Re: Zugriff auf den Rechner von außen

To: debian-user-german@lists.debian.org
Subject: Re: Zugriff auf den Rechner von außen
From: Volker Wysk <pf3@volker-wysk.de>
Date: Sat, 22 Mar 2014 15:32:51 +0100
Message-id: <[🔎] 3564660.K9vxmva4EM@debian>
In-reply-to: <[🔎] 20140321221832.GK8290@jumper.schlittermann.de>
References: <[🔎] 10187891.x6nZZ5z682@debian> <[🔎] 5370679.ZOW2IzNJP8@debian> <[🔎] 20140321221832.GK8290@jumper.schlittermann.de>

Am Freitag, 21. März 2014, 23:18:32 schrieb Heiko Schlittermann:
> Hallo Volker,
> 
> Volker Wysk <pf3@volker-wysk.de> (Fr 21 Mär 2014 17:47:20 CET):
> > Am Mittwoch, 19. März 2014, 20:52:20 schrieb Heiko Schlittermann:
> > > Volker Wysk <pf3@volker-wysk.de> (Mi 19 Mär 2014 17:46:29 CET):
> > > > ~ % ssh 85.179.114.16
> > > > ssh_exchange_identification: Connection closed by remote host
> > > > 
> > > > ~ % ssh 85.179.114.16 -p22
> > > > ssh_exchange_identification: Connection closed by remote host
> 
> Wenn Du versuchst, vom internen Client auf die externe IP Deines Routers zu
> kommen, dann macht der das Portforwarding zum SSH-Server. Und
> wahrscheinlich macht er auf der Innenseite kein Masquerading.
> 
> Damit sieht aber der SSH-Server als Absender wahrscheinlich deinen internen
> Client (er hat ja selbst auch eine interne IP) und wird somit auf
> direktem Wege antworten. Damit rechnet aber Dein interner Rechner nicht.
> 
> Das müsstest Du beobachten können, wenn Du mit tshark auf dem *Client*
> den Traffic ansiehst.  Wenn Du auch noch die MAC-Adressen anschaust,
> müsste das auch sichtbar sein (bei tcpdump ist es „-e“).

~ % tshark -ta -i eth1 
tshark: Lua: Error during loading:
 [string "/usr/share/wireshark/init.lua"]:46: dofile has been disabled due to 
running Wireshark as superuser. See 
http://wiki.wireshark.org/CaptureSetup/CapturePrivileges for help in running 
Wireshark as an unprivileged user.
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth1'
  1 15:20:05.533554  192.168.1.2 -> 224.0.0.22   IGMPv3 54 Membership Report / 
Join group 224.0.0.251 for any sources
1   2 15:20:08.717103  192.168.1.2 -> 92.229.64.9  TCP 74 34667 > ssh [SYN] 
Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=2275071 TSecr=0 WS=128
2   3 15:20:08.720220  92.229.64.9 -> 192.168.1.2  TCP 60 ssh > 34667 [SYN, 
ACK] Seq=0 Ack=1 Win=20480 Len=0 MSS=1400
  4 15:20:08.720263  192.168.1.2 -> 92.229.64.9  TCP 54 34667 > ssh [ACK] 
Seq=1 Ack=1 Win=29200 Len=0
  5 15:20:08.720761  192.168.1.2 -> 92.229.64.9  SSH 86 Client Protocol: 
SSH-2.0-OpenSSH_6.5p1 Debian-6\r
  6 15:20:08.720863  92.229.64.9 -> 192.168.1.2  TCP 60 ssh > 34667 [FIN, ACK] 
Seq=1 Ack=1 Win=20480 Len=0
  7 15:20:08.721301  192.168.1.2 -> 92.229.64.9  TCP 54 34667 > ssh [FIN, ACK] 
Seq=33 Ack=2 Win=29200 Len=0
  8 15:20:08.721877  92.229.64.9 -> 192.168.1.2  TCP 60 ssh > 34667 [ACK] 
Seq=2 Ack=34 Win=20448 Len=0
8   9 15:20:13.725551 AsustekC_4e:17:47 -> Arcadyan_30:a5:4e ARP 42 Who has 
192.168.1.1?  Tell 192.168.1.2
9  10 15:20:13.725713 Arcadyan_30:a5:4e -> AsustekC_4e:17:47 ARP 60 
192.168.1.1 is at 84:9c:a6:30:a5:4e
10  11 15:20:15.351730  192.168.1.1 -> 239.255.255.250 SSDP 393 NOTIFY * 
HTTP/1.1 
11  12 15:20:15.351750  192.168.1.1 -> 239.255.255.250 SSDP 383 NOTIFY * 
HTTP/1.1 
 13 15:20:15.351941  192.168.1.1 -> 239.255.255.250 SSDP 328 NOTIFY * HTTP/1.1 
 14 15:20:15.352161  192.168.1.1 -> 239.255.255.250 SSDP 319 NOTIFY * HTTP/1.1 
 15 15:20:15.352181  192.168.1.1 -> 239.255.255.250 SSDP 383 NOTIFY * HTTP/1.1 
 16 15:20:15.352551  192.168.1.1 -> 239.255.255.250 SSDP 373 NOTIFY * HTTP/1.1 


192.168.1.2 ist der Desktop, 92.229.64.9 ist die äußere Adresse des Routers, 
und 192.168.1.1 die innere. In der Ausgabe sieht man offenbar den 
Verbindungsversuch des Klient, doch die Antwort vom Router kann ich nicht 
entziffern. 


Ich habe auf dem Client auch noch tcpdump laufen gelassen, und dann versucht, 
mich von außen per SSH zu verbinden (ssh v@92.229.64.9). Das sind die tcpdump-
Ausgaben. (Zum lesen am besten per Cut&Paste in einen Editor kopieren, der 
nicht, wie hier in der Mail, die Zeilen früh umbricht):

~ % tcpdump -e -i eth1 -P inout
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
15:02:36.175079 84:9c:a6:30:a5:4e (oui Unknown) > 01:00:5e:00:00:01 (oui 
Unknown), ethertype IPv4 (0x0800), length 60: o2.box > all-systems.mcast.net: 
igmp query v3
15:02:36.365554 60:a4:4c:4e:17:47 (oui Unknown) > 01:00:5e:00:00:16 (oui 
Unknown), ethertype IPv4 (0x0800), length 54: debian.local > igmp.mcast.net: 
igmp v3 report, 1 group record(s)
15:02:36.633206 60:a4:4c:4e:17:47 (oui Unknown) > 84:9c:a6:30:a5:4e (oui 
Unknown), ethertype IPv4 (0x0800), length 82: debian.local.46320 > 
o2.box.domain: 26488+ PTR? 1.0.0.224.in-addr.arpa. (40)
15:02:36.633786 84:9c:a6:30:a5:4e (oui Unknown) > 60:a4:4c:4e:17:47 (oui 
Unknown), ethertype IPv4 (0x0800), length 117: o2.box.domain > 
debian.local.46320: 26488*- 1/0/0 PTR all-systems.mcast.net. (75)
15:02:36.634068 60:a4:4c:4e:17:47 (oui Unknown) > 84:9c:a6:30:a5:4e (oui 
Unknown), ethertype IPv4 (0x0800), length 84: debian.local.60395 > 
o2.box.domain: 12700+ PTR? 1.1.168.192.in-addr.arpa. (42)
15:02:36.634450 84:9c:a6:30:a5:4e (oui Unknown) > 60:a4:4c:4e:17:47 (oui 
Unknown), ethertype IPv4 (0x0800), length 104: o2.box.domain > 
debian.local.60395: 12700*- 1/0/0 PTR o2.box. (62)
15:02:36.634715 60:a4:4c:4e:17:47 (oui Unknown) > 84:9c:a6:30:a5:4e (oui 
Unknown), ethertype IPv4 (0x0800), length 83: debian.local.52464 > 
o2.box.domain: 56650+ PTR? 22.0.0.224.in-addr.arpa. (41)
15:02:36.635064 84:9c:a6:30:a5:4e (oui Unknown) > 60:a4:4c:4e:17:47 (oui 
Unknown), ethertype IPv4 (0x0800), length 111: o2.box.domain > 
debian.local.52464: 56650*- 1/0/0 PTR igmp.mcast.net. (69)
15:02:36.635253 60:a4:4c:4e:17:47 (oui Unknown) > 84:9c:a6:30:a5:4e (oui 
Unknown), ethertype IPv4 (0x0800), length 84: debian.local.41741 > 
o2.box.domain: 43456+ PTR? 2.1.168.192.in-addr.arpa. (42)
15:02:36.635572 84:9c:a6:30:a5:4e (oui Unknown) > 60:a4:4c:4e:17:47 (oui 
Unknown), ethertype IPv4 (0x0800), length 84: o2.box.domain > 
debian.local.41741: 43456 NXDomain*- 0/0/0 (42)
15:02:36.736273 60:a4:4c:4e:17:47 (oui Unknown) > 33:33:00:00:00:fb (oui 
Unknown), ethertype IPv6 (0x86dd), length 104: fe80::62a4:4cff:fe4e:1747.mdns > 
ff02::fb.mdns: 0 PTR (QM)? 2.1.168.192.in-addr.arpa. (42)
^C15:02:36.736344 60:a4:4c:4e:17:47 (oui Unknown) > 01:00:5e:00:00:fb (oui 
Unknown), ethertype IPv4 (0x0800), length 84: debian.local.mdns > 
224.0.0.251.mdns: 0 PTR (QM)? 2.1.168.192.in-addr.arpa. (42)
15:02:36.736489 60:a4:4c:4e:17:47 (oui Unknown) > 01:00:5e:00:00:fb (oui 
Unknown), ethertype IPv4 (0x0800), length 104: debian.local.mdns > 
224.0.0.251.mdns: 0*- [0q] 1/0/0 (Cache flush) PTR debian.local. (62)
15:02:37.005081 84:9c:a6:30:a5:4e (oui Unknown) > 33:33:00:00:00:02 (oui 
Unknown), ethertype IPv6 (0x86dd), length 86: o2.box > ip6-allrouters: HBH 
ICMP6, multicast listener reportmax resp delay: 0 addr: ip6-allrouters, length 
24
15:02:37.245487 60:a4:4c:4e:17:47 (oui Unknown) > 33:33:ff:4e:17:47 (oui 
Unknown), ethertype IPv6 (0x86dd), length 86: fe80::62a4:4cff:fe4e:1747 > 
ff02::1:ff4e:1747: HBH ICMP6, multicast listener reportmax resp delay: 0 addr: 
ff02::1:ff4e:1747, length 24
15:02:37.337180 84:9c:a6:30:a5:4e (oui Unknown) > 33:33:ff:00:00:01 (oui 
Unknown), ethertype IPv6 (0x86dd), length 86: o2.box > ff02::1:ff00:1: HBH 
ICMP6, multicast listener reportmax resp delay: 0 addr: ff02::1:ff00:1, length 
24

16 packets captured
43 packets received by filter
0 packets dropped by kernel

Die 60:...-MAC-Adresse ist mein Desktop. Die 84:... ist demnach der Router. 
Ich habe keine Ahnung, was die 01:... ist. "1.1.168.192.in-addr.arpa" müßte 
der Router sein.

Ich kann leider nicht erkennen, welcher Pakete hier mit SSH zu tun haben.


> 
> Eine andere Möglichkeit wäre eine subtile Art des Connection Tracking,
> die kaputt geht, wenn der Router nur den „halben“ Traffic sieht.
> 
> 
> Eine ganz andere Geschichte ist die Verbindung von außen. Hier liegt
> irgendwie der Verdacht nahe, daß entweder nicht mal etwas beim Router
> ankommt, weil ggf. O2 schon blockt. Oder der Router ist schlecht
> konfiguriert, so daß er nichts von außen nach innen forwardet. (Das
> Portforwarding stimmt vermutlich, sonst würde ja das o.g. Symptom nicht
> auftauchen. Möglicherweise muß man Portweiterleitung und Firewall im
> Router getrennt konfigurieren.
> 
> > Wenn ich die Verbindung von außen, von meinem Smartphone versuche, dann
> > ist
> > die Meldung anders. Es dauert eine Weile, und es gibt einen "connection
> > timed out".
> 
> Ja, auch von hier.
> 
>     Best regards from Dresden/Germany
>     Viele Grüße aus Dresden
>     Heiko Schlittermann


Tschüß,
Volker

Reply to:

Follow-Ups:
- Re: Zugriff auf den Rechner von außen
  - From: Heiko Schlittermann <hs@schlittermann.de>

References:
- Zugriff auf den Rechner von außen
  - From: Volker Wysk <pf3@volker-wysk.de>
- Re: Zugriff auf den Rechner von außen
  - From: Volker Wysk <pf3@volker-wysk.de>
- Re: Zugriff auf den Rechner von außen
  - From: Heiko Schlittermann <hs@schlittermann.de>

Prev by Date: Re: Zugriff auf den Rechner von außen
Next by Date: Re: Zugriff auf den Rechner von außen
Previous by thread: Re: Zugriff auf den Rechner von außen
Next by thread: Re: Zugriff auf den Rechner von außen
Index(es):
- Date
- Thread