wir haben ein Problem mit dem SSH-Zugriff auf eine checkmk-Appliance (Firmware 1.4.6, Version 1.5.0p21). Intern funktioniert der Zugriff, von einem System aus einem externen Netz jedoch nicht. Die Verbindung zu checkmk und auch zu Port
22 funktioniert, es kommt die Meldung „Connection closed by peer“. Gibt es auf der Appliance eine Einschränkung bezüglich SSH-Zugriff aus externen Netzen?
wir haben ein Problem mit dem SSH-Zugriff auf eine checkmk-Appliance (Firmware 1.4.6, Version 1.5.0p21). Intern funktioniert der Zugriff, von einem System aus einem externen Netz jedoch nicht. Die Verbindung zu checkmk und auch zu Port
22 funktioniert, es kommt die Meldung „Connection closed by peer“. Gibt es auf der Appliance eine Einschränkung bezüglich SSH-Zugriff aus externen Netzen?
das „Connection closed by peer“ könnte ja auch von einer dazwischen liegenden Firewall kommen, die die Verbindung nicht zulässt. Im Zweifel mal mit tcpdump prüfen, ob der Request überhaupt bei der Appliance ankommt.
wir haben ein Problem mit dem SSH-Zugriff auf eine checkmk-Appliance (Firmware 1.4.6, Version 1.5.0p21). Intern funktioniert der Zugriff, von einem System aus einem externen Netz jedoch nicht. Die Verbindung zu checkmk und auch zu Port 22 funktioniert, es kommt die Meldung „Connection closed by peer“. Gibt es auf der Appliance eine Einschränkung bezüglich SSH-Zugriff aus externen Netzen?
Danke und viele Grüße
Dominic Mai
_______________________________________________________________________________
Gerolsteiner Brunnen GmbH & Co. KG
Sitz: Vulkanring - D-54567 Gerolstein
Registergericht: AG Wittlich HRA 11230
Geschaeftsfuehrer: Roel Annega (Vorsitzender), Ulrich Rust, Joachim Schwarz
Persoenlich haftende Gesellschafterin: Gerolsteiner Brunnen GmbH, Gerolstein
Registergericht: AG Wittlich HRB 11287
Vorsitzender des Beirates: Matthaeus Niewodniczanski
der Zugriff kommt definitiv am System am. Aus dem internen Netz, über das die öffentliche Adresse auf die Appliance zugreift, funktioniert der Zugriff. Versuchen wir jedoch, von dem externen System zuzugreifen, sehen wir, dass der Zugriffsversuch
ankommt und dann mit der Fehlermeldung „admin prohibited“ geblockt wird. Daher mein Gedanke, dass es einen Unterschied macht, ob der Zugriffsversuch von internen, privaten oder öffentlichen IP-Adressen stammt.
wir haben ein Problem mit dem SSH-Zugriff auf eine checkmk-Appliance (Firmware 1.4.6, Version 1.5.0p21). Intern funktioniert der Zugriff, von einem System aus einem externen Netz jedoch nicht. Die Verbindung zu checkmk und auch zu Port
22 funktioniert, es kommt die Meldung „Connection closed by peer“. Gibt es auf der Appliance eine Einschränkung bezüglich SSH-Zugriff aus externen Netzen?
Ein Verbindungsaufbau per "ssh -vvv ..." sollte sehr ausführlich zeigen,
welcher Dialog zwischen Appliance und Client stattfindet. Am besten
"innen" zum Vergleich mit aufzeichnen und mit einem Verbindungsaufbau
von "außen" vergleichen.
Wenn da gar nichts kommt, sitzt vielleicht eine Cisco ASA dazwischen,
die ist bekannt für ihre Schere, mit der sie die Verbindungen kappt.
Gruß
Werner
···
Dominic Mai schrieb am 04.12.19 um 14:39:
Hallo Ralf,
der Zugriff kommt definitiv am System am. Aus dem internen Netz, über das die öffentliche Adresse auf die Appliance zugreift, funktioniert der Zugriff. Versuchen wir jedoch, von dem externen System zuzugreifen, sehen wir, dass der Zugriffsversuch ankommt und dann mit der Fehlermeldung „admin prohibited“ geblockt wird. Daher mein Gedanke, dass es einen Unterschied macht, ob der Zugriffsversuch von internen, privaten oder öffentlichen IP-Adressen stammt.
die Ausgaben unterscheiden sich mit diesem Parameter von innen und außen auf den ersten Zeilen nicht, der Verbindungsaufbau von außen stoppt bei der Zeile
debug1: Local version string SSH-2.0-OpenSSH_7.4
von innen folgen die Zeilen
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.4p1 Debian-10+deb9u6
debug1: match: OpenSSH_7.4p1 Debian-10+deb9u6 pat OpenSSH* compat 0x04000000
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to 123.456.789.0:22 as 'example'
Mich wundert, dass in beiden Fällen eine Zeile mit der Meldung "Connection established" ausgegeben wird und der Verbindungsaufbau von außen einfach stoppt.
···
-----Ursprüngliche Nachricht-----
Von: checkmk-de <checkmk-de-bounces@lists.mathias-kettner.de> Im Auftrag von Werner Flamme
Gesendet: Mittwoch, 4. Dezember 2019 15:46
An: checkmk-de@lists.mathias-kettner.de
Betreff: Re: [Check_mk (deutsch)] Zugriff per SSH
Dominic Mai schrieb am 04.12.19 um 14:39:
Hallo Ralf,
der Zugriff kommt definitiv am System am. Aus dem internen Netz, über das die öffentliche Adresse auf die Appliance zugreift, funktioniert der Zugriff. Versuchen wir jedoch, von dem externen System zuzugreifen, sehen wir, dass der Zugriffsversuch ankommt und dann mit der Fehlermeldung „admin prohibited“ geblockt wird. Daher mein Gedanke, dass es einen Unterschied macht, ob der Zugriffsversuch von internen, privaten oder öffentlichen IP-Adressen stammt.
Ein Verbindungsaufbau per "ssh -vvv ..." sollte sehr ausführlich zeigen, welcher Dialog zwischen Appliance und Client stattfindet. Am besten "innen" zum Vergleich mit aufzeichnen und mit einem Verbindungsaufbau von "außen" vergleichen.
Wenn da gar nichts kommt, sitzt vielleicht eine Cisco ASA dazwischen, die ist bekannt für ihre Schere, mit der sie die Verbindungen kappt.
Gruß
Werner
--
_______________________________________________________________________________
Gerolsteiner Brunnen GmbH & Co. KG
Sitz: Vulkanring - D-54567 Gerolstein
Registergericht: AG Wittlich HRA 11230
Geschaeftsfuehrer: Roel Annega (Vorsitzender), Ulrich Rust, Joachim Schwarz
Persoenlich haftende Gesellschafterin: Gerolsteiner Brunnen GmbH, Gerolstein
Registergericht: AG Wittlich HRB 11287
Vorsitzender des Beirates: Matthaeus Niewodniczansk
Irgendwelche Sicherheitstools auf dem System aktiv die externe IPs nicht mögen?
···
Von meinem iPhone gesendet
Am 05.12.2019 um 10:17 schrieb Dominic Mai <dominic.mai@gerolsteiner.com>:
Hallo,
die Ausgaben unterscheiden sich mit diesem Parameter von innen und außen auf den ersten Zeilen nicht, der Verbindungsaufbau von außen stoppt bei der Zeile
debug1: Local version string SSH-2.0-OpenSSH_7.4
von innen folgen die Zeilen
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.4p1 Debian-10+deb9u6
debug1: match: OpenSSH_7.4p1 Debian-10+deb9u6 pat OpenSSH* compat 0x04000000
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to 123.456.789.0:22 as 'example'
Mich wundert, dass in beiden Fällen eine Zeile mit der Meldung "Connection established" ausgegeben wird und der Verbindungsaufbau von außen einfach stoppt.
-----Ursprüngliche Nachricht-----
Von: checkmk-de <checkmk-de-bounces@lists.mathias-kettner.de> Im Auftrag von Werner Flamme
Gesendet: Mittwoch, 4. Dezember 2019 15:46
An: checkmk-de@lists.mathias-kettner.de
Betreff: Re: [Check_mk (deutsch)] Zugriff per SSH
Dominic Mai schrieb am 04.12.19 um 14:39:
Hallo Ralf,
der Zugriff kommt definitiv am System am. Aus dem internen Netz, über das die öffentliche Adresse auf die Appliance zugreift, funktioniert der Zugriff. Versuchen wir jedoch, von dem externen System zuzugreifen, sehen wir, dass der Zugriffsversuch ankommt und dann mit der Fehlermeldung „admin prohibited“ geblockt wird. Daher mein Gedanke, dass es einen Unterschied macht, ob der Zugriffsversuch von internen, privaten oder öffentlichen IP-Adressen stammt.
Ein Verbindungsaufbau per "ssh -vvv ..." sollte sehr ausführlich zeigen, welcher Dialog zwischen Appliance und Client stattfindet. Am besten "innen" zum Vergleich mit aufzeichnen und mit einem Verbindungsaufbau von "außen" vergleichen.
Wenn da gar nichts kommt, sitzt vielleicht eine Cisco ASA dazwischen, die ist bekannt für ihre Schere, mit der sie die Verbindungen kappt.
Gruß
Werner
--
_______________________________________________________________________________
Gerolsteiner Brunnen GmbH & Co. KG
Sitz: Vulkanring - D-54567 Gerolstein
Registergericht: AG Wittlich HRA 11230
Geschaeftsfuehrer: Roel Annega (Vorsitzender), Ulrich Rust, Joachim Schwarz
Persoenlich haftende Gesellschafterin: Gerolsteiner Brunnen GmbH, Gerolstein
Registergericht: AG Wittlich HRB 11287
Vorsitzender des Beirates: Matthaeus Niewodniczansk
_______________________________________________
checkmk-de mailing list
checkmk-de@lists.mathias-kettner.de
Verwaltung & Abmeldung unter https://lists.mathias-kettner.de/cgi-bin/mailman/listinfo/checkmk-de
Am 05.12.2019 um 10:17 schrieb Dominic Mai <dominic.mai@gerolsteiner.com>:
Hallo,
die Ausgaben unterscheiden sich mit diesem Parameter von innen und außen auf den ersten Zeilen nicht, der Verbindungsaufbau von außen stoppt bei der Zeile
debug1: Local version string SSH-2.0-OpenSSH_7.4
von innen folgen die Zeilen
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.4p1 Debian-10+deb9u6
debug1: match: OpenSSH_7.4p1 Debian-10+deb9u6 pat OpenSSH* compat 0x04000000
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to 123.456.789.0:22 as 'example'
Mich wundert, dass in beiden Fällen eine Zeile mit der Meldung "Connection established" ausgegeben wird und der Verbindungsaufbau von außen einfach stoppt.
-----Ursprüngliche Nachricht-----
Von: checkmk-de <checkmk-de-bounces@lists.mathias-kettner.de> Im Auftrag von Werner Flamme
Gesendet: Mittwoch, 4. Dezember 2019 15:46
An: checkmk-de@lists.mathias-kettner.de
Betreff: Re: [Check_mk (deutsch)] Zugriff per SSH
Dominic Mai schrieb am 04.12.19 um 14:39:
Hallo Ralf,
der Zugriff kommt definitiv am System am. Aus dem internen Netz, über das die öffentliche Adresse auf die Appliance zugreift, funktioniert der Zugriff. Versuchen wir jedoch, von dem externen System zuzugreifen, sehen wir, dass der Zugriffsversuch ankommt und dann mit der Fehlermeldung „admin prohibited“ geblockt wird. Daher mein Gedanke, dass es einen Unterschied macht, ob der Zugriffsversuch von internen, privaten oder öffentlichen IP-Adressen stammt.
Ein Verbindungsaufbau per "ssh -vvv ..." sollte sehr ausführlich zeigen, welcher Dialog zwischen Appliance und Client stattfindet. Am besten "innen" zum Vergleich mit aufzeichnen und mit einem Verbindungsaufbau von "außen" vergleichen.
Wenn da gar nichts kommt, sitzt vielleicht eine Cisco ASA dazwischen, die ist bekannt für ihre Schere, mit der sie die Verbindungen kappt.
Gruß
Werner
--
_______________________________________________________________________________
Gerolsteiner Brunnen GmbH & Co. KG
Sitz: Vulkanring - D-54567 Gerolstein
Registergericht: AG Wittlich HRA 11230
Geschaeftsfuehrer: Roel Annega (Vorsitzender), Ulrich Rust, Joachim Schwarz
Persoenlich haftende Gesellschafterin: Gerolsteiner Brunnen GmbH, Gerolstein
Registergericht: AG Wittlich HRB 11287
Vorsitzender des Beirates: Matthaeus Niewodniczansk
_______________________________________________
checkmk-de mailing list
checkmk-de@lists.mathias-kettner.de
Verwaltung & Abmeldung unter https://lists.mathias-kettner.de/cgi-bin/mailman/listinfo/checkmk-de
IgnoreRhosts yes
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
PasswordAuthentication yes
KerberosAuthentication no
GSSAPIAuthentication no
UsePAM yes
X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
UseDNS no
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
AllowGroups ssh_users
···
-----Ursprüngliche Nachricht-----
Von: Ralf Prengel <ralf.prengel@rprengel.de>
Gesendet: Donnerstag, 5. Dezember 2019 16:00
An: Dominic Mai <dominic.mai@gerolsteiner.com>
Cc: Werner Flamme <werner.flamme@ufz.de>; checkmk-de@lists.mathias-kettner.de
Betreff: Re: [Check_mk (deutsch)] Zugriff per SSH
zeig mal deine sshd_config
Von meinem iPhone gesendet
Am 05.12.2019 um 10:17 schrieb Dominic Mai <dominic.mai@gerolsteiner.com>:
Hallo,
die Ausgaben unterscheiden sich mit diesem Parameter von innen und
außen auf den ersten Zeilen nicht, der Verbindungsaufbau von außen
stoppt bei der Zeile
debug1: Local version string SSH-2.0-OpenSSH_7.4
von innen folgen die Zeilen
debug1: Remote protocol version 2.0, remote software version
OpenSSH_7.4p1 Debian-10+deb9u6
debug1: match: OpenSSH_7.4p1 Debian-10+deb9u6 pat OpenSSH* compat
0x04000000
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to 123.456.789.0:22 as 'example'
Mich wundert, dass in beiden Fällen eine Zeile mit der Meldung "Connection established" ausgegeben wird und der Verbindungsaufbau von außen einfach stoppt.
-----Ursprüngliche Nachricht-----
Von: checkmk-de <checkmk-de-bounces@lists.mathias-kettner.de> Im
Auftrag von Werner Flamme
Gesendet: Mittwoch, 4. Dezember 2019 15:46
An: checkmk-de@lists.mathias-kettner.de
Betreff: Re: [Check_mk (deutsch)] Zugriff per SSH
Dominic Mai schrieb am 04.12.19 um 14:39:
Hallo Ralf,
der Zugriff kommt definitiv am System am. Aus dem internen Netz, über das die öffentliche Adresse auf die Appliance zugreift, funktioniert der Zugriff. Versuchen wir jedoch, von dem externen System zuzugreifen, sehen wir, dass der Zugriffsversuch ankommt und dann mit der Fehlermeldung „admin prohibited“ geblockt wird. Daher mein Gedanke, dass es einen Unterschied macht, ob der Zugriffsversuch von internen, privaten oder öffentlichen IP-Adressen stammt.
Ein Verbindungsaufbau per "ssh -vvv ..." sollte sehr ausführlich zeigen, welcher Dialog zwischen Appliance und Client stattfindet. Am besten "innen" zum Vergleich mit aufzeichnen und mit einem Verbindungsaufbau von "außen" vergleichen.
Wenn da gar nichts kommt, sitzt vielleicht eine Cisco ASA dazwischen, die ist bekannt für ihre Schere, mit der sie die Verbindungen kappt.
Gruß
Werner
--
______________________________________________________________________
_________
Gerolsteiner Brunnen GmbH & Co. KG
Sitz: Vulkanring - D-54567 Gerolstein
Registergericht: AG Wittlich HRA 11230
Geschaeftsfuehrer: Roel Annega (Vorsitzender), Ulrich Rust, Joachim
Schwarz Persoenlich haftende Gesellschafterin: Gerolsteiner Brunnen
GmbH, Gerolstein
Registergericht: AG Wittlich HRB 11287 Vorsitzender des Beirates:
Matthaeus Niewodniczansk
_______________________________________________
checkmk-de mailing list
checkmk-de@lists.mathias-kettner.de
Verwaltung & Abmeldung unter https://lists.mathias-kettner.de/cgi-bin/mailman/listinfo/checkmk-de
_______________________________________________________________________________
Gerolsteiner Brunnen GmbH & Co. KG
Sitz: Vulkanring - D-54567 Gerolstein
Registergericht: AG Wittlich HRA 11230
Geschaeftsfuehrer: Roel Annega (Vorsitzender), Ulrich Rust, Joachim Schwarz
Persoenlich haftende Gesellschafterin: Gerolsteiner Brunnen GmbH, Gerolstein
Registergericht: AG Wittlich HRB 11287
Vorsitzender des Beirates: Matthaeus Niewodniczansk