ssh -l USER SERVER

А снифером посмотреть?

Очень странное поведение. Попробуй запустить tcpdump и посмотри, что происходит при первой попытке ssh; и что происходит при второй попытке ssh. Результаты tcpdump сравни. Если не разберёшься, то оба результата покажи здесь (форматирование!)

возможно, проблема в stateful фаерволе у тебя или у провайдера. Или же на том сервере защита организована подобным образом.

> Очень странное поведение. Попробуй запустить tcpdump и посмотри, что происходит при первой попытке ssh; и что происходит при второй попытке ssh. Результаты tcpdump сравни. Если не разберёшься, то оба результата покажи здесь (форматирование!) 

Не разобрался :(
Извините за длинный текст... Разбил на две части. Не поместилось ...
Несколько частей :(

До traceroute:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
18:49:21.808811 IP 192.168.1.3.42910 > top8.mail.ru.http: F 3072351359:3072351359(0) ack 3806504538 win 6432
18:49:21.810055 IP 192.168.1.3.35382 > mygateway1.ar7.domain:  34433+ PTR? 60.45.67.194.in-addr.arpa. (43)
18:49:21.811591 IP mygateway1.ar7.domain > 192.168.1.3.35382:  34433- 1/0/0 (69)
18:49:21.811714 IP 192.168.1.3.35382 > mygateway1.ar7.domain:  15333+ PTR? 3.1.168.192.in-addr.arpa. (42)
18:49:26.804832 arp who-has 192.168.1.3 tell mygateway1.ar7
18:49:26.804841 arp reply 192.168.1.3 is-at 00:48:54:4a:b8:7b (oui Unknown)
18:49:26.811735 IP 192.168.1.3.35382 > mygateway1.ar7.domain:  15333+ PTR? 3.1.168.192.in-addr.arpa. (42)
18:49:28.664238 IP 192.168.1.3.35383 > mygateway1.ar7.domain:  61262+ AAAA? SERVER. (35)
18:49:29.308596 IP mygateway1.ar7.domain > 192.168.1.3.35383:  61262 0/1/0 (86)
18:49:29.308677 IP 192.168.1.3.35383 > mygateway1.ar7.domain:  41995+ AAAA? SERVER. (35)
18:49:29.311323 IP mygateway1.ar7.domain > 192.168.1.3.35383:  41995- 1/0/0 (35)
18:49:29.311371 IP 192.168.1.3.35383 > mygateway1.ar7.domain:  58580+ A? SERVER. (35)
18:49:29.313053 IP mygateway1.ar7.domain > 192.168.1.3.35383:  58580- 1/0/0 A 1.0.0.0 (51)
18:49:29.313126 IP 192.168.1.3.41665 > 1.0.0.0.ssh: S 3159167987:3159167987(0) win 5840 <mss 1460,sackOK,timestamp 8075958 0,nop,wscale 7>

Продолжение...

18:49:31.811876 IP 192.168.1.3.35383 > mygateway1.ar7.domain:  34637+ PTR? 1.1.168.192.in-addr.arpa. (42)
18:49:31.813396 IP mygateway1.ar7.domain > 192.168.1.3.35383:  34637- 1/0/0 PTR[|domain]
18:49:31.813649 IP 192.168.1.3.35383 > mygateway1.ar7.domain:  49838+ PTR? 0.0.0.1.in-addr.arpa. (38)
18:49:32.312730 IP 192.168.1.3.41665 > 1.0.0.0.ssh: S 3159167987:3159167987(0) win 5840 <mss 1460,sackOK,timestamp 8078958 0,nop,wscale 7>
18:49:34.768770 IP 192.168.1.3.42910 > top8.mail.ru.http: F 0:0(0) ack 1 win 6432
18:49:35.243484 IP mygateway1.ar7.domain > 192.168.1.3.35382:  15333 ServFail- 0/0/0 (42)
18:49:35.243502 IP 192.168.1.3 > mygateway1.ar7: ICMP 192.168.1.3 udp port 35382 unreachable, length 78
18:49:36.812735 IP 192.168.1.3.35383 > mygateway1.ar7.domain:  49838+ PTR? 0.0.0.1.in-addr.arpa. (38)
18:49:38.312726 IP 192.168.1.3.41665 > 1.0.0.0.ssh: S 3159167987:3159167987(0) win 5840 <mss 1460,sackOK,timestamp 8084958 0,nop,wscale 7>
18:49:42.811814 IP mygateway1.ar7.domain > 192.168.1.3.35383:  49838 ServFail- 0/0/0 (38)
18:49:42.811833 IP 192.168.1.3 > mygateway1.ar7: ICMP 192.168.1.3 udp port 35383 unreachable, length 74
18:49:50.312731 IP 192.168.1.3.41665 > 1.0.0.0.ssh: S 3159167987:3159167987(0) win 5840 <mss 1460,sackOK,timestamp 8096958 0,nop,wscale 7>
18:49:55.312723 arp who-has mygateway1.ar7 tell 192.168.1.3
18:49:55.313011 arp reply mygateway1.ar7 is-at 00:d0:f8:5c:68:9f (oui Unknown)
18:50:00.688729 IP 192.168.1.3.42910 > top8.mail.ru.http: F 0:0(0) ack 1 win 6432
18:50:14.312728 IP 192.168.1.3.41665 > 1.0.0.0.ssh: S 3159167987:3159167987(0) win 5840 <mss 1460,sackOK,timestamp 8120958 0,nop,wscale 7>
18:50:47.931522 IP 192.168.1.3.44745 > 77.51.6.226.35088: P 3089232156:3089232158(2) ack 3331836544 win 135 <nop,nop,timestamp 8154576 6388876>
18:50:47.931672 IP 192.168.1.3.35383 > mygateway1.ar7.domain:  65294+ PTR? 226.6.51.77.in-addr.arpa. (42)
18:50:48.179279 IP 77.51.6.226.35088 > 192.168.1.3.44745: P 1:3(2) ack 2 win 64183 <nop,nop,timestamp 6390087 8154576>
18:50:48.179297 IP 192.168.1.3.44745 > 77.51.6.226.35088: . ack 3 win 135 <nop,nop,timestamp 8154824 6390087>
18:50:52.528752 IP 192.168.1.3.42910 > top8.mail.ru.http: F 0:0(0) ack 1 win 6432
18:50:52.930737 IP 192.168.1.3.35383 > mygateway1.ar7.domain:  65294+ PTR? 226.6.51.77.in-addr.arpa. (42)
18:50:53.175687 arp who-has 192.168.1.3 tell mygateway1.ar7
18:50:53.175694 arp reply 192.168.1.3 is-at 00:48:54:4a:b8:7b (oui Unknown)
18:50:58.924944 IP mygateway1.ar7.domain > 192.168.1.3.35383:  65294 ServFail- 0/0/0 (42)
18:50:58.924963 IP 192.168.1.3 > mygateway1.ar7: ICMP 192.168.1.3 udp port 35383 unreachable, length 78
18:51:02.312729 IP 192.168.1.3.41665 > 1.0.0.0.ssh: S 3159167987:3159167987(0) win 5840 <mss 1460,sackOK,timestamp 8168958 0,nop,wscale 7>
18:51:08.602737 IP mygateway1.ar7 > ALL-SYSTEMS.MCAST.NET: igmp query v2

42 packets captured
44 packets received by filter
0 packets dropped by kernel

После traceroute:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
18:51:59.303780 IP 192.168.1.3.42091 > SERVER.33438: UDP, length 10
18:51:59.304144 IP 192.168.1.3.35383 > mygateway1.ar7.domain:  22369+ PTR? 26.6.76.62.in-addr.arpa. (41)
18:51:59.306022 IP mygateway1.ar7.domain > 192.168.1.3.35383:  22369- 1/0/0 PTR[|domain]
18:51:59.306131 IP 192.168.1.3.35383 > mygateway1.ar7.domain:  7574+ PTR? 3.1.168.192.in-addr.arpa. (42)
18:51:59.313420 IP vl > 192.168.1.3: ICMP time exceeded in-transit, length 36
18:51:59.313515 IP 192.168.1.3.35384 > mygateway1.ar7.domain:  19286+ PTR? 2.1.1.10.in-addr.arpa. (39)
18:51:59.360541 IP mygateway1.ar7.domain > 192.168.1.3.35384:  19286* 1/3/1 PTR[|domain]
18:51:59.360611 IP 192.168.1.3.42091 > SERVER.33439: UDP, length 10
18:51:59.368304 IP vl > 192.168.1.3: ICMP time exceeded in-transit, length 36
18:51:59.368336 IP 192.168.1.3.42091 > SERVER.33440: UDP, length 10
18:51:59.375359 IP vl > 192.168.1.3: ICMP time exceeded in-transit, length 36
18:51:59.375393 IP 192.168.1.3.42091 > SERVER.33441: UDP, length 10
18:51:59.394665 IP SERVER > 192.168.1.3: ICMP time exceeded in-transit, length 46
18:51:59.394741 IP 192.168.1.3.35384 > mygateway1.ar7.domain:  13041+ PTR? 26.6.76.62.in-addr.arpa. (41)
18:51:59.396330 IP mygateway1.ar7.domain > 192.168.1.3.35384:  13041- 1/0/0 PTR[|domain]
18:51:59.396371 IP 192.168.1.3.42091 > SERVER.33442: UDP, length 10
18:51:59.417040 IP SERVER > 192.168.1.3: ICMP time exceeded in-transit, length 46
18:51:59.417074 IP 192.168.1.3.42091 > SERVER.33443: UDP, length 10
18:51:59.436211 IP SERVER > 192.168.1.3: ICMP time exceeded in-transit, length 46
18:51:59.436248 IP 192.168.1.3.42091 > SERVER.33444: UDP, length 10
18:52:04.299921 arp who-has 192.168.1.3 tell mygateway1.ar7
18:52:04.299931 arp reply 192.168.1.3 is-at 00:48:54:4a:b8:7b (oui Unknown)
18:52:04.305736 IP 192.168.1.3.35383 > mygateway1.ar7.domain:  7574+ PTR? 3.1.168.192.in-addr.arpa. (42)
18:52:04.435742 IP 192.168.1.3.42091 > SERVER.33445: UDP, length 10
18:52:09.305870 IP 192.168.1.3.35384 > mygateway1.ar7.domain:  53913+ PTR? 1.1.168.192.in-addr.arpa. (42)
18:52:09.307362 IP mygateway1.ar7.domain > 192.168.1.3.35384:  53913- 1/0/0 PTR[|domain]
18:52:09.307512 IP 192.168.1.3.35384 > mygateway1.ar7.domain:  64689+ PTR? 2.1.1.10.in-addr.arpa. (39)
18:52:09.309083 IP mygateway1.ar7.domain > 192.168.1.3.35384:  64689- 1/0/0 PTR[|domain]
18:52:10.309112 IP mygateway1.ar7.domain > 192.168.1.3.35383:  7574 ServFail- 0/0/0 (42)
18:52:10.309128 IP 192.168.1.3 > mygateway1.ar7: ICMP 192.168.1.3 udp port 35383 unreachable, length 78

Продолжение

18:52:22.049237 IP 192.168.1.3.35384 > mygateway1.ar7.domain:  38810+ AAAA? SERVER. (35)
18:52:22.050784 IP mygateway1.ar7.domain > 192.168.1.3.35384:  38810- 1/0/0 (35)
18:52:22.050917 IP 192.168.1.3.35384 > mygateway1.ar7.domain:  28427+ A? SERVER. (35)
18:52:22.052323 IP mygateway1.ar7.domain > 192.168.1.3.35384:  28427- 1/0/0 A SERVER (51)
18:52:22.052464 IP 192.168.1.3.58751 > SERVER.ssh: S 3345258365:3345258365(0) win 5840 <mss 1460,sackOK,timestamp 8248697 0,nop,wscale 7>
18:52:22.074941 IP SERVER.ssh > 192.168.1.3.58751: S 3457959166:3457959166(0) ack 3345258366 win 5792 <mss 1452,sackOK,timestamp 303326568 8248697,nop,wscale 5>
18:52:22.074957 IP 192.168.1.3.58751 > SERVER.ssh: . ack 1 win 46 <nop,nop,timestamp 8248720 303326568>
18:52:22.106666 IP SERVER.ssh > 192.168.1.3.58751: P 1:22(21) ack 1 win 181 <nop,nop,timestamp 303326576 8248720>
18:52:22.106682 IP 192.168.1.3.58751 > SERVER.ssh: . ack 22 win 46 <nop,nop,timestamp 8248751 303326576>
18:52:22.106900 IP 192.168.1.3.58751 > SERVER.ssh: P 1:21(20) ack 22 win 46 <nop,nop,timestamp 8248752 303326576>
18:52:22.128852 IP SERVER.ssh > 192.168.1.3.58751: . ack 21 win 181 <nop,nop,timestamp 303326582 8248752>
18:52:22.128861 IP 192.168.1.3.58751 > SERVER.ssh: P 21:773(752) ack 22 win 46 <nop,nop,timestamp 8248774 303326582>
18:52:22.142286 IP SERVER.ssh > 192.168.1.3.58751: P 22:766(744) ack 21 win 181 <nop,nop,timestamp 303326582 8248752>
18:52:22.181722 IP 192.168.1.3.58751 > SERVER.ssh: . ack 766 win 58 <nop,nop,timestamp 8248827 303326582>
18:52:22.200760 IP SERVER.ssh > 192.168.1.3.58751: . ack 773 win 228 <nop,nop,timestamp 303326600 8248774>
18:52:22.200769 IP 192.168.1.3.58751 > SERVER.ssh: P 773:797(24) ack 766 win 58 <nop,nop,timestamp 8248846 303326600>
18:52:22.220965 IP SERVER.ssh > 192.168.1.3.58751: . ack 797 win 228 <nop,nop,timestamp 303326605 8248846>
18:52:22.226683 IP SERVER.ssh > 192.168.1.3.58751: P 766:918(152) ack 797 win 228 <nop,nop,timestamp 303326605 8248846>
18:52:22.226689 IP 192.168.1.3.58751 > SERVER.ssh: . ack 918 win 69 <nop,nop,timestamp 8248871 303326605>
18:52:22.229518 IP 192.168.1.3.58751 > SERVER.ssh: P 797:941(144) ack 918 win 69 <nop,nop,timestamp 8248874 303326605>
18:52:22.283949 IP SERVER.ssh > 192.168.1.3.58751: P 918:1638(720) ack 941 win 275 <nop,nop,timestamp 303326617 8248874>

Далее

18:52:22.305943 IP 192.168.1.3.58751 > SERVER.ssh: P 941:957(16) ack 1638 win 81 <nop,nop,timestamp 8248951 303326617>
18:52:22.364828 IP SERVER.ssh > 192.168.1.3.58751: . ack 957 win 275 <nop,nop,timestamp 303326641 8248951>
18:52:22.364837 IP 192.168.1.3.58751 > SERVER.ssh: P 957:1005(48) ack 1638 win 81 <nop,nop,timestamp 8249010 303326641>
18:52:22.386009 IP SERVER.ssh > 192.168.1.3.58751: . ack 1005 win 275 <nop,nop,timestamp 303326646 8249010>
18:52:22.388216 IP SERVER.ssh > 192.168.1.3.58751: P 1638:1686(48) ack 1005 win 275 <nop,nop,timestamp 303326646 8249010>
18:52:22.388297 IP 192.168.1.3.58751 > SERVER.ssh: P 1005:1069(64) ack 1686 win 81 <nop,nop,timestamp 8249033 303326646>
18:52:22.448084 IP SERVER.ssh > 192.168.1.3.58751: . ack 1069 win 275 <nop,nop,timestamp 303326662 8249033>
18:52:22.541234 IP SERVER.ssh > 192.168.1.3.58751: P 1686:1766(80) ack 1069 win 275 <nop,nop,timestamp 303326684 8249033>
18:52:22.541313 IP 192.168.1.3.58751 > SERVER.ssh: P 1069:1165(96) ack 1766 win 81 <nop,nop,timestamp 8249186 303326684>
18:52:22.562624 IP SERVER.ssh > 192.168.1.3.58751: . ack 1165 win 275 <nop,nop,timestamp 303326690 8249186>
18:52:22.565587 IP SERVER.ssh > 192.168.1.3.58751: P 1766:1846(80) ack 1165 win 275 <nop,nop,timestamp 303326690 8249186>
18:52:22.604723 IP 192.168.1.3.58751 > SERVER.ssh: . ack 1846 win 81 <nop,nop,timestamp 8249250 303326690>
18:52:29.672886 IP 192.168.1.3.58751 > SERVER.ssh: P 1165:1309(144) ack 1846 win 81 <nop,nop,timestamp 8256318 303326690>
18:52:29.698814 IP SERVER.ssh > 192.168.1.3.58751: P 1846:1878(32) ack 1309 win 322 <nop,nop,timestamp 303328474 8256318>
18:52:29.698832 IP 192.168.1.3.58751 > SERVER.ssh: . ack 1878 win 81 <nop,nop,timestamp 8256344 303328474>
18:52:29.699105 IP 192.168.1.3.58751 > SERVER.ssh: P 1309:1373(64) ack 1878 win 81 <nop,nop,timestamp 8256344 303328474>
18:52:29.724443 IP SERVER.ssh > 192.168.1.3.58751: P 1878:1926(48) ack 1373 win 322 <nop,nop,timestamp 303328480 8256344>
18:52:29.724549 IP 192.168.1.3.58751 > SERVER.ssh: P 1373:1757(384) ack 1926 win 81 <nop,nop,timestamp 8256369 303328480>
18:52:29.760736 IP SERVER.ssh > 192.168.1.3.58751: P 1926:1974(48) ack 1757 win 369 <nop,nop,timestamp 303328489 8256369>
18:52:29.764421 IP SERVER.ssh > 192.168.1.3.58751: P 1974:2118(144) ack 1757 win 369 <nop,nop,timestamp 303328489 8256369>
18:52:29.764436 IP 192.168.1.3.58751 > SERVER.ssh: . ack 2118 win 93 <nop,nop,timestamp 8256409 303328489>
18:52:29.790767 IP SERVER.ssh > 192.168.1.3.58751: P 2118:2486(368) ack 1757 win 369 <nop,nop,timestamp 303328496 8256409>
18:52:29.830723 IP 192.168.1.3.58751 > SERVER.ssh: . ack 2486 win 104 <nop,nop,timestamp 8256476 303328496>
18:52:48.962609 IP 192.168.1.3.44745 > 77.51.6.226.35088: P 3089232158:3089232160(2) ack 3331836546 win 135 <nop,nop,timestamp 8275607 6390087>

75 packets captured
82 packets received by filter
0 packets dropped by kernel



Реальный сервер заменен на SERVER (параноя :)
mygateway1.ar7.domain - мой модем. Кстати он настроен как мост и нигде более не прописан. Может в этом проблема?

Кстати traceroute:

traceroute to SERVER (100.100.100.100), 30 hops max, 38 byte packets
 1  * * *
 2  vl-edge2.primorye.net.ru (10.1.1.2)  12.123 ms  7.363 ms  6.800 ms
 3  SERVER (100.100.100.100)  20.798 ms  20.605 ms  21.632 ms
 4  *

Да. Это Дальсвязь во Владивостоке...

Но не об этом. Первая строчка:
 1  * * *
Почему * * * ?

Может в этом дело?

в опциях tcpdump'а укажи по крайней мере host и SERVER, там какой-то мусор примешивается.

Поскольку ты ходишь из локалки, попробуй подключить машину напрямую в мир. Возможно так будет быстрее определиться.

> 18:50:14.312728 IP 192.168.1.3.41665 > 1.0.0.0.ssh: ...
1.0.0.0 - это реальный адрес сервера? Или уже заменённый?

Судя по дампам, на модеме стоит DNS-relay.
При этом при первой сессии оно там пытается по имени SERVER получить его адрес и получает 1.0.0.0. Что оно там получает во втором случае скрыто за "SERVER". Если "SERVER" не равен 1.0.0.0, то я бы сказал, что проблемы с DNS-резолвингом. Попробуй в качестве DNS прописать не адрес модема, а адрес DNS-сервера провайдера (в настройках модема он прописан). Если не поможет - поищи ещё DNS-сервера. Для примера дам парочку белорусских: 193.232.248.45; 82.209.195.12

Кстати, модем точно как мост прописан? Если он мост, то на нём нет своего real-IP (только ip в локальной сети). Следовательно, запросить DNS у провайдера он не может, лезет назад в локалку... где-то в локалке стоит комп с реальным IP-адресом и DNS-серваком...

> Но не об этом. Первая строчка:
> 1 * * *
> Почему * * * ?
> Может в этом дело?

Нет, не в этом. Просто первый хост в цепочке не отвечает ICMP-ответом "TTL excelled". Вероятно, это и есть модем (в режиме моста)

> 1.0.0.0 - это реальный адрес сервера? Или уже заменённый? 
 
Еслиб я знал... Скорее всего заменённый.

Вот что в resolv.conf
# Generated by dhcpcd for interface eth1
nameserver 192.168.1.1

В nslookup:
> server
Default server: 192.168.1.1
Address: 192.168.1.1#53
>          

>   Попробуй в качестве DNS прописать не адрес модема, а адрес DNS-сервера провайдера

Попробую. Отпишу в любом случае.

> Кстати, модем точно как мост прописан?

Да. Настраивал через веб-интерфейс.

> Следовательно, запросить DNS у провайдера он не может, лезет назад в локалку... где-то в локалке стоит комп с реальным IP-адресом и DNS-серваком... 

Хех. такие проблемы только с SSH наблюдаются :(

Хех. Спасибо Slavaz!

Попробовал 193.232.248.45; 82.209.195.12 

Первый на ssh выдал
Temporary failure in name resolution

Но второй отработал на ура! :)
Осталось узнать ДНС провайдера или какой другой.

Чего то намудрили провайдеры. ДНС мне не дали - сказали все будет автоматом. Все так и было за исключением ssh...

Всем спасибо! Вопрос закрыт.