagt, installier am besten mal nmap, wenn du in naechster Zeit sowieso viel mit Linux/Unix und Netzwerken machen willst, wirst sowieso nicht drumrumkommen.
Und der sagt dir dann auch genau, ob denn der Port wirklich offen und erreichbar ist, oder was denn los ist.

[ot]
Perl ist fuer "quick&dirty hacks" schlichtweg nicht zu schlagen, und inzwischen dank OOP und co auch fuer groessere Projekte brauchbar. Wenns allerdings mal auf die Performance ankommt, fuehrt an C einfach nix vorbei

Zum Seitenanfang

Carminox

Vorsicht, bissig!

Beiträge: 1 057

6

18.04.2006, 20:24

Ich bis jetzt aber auch nie verstanden, was der Unterschied zwischen C und C++ sein soll, außer, dass es OOP kann...

Zum Seitenanfang

rudib

Profi

Beiträge: 773

7

18.04.2006, 20:28

Zitat

Original von capoeira
btw.: hab ich auch ein bissale in perl reingeschnuppert da es wesentlich "benutzerfreundlicher" is als C

Nix für ungut, aber: das ist Deine Meinung. Ich habe vor Jahr[zehnt]en C/C++ gelernt und mich vor einigen Jahren an Perl versucht. Einige Bücher dazu habe ich auch (halt das übliche Zeuch von Addison-Wesley). Irgendwie scheint mir die Perl-Syntax widerwärtig. Ich weiß nicht wieso - es gibt Sprachen, für die ich geradezu einen Widerwillen entwickelt habe: Basic, Fortran und insb. Perl. C und C++ haben (ich spreche aus Erfahrung) ihre bösen Fallstricke - Perl mag für Anfänger da vielleicht besser geeignet sein. Trotzdem kann ich mich für diese Sprache nicht erwärmen.

Ist wahrscheinlich alles Gewöhnungssache...

Rudi

Seien Sie vorsichtig mit Gesundheitsbüchern - Sie könnten an einem Druckfehler sterben. [Mark Twain]

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »rudib« (18.04.2006, 20:28)

Zum Seitenanfang

rudib

Profi

Beiträge: 773

8

18.04.2006, 20:30

Zitat

Original von Carminis
Ich bis jetzt aber auch nie verstanden, was der Unterschied zwischen C und C++ sein soll, außer, dass es OOP kann...

Genau das ist der Unterschied!

C++ forever!

Rudi

Seien Sie vorsichtig mit Gesundheitsbüchern - Sie könnten an einem Druckfehler sterben. [Mark Twain]

Zum Seitenanfang

monsterherz

das nervende Weib

Beiträge: 1 320

9

18.04.2006, 20:38

Zitat

Also wenn ich das jetzt richtig verstanden habe, hast du ein lokales Netz mit 2 (oder mehr) PCs die ueber einen Router verbunden sind, welcher auch gleichzeitig als Gateway ins Internet fungiert, richtig?

Ja, richtig.

Zitat

Solange die Clients im LAN unterschiedliche IPs haben kannst du natuerlich interagieren.

Da hast Du mich missverstanden. Ich möchte zum Test von Client 2 über den Router wieder zu Client 2. Aber das Routing sollte doch trotzdem nicht blockiert werden.

Hab nmap installiert:

Quellcode

laptop michi # nmap -v -sP 192.168.178.22

Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-04-18 18:36 CEST
DNS resolution of 1 IPs took 2.67s. Mode: Async [#: 2, OK: 0, NX: 1, DR: 0, SF: 0, TR: 2, CN: 0]
Host 192.168.178.22 appears to be up.
Nmap finished: 1 IP address (1 host up) scanned in 2.674 seconds
               Raw packets sent: 0 (0B) | Rcvd: 0 (0B)

Man kann nicht alles wissen, aber alles lernen!

Zum Seitenanfang

speedpidi

Fortgeschrittener

Beiträge: 175

10

18.04.2006, 20:57

Nur um Kleinigkeiten auszuschließen die config vom SSHD heißt aber /etc/ssh/sshd_config
Wie bei Capoeira im Beitrag zu sehen. Nicht das da ein Problem versteckt ist.
Weil du schreibst:

Zitat

Auszug aus der sshd.conf:

Hätte da auch nochmal ein paar Grundsätzliche Fragen.

SSHD gestartet?
Mit nem Portscanner geguckt ob der Port auch wirklich von außen offen ist?
Wenn du ein Portforwarding an deinem Router eingestellt hast für den Port 22 ist dir schon klar das die ganze Welt deinen Rechner per SSH ansprechen kann, weil für interne SSH Verbindungen wir kein Portfw am Router benötigt? (Zumindest in den meisten Fällen)
Wenn ich das jetzt richtig verstanden habe willst du von dem Rechner wo der SSH-Server läuft auf den Rechner wo der SSH-Server läuft per SSH zugreifen?
Hab das eben bei mir ausprobiert das sollte ohne ändern der Configfiles direkt funktionieren. (Wenigsten tuts das bei mir.)

Wenn du vom Windows Rechner den Linux Rechner testen willst kann ich dir die Tools Look@Lan (Portscanner) und Putty (SSH Client) empfehlen.

Dumm sind die Menschen die schlaue Zitate falsch auffassen und gegen sich verwendet sehen.
Schlaue Menschen lernen aus dummen Zitaten und verwenden sie konstruktiv.

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »speedpidi« (18.04.2006, 21:00)

Zum Seitenanfang

monsterherz

das nervende Weib

Beiträge: 1 320

11

18.04.2006, 21:11

Zitat

onfig vom SSHD heißt aber /etc/ssh/sshd_config

Ist schon o.k. - hab ich auch richtig.

Zitat

SSHD gestartet?

Ja, siehe auch den Konfigcheck nach Anregung von capoeira

Zitat

das die ganze Welt deinen Rechner per SSH ansprechen kann

Ja, dies will ich auch. Da ich ab und zu mit Kollegen an meinem System fummel.

Zitat

Wenn ich das jetzt richtig verstanden habe willst du von dem Rechner wo der SSH-Server läuft auf den Rechner wo der SSH-Server läuft per SSH zugreifen?

Ja.

Zitat

Wenn du vom Windows Rechner den Linux Rechner testen willst

Nein danke. Das ist der Rechner von meinem Mann.Da darf ich aus Sicherheitsgründen nicht mehr ran

Putty etc. kenn ich. Aber hat jemand noch ne Idee? :rolleyes:

Man kann nicht alles wissen, aber alles lernen!

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »monsterherz« (18.04.2006, 21:14)

Zum Seitenanfang

speedpidi

Fortgeschrittener

Beiträge: 175

12

18.04.2006, 21:22

Mann sollte auf alle Fälle mal kontrollieren ob der Port 22 wirklich offen und erreichbar ist.

Deine Nmap Ausgabe hilft da nicht wirklich viel weiter, da du nur den PC anpings und damit kontrollierts ob das Netzwerkinterface online ist. (Der Port 22 ist das wichtige)

PS: Bin noch am gucken nach dem Befehl um mit nmap den Port 22 zu scannen.

Dumm sind die Menschen die schlaue Zitate falsch auffassen und gegen sich verwendet sehen.
Schlaue Menschen lernen aus dummen Zitaten und verwenden sie konstruktiv.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »speedpidi« (18.04.2006, 21:23)

Zum Seitenanfang

speedpidi

Fortgeschrittener

Beiträge: 175

13

18.04.2006, 21:44

	Quellcode
1	nmap -v -p 22 192.168.1.200

Ausgabe sollte etwa so aussehen

Quellcode

 Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-04-18 21:41 CEST
DNS resolution of 0 IPs took 0.00s. Mode: Async [#: 1, OK: 0, NX: 0, DR: 0, SF: 0, TR: 0, CN:0]
Initiating SYN Stealth Scan against storage.home.net (192.168.1.200) [1 port] at 21:41
Discovered open port 22/tcp on 192.168.1.200
The SYN Stealth Scan took 0.01s to scan 1 total ports.
Host storage.home.net (192.168.1.200) appears to be up ... good.
Interesting ports on storage.home.net (192.168.1.200):
PORT STATE SERVICE
22/tcp open ssh

Nmap finished: 1 IP address (1 host up) scanned in 0.039 seconds
Raw packets sent: 1 (44B) | Rcvd: 2 (88B)

Wobei für dich eigentlich nur das interressant ist.

Zitat

22/tcp open ssh

Dumm sind die Menschen die schlaue Zitate falsch auffassen und gegen sich verwendet sehen.
Schlaue Menschen lernen aus dummen Zitaten und verwenden sie konstruktiv.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »speedpidi« (18.04.2006, 21:46)

Zum Seitenanfang

Nic

Fortgeschrittener

Beiträge: 202

14

18.04.2006, 23:15

Ich weiss jetzt nicht wie das bei der Fritzbox ist, aber normalerweise werden die Router nur eingehende WAN-Verbindungen ins LAN weiterleiten, und nicht LAN-to-LAN.

Mit anderen Worten: wenn du den Router als Mini-Rechner mit zwei Netzwerkkarten betrachtest, routet er nur von eth2(WAN) nach eth1(LAN) durch und nimmt eingehende Verbindungen auf Port 22 auf eth1 garnicht an. So ist es zumindest normalerweise wie beispielsweise bei Linksys und co. Und ob Fritz da jetzt eine Ausnahme macht wage ich zu bezweifeln. Wie schon erwaehnt duerfte hier aber ein Portscan Klarheit bringen (btw, Port 22 ist bei nmap im default scanmode drin (wie alle anderen wichtigen Services auch), somit braucht man letztendlich garkeine Optionen -> einfach "nmap 123.123.123.123").

Was du versuchen kannst, ist aber einfach nicht auf die LAN-IP per SSH zuzugreifen, sondern auf deine WAN-IP die du vom Provider bekommen hast. Damit sollte dann der Router auch seinen Dienst tun und das Ganze wieder richtig an den eigenen Rechner weiterleiten!

Zum Seitenanfang

monsterherz

das nervende Weib

Beiträge: 1 320

15

19.04.2006, 07:51

Zitat

Und ob Fritz da jetzt eine Ausnahme macht wage ich zu bezweifeln.

Denke ich auch nicht. So wie ich es verstanden habe: eine Verbindung von LAN--> LAN per SSH geht nicht, wenn die IP im Netz identisch ist, da dann blockiert wird?

	Quellcode
1 2 3 4 5	michi@laptop ~ $ su Password: laptop michi # nmap 84.166.151.xx Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-04-19 05:40 CEST

dann arbeitet Nmap; bringt aber kein connection refused , es tut sich "Nichts" ausser das der Befehl abgearbeitet wird

Ich hab die Konfig der Fritz-Box mal kopiert: http://linux.hobby-handarbeit.de/error/FRITZ!Box_files/webcm.html
Vielleicht hab ich nen Fehler in der Portfreigabe?

Man kann nicht alles wissen, aber alles lernen!

Zum Seitenanfang

Nic

Fortgeschrittener

Beiträge: 202

16

19.04.2006, 11:08

Zitat

Original von monsterherz
Denke ich auch nicht. So wie ich es verstanden habe: eine Verbindung von LAN--> LAN per SSH geht nicht, wenn die IP im Netz identisch ist, da dann blockiert wird?

Jein. Du kannst natuerlich von deinem Host aus per ssh wieder auf ihn selbst zugreifen solange du den sshd gestartet hast (somit sind Quell- und ZielIP identisch, stellt aber kein Problem dar). Was du aber ja anscheinend machen wolltest, ist ein Zugriff per SSH auf die IP des Routers, welcher die Anfrage dann wieder an deinen Host durchreichen sollte.
Und da liegt das Problem, lokal, also sozusagen an der internen (LAN-seitigen) Schnittstelle des Routers findet kein Forwarding statt, sondern nur von aussen nach innen.
Erhaelt der Router auf der internen Schnittstelle ein Request auf Port 22 wird er (solange er nicht Konfiguration per SSH o.Ae. unterstuetzt) mit einem RST antworten, da er keinen Service auf diesem Port anbietet.

nmap sollte zumindest sowas wie "The 1234 ports scanned but not shown below are in state: closed" bringen. Das wiederum deutet dann darauf hin, dass das Forwarding von deinem Router nicht richtig funktioniert.
Selbst wenn der SSHD grade nicht laufen sollte muesste nmap den Port als "filtered" erkennen.
Sofern nmap bei einem Scan auf die lokale IP deines Rechners den ssh-Port als "open" findet liegt das Problem also am Router.

Fuer dich heisst das also: "back to the drawing board"

Nochmal die Forwarding-Einstellungen ueberpruefen, speziell ob die IP noch aktuell ist an die weitergeleitet werden soll, ob auch keine Firewall-Regeln o.Ae. dazwischenfunken etc..

Zum Seitenanfang

capoeira

hofnarr

Beiträge: 600

17

19.04.2006, 12:23

deiner ausgabe von netstat nach läuft der server, versuch mal
#ssh 127.0.0.1
denn wennste da ein connect kriegst dann liegts nicht am ssh sondern an der route-sprich deinem kistal

ähm noch ne gute idee *G* wie siehts mit eventuellen iptables aus auf deinem rechner? die dein vorhaben unterbinden?

... nur ein weiterer tag im leben eines naren ...

Zum Seitenanfang

monsterherz

das nervende Weib

Beiträge: 1 320

18

19.04.2006, 17:25

Zitat

deiner ausgabe von netstat nach läuft der server, versuch mal
#ssh 127.0.0.1
denn wennste da ein connect kriegst dann liegts nicht am ssh sondern an der route-sprich deinem kista

SCHEI... --> anscheinend will der Router nicht

:

Quellcode

laptop michi # /etc/init.d/sshd start
 * Starting sshd ...                                                      [ ok ]laptop michi # ssh 127.0.0.1
The authenticity of host '127.0.0.1 (127.0.0.1)' can't be established.
RSA key fingerprint is d1:6b:6a:49:3a:43:53:0d:0a:45:60:7c:55:f2:35:5f.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '127.0.0.1' (RSA) to the list of known hosts.
Password:
Password:
Last login: Wed Apr 19 08:00:19 2006

Also wird anscheinend eine eingehende Verbindung geblockt. Die Fritz Box hat soweit keine Firewall Regeln, ausser der Portfreigabe. Eine Software-Firewall ist nicht drauf.
Nun werd ich wohl erstmal den Router resetten und mich mit den iptables befassen. Bisher ist es noch nicht installiert.

Man kann nicht alles wissen, aber alles lernen!

Zum Seitenanfang

Nic

Fortgeschrittener

Beiträge: 202

19

19.04.2006, 18:46

Iptables wird dir da aber nicht wirklich weiterhelfen?!

Hast du denn mit den Einstellungen am Router ein bissl rumgespielt? Einstellungen neu eintragen, neu booten lassen (Strom raus), Software-Reset, Hardware-Reset, evtl. Firmware-Update...?

Normalerweise sollte ein Router sowas heutzutage koennen, selbst wenn er von Fritz kommt

Zum Seitenanfang

rudib

Profi

Beiträge: 773

20

19.04.2006, 19:41

Ich habe die gleiche Fritzbox. Meines Wissens filtert die Box im internen Netz überhaupt nichts. Die Firewall-Einstellungen wirken - so wie ich das sehe - ausschließlich nach "außen". Bei mir hängen zwei Rechner an den beiden Ethernet-Ports der Box. SSH zwischen den beiden Teilen läuft ohne Probleme. ein "ssh 192.168.178.1" (also auf die Fritzbox) endet mit einem "connection refused". Das habe ich eigentlich auch nicht anders erwartet. telnet funktioniert natürlich genauso wenig.

Insofern läuft die Fritzbox in diesem Zusammenhang wie ein Hub.

HTH
Rudi

Seien Sie vorsichtig mit Gesundheitsbüchern - Sie könnten an einem Druckfehler sterben. [Mark Twain]

Zum Seitenanfang

GentooForum.de

[gelöst] ssh port nicht nutzbar - connection refused

[gelöst] ssh port nicht nutzbar - connection refused

Quellcode

Quellcode

Quellcode

Zitat

Quellcode

Zitat

Zitat

Zitat

Zitat

Zitat

Zitat

Zitat

Zitat

Quellcode

Zitat

Zitat

Zitat

Zitat

Zitat

Zitat

Quellcode

Quellcode

Zitat

Zitat

Quellcode

Zitat

Zitat

Quellcode

Häufig verwendete Suchbegriffe: