Hallo, Ich habe bei mir den Centro Business 2.0 Router installiert. Der funktioniert grundsätzlich seit mehreren Jahren prächtig. Nun möchte ich einen ssh oder rdp Zugang vom Internet auf einen internen Linux Server konfigurieren. Ich habe dazu auf dem Router Port Weiterleitungen gemäss Anleitung eingerichtet und auf dem der Firewall (ufw) des Linux Servers die Ports für einkommende Verbindungen aktiviert. heinz@johann:/var/log$ sudo ufw status Status: Aktiv Zu Aktion Von -- —— — 22/tcp ALLOW Anywhere 3389 ALLOW Anywhere Der Test aus dem Internet mit folgendem ssh Aufruf: ssh -p22 [loginname@<externe](mailto:loginname@externe) Adresse des Routers> funktioniert aber trotzdem nicht. Es gibt keine Fehlermeldung beim client, sondern einfach ein timeout. In den Logfiles des Linux Servers gibt es ebenfalls keinen Hinweis auf eine diesbezügliche Aktivität. Kennt das jemand? Konnte schon jemand erfolgreich eine eingehende ssh Verbindung realisieren? Leider ist der Swisscom Helpdesk für solche Anfrage unglaublich unwillig zu helfen…. Besten Dank H. Ruffieux

Folgende Überlegungen (die evtl. helfen): Funktioniert SSH lokal von einem anderen Rechner aus? Funktioniert SSH evtl. über einen anderen Port als 22? Mal in der sshd_config einen anderen Port einstellen und mit systemctl restart sshd den Dienst neu starten. Es könnte sein, dass ein anderer Dienst auf Port 22 läuft. Sie sollten für öffentlich exponierte Systeme allerdings erst einmal gar nicht Port 22 verwenden. Und auf keinen Fall Benutzername/Passwort AUTH. Root muss für SSH aus Sicherheitsgründen deaktiviert sein. Das System wird innert kürze unzähligen Angriffen ausgesetzt sein. Wenn Sie einen anderen Port als 22 verwenden haben sie 95+% aller Bots schon einmal weg. Am besten machen Sie noch eine GeoIP-Limitierung. Hierzu finden Sie ein kleines Script mit Anleitung auf unserem LEXO Blog . Damit filtern Sie noch einmal 99% des gesamten Bot-Traffics. Der Aufwand ist gering und es ist kostenlos. Funktioniert es mit deaktivierter Fireall? ( sudo ufw disable ); wieder aktivieren mit: sudo ufw enable Sofern lokal alles geht, scheint es tatsächlich ein Problem mit dem NAT Forwarding zu geben. Wichtig: Für externen Test muss man auch extern sein. Das heisst: Sie können nicht aus dem internen Netzwerk (192.168.1.0) über ihre externe IP-Adresse auf den internen Linuxrechner (192.168.1.2) via NAT zugreifen. Der Router wird das mit hoher Wahrscheinlichkeit nicht packen und diese Pakete verwerfen. Wenn dann sollten Sie für einen Test via Hotspot aus dem öffentlichen Netz über die öffentliche IP zugreifen - oder von einem anderen Rechner aus einem anderen Netz. Aus diesem Grund der Test, ob es lokal funktioniert. Was auch noch möglich sein könnte ist, dass der SSH Service nur an “localhost” und nicht an alle Netzwerk-Interfaces gebunden wurde. Prüfen Sie hierbei folgende Parameter in der /etc/ssh/sshd_config : # Lausche auf allen IPv4-Adressen ListenAddress 0.0.0.0 # Lausche auf allen IPv6-Adressen ListenAddress:: # Unterstütze sowohl IPv4 als auch IPv6 AddressFamily any # Standard-SSH-Port (kann bei Bedarf geändert werden) Port 22 Überprüfen Sie die Konfiguration auf Fehler mit sudo sshd -t. Evtl. haben Sie eine alte Einstellung, die nicht mehr kompatibel ist wodurch der Dienst gar nicht richtig läuft. Sie könnten noch das Debugging in /etc/ssh/sshd_config aktivieren: LogLevel DEBUG3 In den Dateien /var/log/auth.log und /var/log/secure oder im Syslog (üblicherweise /var/log/syslog oder /var/log/messages) sollte auf jeden Fall bei einer Anmeldung etwas kommen. Wenn irgendwie eine Verbindung hergestellt werden konnte, zum Beispiel eine lokale Verbindung mit deaktivierter Fireall, dann schrittweise weitergehen. Wenn es lokal funktioniert, dann als nächstes via NAT von aussen versuchen. Firewall erst ganz am Ende aktivieren, wenn alles läuft. Erst muss es einfach mal laufen, danach kann man schrittweise die Sicherheit erhöhen. Ich hoffe das hilft für weitere Diagnosen und für etwas mehr Sicherheit im Netz. Vorsicht vor offenem SSH! Der Bot-Traffic auf solche Hosts ist enorm und es werden auch Systeme mit komplexeren Passwörtern geknackt. AUTH via sicheren RSA Schlüsseln in Kombination mit anderem Port und GeoIP ist sehr empfohlen. RDP ist dann noch einmal eine andere Nummer. Aber zuerst einmal muss SSH laufen. SSH ist viel einfacher als RDP.

Wow! Besten Dank Fripraustau44 für die super tolle Unterstützung! Ich weiss das sehr zu schätzen und habe wieder einiges gelernt. Zu Ihren Punkten: Funktioniert SSH lokal von einem anderen Rechner aus?: Ja, brauche ich seit Jahren Funktioniert SSH evtl. über einen anderen Port als 22? ****Lokal ja, vom Internet aus nein, habe es mal mit 2222 versucht und diesen Port auf dem Router **** Aktive Status Öffentliche IP-Adresse Öffentliche Ports Lokale IP-Adresse Lokale Ports Aktionen Deaktiviert WAN IP-Adresse des Routers TCP:3389 (Windows Terminal Server/ Windows Remote Desktop) 192.168.1.2 (ubuntu) TCP:3389 (Windows Terminal Server/ Windows Remote Desktop) — — — — — Ändern — — — Löschen Ändern Löschen — — — Ändern — — — Löschen Ändern Löschen Deaktiviert WAN IP-Adresse des Routers TCP:22 (SSH) 192.168.1.2 (ubuntu) TCP:22 (SSH) — — — — — Ändern — — — Löschen Ändern Löschen — — — Ändern — — — Löschen Ändern Löschen Aktiviert WAN IP-Adresse des Routers TCP:2222 (Test) 192.168.1.2 (ubuntu) Dieselbe Port ** wie auch im sshd konfiguriert und neu gestartet:** > Sep 1 09:45:01 johann sshd[32176]: Server listening on 0.0.0.0 port 2222 Funktioniert es mit deaktivierter Firewall? **nein ** Wichtig: Für externen Test muss man auch extern sein. Bin ich. Ich habe es mit dem Guest WLAN wie auch via Handy Hotspot versucht. Damit müsste ja der gewüschte, externe Zugriff gegeben sein. Was auch noch möglich sein könnte ist, dass der SSH Service nur an “localhost” und nicht an alle Netzwerk-Interfaces gebunden wurde. Habe ich geprüft und bei Start sagt der sshd (ich arbeite ausschliesslich mit IPV4): > Sep 1 09:45:01 johann sshd[32176]: Server listening on 0.0.0.0 port 2222 Überprüfen Sie die Konfiguration auf Fehler mit sudo sshd -t. Gibt keinerlei Feedback Sie könnten noch das Debugging in /etc/ssh/sshd_config aktivieren: Habe ich gemacht. Es ist in keinem log File auch nur der geringste Hinweis auf einen Verbindungsversuch zu sehen. Wie Sie richtig vermuten, denke ich auch, dass aus irgendeinem Grund die Port Weiterleitung auf dem Router gar nicht funktioniert. Genau da hätte ich eigentlich Support von der Swisscom erwartet. Aber deren Support sagt einfach “der Router tut wie er soll, weiteren Support geben wir nicht”. Frage: Wissen Sie, ob ich allenfalls mit einem dieser heute zahlreichen VPN Dienste ein peer-to-peer VPN aufbauen könnte? Damit könnte ich mich immer mit dem internen Netz verbinden, sobald ich mich mit diesem VPN Dienst verbunden habe. Der Router scheint peer-to-peer zu unterstützen. Nochmals vielen herzlichen Dank für all Ihre Hinweise und Ideen. Schöne Grüsse H. Ruffieux

ssh zugriff vom Internet auf das interne Netzwerk

ruffieux

Hallo,

Ich habe bei mir den Centro Business 2.0 Router installiert. Der funktioniert grundsätzlich seit mehreren Jahren prächtig.

Nun möchte ich einen ssh oder rdp Zugang vom Internet auf einen internen Linux Server konfigurieren.

Ich habe dazu auf dem Router Port Weiterleitungen gemäss Anleitung eingerichtet und auf dem der Firewall (ufw) des Linux Servers die Ports für einkommende Verbindungen aktiviert.

heinz@johann:/var/log$ sudo ufw status
Status: Aktiv

Zu Aktion Von
-- —— —
22/tcp ALLOW Anywhere

3389 ALLOW Anywhere

Bildschirmfoto vom 2024-08-30 16-29-40.png

Der Test aus dem Internet mit folgendem ssh Aufruf:

ssh -p22 [loginname@<externe](mailto:loginname@externe) Adresse des Routers>

funktioniert aber trotzdem nicht. Es gibt keine Fehlermeldung beim client, sondern einfach ein timeout. In den Logfiles des Linux Servers gibt es ebenfalls keinen Hinweis auf eine diesbezügliche Aktivität.

Kennt das jemand? Konnte schon jemand erfolgreich eine eingehende ssh Verbindung realisieren? Leider ist der Swisscom Helpdesk für solche Anfrage unglaublich unwillig zu helfen….

Besten Dank

H. Ruffieux

Lori-77

Hallo @ruffieux

Hat dein CB2.0 auch eine Extrene IP Adresse?

Du kannst sie im Router Menü finden oder wie ist meine IP.

Denk einfach daran das der RDP Port extrem gerne gescannt wird. Und dann dort probiert wird ob man rein kommt.

Gruss Lorenz

ruffieux

Danke Lorenz,

Ja mein CP2 hat eine fixe, externe IP Nummer. Diese habe ich im Config Menu gefunden und verwende diese für den SSH Aufruf.

Ja, die Risiken sind mir bewusst und deshalb werde dann wahrscheinlich nur SSH nutzen.

Heinz

Lori-77

Hallo @ruffieux

Danke für die Anwort, kann es zur Zeit nicht nach stellen, da ich unterwegs bin.

Habe dor aber sonst noch eine andere Möglichkeit.

Du kannst bei dir Zuhause ja einen Wireguard Server betreiben.meiner läuft auf einer PfSense.

Auch ist es möglich dies auf jedem Linux Server zubetreiben.

Auch kannst du dprt denn Port ändern wenn du willst.

Und da hast dann Zugriff auf dein ganzes Netzwerk.

Gruss Lorenz

ruffieux

Besten Dank Lorenz für die Ideen,

Ich wollte eigentlich das ganze so einfach wie möglich gestalten, weil ich diesen Zugriff nur für einen begrenzten Zeitraum benötige.

Kommt noch dazu, dass ich vermute, dass ich ein Problem auf dem Router selber habe, weil ich auf dem Linux Server selber keinerlei Zeichen eines Zugriffs sehen kann (keine Anzeichen in irgendeinem Logfile). Somit denke ich, dass mir auch eine andere Lösung nicht helfen würde - oder?

Besten Dank

Heinz

Haragius

@“x”#7017Ist da nicht ein typo im Clientaufruf? ssh user@domain -p 22

(Leerschlag bei der Option -p)

ruffieux

Danke Haragius,

Nein, das spielt keine Rolle und in den man pages ist es auch so beschrieben:

-p port
Port to connect to on the remote host. This can be specified on
a per-host basis in the configuration file.

Ich habe es mit und ohne Leerschlag probiert wie auch ganz ohne die Option (22 ist der Standard). Immer das selbe Resultat.

Anonymous1

Folgende Überlegungen (die evtl. helfen):

Funktioniert SSH lokal von einem anderen Rechner aus?
Funktioniert SSH evtl. über einen anderen Port als 22? Mal in der sshd_config einen anderen Port einstellen und mit systemctl restart sshd den Dienst neu starten. Es könnte sein, dass ein anderer Dienst auf Port 22 läuft. Sie sollten für öffentlich exponierte Systeme allerdings erst einmal gar nicht Port 22 verwenden. Und auf keinen Fall Benutzername/Passwort AUTH. Root muss für SSH aus Sicherheitsgründen deaktiviert sein. Das System wird innert kürze unzähligen Angriffen ausgesetzt sein. Wenn Sie einen anderen Port als 22 verwenden haben sie 95+% aller Bots schon einmal weg. Am besten machen Sie noch eine GeoIP-Limitierung. Hierzu finden Sie ein kleines Script mit Anleitung auf unserem LEXO Blog. Damit filtern Sie noch einmal 99% des gesamten Bot-Traffics. Der Aufwand ist gering und es ist kostenlos.
Funktioniert es mit deaktivierter Fireall? (sudo ufw disable); wieder aktivieren mit: sudo ufw enable
Sofern lokal alles geht, scheint es tatsächlich ein Problem mit dem NAT Forwarding zu geben. Wichtig: Für externen Test muss man auch extern sein. Das heisst: Sie können nicht aus dem internen Netzwerk (192.168.1.0) über ihre externe IP-Adresse auf den internen Linuxrechner (192.168.1.2) via NAT zugreifen. Der Router wird das mit hoher Wahrscheinlichkeit nicht packen und diese Pakete verwerfen. Wenn dann sollten Sie für einen Test via Hotspot aus dem öffentlichen Netz über die öffentliche IP zugreifen - oder von einem anderen Rechner aus einem anderen Netz. Aus diesem Grund der Test, ob es lokal funktioniert.
Was auch noch möglich sein könnte ist, dass der SSH Service nur an “localhost” und nicht an alle Netzwerk-Interfaces gebunden wurde. Prüfen Sie hierbei folgende Parameter in der /etc/ssh/sshd_config:

# Lausche auf allen IPv4-Adressen
ListenAddress 0.0.0.0

# Lausche auf allen IPv6-Adressen
ListenAddress::

# Unterstütze sowohl IPv4 als auch IPv6
AddressFamily any

# Standard-SSH-Port (kann bei Bedarf geändert werden)
Port 22
Überprüfen Sie die Konfiguration auf Fehler mit sudo sshd -t. Evtl. haben Sie eine alte Einstellung, die nicht mehr kompatibel ist wodurch der Dienst gar nicht richtig läuft.
Sie könnten noch das Debugging in /etc/ssh/sshd_config aktivieren:
LogLevel DEBUG3
In den Dateien /var/log/auth.log und /var/log/secure oder im Syslog (üblicherweise /var/log/syslog oder /var/log/messages) sollte auf jeden Fall bei einer Anmeldung etwas kommen.

Wenn irgendwie eine Verbindung hergestellt werden konnte, zum Beispiel eine lokale Verbindung mit deaktivierter Fireall, dann schrittweise weitergehen. Wenn es lokal funktioniert, dann als nächstes via NAT von aussen versuchen. Firewall erst ganz am Ende aktivieren, wenn alles läuft. Erst muss es einfach mal laufen, danach kann man schrittweise die Sicherheit erhöhen.

Ich hoffe das hilft für weitere Diagnosen und für etwas mehr Sicherheit im Netz. Vorsicht vor offenem SSH! Der Bot-Traffic auf solche Hosts ist enorm und es werden auch Systeme mit komplexeren Passwörtern geknackt. AUTH via sicheren RSA Schlüsseln in Kombination mit anderem Port und GeoIP ist sehr empfohlen. RDP ist dann noch einmal eine andere Nummer. Aber zuerst einmal muss SSH laufen. SSH ist viel einfacher als RDP.

ruffieux

Wow! Besten Dank Fripraustau44 für die super tolle Unterstützung! Ich weiss das sehr zu schätzen und habe wieder einiges gelernt.

Zu Ihren Punkten:

Funktioniert SSH lokal von einem anderen Rechner aus?: Ja, brauche ich seit Jahren

Funktioniert SSH evtl. über einen anderen Port als 22? ****Lokal ja, vom Internet aus nein, habe es mal mit 2222 versucht und diesen Port auf dem Router

****


Aktive	Status	Öffentliche IP-Adresse	Öffentliche Ports	Lokale IP-Adresse	Lokale Ports	Aktionen
	Deaktiviert	WAN IP-Adresse des Routers	TCP:3389 (Windows Terminal Server/ Windows Remote Desktop)	192.168.1.2 (ubuntu)	TCP:3389 (Windows Terminal Server/ Windows Remote Desktop)			—	—	—	—	—	Ändern	—	—	—	Löschen	Ändern	Löschen
					—	—	—	Ändern		—	—	—	Löschen
	Ändern
	Löschen
	Deaktiviert	WAN IP-Adresse des Routers	TCP:22 (SSH)	192.168.1.2 (ubuntu)	TCP:22 (SSH)			—	—	—	—	—	Ändern	—	—	—	Löschen	Ändern	Löschen
					—	—	—	Ändern		—	—	—	Löschen
	Ändern
	Löschen
	Aktiviert	WAN IP-Adresse des Routers	TCP:2222 (Test)	192.168.1.2 (ubuntu)	Dieselbe Port

**
wie auch im sshd konfiguriert und neu gestartet:**

> Sep 1 09:45:01 johann sshd[32176]: Server listening on 0.0.0.0 port 2222

Funktioniert es mit deaktivierter Firewall? **nein

**
Wichtig: Für externen Test muss man auch extern sein. Bin ich. Ich habe es mit dem Guest WLAN wie auch via Handy Hotspot versucht. Damit müsste ja der gewüschte, externe Zugriff gegeben sein.

Was auch noch möglich sein könnte ist, dass der SSH Service nur an “localhost” und nicht an alle Netzwerk-Interfaces gebunden wurde. Habe ich geprüft und bei Start sagt der sshd (ich arbeite ausschliesslich mit IPV4):

> Sep 1 09:45:01 johann sshd[32176]: Server listening on 0.0.0.0 port 2222
Überprüfen Sie die Konfiguration auf Fehler mit sudo sshd -t. Gibt keinerlei Feedback

Sie könnten noch das Debugging in /etc/ssh/sshd_config aktivieren: Habe ich gemacht. Es ist in keinem log File auch nur der geringste Hinweis auf einen Verbindungsversuch zu sehen. Wie Sie richtig vermuten, denke ich auch, dass aus irgendeinem Grund die Port Weiterleitung auf dem Router gar nicht funktioniert.
Genau da hätte ich eigentlich Support von der Swisscom erwartet. Aber deren Support sagt einfach “der Router tut wie er soll, weiteren Support geben wir nicht”.

Frage: Wissen Sie, ob ich allenfalls mit einem dieser heute zahlreichen VPN Dienste ein peer-to-peer VPN aufbauen könnte? Damit könnte ich mich immer mit dem internen Netz verbinden, sobald ich mich mit diesem VPN Dienst verbunden habe. Der Router scheint peer-to-peer zu unterstützen.

Nochmals vielen herzlichen Dank für all Ihre Hinweise und Ideen.

Schöne Grüsse

H. Ruffieux

LEXO-Web-Support

Gut, ich denke dann haben Sie seitens des Rechners (intern) alles korrekt am Laufen. Wichtig für die nächsten Schritte wäre aber, dass die UFW (Firewall) deaktiviert bleibt. Es könnte sein, dass sie internen Datenverkehr zulässt aber externen nicht. Vor allem, wenn es maskierte Pakete (NAT) sind.

Ich denke es muss am Router liegen. Ich kenne den Centro Business 2.0 selbst nicht aber schaute kurz die Anleitungen an. Bzgl. NAT Forwarding würde ich sagen, dass das so stimmt, wie Sie es gemacht haben. Aber der Router kann auch Firewalling und Paketfilterung. Siehe Anleitung:

https://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_Firewall_fuer_LAN_und_DMZ_einstellen-de.pdf

Ich würde die Firewall-Funktion auf dem Router mal temporär testweise ausschalten und dann über einen Hotspot testen. Bei einem Guest WiFi sehe ich Probleme. Die Verbindung muss für NAT wirklich von aussen kommen.

VPN

Wie gesagt kenne ich die Router von Swisscom selbst nicht (mehr). Gemäss Anleitung unterstütz der CB2.0 Site-to-Site VPN. Das heisst er kann mittels IKEv1 und v2 Tunnels zu anderen Routern aufbauen. Aber das macht nur Sinn, wenn es Standorte mit entsprechenden Routern/Firewalls sind. Wenn Sie frei von unterwegs als RoadWarrior darauf zugreifen möchten, dann wird das meines Erachtens nicht funktionieren. Üblicherweise wird auf dem CB2.0 dann die DMZ Funktion aktiviert und an dieser DMZ hängt dann eine Firewall wie zum Beispiel eine Zywall USG. Auf dieser kann das dann alles eingerichtet werden. So wäre es möglich, dass Sie sich von unterwegs via IKEv2 (Strongswan unter Linux) an der Firewall anmelden und wären dann im internen Netz. Das braucht einiges an Erfahrung und Wissen, bis das läuft. Alternativ könnten Sie aus meiner Sicht auch mittels IP Passthrough arbeiten:

https://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_IP_Passthrough-de.pdf

Am LAN1 hängt dann Ihr Linuxrechner und alles was rein kommt, donnert auf diesen Rechner. Das ist eigentlich für Serverbetrieb gedacht. So wird der Server vom Rest des Netzes getrennt. Wenn Sie diesen dann intern verbunden haben möchten müsste dieser über eine zweite Netzwerkkarte mit dem internen LAN verbunden werden. Dabei müssen Sie aber vorsichtig sein, weil der Rechner dann direkt im Netz hängt und gegen aussen vollständig exponiert ist. Ich denke die Passthrough-Option könnte für Sie noch eine Option sein, vor allem weil Sie schrieben, dass es sich nur um eine temporäre Lösung handelt. Dann müssen Sie keine zusätzliche Hardware kaufen und sich auch nicht mit den ganzen Firewalling und VPN-Einstellungen auseinandersetzen.

Ich sehe gerade noch einen interessanten Text in dieser Anleitung:

"Wenn der Remote-Zugriff auf das Router-GUI aktiviert ist werden auch die Port http
(80), https (TCP:443) und SSH (TCP:22) nicht auf das Subnetz weitergeleitet."

Sie haben ja das Problem, dass Sie mit Port 22 nicht durch kommen. Wenn auf dem CB2.0 Remote-Zugriff aktiviert ist, kann es gut sein, dass Port 22 für NAT gesperrt ist. Noch ein Grund, keinen Standard-Port für solche Spielereien zu verwenden 😉

Also ich denke, ich würde in Ihrem Fall versuchen, das mit IP Passthrough zu lösen. Scheint mir die einfachste Lösung zu sein. Über eine zweite LAN-Verbindung würde ich den Rechner ins lokale Netz einbinden um von dort darauf zugreifen zu können und ansonsten wäre er über die andere LAN-Verbindung direkt im Internet. Dann müssen Sie keine Weiterleitungen und nichts einrichten ABER Sie müssen den Rehner entsprechend absichern. Da darf dann kein einziger Service auf diesem Netzwerk-Device laufen, den Sie nicht im Internet exponiert haben möchten. Hierzu macht man bei den Diensten jeweils eine Bindung an ein spezifisches Netzwerkgerät. Für jeden Dienst legen Sie fest, über welche Netzwerkschnittstelle dieser erreichbar sein sollte.

Ich hoffe das hilft für die weiteren Recherchen. Viel Erfolg!

ruffieux

Ha! Ich bin dank Ihren Hinweisen zumindest einen Schritt weiter: Ich sehe eine Reaktion im auth.log des Zieles!

Die Kombination aus Portwechsel und Handy Hotspot scheint zu wirken!

Nun scheine ich aber noch ein Problem mit den Keys zu haben:

sshd auf dem Server sagt:

Sep 1 17:55:48 johann sshd[15963]: debug3: append_hostkey_type: ssh-rsa key not permitted by HostkeyAlgorithms [preauth]
Sep 1 17:55:48 johann sshd[15963]: debug1: list_hostkey_types: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519 [preauth]
Sep 1 17:55:48 johann sshd[15963]: debug3: send packet: type 20 [preauth]
Sep 1 17:55:48 johann sshd[15963]: debug1: SSH2_MSG_KEXINIT sent [preauth]

Auf dem Client gibt es folgenden Output:

debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: xyz@abc.ch
debug1: kex: host key algorithm: ssh-ed25519
debug1: kex: server->client cipher: xyz@abc.ch MAC: <implicit> compression: none
debug1: kex: client->server cipher: xyz@abc.ch MAC: <implicit> compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY

Ich habe dann mal basierend auf diesem Artikel einige Versuche mit anderen KexAlgorithms gemacht. Aber nichts davon hat funktioniert.

Ich kenne mich leider mit diesen Verfahren gar nicht aus. Haben Sie dazu per Zufall dazu auch noch eine Idee?

Besten Dank

H. Ruffieux

LEXO-Web-Support

Also zuerst würde ich mal ganz normal mit Benutzername/Passwort die Authentifizierung versuchen. Das macht jeder SSH Daemon per Default ohne irgendetwas einstellen zu müssen. Die Fehlermeldung deutet darauf hin, dass sich Client- und Host nicht verstehen. In der Regel muss da nichts konfiguriert werden. Ausnahmen gibt es, wenn es sich um einen sehr alten Client und aktuellen Host handelt. Dann unterstützt der Host aus Sicherheitsgründen gewisse alte Ciphers (Key Algorithms) nicht mehr und dann muss man den jeweiligen Algorithmus in der sshd_config manuell freischalten. Aber das ist nur sehr selten der Fall - vor allem im Zusammenhang mit irgendwelchen (älteren) Windows-Tools die auf SSH zugreifen.

Standardmässig ist PermitRootLogin no in der sshd_config gesetzt. Das heisst, root darf sich NICHT einloggen. Wenn Sie keine Benutzer mit SSH Loginrechten konfiguriert haben und das intern schon getestet wurde und funktioniert, dann würde ich mal zum test PermitRootLogin yes setzen und den Daemon mit systemctl restart ssh neu starten.

Achtung! Unbedingt im Produktivsystem wieder auf “no” setzen. Sicherheitskritisch!

Dann mal versuchen, ob es normal mit Passwort AUTH geht. Hierzu braucht es eigentlich nur diese Parameter in der sshd_config:

Port 2222 #Port nach Wahl
AllowUsers root #Weitere Benutzer mit Leerschlag hinzufügen

PasswordAuthentication yes

UsePAM yes

PermitRootLogin yes

Die restlichen Einstellungen passen eigentlich immer und müssen nicht geändert werden. Damit sollten Sie sich am Rechner auf Port 2222 z.B. so anmelden können:

ssh root@domain-oder-ip-des-rechners -p2222

Wenn das klappt, kann man die Verbindung absichern. Als erstes würde man hierfür die Zertfikate erstellen. Sichere und kompatible Zertifikate sind noch immer RSA mit 4096bit. Klar, es gibt heute noch bessere ECDSA aber in der Praxis machen die teilweise noch Probleme mit Clients.

Also auf dem Rechner, auf den Sie sich einwählen wollen (Host), loggen sie sich mit dem Benutzer ein, mit dem Sie via SSH zugreifen möchten. Zum Beispiel “root” und wechseln Sie ins ~/.ssh/ Verzeichnis mit cd ~/.ssh

Wenn es dieses directory nicht gibt, müssen Sie es mit mkdir -p ~/.ssh erstellen. In der Regel ist das aber schon da.

Dann erstellen Sie die Zertifikate mittels:

ssh-keygen -t rsa -b 4096

Einstellen müssen Sie nichts, einfach einige Male ENTER drücken. Wenn Sie noch mehr Sicherheit wünschen, können Sie die Zertifikate mit einem Passwortschutz versehen. Macht aber alles komplexer. Ich würd’s nicht machen und den privaten Schlüssel sicher aufbewahren.

Dies erzeugt 2 Dateien im ~/.ssh DIR:

1. id_rsa
2. id_rsa.pub

Das erste ist der private, das zweite der öffentliche Schlüssel.

Prüfen Sie, ob bereits eine ~/.ssh/authorized_keys Datei vorhanden ist. Wenn ja, müssen Sie den Inhalt von id_rsa.pub in diese Datei kopieren. Zum Beispiel so:

cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

Aber Sie können das natürlich auch mit einem Editor kopieren/einfügen. Wenn es noch keine authorized_keys Datei gibt, können Sie die Datei id_rsa.pub einfach in authorized_keys umbenennen:

mv id_rsa.pub authorized_keys

Setzen Sie die Permissions (zwingend erforderlich, sonst funktioniert es nicht):

chmod 600 ~/.ssh -R

Standardmässig sucht der SSHd die Datei ~/.ssh/authorized_keys. Es kann aber sein, dass das bei Ihrer Linuxversion nicht so ist. Dann müssten Sie den Pfad zu dieser Datei in der sshd_config setzen. Beispiel:

AuthorizedKeysFile /root/.ssh/authorized_keys

Die folgenden beiden Einstellungen sollten ebenfalls noch gesetzt werden:

PubkeyAuthentication yes
PubkeyAcceptedKeyTypes=+ssh-rsa

Das wär’s soweit auf der Host-Seite. Der Daemons muss nicht neu gestartet werden, weil der Daemon bei jeder Verbindung die Datei aufsucht. Aber wer auf nummer sicher gehen möchte, startet den SSHd neu mit systemctl restart ssh (auf einigen System systemctl restart sshd)

Die Datei 1. (id_rsa, der private Schlüssel) müssen Sie auf den anderen PC (Client) kopieren, mit welchem Sie auf den Host zugreifen möchten. Irgendwo, wo Sie möchten. Zum Beispiel nach ~/.ssh/myhostname-ssh-private.key

So, nun sollten Sie von Ihrem Client aus auf den Host verbinden können. Beispiel:

ssh -i ~/.ssh/myhostname-ssh-private.key xyz@abc.ch -p2222

Wenn sie das automatisieren möchten, dann können Sie später in der Datei ~/.ssh/config auf dem Client eine Konfiguration anlegen. Beispiel:

Host meinhost.tld
    HostName meinhost.tld
    User root
    Port 2222
    IdentityFile ~/.ssh/myhostname-ssh-private.key

Mit dieser Konfiguration sollten ein Login ohne Passworteingabe möglich sein. Wenn das klappt, müssen Sie nun schrittweise den SSHd absichern. Empfehlungen:

AllowUsers root #nur die Benutzer aufführen, die sich via SSH anmelden können sollten
PermitRootLogin prohibit-password #root kann nicht mehr mit Passwort anmelden
PermitEmptyPasswords no #schmeisst viele bots raus
StrictModes yes #stellt sicher, dass alle Rechte OK sind ehe Zugriff erlaubt wird
PasswordAuthentication no #deaktiviert Benutzername/Passwort AUTH komplett (braucht’s nicht wenn man mit Zertifikaten arbeitet)
LoginGraceTime 30
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 3
AddressFamily inet #nur IPv4

Weiter sollte dann SSH noch mittels GeoIP abgesperrt werden. Hierzu noch einmal die Referenz auf unseren Blog.

Das wären mal die Basics. Damit sollte es funktionieren und sicher sein. Ich drücke die Daumen! 😉

ruffieux

Hallo LEXO-Web-Support

Wow! Besten Dank. Soo viel Information muss ich zuerst verdauen…. 🙂

Komisch ist ja, dass der Aufruf intern funktioniert aber nicht extern mit dem genau gleichen Aufruf. Das gleiche gilt, wenn ich sowohl die Router FW wie auch die Server FW kurz ausschalte.

Ich arbeite auf beiden Seiten mit aktuellen Ubuntu Linux Versionen und werde Ihre Vorschläge durcharbeiten. Werde aber möglicherweise im zweiten Teil beginnen.

Im Auth.log sehe ich sowohl intern wie extern diese Einträge:

…..

…..

Sep 2 19:49:44 johann sshd[41455]: debug3: ssh_sandbox_child: setting PR_SET_NO_NEW_PRIVS [preauth]
Sep 2 19:49:44 johann sshd[41455]: debug3: ssh_sandbox_child: attaching seccomp filter program [preauth]
Sep 2 19:49:44 johann sshd[41455]: debug3: append_hostkey_type: ssh-rsa key not permitted by HostkeyAlgorithms [preauth]
Sep 2 19:49:44 johann sshd[41455]: debug1: list_hostkey_types: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519 [preauth]
Sep 2 19:49:44 johann sshd[41455]: debug3: send packet: type 20 [preauth]
Sep 2 19:49:44 johann sshd[41455]: debug1: SSH2_MSG_KEXINIT sent [preauth]

Bei einer internen Verbindung tauschen die dann unglaublich viele Schlüsselinformationen aus. Nun vermute ich dass irgendein Aufruf nicht durch geht….

Sep 2 19:49:44 johann sshd[41455]: debug1: SSH2_MSG_KEXINIT sent [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug3: receive packet: type 20 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug1: SSH2_MSG_KEXINIT received [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: local server KEXINIT proposal [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: KEX algorithms: curve25519-sha256,xyz@abc.ch,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,xyz@abc.ch,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,xyz@abc.ch [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: host key algorithms: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: ciphers ctos: xyz@abc.ch,aes128-ctr,aes192-ctr,aes256-ctr,xyz@abc.ch,xyz@abc.ch [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: ciphers stoc: xyz@abc.ch,aes128-ctr,aes192-ctr,aes256-ctr,xyz@abc.ch,xyz@abc.ch [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: MACs ctos: xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,hmac-sha2-256,hmac-sha2-512,hmac-sha1 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: MACs stoc: xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,hmac-sha2-256,hmac-sha2-512,hmac-sha1 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: compression ctos: none,xyz@abc.ch [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: compression stoc: none,xyz@abc.ch [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: languages ctos: [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: languages stoc: [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: first_kex_follows 0 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: reserved 0 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: peer client KEXINIT proposal [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: KEX algorithms: xyz@abc.ch,curve25519-sha256,xyz@abc.ch,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,ext-info-c,xyz@abc.ch [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: host key algorithms: xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,xyz@abc.ch,xyz@abc.ch,rsa-sha2-512,rsa-sha2-256 [preaut
Sep 2 19:49:48 johann sshd[41455]: debug2: ciphers ctos: xyz@abc.ch,aes128-ctr,aes192-ctr,aes256-ctr,xyz@abc.ch,xyz@abc.ch [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: ciphers stoc: xyz@abc.ch,aes128-ctr,aes192-ctr,aes256-ctr,xyz@abc.ch,xyz@abc.ch [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: MACs ctos: xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,hmac-sha2-256,hmac-sha2-512,hmac-sha1 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: MACs stoc: xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,xyz@abc.ch,hmac-sha2-256,hmac-sha2-512,hmac-sha1 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: compression ctos: none,xyz@abc.ch,zlib [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: compression stoc: none,xyz@abc.ch,zlib [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: languages ctos: [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: languages stoc: [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: first_kex_follows 0 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: reserved 0 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug3: kex_choose_conf: will use strict KEX ordering [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug1: kex: algorithm: xyz@abc.ch [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug1: kex: host key algorithm: ssh-ed25519 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug1: kex: client->server cipher: xyz@abc.ch MAC: <implicit> compression: none [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug1: kex: server->client cipher: xyz@abc.ch MAC: <implicit> compression: none [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug1: expecting SSH2_MSG_KEX_ECDH_INIT [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug3: receive packet: type 30 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug1: SSH2_MSG_KEX_ECDH_INIT received [preauth]

Sep 2 19:49:48 johann sshd[41455]: debug3: mm_sshkey_sign: entering [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug3: mm_request_send: entering, type 6 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug3: mm_sshkey_sign: waiting for MONITOR_ANS_SIGN [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug3: mm_request_receive_expect: entering, type 7 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug3: mm_request_receive: entering [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug3: mm_request_receive: entering
Sep 2 19:49:48 johann sshd[41455]: debug3: monitor_read: checking request 6
Sep 2 19:49:48 johann sshd[41455]: debug3: mm_answer_sign: entering
Sep 2 19:49:48 johann sshd[41455]: debug3: mm_answer_sign: ssh-ed25519 KEX signature len=83
Sep 2 19:49:48 johann sshd[41455]: debug3: mm_request_send: entering, type 7
Sep 2 19:49:48 johann sshd[41455]: debug2: monitor_read: 6 used once, disabling now
Sep 2 19:49:48 johann sshd[41455]: debug3: send packet: type 31 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug3: send packet: type 21 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug1: ssh_packet_send2_wrapped: resetting send seqnr 3 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug2: ssh_set_newkeys: mode 1 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug1: rekey out after 134217728 blocks [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug1: SSH2_MSG_NEWKEYS sent [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug1: Sending SSH2_MSG_EXT_INFO [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug3: send packet: type 7 [preauth]
Sep 2 19:49:48 johann sshd[41455]: debug1: expecting SSH2_MSG_NEWKEYS [preauth]
Sep 2 19:49:48 johann sshd[41455]: Connection closed by 192.168.1.41 port 40086 [preauth]

Nochmals besten Dank für Ihre Unterstützung. Ich informiere wieder sobald ich wieder etwas rausgefunden habe.

Schöne Grüsse

H. Ruffieux

LEXO-Web-Support

In dem Debug-Log schaut eigentlich alles gut aus. Was ich sehe ist:

Sep 2 19:49:48 johann sshd[41455]: Connection closed by 192.168.1.41 port 40086 [preauth]

Das heisst, die Verbindung wurde geschlossen ehe authentifiziert wurde. Kann verschiedene Ursachen haben, kann aber auch sein, dass Sie das Login selbst abgebrochen haben.

Sep 2 19:49:44 johann sshd[41455]: debug3: append_hostkey_type: ssh-rsa key not permitted by HostkeyAlgorithms [preauth]

Offenbar akzeptiert der Server keine ssh-rsa keys. Vielleicht versuchen Sie es mal mit dieser Option in der sshd_config:

HostKey /etc/ssh/ssh_host_ed25519_key
HostKey /etc/ssh/ssh_host_rsa_key

Das sind die beiden häufig verwendeten Keys. Vermutlich fehlt die Angabe dieser im sshd_config. Wenn das ein Problem sein sollte, dann würde aber auch das lokale Login nicht funktionieren. Wie es scheint einigen sich Client und Host einfach auf andere Keys. Irgendwie 🙂

Also ich denke, aus Sicht von Client und Host ist alles OK. Das Problem scheint wirklich am Router bzw. der Router-Konfiguration zu liegen. Vielleicht den Router mal komplett resetten und von Grund auf neu konfigurieren. Oder die Konfiguration so vornehmen wie zuvor von mir beschrieben.

ruffieux

Was für ein idiotischer Fehler ich da gemacht habe (!):

Ich hatte zwar mein Ubuntu Clientgerät via Handy Hotspot verbunden, aber das Handy hatte immer noch eine interne WLAN Verbindung und hat die Anfrage somit immer noch intern geroutet! Damit hatte ich nicht gerechnet.

Als ich das WLAN auf dem Handy ausschaltete ging die externe ssh Verbindung auf Anhieb. Darauf gekommen bin ich durch reinen Zufall, weil ich irrtümlicherweise den falschen (internen) ssh Befehl aus der Linux sh Befehlsqueue holte und die interne Verbindung entgegen meiner Erwartungen funktioniert.

Tut mir leid, Ihre Zeit verschwendet zu haben!

Nun kann ich ssh und teilweise auch schon eine x-session aufbauen (xeyes funktioniert).

Leider funktioniert das aber noch mit keiner anderen Anwendung wie gedit oder der google-chrome Browser. Wissen Sie per Zufall, was mir da noch fehlt? Ich habe dazu schon zig Hinweise im Netz probiert, war aber bisher noch nicht erfolgreich.

LEXO-Web-Support

Ich wundere mich: üblicherweise kann ein Smartphone keinen Hotspot eröffnen, wenn eine WLAN-Verbindung zu einem Netzwerk besteht. Entweder/oder. Aber gut, wenn es nun funktioniert. Es sind oft irgendwelche Kleinigkeiten die einem die Zeit versäumen 😉

Im Bereich RDP kenne ich mich selbst leider nicht gut aus. Ich benutz(t)e das selber nie mit meinen Maschinen. Ich nutze Linux regulär als Desktopsystem und ansonsten bewege ich mich ausschliesslich auf der Konsole für die Konfiguration diverser Serverdienste.

Was ich glaube zu wissen: Man kann nicht - wie bei Windows - auf eine laufende Session via RDP zugreifen. xRDP erstellt quasi eine neue xSession, an der man sich anmelden muss. Das heisst: Wenn der Benutzer “Hans” am entfernten Rechner angemeldet ist, dann kann man sich nicht erneut mit “Hans” via xRDP anmelden. Man muss den lokalen zuerst abmelden. So war das früher mal. Eventuell ist das heute aber anders. Ich müsste mich da selbst einarbeiten. RDP unter Linux ist aus meiner Sicht ein ziemliches Gebastel. Denn Grundsätzlich ist der X-Server ja darauf ausgelegt, beliebige Sessions an verschiedene Terminals auszugeben. Mittels SSH X11 Forwarding. Alternativ kann VNC verwendet werden. VNC hatte ich vor etwa 20 Jahren am Laufen. Wie das heute geht kann ich leider nicht sagen. Was es noch gibt ist das kommerzielle Produkt “NoMachine”. Damit kann man auf laufende Sessions zugreifen - etwa wie mit TeamViewer, was auch eine Option wäre.

Grundsätzlich gilt: Das Exponieren des Rechners würde ich nicht empfehlen. Diese Art von Zugriffen sollte eigentlich über VPN geschützt werden und am besten ist es sogar, wenn man das VPN länderspezifisch einschränkt.

Tut mir leid, dass ich da nicht weiterhelfen kann.