Über VPN SSH Zugriff auf Ubuntu-Rechner

Gerdchen03

Neues Mitglied
Thread Starter
Registriert
17.06.2011
Beiträge
40
Hallo,

ich möchte von außen über einen VPN-Tunnel per SSH auf einem meiner Ubuntu-Rechner zugreifen können Der Tunnel steht, ich komme in mein Heimnetz. Die SSH-Verbindung wird abgelehnt, den Rechner kann ich aneignen. Inzwischen habe ich herausgefunden, dass ich auf dem Port 22 am Zielrechner (IP 192.168.178.30) ankomme. Ich habe dazu auf meinem Mac folgende Route gesetzt:
sudo route add -host 192.168.178.30 gw 10.8.1.5 dev tun0
Die Antwort ist:
route: bad address: gw
ich kann dann aber, was vorher nicht ging, den Port 22 des Zielrechners Scannen.
nc -zv 192.168.178.30 22

Die Fehlermeldung scheint nach einigem googeln ein typischer Mac-Fehler zu sein, weil die Syntax beim Mac so wohl nicht stimmt. Hat jemand eine Idee, was ich anders machen muss?
 

MasterAriGato

Mitglied
Registriert
09.05.2019
Beiträge
52
networksetup -listallnetworkservices

Den VPN Service identifizieren

networksetup -setadditionalroutes "DeinVPNService" 192.168.178.30 255.255.255.255 10.8.1.5

Würde ich mal probieren. Wobei ein:

sudo route -n add -net 192.168.178.0/24 10.8.1.5
auch gehen sollte. Das IF erkennt er anhand vom GW- hier routest du das ganze FritzBox Netz
 

oneOeight

Aktives Mitglied
Registriert
23.11.2004
Beiträge
60.816
Du kannst das mit dem Routing auch in den Netzwerkeinstellungen machen.
 

davedevil

unregistriert
Registriert
30.10.2010
Beiträge
9.463
Falsche Rangehensweise. Solange die Geräte ihre Aufgaben ohne Murren zu erledigen wissen, ist es ja wurscht, was ihr euch an RAM wünscht.
 

MasterAriGato

Mitglied
Registriert
09.05.2019
Beiträge
52
Falsche Rangehensweise. Solange die Geräte ihre Aufgaben ohne Murren zu erledigen wissen, ist es ja wurscht, was ihr euch an RAM wünscht.

Ich glaube Themaverfehlung?

ps: achja mit netstat -nr kannst du prüfen, ob die route auch existiert.

kuckst du dann unter dem Punkt "Internet:"
 

Gerdchen03

Neues Mitglied
Thread Starter
Registriert
17.06.2011
Beiträge
40
Ich bin nicht sicher, ob sie existiert. Ich finde folgenden Eintrag:
192.168.178.30 a5:50:99:86:dd:ec UHLWI en0 1186

Er ist aber unmittelbar nachdem ich "nc -zv 192.168.178.30 22" eingebe da. Das sollte dann ja eigentlich keine route sein.

Wenn ich folgendes eingebe:
sudo route -n add -net 192.168.178.0/24 10.8.1.5

bekommen ich:
route: writing to routing socket: File exists
add net 192.168.178.0: gateway 10.8.1.5: File exists

Was muss hier an die Stelle DeinVPNService? Das Interface, z.B. tun0?
networksetup -setadditionalroutes "DeinVPNService" 192.168.178.30 255.255.255.255 10.8.1.5
 

Gerdchen03

Neues Mitglied
Thread Starter
Registriert
17.06.2011
Beiträge
40
Achso, du meintest, mit "networksetup -listallnetworkservices" herausfinden, wie mein Service heißt.
Das müsste das hier sein:
VPN (Cisco IPSec)
 

Gerdchen03

Neues Mitglied
Thread Starter
Registriert
17.06.2011
Beiträge
40
der Befehl heißt dann also:
networksetup -setadditionalroutes "VPN (Cisco IPSec)" 192.168.178.30 255.255.255.255 10.8.1.5

Sehe ich das richtig? Die Route wurde nicht eingetragen, oder??
 

MasterAriGato

Mitglied
Registriert
09.05.2019
Beiträge
52
der Befehl heißt dann also:
networksetup -setadditionalroutes "VPN (Cisco IPSec)" 192.168.178.30 255.255.255.255 10.8.1.5

Sehe ich das richtig? Die Route wurde nicht eingetragen, oder??


was ist denn der Auszug von networksetup -listallnetworkservices

?

Dann kann ich sagen ob der Befehl richtig ist.
 

Gerdchen03

Neues Mitglied
Thread Starter
Registriert
17.06.2011
Beiträge
40
Code:
MacBook:~ dirk$ networksetup -listallnetworkservices
An asterisk (*) denotes that a network service is disabled.
MT65xx Preloader 2
MT65xx Preloader
Arduino Leonardo
Bluetooth
USB-Serial Controller
USB IO Board   
SparkFun Pro Micro
Arduino Leonardo 2
AVR-ISP2
SparkFun Pro Micro 2
Ethernet
802.11 n WLAN
RNDIS/Ethernet Gadget
TomTom START 60
TomTom START 61
RNDIS/Ethernet Gadget 2
RNDIS/Ethernet Gadget 3
RNDIS/Ethernet Gadget 4
RNDIS/Ethernet Gadget 5
RNDIS/Ethernet Gadget 6
RNDIS/Ethernet Gadget 7
RNDIS/Ethernet Gadget 8
RNDIS/Ethernet Gadget 9
RNDIS/Ethernet Gadget 10
RNDIS/Ethernet Gadget 11
RNDIS/Ethernet Gadget 12
RNDIS/Ethernet Gadget 13
RNDIS/Ethernet Gadget 14
RNDIS/Ethernet Gadget 15
RNDIS/Ethernet Gadget 16
RNDIS/Ethernet Gadget 17
RNDIS/Ethernet Gadget 18
RNDIS/Ethernet Gadget 19
RNDIS/Ethernet Gadget 20
RNDIS/Ethernet Gadget 21
RNDIS/Ethernet Gadget 22
RNDIS/Ethernet Gadget 23
RNDIS/Ethernet Gadget 24
RNDIS/Ethernet Gadget 25
RNDIS/Ethernet Gadget 26
RNDIS/Ethernet Gadget 27
RNDIS/Ethernet Gadget 28
RNDIS/Ethernet Gadget 29
RNDIS/Ethernet Gadget 30
RNDIS/Ethernet Gadget 31
RNDIS/Ethernet Gadget 32
RNDIS/Ethernet Gadget 33
RNDIS/Ethernet Gadget 34
RNDIS/Ethernet Gadget 35
RNDIS/Ethernet Gadget 36
RNDIS/Ethernet Gadget 37
RNDIS/Ethernet Gadget 38
RNDIS/Ethernet Gadget 39
RNDIS/Ethernet Gadget 40
RNDIS/Ethernet Gadget 41
RNDIS/Ethernet Gadget 42
RNDIS/Ethernet Gadget 43
RNDIS/Ethernet Gadget 44
RNDIS/Ethernet Gadget 45
RNDIS/Ethernet Gadget 46
RNDIS/Ethernet Gadget 47
RNDIS/Ethernet Gadget 48
RNDIS/Ethernet Gadget 49
RNDIS/Ethernet Gadget 50
RNDIS/Ethernet Gadget 51
RNDIS/Ethernet Gadget 52
RNDIS/Ethernet Gadget 53
RNDIS/Ethernet Gadget 54
RNDIS/Ethernet Gadget 55
RNDIS/Ethernet Gadget 56
RNDIS/Ethernet Gadget 57
RNDIS/Ethernet Gadget 58
RNDIS/Ethernet Gadget 59
RNDIS/Ethernet Gadget 60
RNDIS/Ethernet Gadget 61
RNDIS/Ethernet Gadget 62
RNDIS/Ethernet Gadget 63
RNDIS/Ethernet Gadget 64
RNDIS/Ethernet Gadget 65
RNDIS/Ethernet Gadget 66
RNDIS/Ethernet Gadget 67
RNDIS/Ethernet Gadget 68
RNDIS/Ethernet Gadget 69
FireWire
Bluetooth PAN
Wi-Fi
VPN (Cisco IPSec)
 

MasterAriGato

Mitglied
Registriert
09.05.2019
Beiträge
52
und dein Cisco VPN macht eine Verbindung zu einer FritzBox ?

nur so als Frage, weil 192.168.178.xx im Standard eine Fritzbox ist.

Wenn ja, dann dieses Device angeben beim befehl

networksetup -setadditionalroutes "VPN (Cisco IPSec)" 192.168.178.30 255.255.255.255 10.8.1.5


für mich stellt sich nur die Frage. Eine vorhandene VPN-Verbindung erkennt die dahinter liegenden Netze automatisch. Statische Routen sind selten notwendig.

Wer ist der Initator? Wer ist die Gegenstelle? Kannst du das Netzwerk etwas genauer erklären?

Ist die Gegenstelle "Fritzbox" das VPN-Gateway? Oder etwas anderes dahinter? Wenn FritzBox nicht das VPN-Gateway ist, ist dort ein Port Forwarding auf 22 eingerichtet?
 

Gerdchen03

Neues Mitglied
Thread Starter
Registriert
17.06.2011
Beiträge
40
Ich habe einen Raspberry mit OpenVPN selbst konfiguriert. Er hat die IP 192.168.178.4 und ist mein Standard Gateway. Meine Fritzbox stellt die Internetverbindung zur Verfügung und hat die IP 192.168.178.1. Wenn man aus dem VPN-Tunnel rauskommt, ist man also auf dem 192.168.178.4.
Auf der Fritzbox ist kein Port Forwarding auf 22 eigerichtet. Ich hoffe, das sind alle notwendigen Informationen.
 

MasterAriGato

Mitglied
Registriert
09.05.2019
Beiträge
52
Ich habe einen Raspberry mit OpenVPN selbst konfiguriert. Er hat die IP 192.168.178.4 und ist mein Standard Gateway. Meine Fritzbox stellt die Internetverbindung zur Verfügung und hat die IP 192.168.178.1. Wenn man aus dem VPN-Tunnel rauskommt, ist man also auf dem 192.168.178.4.
Auf der Fritzbox ist kein Port Forwarding auf 22 eigerichtet. Ich hoffe, das sind alle notwendigen Informationen.


Leitest du denn ankommen auf der Fritzbox 1194 UDP weiter auf den Raspi ?
 

Gerdchen03

Neues Mitglied
Thread Starter
Registriert
17.06.2011
Beiträge
40
Nein, es gibt keinerlei Port Forwarding von der Fitzbox zum Raspberry
 

MasterAriGato

Mitglied
Registriert
09.05.2019
Beiträge
52
Wenn du von extern nun auf den OpenVPN zugreifen willst, sollte die Fritzbox den Port 1194 (OpenVPN Port) ja zum Rapsi weiterleiten. Sonst blockt diese ja den Request ab. Wenn dein Ubuntu Rechner als Default-Gateway die 192.168.178.4 eingetragen hat, hat dann der Raspi eine Backhole Route zur Fritzbox? Also 0.0.0.0/0 geht über 192.168.178.1 ?
 

Gerdchen03

Neues Mitglied
Thread Starter
Registriert
17.06.2011
Beiträge
40
Ich muss noch mal kurz sortieren. Es sind ein paar Dinge durcheinander geraten:
- die Fritzbox (192.168.178.1) ist mit dem Internet verbunden. Sie ist kein Standard Gateway und auch kein DHCP Server mehr
- auf der Fitzbox sind keinerlei Port Forwardings eingerichtet
- auf dem Raspberry läuft OpenVP und er baut einen Tunnel zu meinem Server im Internet auf. Er ist das Standard Gateway und dient auch als DHCP Server. Auf ihm kann ich mich auch per SSH über den Tunnel einloggen (ssh user@192.168.178.4)
- Den Ubuntu-Rechner (192.168.178.30) möchte ich per SSH erreichen. Anpingen und ein Scan des Portes 22 sind möglich

Ich habe jetzt mal ein Port Forwarding UDP von der FritzBox zum Raspberry eingerichtet. Es geht weiterhin nicht.
Da das Anpingen und der Scan funktionieren, ist beim Verlassen des Tunnels ja grundsätzlich der Rechner 192.168.178.30 bekannt. Auch der Port wird gefunden. Dennoch wird die Anfrage abgelehnt. Entweder, weil ich gar nicht am richtigen Rechner ankomme, oder weil der Rechner aus irgendwelchen Gründen die Verbindung ablehnt.
 

MasterAriGato

Mitglied
Registriert
09.05.2019
Beiträge
52
ok. das bringt etwas Licht ins dunkle.

Also dann würde ich mal andere Ansatzwege fahren. Da der VPN grundsätzlich funktioniert und du auf den Raspi kommst. Gehe ich auch davon aus, dass dein VPN weiß, dass 192.168.178.30 Richtung Raspi geht und dort weiter auf den Ubuntu Rechner.

Hat der Ubuntu Rechner eine Firewall aktiv? evtl mal ausschalten. Hat der Ubuntu Rechner SSH-Service laufen zum verbinden? auf Ubuntu: netstat -an | grep 22

Ist die Ubuntu /etc/ssh/sshd_config richtig konfiguriert?

Kannst du dich lokal auf dem Ubuntu per ssh einloggen?
 

Gerdchen03

Neues Mitglied
Thread Starter
Registriert
17.06.2011
Beiträge
40
Lokal komme ich auf den Ubuntu-Rechner. Firewall habe ich zumindest keine wissentlich eingerichtet.
Hier die /etc/ssh/sshd_config
Code:
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 1024
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
Match group sftp
ChrootDirectory %h
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
 

Gerdchen03

Neues Mitglied
Thread Starter
Registriert
17.06.2011
Beiträge
40
Ich denke, dass der Rechner von außen mit einer IP der Art 10.8.1.x versucht auf den 192.168.178.30 auf dem Port 22 zuzugreifen. Der lehnt aber scheinbar ab.
 
Zuletzt bearbeitet:
Oben Unten