SSH-Verbindung zum Raspi 4 kann außerhalb des Netzwerkes nicht aufgebaut werden?
Wenn ich die IPv4 vom Raspi 4 z. B. in PuTTY angebe, wird die Verbindung ohne Probleme hergestellt. Gebe ich meine öffentl. IPv4 an, geht nix. Ich habe den TCP-Port 22 und die IPv4 richtig angegeben (Strg+C & Strg+V). Zum Testen habe ich auch eine neue IP-Adresse zuweisen lassen. Nix.
Woran liegt das?
5 Antworten
Schau mal in die Einstellungen des Routers, welche IP-Adresse der Router vom Provider bekommen hat. Und dann rufe mal https://wieistmeineip.de auf. Sind beide IP-Adressen identisch? Wenn nicht, hast Du DS Lite. Dann wird das so nichts.
Ergänzend empfehle ich Dir dringend, die Passwort-Authentisierung im SSH-Server auszuschalten und ausschließlich mit Public Key Authentication zu arbeiten. Stelle die Kryptoalgorithmen möglichst restriktiv ein. Viele Angreifer kommen mit diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 als MAC-Algorithmus. Wenn Du darauf verzichten kannst, schalte sie aus.
Von welchem Gerät - bzw. welchem Netzwerkinterface in welchem Gerät - kommt die öffentliche ip adresse?
Wenn die Adresse eine RFC1918-Adresse ist (also z.B. 10.x.x.x oder 192.168.x.x), dann ist sie nicht öffentlich im Sinne von, dass kein Internet-router der Welt das zu deinem Raspi durchrouten wird. Sollte die Adresse eine andere sein, und z.B. von deinem WLAN router/internet gateway kommen, dann weiss der womöglich nicht, dass der eingehende Pakete für ssh zum Raspi duchrouten soll, oder der entsprechende Port ist "zu", also per packet filter / firewall blockiert.
Wenn öffentliche Adresse keine RFC1918-Adresse ist UND einem interface auf dem Raspi zugewiesen wurde, wirst du schauen wollen, ob der sshd an dieses interface gebunden wurde.
Hast du denn überhaupt eine eigene öffentliche IPv4 oder nutzt dein Anbieter DSLite / CGNAT? Das könnte ein Fehlerfall sein
Und kleiner Hinweis, wenn du SSH öffentlich zugänglich machst: Stelle sicher, dass alles sehr sicher konfiguriert ist. Stichwort kein Passwort-Login, kein Root-Login, reine Pubkey-Auth usw ...
Wie mache ich denn das mit Pubkey-Auth?
Indem du die SSH-Konfiguration auf dem Server entsprechend bearbeitest.
Da du wohl davon weniger Ahnung hast: Mach den Port zu und setze einen VPN-Server wie z.B. Wireguard auf. Wenn du dann von extern auf SSH zugreifen willst, verbindest du dich mit deinem VPN-Server
Vor einigen Monaten musste ich mal beim Anbieter anrufen, damit die DS-Lite ausschalten. Danach hat es funktioniert. Vielleicht sollte ich auch diesmal dort anrufen und nachfragen.
🤷♂️ schau doch erstmal in deiner Router-Oberfläche nach, ob bei dir da etwas diesbezüglich steht. Aber ja, mit DSLite oder GCNAT bleibt dir nur die IPv6 zut Freigabe, da du die IPv4 mit anderen Kunden teilen würdest
Na ja ...
An DS-Lite o. Ä. liegt es nicht. Ich habe heute beim Anbieter angerufen und die meinten, dass die bei einem DSL-Vertrag nichts deaktivieren müssen.
Schließlich gibt es ja auch eine Oberfläche in der Router-Einstellung, wo man Port-Forwarding und Port-Triggering einstellen kann. An irgendeiner Firewall vom Router aus liegt es nicht. Im selben WLAN-Netzwerk kann ich mich ja verbinden. Die IP-Adresse ist die richtige und auch der Port (TCP: 22) ist richtig.
Im selben WLAN-Netzwerk kann ich mich ja verbinden
Weil intern die Router-Firewall nicht greift.
Du kannst ja mal schauen, ob https://portchecker.co/ ausspuckt, dass dein Port offen ist
Ja, wollte ich gerade noch dazuschreiben. Und zwar spuckt mir nmap Folgendes aus:
PORT STATE SERVICE
22/tcp filtered ssh
Also muss es von der Firewall irgendwie blockiert worden sein. Aber auch wenn ich die Firewall und alles mögliche aus- und einschalte, funktioniert es nicht.
EDIT: Die Seite zeigt mir aber "Port 22 is open" an.
Also muss es von der Firewall irgendwie blockiert worden sein. Aber auch wenn ich die Firewall und alles mögliche aus- und einschalte, funktioniert es nicht.
welche Adresse nutzt du denn dafür? Die externe IPv4?
Wenn es gefiltert wird, blockiert halt etwas. Überprüfe doch mal deine IP über z.B. https://www.wieistmeineip.de/
Ist diese identisch mit der öffentlichen IP, die dir im Router angezeigt wird?
Ja, scheint die Richtige zu sein. Ich mache das nicht zum 1. Mal, deswegen wundert mich das. Neuer Router, neuer Standort etc.
Mal davon abgesehen, dass das eine ganz schlechte Idee ist und du dir dafür besser ein eigenes VPN einrichten solltest, hast du wahrscheinlich einfach keine eigene öffentliche IPv4-Adresse.
Ah, nicht so ne sonderlich gute idee.
Richt dir nen vpn für sowas ein...
Dass es ohne geht ist mir voll und ganz klar. Sinn macht das hier aber überhaupt keinen. SSH zu forwarden ist scheiße und unsicher.
Oh, ja no shit little Sherlock. Bringt dir nur nix wenn jemand deine IP nach offenen Ports Absicht und dann mal versucht sich mit dem SSH Port zu verbinden und mit einem Login begrüßt wird.
Du musst SSH schon richtig konfigurieren und mit einem Key arbeiten.
Wie mache ich denn das mit Pubkey-Auth?
Vor einigen Monaten musste ich mal beim Anbieter anrufen, damit die DS-Lite ausschalten. Danach hat es funktioniert. Vielleicht sollte ich auch diesmal dort anrufen und nachfragen.