SSH Tunnel: Connection Failure

[Guest]

Hey,

ich habe folgendes Szenario bei mir erstellt:

Windows XP, per Firewall (Ashampoo Free Firewall) Port von SSH geschlossen (notebook (weil ich testen will ob Tunneling geht)). Nun will ich ein Tunnel zu meinem Server aufbauen.

Also habe ich in Putty unter Tunnels bei:

Source Port: 12345
Destination: localhost

eingetragen und "Dynamic" ausgewählt (wie in etlichen Wikis vorgeschlagen wird). Dann hab ich bei Session die Ip des Servers eingetragen und den Port. Trotzdem kommt Connection Failure. Und meine Firewall schreibt in den Log das Putty versucht hat per Port 22 sich zu verbinden und das er es abgelehnt hat.

Nun hab ich alles versucht, ob unter Windows oder Linux, ich kriege einfach kein Tunnel aufgebaut.

Kann mir einer dabei helfen wie ich es mit Putty hinkriege?

 

[bitmuncher]

Denkst du nicht, dass eine Putty-Frage in einem Windows-Forum besser aufgehoben wäre? Es handelt sich ja schliesslich um eine Windows-Software, mit der du hier Probleme hast.

Sollte es am Server liegen...
- Schau nach ob der sshd wirklich läuft.
- Prüfe, ob auf dem Server evtl. eine Firewall läuft, so dass Port 22 blockiert wird.
- Prüfe ob der sshd auch am LAN-Interface lauscht und nicht evtl. nur auf localhost beschränkt ist.
- Schau in den Logs, ob vom Windows eine Verbindung ankommt und wenn ja, mit welchen Meldungen sie beendet wird.

 

[Guest]

Denkst du nicht, dass eine Putty-Frage in einem Windows-Forum besser aufgehoben wäre? Es handelt sich ja schliesslich um eine Windows-Software, mit der du hier Probleme hast.

Nein, den unter Linux mit ssh geht es ja auch nicht.

- Schau nach ob der sshd wirklich läuft.

Check *haken mach*

- Prüfe, ob auf dem Server evtl. eine Firewall läuft, so dass Port 22 blockiert wird.

Check *haken mach*

- Prüfe ob der sshd auch am LAN-Interface lauscht und nicht evtl. nur auf localhost beschränkt ist.

Check *haken mach*

- Schau in den Logs, ob vom Windows eine Verbindung ankommt und wenn ja, mit welchen Meldungen sie beendet wird.

Nein, denn:

Und meine Firewall schreibt in den Log das Putty versucht hat per Port 22 sich zu verbinden und das er es abgelehnt hat.

Ssh(d) geht ja. Ob per LAN oder WAN (sprich das "direkte" verbinden).

Nur das verdammte tunneling nicht

Ich habe extra den Port vom SSH lokal (also hier auf dem PC) geblockt, damit ich das tunneling testen kann. Sprich er soll aus irgendeinem Port rausgehen, aber später wieder bei 22 landen. Tunneling halt. Aber es ist egal wie ich es mache > Connection Failure.

 

[worker]

Hi Tomekk,

Und meine Firewall schreibt in den Log das Putty versucht hat per Port 22 sich zu verbinden und das er es abgelehnt hat.

Gibt es keine Logfile-Einträge auf dem Server ?

Wie versuchst Du den Tunnel aufzubauen ?

Gruß
W.

 

[Guest]

Gibt es keine Logfile-Einträge auf dem Server ?

Doch, es gibt Logeinträge, das es keine Einträge gibt bzw alles ok ist

Also nochmal. Die Firewall LOKAL (AUF dem Notebook) BLOCKIERT Putty (extra) weil er versucht sich per Port 22 zu verbinden.

Und auch Putty habe ich vom Notebook gestartet. Der Server selber steht unter dem Schreibtisch.

Also wenn ich Putty starte, alles eingebe usw usf, klicke ich auf "Connect" und dann kommt "Connection Failure". Dauert keine 2ms. Und das liegt daran das die Firewall Putty blockt weil er versucht per Port 22 zu verbinden. Sprich tunneling geht nicht.

Unter Linux das selbe.

Damit das etwas verständlicher ist, hier 2 Bilder:

Das erste, die Daten fürs Tunnelaufbauen (3128:192.168.2.4:7712 (raus_gehender_port:ip:port_vom_ssh_server))
http://www.abload.de/thumb/putty4zeg.jpg

Und das 2te, von der Firewall:
http://www.abload.de/thumb/putty2ix79.jpg

So, und der Fehler im Bild 2. ist der, das da nicht 7712 stehen sollte, sondern 3128! Also wenn Tunneling funktionieren würde...

Unter Linux das selbe.

Edit: Port 22 ist bei mir 7712

 

[worker]

OK, soweit - denke ich - verstanden ...

So, und der Fehler im Bild 2. ist der, das da nicht 7712 stehen sollte, sondern 3128! Also wenn Tunneling funktionieren würde...

Sicher ?

Wem gehört die IP "192.168.2.4" ?
Ich nehme an, Deinem Server ?

Falls das so ist, dann ist doch da kein Fehler (?).
Die FW zeigt das Ziel an (IP + Port).

Edit: OK, Kommando zurück !
Die IP muss ja Deine lokale (Laptop) sein *würg* ...

Edit2: Versuhe mal "127.0.0.1" (http://www.pc-erfahrung.de/windows/anleitungen/ssh-tunneling.html)

Edit3: Also was mich fasziniert ist, dass es beim Putty "destination" heisst, aber in der Manpage beim Linux ist es "localhost" ... was geht hier ab ?

 

[Guest]

OK, soweit - denke ich - verstanden ...


Sicher ?

Wem gehört die IP "192.168.2.4" ?
Ich nehme an, Deinem Server ?

Falls das so ist, dann ist doch da kein Fehler (?).
Die FW zeigt das Ziel an (IP + Port).

Edit: OK, Kommando zurück !
Die IP muss ja Deine lokale (Laptop) sein *würg* ...

Edit2: Versuhe mal "127.0.0.1" (http://www.pc-erfahrung.de/windows/anleitungen/ssh-tunneling.html)

Edit3: Also was mich fasziniert ist, dass es beim Putty "destination" heisst, aber in der Manpage beim Linux ist es "localhost" ... was geht hier ab ?

Ja, das ist ein Fehler. Denn würde Tunneling funktionieren, würde er ja nicht aus Port 7712 gehen sondern aus 3128.

Den Link kenne ich schon, und hatte ich schon probiert. Egal was ich tue, er will jedesmal durch Port 7712 rausgehen. Er soll aber aus 3128 gehen!.

Langsam zweifle ich dran ob das überhaupt möglich ist

 

[worker]

Den Link kenne ich schon, und hatte ich schon probiert. Egal was ich tue, er will jedesmal durch Port 7712 rausgehen. Er soll aber aus 3128 gehen!.

Hab jetzt leider keine Zeit dazu, sonst würde ich es 1:1 nachstellen/probieren.

Langsam zweifle ich dran ob das überhaupt möglich ist

Also möglich ist es definitiv ;-) ...
Hab mal vor ca. einem Jahr, auf diese Weise eine Zeit lang einen Desktop-Linux hinter einer FW betreut - nur hab ich das alles leider wieder vergessen ;-).

Was allerdings nachdenklich macht ist, dass dieses Problem sowohl unter einem Windows- wie auch Linux-Client auftritt.

 

[meeb]

Das erste, die Daten fürs Tunnelaufbauen (3128:192.168.2.4:7712 (raus_gehender_port:ip:port_vom_ssh_server))

Irgendwie scheinst du hier was zu verwechseln.
So wie du es im putty konfiguriert hast, ist 3128 der port auf localhost (auf deinem Notebook) über welchen der SSH Tunnel zu 192.168.2.4:7712 aufgebaut wird, sobald die SSH Sitzung erfolgreich hergestellt wurde.

Soll heißen, putty verbindet sich zum Server auf port 22, Sitzung wird aufgebaut, und DANN ERST erlaubt dir das tunneling durch zugriff auf 127.0.0.1:3128 den (sicheren) getunnelten Zugriff auf 192.168.2.4:7712, welcher Dienst auch immer dann dort läuft auf diesem Port (bzw. was du halt über den Tunnel dann machen willst).

Auf welchem Port lauscht denn dein ssh Server? Wohl nicht auf 7712 hoffe ich, sonst wär das ganze hier sinnfrei^^

 

[Guest]

Ah jetzt verstehe ich.

Doch mein SSH Server lauscht auf 7712. Aber wie bringe ich es dann dazu das er aus 3128 Port rausgeht?

Und was hat Tunneling dann für ein Zweck wenn er so oder so sich mit direkt verbindet (Port = Port) und man dann nur z.b Putty zusätzlich durchjagen oder FF oder sonstiges?

Dann könnte man auch einfach sich direkt ganz normal verbinden.

Also ich möchte mit Tunneling Zensur umgehen.

 

[worker]

Ah jetzt verstehe ich.

Ja, mir fällts nun endlich auch wieder ein ...

Doch mein SSH Server lauscht auf 7712. Aber wie bringe ich es dann dazu das er aus 3128 Port rausgeht?

Und was hat Tunneling dann für ein Zweck wenn er so oder so sich mit direkt verbindet (Port = Port) und man dann nur z.b Putty zusätzlich durchjagen oder FF oder sonstiges?

Dann könnte man auch einfach sich direkt ganz normal verbinden.

Ich denke folgende Website liefert Dir ein besseres Bild über´s Tunneling: http://www.wh-netz.de/knowledgebase/SSH-Tunnel
(oder auch: http://www.jfranken.de/homepages/johannes/vortraege/ssh2_inhalt.de.html)

So, jetzt hamma´s

Edit: Du kannst natürlich weiterhin Deinen SSH-Server auf Port 7712 laufen lassen, dann musst es halt bei Putty nur angeben (Menüpunkt: Session)

 

[Gast1]

Und was hat Tunneling dann für ein Zweck

Das Wort "Tunnel" passt eigentlich ganz gut, stell Dir eine normale Straße und eine Straße durch einen Tunnel vor.

Was ist für einen Aussenstehenden der Unterschied?

Er kann sehen, was sich auf der Straße bewegt, aber er kann nicht sehen, was durch den Tunnel fährt.

Der SSH-Tunnel kann praktisch jedes andere Protokoll "umhüllen" und somit profitiert dieses von der Verschlüsselung, die SSH automatisch bietet.

Einsatzzwecke für einen Tunnel wären z.B.

A) Ein unverschlüsseltes, unsicheres Protokoll durch den Tunnel absichern, prominentes Beispiel wäre VNC zur Fernwartung.

B) Einen sonst nicht zugänglichen Dienst über einen Tunnel bereit stellen.

Bei mir läúft z.B. ein kleiner Werbserver auf Port 8080, aber er ist an 127.0.0.1 gebunden und von aussen nicht erreichbar.

Zugriff erhalte ich über einen SSH-Tunnel:

ssh -L 10000:localhost:8080 <Mein Username>@<Meine DynDNS-ID> -N

Anschließend kann ich per http://localhost:10000 von aussen über den Tunnel auf meinen Server zugreifen.

Die gesamte Kommunikation läuft als automatisches Zusatzfeature noch verschlüsselt ab.

Greetz,

RM

 

[daboss]

Das Wort "Tunnel" passt eigentlich ganz gut, stell Dir eine normale Straße und eine Straße durch einen Tunnel vor.

Was ist für einen Aussenstehenden der Unterschied?

Er kann sehen, was sich auf der Straße bewegt, aber er kann nicht sehen, was durch den Tunnel fährt.

Der SSH-Tunnel kann praktisch jedes andere Protokoll "umhüllen" und somit profitiert dieses von der Verschlüsselung, die SSH automatisch bietet.

Einsatzzwecke für einen Tunnel wären z.B.

A) Ein unverschlüsseltes, unsicheres Protokoll durch den Tunnel absichern, prominentes Beispiel wäre VNC zur Fernwartung.

B) Einen sonst nicht zugänglichen Dienst über einen Tunnel bereit stellen.

Bei mir läúft z.B. ein kleiner Werbserver auf Port 8080, aber er ist an 127.0.0.1 gebunden und von aussen nicht erreichbar.

Zugriff erhalte ich über einen SSH-Tunnel:

ssh -L 10000:localhost:8080 <Mein Username>@<Meine DynDNS-ID> -N

Anschließend kann ich per http://localhost:10000 von aussen über den Tunnel auf meinen Server zugreifen.

Die gesamte Kommunikation läuft als automatisches Zusatzfeature noch verschlüsselt ab.

Greetz,

RM

Cool, jetzt klappt's "hier" auch mal mit'm Tunneln. Scheins hat ich die Port- und Adressangaben durcheinander gewürfelt.

 

[Guest]

Danke worker, aber die beiden Links kenne ich auch schon

Ich möchte halt, wie oft beschrieben, das er aus dem Port 3128 rausgeht und somit die Firewall/Proxy umgeht und sich am ende am Port 7712 verbindet.

So wie es in den "Wie umgehe ich mein Arbeitsplatz/Schule Proxy/zensur" Artikeln im Netz steht.

Nur klappt es anscheinend nicht so wie ich es mir vorstelle :/

Wenn Port 3128 nur der LOKALE Port ist der Putty/ssh dann zu verfügung stellt um nur noch ne ssh session durchlaufen zu lassen, oder Firefox, oder sonstiges, ist es leider für mich nicht brauchbar

 

[Clownish]

hallo Tomekk228,
Da du ja anscheinend einen socks Proxy haben willst probier mal folgendes auf der cmd:

Putty -D <lokaler port> -P <server port> -ssh <server addresse>

http://the.earth.li/~sgtatham/putty/0.60/htmldoc/Chapter3.html#using-cmdline

 

[Guest]

hallo Tomekk228,
Da du ja anscheinend einen socks Proxy haben willst probier mal folgendes auf der cmd:

http://the.earth.li/~sgtatham/putty/0.60/htmldoc/Chapter3.html#using-cmdline

Funktioniert leider auch nicht

 

[Clownish]

Etwas genauer? Was sagt er? Bzw. was hast du denn eingegeben?

 

[Guest]

Etwas genauer? Was sagt er? Bzw. was hast du denn eingegeben?

Connection Failure. Und er versucht ebenso aus 7712 zu gehen.

Morgen werde ich aber genaueres sagen können. Dann kann ich es Vorort ausprobieren statt die Situation nachzubauen.