Liebe Gemeinde!
Ich verzweifle hier ein einem recht banalem Problem.
Ein Server im Lan soll über SSH aus dem Internet administriert werden können. Dazu muss der Port22 (oder ein alternativer Port) vom Internet an den Server weitergereicht werden.
Folgendes habe ich gemacht:
1) Unter Konfiguration/IP-Routing/Maskierung/Port ForwardingTabelle folgendes eingestellt:
Anfangsport: 22
End-Port: 22
Gegenstelle: T-DSLBIZ
Intranetadresse: <IP-des-Servers>
Map-Port: 22
Protokoll: TCP+UDP
WAN-Adresse: 0.0.0.0
2) Firewallregel erstellt:
Quelle: 'von allen Stationen'
Quelldienst: SSH
Ziel: <IP-des-Servers>
Ziel-Dienst: SSH
Aktion: ACCEPT
Trotzdem sagt NMAP, dass kein Port von außen offen ist und die Verbindung mit Putty über's Internet geht nicht 'Connection refused'.
Alle Ports zum Administrieren des LANCOM 1611+ sind geschlossen.
Wo ist der Fehler????
Schon Mal vielen Dank ... Josh
SSH für LAN-Server vom Internet durchlassen (gelöst)
Moderator: Lancom-Systems Moderatoren
SSH für LAN-Server vom Internet durchlassen (gelöst)
Zuletzt geändert von Josh am 21 Aug 2014, 10:16, insgesamt 1-mal geändert.
-
Dr.Einstein
- Beiträge: 3226
- Registriert: 12 Jan 2010, 14:10
Re: SSH für LAN-Server vom Internet durchlassen
Hey Josh,
Gruß Dr.Einstein
ich denke, du kannst mit deiner SSH Client Anwendung den Quellport nicht gezielt auf 22 setzen, sondern es wird ein dynamischer Quellport vom Betriebssystem vergeben. Somit solltest du den Quellport auf beliebig stellen. Die Firewallregel benötigst du aber auch nur dann, wenn du eine Deny-All bzw. eine entsprechende Blockregel für SSH definiert hast.Josh hat geschrieben: 2) Firewallregel erstellt:
Quelle: 'von allen Stationen'
Quelldienst: SSH
Ziel: <IP-des-Servers>
Ziel-Dienst: SSH
Aktion: ACCEPT
Gruß Dr.Einstein
Re: SSH für LAN-Server vom Internet durchlassen
Hallo Josh,
lass mal den Wert Map Port auf "0".
"T-DSLBIZ" ist auch die richtige Gegenstelle ?
Welche Firewall Strategie hast Du ?
Grüße
Maik
lass mal den Wert Map Port auf "0".
"T-DSLBIZ" ist auch die richtige Gegenstelle ?
Welche Firewall Strategie hast Du ?
Grüße
Maik
Re: SSH für LAN-Server vom Internet durchlassen
OK, das leuchtet mir ein. Habe den Quellport jetzt auf 'alle' gesetzt und es funktioniert, nachdem ich noch eine kleine zusätzliche Änderung in der Firewall geändert habe (s.u.).Dr.Einstein hat geschrieben:ich denke, du kannst mit deiner SSH Client Anwendung den Quellport nicht gezielt auf 22 setzen, sondern es wird ein dynamischer Quellport vom Betriebssystem vergeben. Somit solltest du den Quellport auf beliebig stellen. Die Firewallregel benötigst du aber auch nur dann, wenn du eine Deny-All bzw. eine entsprechende Blockregel für SSH definiert hast.
Vielen Dank
Re: SSH für LAN-Server vom Internet durchlassen
Der Wert ist jetzt auf '0'.maiki hat geschrieben:lass mal den Wert Map Port auf "0".
"T-DSLBIZ" ist auch die richtige Gegenstelle ?
Welche Firewall Strategie hast Du ?
Ja, die Gegenstelle ist richtig.
Ich habe zuerst in der Firewall alles verboten und dann einzelne Dienste freigegeben.
Ich hatte nur auch einen Knoten im Kopf, weil ich zum Testen den Port22 falsch freigegeben hatte. Hatte halt auch bei den ausgehenden Regeln den Quell- und Zielport auf 22 gesetzt, ungeachtet der Tatsache, dass der Quellport ja unbestimmt ist (s.o.). Und so kam ich schon gar nicht raus
Auf jeden Fall klappt jetzt alles super.
Vielen Dank
Zuletzt geändert von Josh am 21 Aug 2014, 10:18, insgesamt 1-mal geändert.
Re: SSH für LAN-Server vom Internet durchlassen (gelöst)
Und hier die zusammenfassende Lösung:
Josh hat geschrieben: 1) Port Forwarding:
Anfangsport: 22
End-Port: 22
Gegenstelle: T-DSLBIZ
Intranetadresse: <IP-des-Servers>
Map-Port: 0
Protokoll: TCP+UDP
WAN-Adresse: 0.0.0.0
2) Firewallregel erstellt:
Quelle: 'von allen Stationen'
Quelldienst: 'alle'
Ziel: <IP-des-Servers>
Ziel-Dienst: SSH
Aktion: ACCEPT