LINUX.ORG.RU
ФорумAdmin

Не подключается SSH через интернет

 , , ,


0

2

Есть одна контора. Роутером там Kerio WinRoute (знаю, что это очень плохо, но заведую этим не я).
Подозреваю, что руки кривые не у меня, а у того, кто мне порты прокинул. Но всё-таки хочется удостовериться, что я тут не виноват.
Подключаюсь по ssh (nmap показывает, что порт, к которому подключаюсь open):

OpenSSH_6.1p1, OpenSSL 1.0.1c 10 May 2012
]debug1: Reading configuration data /etc/ssh/ssh_config
debug2: ssh_connect: needpriv 0
debug1: Connecting to XXX.XXX.XXX.XXX [XXX.XXX.XXX.XXX] port XXXX.
debug1: Connection established.
debug3: Incorrect RSA1 identifier
debug3: Could not load "/home/golovin/.ssh/id_rsa" as a RSA1 public key
debug1: identity file /home/golovin/.ssh/id_rsa type 1
debug1: identity file /home/golovin/.ssh/id_rsa-cert type -1
debug3: Incorrect RSA1 identifier
debug3: Could not load "/home/golovin/.ssh/id_dsa" as a RSA1 public key
debug1: identity file /home/golovin/.ssh/id_dsa type 2
debug1: identity file /home/golovin/.ssh/id_dsa-cert type -1
debug1: identity file /home/golovin/.ssh/id_ecdsa type -1
debug1: identity file /home/golovin/.ssh/id_ecdsa-cert type -1
ssh_exchange_identification: Connection closed by remote host
Попробовал удалить все свои ключи, не помогло.
OpenSSH_6.1p1, OpenSSL 1.0.1c 10 May 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug2: ssh_connect: needpriv 0
debug1: Connecting to XXX.XXX.XXX.XXX [XXX.XXX.XXX.XXX] port XXXX.
debug1: Connection established.
debug1: identity file /home/golovin/.ssh/id_rsa type -1
debug1: identity file /home/golovin/.ssh/id_rsa-cert type -1
debug1: identity file /home/golovin/.ssh/id_dsa type -1
debug1: identity file /home/golovin/.ssh/id_dsa-cert type -1
debug1: identity file /home/golovin/.ssh/id_ecdsa type -1
debug1: identity file /home/golovin/.ssh/id_ecdsa-cert type -1
ssh_exchange_identification: Connection closed by remote host
Случается только в случае, если подключаюсь через интернет. Если нахожусь в одной сети с этим компьютером, то всё в полном порядке.

★★★★★

Последнее исправление: CYB3R (всего исправлений: 1)

посмотри любым монитором tcp трафика приходят ли тебе ответные пакеты с сервера

по симптомам похоже на кривую настройку маршрутизации - когда пакеты извне к серверу идут через роутер, а обратные пакеты - нет (обычно когда роутер на сервере ssh не указан, или когда на роутере фаервол корявый)

Deleted
()
Ответ на: комментарий от Deleted

Вот все зафиксированные пакеты:

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
01:04:37.712488 IP (tos 0x0, ttl 64, id 63327, offset 0, flags [DF], proto TCP (6), length 60)
    myhost.56936 > XXX.XXX.XXX.XXX.portname: Flags [S], cksum 0xecd5 (correct), seq 2697437808, win 14600, options [mss 1460,sackOK,TS val 4216111 ecr 0,nop,wscale 7], length 0
01:04:37.717129 IP (tos 0x0, ttl 116, id 20739, offset 0, flags [none], proto TCP (6), length 64)
    XXX.XXX.XXX.XXX.portname > myhost.56936: Flags [S.], cksum 0xe285 (correct), seq 305345668, ack 2697437809, win 16384, options [mss 1460,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length 0
01:04:37.717161 IP (tos 0x0, ttl 64, id 63328, offset 0, flags [DF], proto TCP (6), length 52)
    myhost.56936 > XXX.XXX.XXX.XXX.portname: Flags [.], cksum 0x0d6e (correct), seq 1, ack 1, win 115, options [nop,nop,TS val 4216112 ecr 0], length 0
01:04:37.736275 IP (tos 0x0, ttl 116, id 20742, offset 0, flags [none], proto TCP (6), length 52)
    XXX.XXX.XXX.XXX.portname > myhost.56936: Flags [F.], cksum 0x97fc (correct), seq 1, ack 1, win 65535, options [nop,nop,TS val 53244599 ecr 4216112], length 0
01:04:37.736785 IP (tos 0x0, ttl 64, id 63329, offset 0, flags [DF], proto TCP (6), length 52)
    myhost.56936 > XXX.XXX.XXX.XXX.portname: Flags [F.], cksum 0x9782 (correct), seq 1, ack 2, win 115, options [nop,nop,TS val 4216118 ecr 53244599], length 0
01:04:37.740242 IP (tos 0x0, ttl 116, id 20746, offset 0, flags [none], proto TCP (6), length 52)
    XXX.XXX.XXX.XXX.portname > myhost.56936: Flags [.], cksum 0x97f5 (correct), seq 2, ack 2, win 65535, options [nop,nop,TS val 53244599 ecr 4216118], length 0

CYB3R ★★★★★
() автор топика
Ответ на: комментарий от CYB3R

к конфигу сервера доступ есть?

Есть

Ну подключись по rdp. Разобраться с этим керио не составит труда.

dada ★★★★★
()

Подключаюсь по ssh (nmap показывает, что порт, к которому подключаюсь open)

Подключитесь к этому порту telnet'ом, должны увидеть что-то наподобие: ″SSH-2.0-OpenSSH...″.

mky ★★★★★
()
Ответ на: комментарий от dada

по rdp

Ты вероятно, про роутер, к нему у меня доступа нет. А я про SSH-сервер, у меня там иксов нет, никакого RDP, только SSH. Можно, конечно telnet, но не секурно же!

CYB3R ★★★★★
() автор топика
Последнее исправление: CYB3R (всего исправлений: 1)
Ответ на: комментарий от mky

А вот и нет. Подключение сбрасывается.

Trying XXX.XXX.XXX.XXX...
Connected to XXX.XXX.XXX.XXX.
Escape character is '^]'.
Connection closed by foreign host.

CYB3R ★★★★★
() автор топика
Ответ на: комментарий от CYB3R

mky имел в виду команду вида

telnet <server_ip> 22
В случае доступного работающего SSH сервера, эта команда выдаст его отклик, обычно вида «SSH-2.0-OpenSSH_». Потренируйся на гарантированно доступных серваках. Никакой несекурности здесь нет, т.к. telnet здесь используется просто как более доступная замена netcat.

unterwulf
()
Ответ на: комментарий от CYB3R

Ты вероятно, про роутер

Да.

к нему у меня доступа нет

Прости, не так понял.

dada ★★★★★
()
Ответ на: комментарий от unterwulf

Файлы hosts.{allow,deny} пустые. Я спокойно подключался к этому компьютеру ранее с того же IP.
Про телнет ты понял, я его использовал как замену netcat (вывод выше), а несекурным я назвал telnetd.

CYB3R ★★★★★
() автор топика
Ответ на: комментарий от pekmop1024

Нет, ты что. Это же лор. В конце этого треда выйдет, что у OpenSSH уже 100500 лет есть баг и об этом давно знают разработчики.
И то, что керио не настроен корректно даже думать не смейте.

dada ★★★★★
()

не могло выйти так, что после добавления Kerio на сервере надо поменять какой-нибудь default route?

maloi ★★★★★
()
Ответ на: комментарий от unterwulf

Что поменялось с тех пор?

Новые правила в WinRoute.

CYB3R ★★★★★
() автор топика

ага, ещё проверь ~/.ssh/config на предмет наличия IdentityFile-параметров

spunky ★★
()
Ответ на: комментарий от CYB3R

я в таком виде не разумею, ты почитай как устанавливается TCP сессия, там SYN, ACK всякие и сравни с тем что тебе выдает

Deleted
()
Ответ на: комментарий от CYB3R

Сейчас sshd не принято собирать с libwrap, а без этой библиотеки sshd не смотрит содержимое /etc/hosts.allow и hosts.deny и должен принимать, а не сбрасывать, соединение с любого ip-адреса. Так что на 99%, что накосячили именно с Kerio, и вы тут не виноваты.

mky ★★★★★
()
Ответ на: комментарий от CYB3R

а ты сравнивал дебаг подключения снаружи с дебагом подключения из локалки? И выхлоп tcpdump-а более интересен с сервера, а не клиента.

spunky ★★
()
Ответ на: комментарий от CYB3R

оставь на сервере запущеный `which sshd` -ddd 2> sshd.ddd.log , он использует тот же конфиг. Если есть опасение, что кто-то до твоей попытки попробует подключиться (после первой же попытки sshd остановится, вне зависимости от успешности попытки), то можешь сделать запуск sshd в цикле :).

spunky ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.