kann port 22 nicht öffnen

[takezo]

Hallo!

Ich versuche jetzt schon seit 2 Tagen, mich per ssh auf meinem Rechner (Fedora 4) einzuloggen, aber ich kriege Port 22 nicht auf!

Ich habe den Speedport 500V und einen t-com DSL 2000 Anschluss (flat). Am Router habe ich mich an den Einstellungen für telnet orientiert (dafür gibts einen Menüpunkt), natürlich 23 durch 22 ersetzt. Aber wenn ich versuche mich via ssh einzuloggen -> Port 22: Connection refused!

Ich dachte, es könnte ja an der Firewall liegen, also habe ich sie (iptables und die im Router) abgeschaltet... nix.
Dann habe ich versucht, mich von localhost aus auf localhost anzumelden, das hat geklappt. Also denke ich das sshd richtig läuft.

nmap -vvvv -p 22 zu.meinem.rechner:

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-12-22 02:31 CET
Initiating SYN Stealth Scan against xxxxxxxxx.dip.t-dialin.net (xx.xxx.xx.xx) [1 port] at 02:31
The SYN Stealth Scan took 0.05s to scan 1 total ports.
Host xxxxxxxxxx.dip.t-dialin.net (xx.xxx.xx.xx) appears to be up ... good.
Interesting ports on xxxxxxxxxxx.dip.t-dialin.net (xx.xxx.xxx.xx):
PORT STATE SERVICE
22/tcp closed ssh

Nmap finished: 1 IP address (1 host up) scanned in 0.534 seconds
Raw packets sent: 3 (108B) | Rcvd: 2 (92B)

D.h der Port ist definitiv zu, obwohl ich die Firewalls deaktiviert habe.

Hat jemand eine Idee? Ich dreh bald durch; habe schon viel rumprobiert und howtos und foren abgesucht. Ich glaube eigentlich nicht, dass es am Router liegt, denn die Ports für aMule habe ich ja auch hinbekommen. Aber jeder Strohhalm ist mir recht, vielleicht kennt sich ja jemand besser mit dem Ding aus als ich.

Ach ja, ich habe keine statische IP sondern per DynDNS und ddclient eingerichtete domain; aber daran sollte es ja nun wirklich nicht liegen.

Ich hoffe, jemand kann mir weiterhelfen!

 

[theton]

Du musst in deinem Router auch noch das Portforwarding aktivieren. Ich hoffe, daran hast du gedacht.

 

[takezo]

Danke für die schnelle Antwort theton.

Ja, unter Netzwerk geforwardet. Ich habe sogar schon probiert sie unter dynamischer Port-Öffnung auf sich selbst umzuleiten; hat alles nicht geholfen!

Ich denke, da es bei den Ports für aMule geklappt hat, dass es wohl etwas anderes sein muss; sicher bin ich mir aber nicht.

 

[theton]

Hast du in der Konfiguration deines sshd evtl. irgendwelche Restriktionen, die den Zugriff nur ueber localhost erlauben? Bist du sicher, dass die Firewall ausgeschaltet war? Du koenntest sicherheitshalber mal mit

iptables -L

nachschauen, ob wirklich keine Regeln definiert sind bzw. ob Port 22 wirklich offen ist. Du kannst den Zugriff auf Port 22 auch einfach mit

iptables -A INPUT -p tcp --dport 22 --tcp-flags ALL SYN -j ACCEPT

explizit erlauben.

 

[takezo]

Ich bin mir ziemlich sicher, daß beide Firewalls unten waren; habe aber nicht sehr viel Erfahrung mit Networking...

Um sicher zu gehen habe ich diesmal die Firewall am Router deaktiviert und nach deiner Anleitung den Zugriff explizit erlaubt (iptables). In der GUI Systemeinstellungen->Sicherheitsstufe ist die Firewall ebenfalls deaktiviert (Du hast mir schon geholfen, denn ich dachte, dass damit auch direkt iptables beendet wird; kenne mich damit nicht gut aus - am besten macht man sowas wohl 'eh per Shell, da weiß man was sich ändert

Output von iptables -L:

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh flags:FIN,SYN,RST,PSH,ACK,URG/SYN

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Sieht doch eigentlich alles ganz gut aus, oder? Kennst Du dich mit diesem Speedport 500V aus? Da habe ich jedenfalls (wie bei 4662 bei aMule z.B) unter

Netzwerk ->NAT&Portregeln->Port-Weiterleitung

eine Regel eingetragen die für meinen Rechner TCP-Port 22 forwardet ('Weitergeleitete Ports - Öffentlich & Private Client'). Wie gesagt, bei aMule gings - aber ich werde das dumpfe Gefühl nicht los, dass es doch an dem Router liegen könnte?!? Vielleicht muß man ja noch 'was machen. Ich habe die Voreinstellungen von telnet übernommen, aber Port 22 weitergeleitet; sollte eigentlich alles sein...

Könnte es eventuell eine Rolle spielen, dass ich versuche mich (habe nur eine Linux-Box) von demselben Rechner aus einzuloggen? Ich denke aber, dass dann ja zumindest nmap die Ports finden müsste.

Klingt als wüsstest Du, wovon Du redest. Jetzt habe ich wenigstens ein Bisschen Hoffnung, dass ich es endlich hinbekomme...

 

[theton]

Kenne mich mit dem Router nicht aus (benutze selbst nur Level One bzw. @work Linux-Rechner), aber ich denke auch, dass deine Vermutung richtig ist, dass es am Router liegen koennte, allerdings kann auch die Konfiguration des SSHD eine moegliche Fehlerquelle sein.
Eigentlich sollte ein normales Port-Forwarding ja ausreichen, fuer den Rest ist ja dann der empfangende Rechner verantwortlich. Es kann aber sein, dass dein Router schon die Protokolle beim Forwarding beschraenkt und deswegen SSH nicht durchlaesst.
Wenn allerdings nmap auf deine LAN-IP schon keinen freien Port 22 anzeigt, liegt es evtl. auch einfach daran, dass dein SSH-Server nur am Loopback-Device lauscht. Daher wuerde ich empfehlen nochmal die SSHD-Konfiguration durchzuschauen und/oder den Linux-Rechner mal von einem anderen Rechner im LAN zu scannen.

 

[takezo]

Also, ich denke (bin wie gesagt noch unerfahren was Netzwerke angeht) das sshd_config in Ordnung sein müsste, denn Listen Address ist 0.0.0.0, soweit ich weiß steht das ja für alles.

Um ganz sicher zu gehen die ganze /etc/ssh/sshd_config:

# $OpenBSD: sshd_config,v 1.72 2005/07/25 11:59:40 markus Exp $

# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.

Port 22
#Protocol 2,1
Protocol 2
#AddressFamily any
ListenAddress 0.0.0.0
#ListenAddress ::

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
#MaxAuthTries 6

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication yes

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "PermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
#UsePAM no
UsePAM yes

#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
X11Forwarding yes
#X11DisplayOffset 10
X11UseLocalhost no
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#ShowPatchLevel no

# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server

Sorry, dass ich Dich mit der ganzen Datei zuhaue, aber ich will halt sicher gehen, man hat schnell mal was übersehen...

Wenn Dir da nichts auffällt, rufe ich mal bei der t-com Service-Hotline an. Davor graust's mir jetzt schon. Die Verkäuferin im T-Punkt hat nicht einmal gewusst, was Linux ist...

Von einem anderen Rechner einloggen geht leider nicht, habe nur einen Client. Wollte ssh eigentlich zum Selbststudium ausprobieren; später einen ftp-Server einrichten.

Danke im Vorraus - Du hast schon sehr geholfen!

Hmm...

Habe ich da etwas falsch verstanden, oder sagt der erste Kommentar, daß auch auskommentierte Zeilen ihre Gültigkeit behalten? Vielleicht hat es ja etwas damit zu tun??? Ich seh' vor lauter Bäumen schon keinen Wald mehr!

 

[theton]

Das ListenAdress kannst du komplett rausnehmen (also auskommentieren). Zumindest ist es auf keinem unserer Server drin und ich will jetzt auch nicht riskieren, mich auszusperren, indem ich es mal testweise reinnehme. Dann ist auf jeden Fall 100%ig sicher, dass der SSH-Server an allen Netzwerk-Interfaces lauscht. Ausserdem vermisse ich in deiner Config Eintraege fuer die Host-Keys. Die sind naemlich alle auskommentiert.

 

[takezo]

Vielen Dank, theton, dass Du Dir das alles angeschaut hast!!!

Ich werde das jetzt mal ausprobieren und was kochen (bevor ich noch 'nen Kollaps kriege .

Habe auch schon 6x probiert bei der Hotline anzurufen, aber da hat man keine Chance durchzukommen. Aber so kennt man die t-com ja...

Ich nehme mir jetzt mal ein Bisschen Zeit dafür, um Dich nicht zuviel zu fragen was ich nicht auch selbst herausbekommen könnte. In 1-2 Stunden melde ich mich dann wieder und habe dann hoffentlich gute Nachrichten!!

Vielen Dank, mich hier anzumelden war wohl das Beste, was ich machen konnte; da wäre ich nie draufgekommen!

 

[theton]

Einfach mal als Beispiel eine Konfig, mit der der Zugriff ueber jedes Interface funktioniert:

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 600
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile	%h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Change to yes to enable tunnelled clear text passwords
PasswordAuthentication no


# To change Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#AFSTokenPassing no
#KerberosTicketCleanup no

# Kerberos TGT Passing does only work with the AFS kaserver
#KerberosTgtPassing yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
KeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem	sftp	/usr/lib/sftp-server

UsePAM yes

Ansonsten kann ich dir nur raten, mal das WWW nach einer detaillierten Anleitung fuer deinen Router zu durchsuchen. Gibt es bestimmt irgendwo. Vielleicht hast du ja sogar eine zu Hause.

 

[takezo]

Nochmal vielen Dank!!!

Du machst Dir echt viel Mühe mit einem Noope wie mir.....

Es ist zum Verzweifeln, geht immer noch nicht
Port 22: Connection refused

Bleibt mir wohl doch nichts anderes übrig, als noch 100x bei der t-com zu hausieren. Aber wenigstens müssten wir jetzt alles ausser dem Router ausgeschlossen haben (zumindest einiges mehr, als mir eingefallen wäre!!!)

Ich melde mich wieder, wenn ich durchgekommen bin!

In das Handbuch habe ich reingeschaut, das entsprechende Kapitel mehrmals gelesen, aber ssh wird nicht mal erwähnt! Alles zum Thema forwarding habe ich eingehalten, soweit ich es verstanden habe. Ausserdem macht es mich stutzig, das die telnet als Option voreingestellt haben, aber ssh nicht. (Eigentlich egal, denn telnet lief auch nicht - wer hätte es gedacht: Port 23: Connection refused.

Naja, die Hoffnung stirbt zuletzt... cu

 

[theton]

Wenn du ssh auf deine LAN-IP machen kannst (also nicht auf localhost/127.0.0.1), dann liegt es garantiert am Router.

 

[takezo]

Also, ich bin mir nicht ganz sicher, ob ich Dich richtig verstanden habe. Jedenfalls habe ich mich jetzt auf der IP meiner Netzwerkkarte 192.168.2.32 eingeloggt (eth0)!
Das ging. Hast Du das gemeint? (Auf localhost bzw. 127.0.0.1 geht ja wie gesagt)

 

[theton]

Jep, genau das meinte ich. Damit ist sicher, dass rein SSH-Server-seitig alles in Ordnung ist. Wenn nun noch die Firewall komplett deaktiviert ist, kann es nur noch am Portforwarding des Routers liegen.

 

[takezo]

Ich glaube, Du kannst Dir garnicht vorstellen, wie dankbar ich Dir bin!!!

Wenigstens weiß ich jetzt wo das Problem liegt. Ich hoffe nur, daß es an der Konfiguration liegt. Nicht das die ssh, ftp, telnet und so weiter generell gesperrt haben. (Wäre ihnen ja zuzutrauen, daß man dafür auch noch zahlen muss!?!

Im Netz gibt es herzlich wenig zum 500v bezüglich ssh; wahrscheinlich ist niemand so dämlich sich mit diesem sch...teil näher zu beschäftigen!!!

Werde wohl heute lange am Telephon sitzen!

========================================================

Letzter Stand der Dinge:

t-online: telephonisch kein kundendienst zu erreichen (probiert bis 19:30 alle 5-10 Minuten)

t-online hilfe-chat: wusste nicht, was ssh ist; meint wenn geforwardet, dann offen
letzte Frage: welche Software benutzen Sie (nach 10 min Chat über ssh-thematik)
antwort: redhat fedora core 4, bash, ssh
darauf: ich kann ihnen leider nicht weiterhelfen, keine weiteren Informationen, guten Abend

(aus dem Gedächtnis zitiert)

mit anderen Worten: DAU im Adminpelz, macht wahrscheinlich Urlaub in Redmont!

Ich danke Dir trotzdem nochmals für die sehr engagierte Hilfe, bin schlauer geworden, darum ging es ja.

Fazit:
Werde mich bis ins letzte mit Netzwerken und allem was daranhängt beschäftigen - solange bis es klappt. Muß erst mal noch alle Grundlagen ordentlich lernen. Hat also trotz allem Frust noch was gutes...

===============================================================

Problem gelöst!!!

Da ich mir nicht sicher war, ob es nicht doch etwas damit zu tun hat, dass ich versuchte mich auf den gleichen host einzuloggen, bzw. nmap nicht wirklich von Außen gestartet wurde, bin ich auf

http://www.grc.com

gegangen, und habe da den 'Shields Up' Test gemacht. Da bekommt man alle Informationen über offene Ports und mehr.
Siehe da; Port 22 war offen. Also habe ich versucht, mich von eines Kollegen Rechner per ssh einzuloggen und alles hat bestens funktioniert.

Also, ich weiß zwar nicht warum, aber man sollte sich beim überprüfen der eigenen Ports nicht unbedingt auf nmap verlassen!!! Ich kenne mich aber nicht gut genug damit aus, vielleicht ist das ja den Meisten sowieso klar.
Da mich jedoch niemand darauf hingewiesen hat nochmals meine Empfehlung:

Überprüft eure Ports mit Shields Up!!!

Danke an theton, der mir sehr geholfen hat!!!