PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ssh-login per dyndns



Takeshi
29.05.08, 22:48
Hallo, nutze hier ssh im privaten Netzwerk und auch per dyndns. Zweites klappt allerdings nicht mehr. Ich erhalte immer folgende Fehlermeldung:


ssh: connect to host HOST.dyndns.org port 22: Connection refused


Ich habe einen public key erstellt (und auch für putty exportiert, damit ich mich auch von Win-Clients einwählen kann) und nur mit diesem ist ein Login gestattet.
Normalerweise sollte man zuerst nach einem Passwort für den key gefragt werden, aber stattdessen erhalte ich sofort obige Fehlermeldung.


Hier mal Auszüge meiner sshd.conf


# Authentication:
#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
MaxAuthTries 6
.....# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no

#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no

Woran kann das liegen, dass der Login über das Internet plötzlich nicht mehr funktioniert? Die IP-Adresse von dyndns habe ich kontrolliert - sie stimmt mit der meines Routers überein.

bluesky666
30.05.08, 00:11
hm vielleicht ist dein ssh key blacklistet

http://www.heise.de/security/Der-kleine-OpenSSL-Wegweiser--/artikel/108001

Thorashh
30.05.08, 00:30
"Connection refused" heißt normalerweise, das IP:Port nicht erreichbar sind.
Alse entweder ist das Portforwarding auf dem Router falsch, oder die Firewall auf dem Rechner sperrt den Port 22.
Was passiert bei
telnet IP 22 IP ersetzen.

Takeshi
30.05.08, 05:25
Firewall ist auf dem Rechner nicht aktiv. Wie gesagt - im Netzwerk kann ich mich auch prima einloggen.
Auch das Port-Forwarding scheint richtig eingestellt worden zu sein, zumindest mal werden alle Anfragen auf Port 22 an den entsprechenden Router weitergeleitet. Was mir jedoch gerade eingefallen ist: habe den alten Router durch einen neuen (Netgear RangeMax) ausgetauscht. Ich teste hier aus meinem eigenen Netzwerk sozusagen den Zugriff über das Internet auf meinen anderen Rechner. Manche Router sollen so etwas ja blocken. Wie kann man herausfinden, ob dies mein neuer Router macht - denn dann könnte ich ja von außen trotzdem zugreifen, nur mein Test von zu Hause aus würde fehlschlagen.

Nee, mein key ist nicht blacklisted. Verwende auf dem Server kein Debian, sondern gentoo - und der Schlüssel funktioniert ja intern im Netz. Sonst hätte ich ja keinen Zugriff auf den Rechner, solange ich im privaten Netzwerk bleibe.

HirschHeisseIch
30.05.08, 14:29
Einfach mal von außen versuchen. ;)
Ich teste sowas immer gerne über nen Shell-Account.
Per ssh auf einen entfernten Rechner, und von da aus wieder auf den bei mir zuhause.

Takeshi
30.05.08, 15:46
Shell-account? Dumme Frage, was ist das.

Aber von aussen hab ich es jetzt mal getestet - und es funktioniert!! Also scheint der neue Router tatsächlich solche Aktionen zu blocken. Ist mir vorher nicht aufgefallen, da ich munter im Netzwerk per ssh rumhantiert habe. Gibt es eine Möglichkeit, im Router dieses Verhalten zu ändern? Finde solch eine Option nämlich nicht im Setup.

marce
30.05.08, 16:40
dann meist nur evtl. über Firmware-Update - oder Router-Tausch.

HirschHeisseIch
30.05.08, 17:16
Ein Shell-Account ist die Möglichkeit, sich per ssh (oder Telnet...) auf einen anderen Rechner einzuloggen.

waldi5001
02.06.08, 10:42
Ich kann dir auch noch ein Tipp geben. Also ich hatte mal ein Router der die Internetverbindung nach einiger Zeit getrennt hat wenn sie nicht benutzt wurde. Somit war er nach ein paar Minuten von aussen nicht mehr erreichbar. Man konnte die automatische Trennung nicht abschalten. Ein Ping -t 60 - wenn ich mich richtig erinnere hat das Problem behoben. Einfach beim Start des Computers mittels CRON einmal ausführen lassen - fertig.

Takeshi
02.06.08, 21:54
Danke für den Tipp. Bei mir hängt aber ein Server hinter dem Router, der jede Minute meine Postfächer checkt. Das sollte ausreichen, dass die Verbindung nicht getrennt wird. Werde aber trotzdem morgen mal checken, ob es wirklich so ist und die Verbindung bestehen bleibt.