LINUX.ORG.RU
решено ФорумAdmin

Помогите подключиться из интернета по ssh

 


1

1

Весь день промучился с этим доступом ничего не получается, что у меня не так или я делаю может что-то не так? Помогите разобраться. Внутри сети подключаюсь нормально, и изначально нормально подключалось вводя пароль. По рекомендациям, создал пару ключей rsa открытый и закрытый , закинул открытый на удалённый комп, подключаюсь внутри сети запрашивает парольную фразу ключа, ввожу и вижу приветствие. Пытаюсь подключиться по внешнему ip выдаёт сообщение.

 Read from socket failed: Connection reset by peer 
, начал грешить на тупой роутер который возможно использует этот порт для своих нужд отключить так и не нашёл как, добавил в /etc/ssh/sshd-config port 2222 - пробросил, проверяю порт онлайн, сейчас говорит открыт(отдельная история выносящая мозг), предварительно на удалённой машине сделал же service sshd restart, подключился на этот порт внутри сети всё успешно. Подключаюсь из вне получаю
 ssh: connect to host 83.239.246.202 port 2222: Connection refused.
Вот права на файлы
user@web-server:~$ ls -la
drwxr--r--  2 user user    4096 июн 10 17:38 .ssh
user@web-server:~$ ls -l ./.ssh/
итого 16
-rw-r--r-- 1 user user  382 июн 10 15:22 authorized_keys
-rw-r--r-- 1 user user  603 июн 10 17:05 authorized_keys2
-rw------- 1 user user 1746 июн 10 12:36 id_rsa
-rw-r--r-- 1 user user  395 июн 10 17:38 id_rsa.pub
Система debian 8
Linux web-server 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt11-1 (2015-05-24) x86_64 GNU/Linux
В общем обращаюсь к спецам, помогите решить проблему.



Последнее исправление: predbannikov (всего исправлений: 2)

Была похожая проблема ипользуя впн (только с timeout). Попробуйте поменять на стороне клиента mtr. Поиграйтесь от 500 до 1400. Мне это помогло решить проблему.

krasoffski
()
Ответ на: комментарий от dvrts
user@pc-admin:~/.ssh$ ssh -vvv 83.239.246.202 -p 22
OpenSSH_6.7p1 Debian-5, OpenSSL 1.0.1k 8 Jan 2015
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 83.239.246.202 [83.239.246.202] port 22.
debug1: Connection established.
debug1: identity file /home/user/.ssh/id_rsa type 1
debug1: key_load_public: No such file or directory
debug1: identity file /home/user/.ssh/id_rsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/user/.ssh/id_dsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/user/.ssh/id_dsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/user/.ssh/id_ecdsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/user/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/user/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/user/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.7p1 Debian-5
debug1: Remote protocol version 2.0, remote software version dropbear_0.46
debug1: no match: dropbear_0.46
debug2: fd 3 setting O_NONBLOCK
debug3: load_hostkeys: loading entries for host "83.239.246.202" from file "/home/user/.ssh/known_hosts"
debug3: load_hostkeys: loaded 0 keys
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ssh-dss-cert-v01@openssh.com,ssh-rsa-cert-v00@openssh.com,ssh-dss-cert-v00@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519,ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1,hmac-md5-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1,hmac-md5-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: first_kex_follows 0 
debug2: kex_parse_kexinit: reserved 0 
debug2: kex_parse_kexinit: diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa
debug2: kex_parse_kexinit: 3des-cbc
debug2: kex_parse_kexinit: 3des-cbc
debug2: kex_parse_kexinit: hmac-sha1,hmac-md5
debug2: kex_parse_kexinit: hmac-sha1,hmac-md5
debug2: kex_parse_kexinit: none
debug2: kex_parse_kexinit: none
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: first_kex_follows 0 
debug2: kex_parse_kexinit: reserved 0 
debug2: mac_setup: setup hmac-sha1
debug1: kex: server->client 3des-cbc hmac-sha1 none
debug2: mac_setup: setup hmac-sha1
debug1: kex: client->server 3des-cbc hmac-sha1 none
debug2: bits set: 509/1024
debug1: sending SSH2_MSG_KEXDH_INIT
debug1: expecting SSH2_MSG_KEXDH_REPLY
Read from socket failed: Connection reset by peer
user@pc-admin:~/.ssh$ ssh -vvv 83.239.246.202 -p 2222
OpenSSH_6.7p1 Debian-5, OpenSSL 1.0.1k 8 Jan 2015
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 83.239.246.202 [83.239.246.202] port 2222.
debug1: connect to address 83.239.246.202 port 2222: Connection refused
ssh: connect to host 83.239.246.202 port 2222: Connection refused

Что то у меня сегодня ничего не работает даже cut-спойлер =(

predbannikov
() автор топика
Ответ на: комментарий от krasoffski

Где эти значения можно поменять? Хотя задержек вообще не было, ответ моментально приходит. Если поиграться с задержками то где?

predbannikov
() автор топика
Ответ на: комментарий от predbannikov

А юзер у тебя и на удаленном компе «user»?

dvrts ★★★
()
Ответ на: комментарий от anonymous

Сделал iptables -F на обоих компьютерах картина одинаковая, изменений нет ни на 22 ни на 2222 порту

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination   

predbannikov
() автор топика
Ответ на: комментарий от dvrts

запустил tcpdump на удалённом, отправил на ssh 83.239.246.202 -p 22 пришёл неудовлетворительный ответ, нажал ctrl+c запустил снова tcpdump ssh 83.239.246.202 -p 2222 снова неудовлетворительный ответ, нажал ctrl+c Вот весь выхлоп

root@web-server:/home/user# tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
19:02:30.568910 IP web-server.ssh > 192.168.1.6.51520: Flags [P.], seq 397897210:397897398, ack 1669749528, win 303, options [nop,nop,TS val 2951920 ecr 2961463], length 188
19:02:30.569508 IP 192.168.1.6.51520 > web-server.ssh: Flags [.], ack 188, win 1444, options [nop,nop,TS val 2961555 ecr 2951920], length 0
19:02:30.569536 IP web-server.ssh > 192.168.1.6.51520: Flags [P.], seq 188:216, ack 1, win 303, options [nop,nop,TS val 2951920 ecr 2961555], length 28
19:02:30.570008 IP 192.168.1.6.51520 > web-server.ssh: Flags [.], ack 216, win 1444, options [nop,nop,TS val 2961555 ecr 2951920], length 0
19:02:31.570724 IP web-server.41154 > MyRouter.Home.domain: 37509+ PTR? 6.1.168.192.in-addr.arpa. (42)
19:02:31.618086 IP MyRouter.Home.domain > web-server.41154: 37509 NXDomain 0/0/0 (42)
19:02:31.618418 IP web-server.ssh > 192.168.1.6.51520: Flags [P.], seq 216:420, ack 1, win 303, options [nop,nop,TS val 2952182 ecr 2961555], length 204
19:02:31.618987 IP 192.168.1.6.51520 > web-server.ssh: Flags [.], ack 420, win 1444, options [nop,nop,TS val 2961817 ecr 2952182], length 0
19:02:31.619007 IP web-server.ssh > 192.168.1.6.51520: Flags [P.], seq 420:924, ack 1, win 303, options [nop,nop,TS val 2952182 ecr 2961817], length 504
19:02:31.619606 IP 192.168.1.6.51520 > web-server.ssh: Flags [.], ack 924, win 1444, options [nop,nop,TS val 2961817 ecr 2952182], length 0
19:02:32.619672 IP web-server.46713 > MyRouter.Home.domain: 49864+ PTR? 1.1.168.192.in-addr.arpa. (42)
19:02:32.620361 IP MyRouter.Home.domain > web-server.46713: 49864- 1/0/0 PTR MyRouter.Home. (69)
19:02:32.620650 IP web-server.ssh > 192.168.1.6.51520: Flags [P.], seq 924:1736, ack 1, win 303, options [nop,nop,TS val 2952433 ecr 2961817], length 812
19:02:32.621287 IP 192.168.1.6.51520 > web-server.ssh: Flags [.], ack 1736, win 1444, options [nop,nop,TS val 2962068 ecr 2952433], length 0
19:02:33.621780 IP web-server.ssh > 192.168.1.6.51520: Flags [P.], seq 1736:2276, ack 1, win 303, options [nop,nop,TS val 2952683 ecr 2962068], length 540
19:02:33.622402 IP 192.168.1.6.51520 > web-server.ssh: Flags [.], ack 2276, win 1444, options [nop,nop,TS val 2962318 ecr 2952683], length 0
^C
16 packets captured
20 packets received by filter
0 packets dropped by kernel
root@web-server:/home/user# tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
19:02:46.632898 IP web-server.ssh > 192.168.1.6.51520: Flags [P.], seq 397900114:397900302, ack 1669749628, win 303, options [nop,nop,TS val 2955936 ecr 2965477], length 188
19:02:46.633448 IP 192.168.1.6.51520 > web-server.ssh: Flags [.], ack 188, win 1444, options [nop,nop,TS val 2965571 ecr 2955936], length 0
19:02:46.633474 IP web-server.ssh > 192.168.1.6.51520: Flags [P.], seq 188:216, ack 1, win 303, options [nop,nop,TS val 2955936 ecr 2965571], length 28
19:02:46.633953 IP 192.168.1.6.51520 > web-server.ssh: Flags [.], ack 216, win 1444, options [nop,nop,TS val 2965571 ecr 2955936], length 0
19:02:47.634717 IP web-server.34367 > MyRouter.Home.domain: 62325+ PTR? 6.1.168.192.in-addr.arpa. (42)
19:02:47.681495 IP MyRouter.Home.domain > web-server.34367: 62325 NXDomain 0/0/0 (42)
19:02:47.681868 IP web-server.ssh > 192.168.1.6.51520: Flags [P.], seq 216:852, ack 1, win 303, options [nop,nop,TS val 2956198 ecr 2965571], length 636
19:02:47.682476 IP 192.168.1.6.51520 > web-server.ssh: Flags [.], ack 852, win 1444, options [nop,nop,TS val 2965833 ecr 2956198], length 0

predbannikov
() автор топика
Ответ на: комментарий от predbannikov

Это что значит? Какой вывод? Нет портфорвардинга на роутере?

predbannikov
() автор топика

очень похоже что не работает проброс портов на роутере, то что ты порт открыл это замечательно но нужно его еще и пробросить.

CHIPOK ★★★
()
Ответ на: комментарий от predbannikov

сейчас там уже 192.168.1.5 это я уже сейчас изменил после того как комп перезагрузил.

predbannikov
() автор топика
Ответ на: комментарий от CHIPOK

А вообще я не очень понял что вы имели ввиду под открыл порт, у меня обычный роутер ростелекомовский стоит, там только пробрасывать и можно, по крайней мере у меня в настройках в вебморде такое есть

predbannikov
() автор топика
Ответ на: комментарий от predbannikov

может провайдер блокировать пакеты на некоторые порты? Или может это роутер глючит? У меня adsl не подключиться на прямую.

predbannikov
() автор топика
Ответ на: комментарий от krasoffski

krasoffski подключился всё таки из вне пока игрался с MTU, как это случилось? Поменял маршрутизатор на более менее проверенный dlink, пробросил 22 порт, отключил в файрволе spi, включил демилитаризованную зону, начал играться с MTU с минимума на максимум, после каждой смены приходится реконектить ppp-сессию, и так продолжал долго пока не заметил одну особенность, шлюз выдаётся в зоне 192.168..., что за фигня помню же, что был и адрес начинающийся с числа меньше сотни, продолжаю размышлять меняю MTU, и тут получаю шлюз начинающийся на 85.173... проверяю порт, открыт, запускаю ssh user@внешнийip и вижу приглашение, что это такое? Выключил dmz включил spi(файрвола), проверяю - работает. Боюсь дальше играться MTU, реконектить сессию. Какие ваши мысли по этому поводу?

predbannikov
() автор топика
Ответ на: комментарий от Psych218

если так, то как с этим можно бороться? У нас тут в селе, один РосТелеком, а платить за выделенный ip не хочется, зп и так хватает только, что на заплатить по счетам и живи «свободно» =)

predbannikov
() автор топика
Ответ на: комментарий от predbannikov

Как я говорил, у меня была похожея проблема которая не зависела от дистра. В двух словах, предпологается что если между вами и сетью есть циско фаерволл то с большой верочтностью проблема может возникнуть. Почитать тут

Плюс, я так понял MTU вы меняли через NM,это можно сделать и через консоль без перезапуска ppp0 или чего там еще. У меня так работало.

ip link set dev ppp0 mtu 1400

krasoffski
()
Ответ на: комментарий от predbannikov

если так, то как с этим можно бороться? У нас тут в селе, один РосТелеком, а платить за выделенный ip не хочется, зп и так хватает только, что на заплатить по счетам и живи «свободно» =)

Да никак наверное, если сменить провайдера или заплатить нельзя, то только использовать другой порт, который не блокируется. Не обязательно именно 22, можно разные попробовать.

Psych218 ★★★★★
()
Ответ на: комментарий от Psych218

В общем примерно понятно в каком спектре беда, дальше буду сам разбираться. Большое спасибо всем, за помощь и участие! Тему закрываю.

predbannikov
() автор топика
22 сентября 2016 г.
Ответ на: комментарий от predbannikov

Проблема не с провайдером, а с неверными настройками роутера.... Если MTU провайдера меньше 1500, то и на локальном устройстве должно быть меньше - иначе будет фрагментация пакетов и часть будет теряться... К примеру, у билайна MTU 1460 - при таком надо выставлять 1460 и на принимающем соединение устройстве - то есть на том, где SSH

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.