SSH-Zugang per Router funktioniert nicht

N

novu

Mitglied
Thread Starter
Dabei seit
24.02.2004
Beiträge
19
Reaktionspunkte
0
Hallo Forum,

ich möchte per SSH meinen Server fernwarten. Im LAN funktioniert die Verbindung,
von außen leider nicht. Ein Portscan sagt mir: nur Port 80 offen.
(Einen anderen ssh-Server „draußen” erreiche ich auch.)

Ich benutze eine dyn. IP per dyndns.org
Im Router ist per NAT SetUp Port 80 (funktioniert) und
Port 22 (für ssh - funktioniert nicht) freigegeben. Muß ich noch etwas tun?
Wenn man den Server in die DMZ stellt, funktioniert es. Ist ja nicht so die
optimale Lösung ...

(DrayTek_Vigor2104p# Firmware Version : v2.5.1)
(OSX 10.3 Client 10.2.8 Server)

Ratlos freut sich über jeden Tipp

Thomas
 
webmin

Du kannst den Rechner auch via Webmin fernwarten.
Über Port 80 und einen laufenden Apache.

greets
 
DMZ?

Wie sieht denn Deine Netzarchitektur aus? Wenn Du durch den Router (zwischen I-Net/DMZ) in die DMZ kommst, muss ja (theoretisch) ein weiterer Router zwischen Lan und DMZ sein, oder? Falls ich mich nicht täusche musst Du dem ja auch entsprechend Portforwarding beibringen.

Für Webmin braucht man übrigens keinerlei laufenden Webserver, den Serverdienst bringt Webmin selber mit. Sonst wäre es ja schwierig z.B. Apache via Webmin ein und auszuschalten...
Mal abgesehen davon, wenn ich das richtig verstanden habe, (s.o.) müsste in dem Fall der http-Port geforwarded werden. Was nutzt Webmin wenn ich nicht durch die DMZ komme?

Ich glaube die Frage ist in diesem Fall nicht der Dienst als solcher, sondern wie komme ich an den Zielrechner, und das ist eine Frage von Forwardern/Netzarchitektur.
Wie komme ich physikalisch vom I-Net durch die DMZ auf einen Rechner im LAN?
Ist das überhaupt sinnvoll? Soll das LAN nicht eben durch die DMZ geschützt sein?

*Verwirrt*

Grüße,
Flo
 
DMZ

hoppla, da habe ich Verwirrung gestiftet.

Zunächst vielen Dank für die Hinweise zum Webmin.

Mein Netzwerk ist momentan nur eine Testinstallation für den neuen OSX-Server.
Es besteht nur aus OSX-Client, Server und einem Router, der zugleich mein Hub ist.
Im Router kann ich eine DMZ definieren: eine IP, an die alle Anfragen durchgeleitet
werden, die nicht per NAT auf eine bestimmte IP:port weitergeleitet werden = alle Ports sind offen.
Nachdem ich per SSH nicht durch den Router „durch” kam, habe ich die Server-IP
vorübergehend als Adresse der DMZ eingetragen. Der Server, der ja hinter dem
Router steht, konnte jetzt per SSH von aussen erreicht werden. Wenn ich Port 22
freigebe / weiterleite, klappt’s nicht. Sind „alle” Ports weitergeleitet, klappt’s.
Der Supporter von 2-com (Lieferant des Routers) meint, es müsse vermutlich (s.o)
noch ein weiterer Port für SSH geöffnet werden.

Ich hoffe, jetzt ist es klarer.

Thomas
 
Re: DMZ

Original geschrieben von novu
Es besteht nur aus OSX-Client, Server und einem Router, der zugleich mein Hub ist.
Zum Vergrößern anklicken....

Das gibt dann aber keine DMZ, dafür fehlt ein bisschen was.

Im Router kann ich eine DMZ definieren: eine IP, an die alle Anfragen durchgeleitet
werden, die nicht per NAT auf eine bestimmte IP:port weitergeleitet werden = alle Ports sind offen.
Zum Vergrößern anklicken....

Das ist dann keine DMZ sondern ein Exposed Host.
Wo ist das Problem? NAT IP:22 und schon landest Du eben nicht in der "DMZ"

Nachdem ich per SSH nicht durch den Router „durch” kam, habe ich die Server-IP
vorübergehend als Adresse der DMZ eingetragen. Der Server, der ja hinter dem
Router steht, konnte jetzt per SSH von aussen erreicht werden. Wenn ich Port 22
freigebe / weiterleite, klappt’s nicht. Sind „alle” Ports weitergeleitet, klappt’s.
Der Supporter von 2-com (Lieferant des Routers) meint, es müsse vermutlich (s.o)
noch ein weiterer Port für SSH geöffnet werden.
Zum Vergrößern anklicken....

Ich frage mich welcher Port das sein sollte, und v.a. warum?
Klingt mir alles reichlich obskur.
Ich würde mir das ganze nochmal genau überlegen, und evtl. mal einen anderen Router ausprobieren. In der aktuellen c´t ist übrigens ein ganz interessanter Artikel über günstige DIY-DMZs, vielleicht gibt Dir der einen verständlichen Einstieg.

Ich hoffe, jetzt ist es klarer.
Zum Vergrößern anklicken....
 

Leider nein.

Grüße,
Flo
 
Vielen Dank für den ct-Artikelhinweis. Allerdings war die DMZ nicht mein Thema, sondern die ssh-Zugangsfrage.

Die hat sich allerdings inzwischen gelöst:

Ich habe Ich da rumgefummelt,
wo ich eine Lösung eigentlich nicht erwartete und siehe:

Es war ein routerspezifisches Problem.

[ SSH funktioniert, wenn man am Vigor2104p unter Management Setup:
Disable PING from the Internet abwählt. (Eine Sicherheits-vor-einstellung)
Unlogisch, aber wirkungsvoll ;-) Dann braucht es nur den weitergeleiteten Port 22. ]


Vielen Dank für die Aufmerksamkeit + Hilfsbereitschaft.

Thomas
 
Original geschrieben von novu
Es war ein routerspezifisches Problem.
Zum Vergrößern anklicken....
 

Ich glaube desegen war ich so irritiert, weil ja eigentlich alles ganz einfach mit forwarden von Port 22 hätte klappen müssen. Egal, hauptsache es läuft.

Grüße,
Flo
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten