Hallo Liste,
wir haben ein Problem mit dem SSH-Zugriff auf eine checkmk-Appliance (Firmware 1.4.6, Version 1.5.0p21). Intern funktioniert der Zugriff, von einem System aus einem externen Netz jedoch nicht. Die Verbindung zu checkmk und auch zu Port
22 funktioniert, es kommt die Meldung „Connection closed by peer“. Gibt es auf der Appliance eine Einschränkung bezüglich SSH-Zugriff aus externen Netzen?
Danke und viele Grüße
Dominic Mai
Hallo Liste,
wir haben ein Problem mit dem SSH-Zugriff auf eine checkmk-Appliance (Firmware 1.4.6, Version 1.5.0p21). Intern funktioniert der Zugriff, von einem System aus einem externen Netz jedoch nicht. Die Verbindung zu checkmk und auch zu Port
22 funktioniert, es kommt die Meldung „Connection closed by peer“. Gibt es auf der Appliance eine Einschränkung bezüglich SSH-Zugriff aus externen Netzen?
Danke und viele Grüße
Dominic Mai
Hi,
das „Connection closed by peer“ könnte ja auch von einer dazwischen liegenden Firewall kommen, die die Verbindung nicht zulässt. Im Zweifel mal mit tcpdump prüfen, ob der Request überhaupt bei der Appliance ankommt.
Gruß
Udo
----- Ursprüngliche Mail -----
Von: "Dominic Mai" <dominic.mai@gerolsteiner.com>
An: "checkmk-de@lists.mathias-kettner.de" <checkmk-de@lists.mathias-kettner.de>
Gesendet: Freitag, 29. November 2019 11:00:00
Betreff: [Check_mk (deutsch)] Zugriff per SSH
Hallo Liste,
wir haben ein Problem mit dem SSH-Zugriff auf eine checkmk-Appliance (Firmware 1.4.6, Version 1.5.0p21). Intern funktioniert der Zugriff, von einem System aus einem externen Netz jedoch nicht. Die Verbindung zu checkmk und auch zu Port 22 funktioniert, es kommt die Meldung „Connection closed by peer“. Gibt es auf der Appliance eine Einschränkung bezüglich SSH-Zugriff aus externen Netzen?
Danke und viele Grüße
Dominic Mai
_______________________________________________________________________________
Gerolsteiner Brunnen GmbH & Co. KG
Sitz: Vulkanring - D-54567 Gerolstein
Registergericht: AG Wittlich HRA 11230
Geschaeftsfuehrer: Roel Annega (Vorsitzender), Ulrich Rust, Joachim Schwarz
Persoenlich haftende Gesellschafterin: Gerolsteiner Brunnen GmbH, Gerolstein
Registergericht: AG Wittlich HRB 11287
Vorsitzender des Beirates: Matthaeus Niewodniczanski
_______________________________________________
checkmk-de mailing list
checkmk-de@lists.mathias-kettner.de
Verwaltung & Abmeldung unter
https://lists.mathias-kettner.de/cgi-bin/mailman/listinfo/checkmk-de
Hallo Ralf,
der Zugriff kommt definitiv am System am. Aus dem internen Netz, über das die öffentliche Adresse auf die Appliance zugreift, funktioniert der Zugriff. Versuchen wir jedoch, von dem externen System zuzugreifen, sehen wir, dass der Zugriffsversuch
ankommt und dann mit der Fehlermeldung „admin prohibited“ geblockt wird. Daher mein Gedanke, dass es einen Unterschied macht, ob der Zugriffsversuch von internen, privaten oder öffentlichen IP-Adressen stammt.
Von: Ralf Prengel ralf.prengel@rprengel.de
Gesendet: Samstag, 30. November 2019 09:19
An: Dominic Mai dominic.mai@gerolsteiner.com
Cc: checkmk-de@lists.mathias-kettner.de
Betreff: Re: [Check_mk (deutsch)] Zugriff per SSH
Hallo,
habe leider gerade keine Appliance im Zugriff.
Wenn du dich intern einloggen kannst schau mal nach in der Konfigurationsdateien von ssh nach.
Sicher das der ssh Zugriff von aussen auf dem System ankommt. Du müsstest Infos zum Verbindungsaufbau in den Logfiles sehen.
Nicht das eine fehlerhafte Portweiterleitung dich auf ein anderes System leitet.
Gruss
Von meinem iPad gesendet
Am 29.11.2019 um 11:00 schrieb Dominic Mai dominic.mai@gerolsteiner.com:
Hallo Liste,
wir haben ein Problem mit dem SSH-Zugriff auf eine checkmk-Appliance (Firmware 1.4.6, Version 1.5.0p21). Intern funktioniert der Zugriff, von einem System aus einem externen Netz jedoch nicht. Die Verbindung zu checkmk und auch zu Port
22 funktioniert, es kommt die Meldung „Connection closed by peer“. Gibt es auf der Appliance eine Einschränkung bezüglich SSH-Zugriff aus externen Netzen?
Danke und viele Grüße
Dominic Mai
_______________________________________________________________________________
Gerolsteiner Brunnen GmbH & Co. KG
Sitz: Vulkanring - D-54567 Gerolstein
Registergericht: AG Wittlich HRA 11230
Geschaeftsfuehrer: Roel Annega (Vorsitzender), Ulrich Rust, Joachim Schwarz
Persoenlich haftende Gesellschafterin: Gerolsteiner Brunnen GmbH, Gerolstein
Registergericht: AG Wittlich HRB 11287
Vorsitzender des Beirates: Matthaeus Niewodniczanski
checkmk-de mailing list
checkmk-de@lists.mathias-kettner.de
Verwaltung & Abmeldung unter
https://lists.mathias-kettner.de/cgi-bin/mailman/listinfo/checkmk-de
Ein Verbindungsaufbau per "ssh -vvv ..." sollte sehr ausführlich zeigen,
welcher Dialog zwischen Appliance und Client stattfindet. Am besten
"innen" zum Vergleich mit aufzeichnen und mit einem Verbindungsaufbau
von "außen" vergleichen.
Wenn da gar nichts kommt, sitzt vielleicht eine Cisco ASA dazwischen,
die ist bekannt für ihre Schere, mit der sie die Verbindungen kappt.
Gruß
Werner
Dominic Mai schrieb am 04.12.19 um 14:39:
Hallo Ralf,
der Zugriff kommt definitiv am System am. Aus dem internen Netz, über das die öffentliche Adresse auf die Appliance zugreift, funktioniert der Zugriff. Versuchen wir jedoch, von dem externen System zuzugreifen, sehen wir, dass der Zugriffsversuch ankommt und dann mit der Fehlermeldung „admin prohibited“ geblockt wird. Daher mein Gedanke, dass es einen Unterschied macht, ob der Zugriffsversuch von internen, privaten oder öffentlichen IP-Adressen stammt.
--
Hallo,
die Ausgaben unterscheiden sich mit diesem Parameter von innen und außen auf den ersten Zeilen nicht, der Verbindungsaufbau von außen stoppt bei der Zeile
debug1: Local version string SSH-2.0-OpenSSH_7.4
von innen folgen die Zeilen
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.4p1 Debian-10+deb9u6
debug1: match: OpenSSH_7.4p1 Debian-10+deb9u6 pat OpenSSH* compat 0x04000000
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to 123.456.789.0:22 as 'example'
Mich wundert, dass in beiden Fällen eine Zeile mit der Meldung "Connection established" ausgegeben wird und der Verbindungsaufbau von außen einfach stoppt.
-----Ursprüngliche Nachricht-----
Von: checkmk-de <checkmk-de-bounces@lists.mathias-kettner.de> Im Auftrag von Werner Flamme
Gesendet: Mittwoch, 4. Dezember 2019 15:46
An: checkmk-de@lists.mathias-kettner.de
Betreff: Re: [Check_mk (deutsch)] Zugriff per SSH
Dominic Mai schrieb am 04.12.19 um 14:39:
Hallo Ralf,
der Zugriff kommt definitiv am System am. Aus dem internen Netz, über das die öffentliche Adresse auf die Appliance zugreift, funktioniert der Zugriff. Versuchen wir jedoch, von dem externen System zuzugreifen, sehen wir, dass der Zugriffsversuch ankommt und dann mit der Fehlermeldung „admin prohibited“ geblockt wird. Daher mein Gedanke, dass es einen Unterschied macht, ob der Zugriffsversuch von internen, privaten oder öffentlichen IP-Adressen stammt.
Ein Verbindungsaufbau per "ssh -vvv ..." sollte sehr ausführlich zeigen, welcher Dialog zwischen Appliance und Client stattfindet. Am besten "innen" zum Vergleich mit aufzeichnen und mit einem Verbindungsaufbau von "außen" vergleichen.
Wenn da gar nichts kommt, sitzt vielleicht eine Cisco ASA dazwischen, die ist bekannt für ihre Schere, mit der sie die Verbindungen kappt.
Gruß
Werner
--
_______________________________________________________________________________
Gerolsteiner Brunnen GmbH & Co. KG
Sitz: Vulkanring - D-54567 Gerolstein
Registergericht: AG Wittlich HRA 11230
Geschaeftsfuehrer: Roel Annega (Vorsitzender), Ulrich Rust, Joachim Schwarz
Persoenlich haftende Gesellschafterin: Gerolsteiner Brunnen GmbH, Gerolstein
Registergericht: AG Wittlich HRB 11287
Vorsitzender des Beirates: Matthaeus Niewodniczansk
Irgendwelche Sicherheitstools auf dem System aktiv die externe IPs nicht mögen?
Von meinem iPhone gesendet
Am 05.12.2019 um 10:17 schrieb Dominic Mai <dominic.mai@gerolsteiner.com>:
Hallo,
die Ausgaben unterscheiden sich mit diesem Parameter von innen und außen auf den ersten Zeilen nicht, der Verbindungsaufbau von außen stoppt bei der Zeile
debug1: Local version string SSH-2.0-OpenSSH_7.4
von innen folgen die Zeilen
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.4p1 Debian-10+deb9u6
debug1: match: OpenSSH_7.4p1 Debian-10+deb9u6 pat OpenSSH* compat 0x04000000
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to 123.456.789.0:22 as 'example'Mich wundert, dass in beiden Fällen eine Zeile mit der Meldung "Connection established" ausgegeben wird und der Verbindungsaufbau von außen einfach stoppt.
-----Ursprüngliche Nachricht-----
Von: checkmk-de <checkmk-de-bounces@lists.mathias-kettner.de> Im Auftrag von Werner Flamme
Gesendet: Mittwoch, 4. Dezember 2019 15:46
An: checkmk-de@lists.mathias-kettner.de
Betreff: Re: [Check_mk (deutsch)] Zugriff per SSHDominic Mai schrieb am 04.12.19 um 14:39:
Hallo Ralf,
der Zugriff kommt definitiv am System am. Aus dem internen Netz, über das die öffentliche Adresse auf die Appliance zugreift, funktioniert der Zugriff. Versuchen wir jedoch, von dem externen System zuzugreifen, sehen wir, dass der Zugriffsversuch ankommt und dann mit der Fehlermeldung „admin prohibited“ geblockt wird. Daher mein Gedanke, dass es einen Unterschied macht, ob der Zugriffsversuch von internen, privaten oder öffentlichen IP-Adressen stammt.
Ein Verbindungsaufbau per "ssh -vvv ..." sollte sehr ausführlich zeigen, welcher Dialog zwischen Appliance und Client stattfindet. Am besten "innen" zum Vergleich mit aufzeichnen und mit einem Verbindungsaufbau von "außen" vergleichen.
Wenn da gar nichts kommt, sitzt vielleicht eine Cisco ASA dazwischen, die ist bekannt für ihre Schere, mit der sie die Verbindungen kappt.
Gruß
Werner--
_______________________________________________________________________________
Gerolsteiner Brunnen GmbH & Co. KG
Sitz: Vulkanring - D-54567 Gerolstein
Registergericht: AG Wittlich HRA 11230
Geschaeftsfuehrer: Roel Annega (Vorsitzender), Ulrich Rust, Joachim Schwarz
Persoenlich haftende Gesellschafterin: Gerolsteiner Brunnen GmbH, Gerolstein
Registergericht: AG Wittlich HRB 11287
Vorsitzender des Beirates: Matthaeus Niewodniczansk
_______________________________________________
checkmk-de mailing list
checkmk-de@lists.mathias-kettner.de
Verwaltung & Abmeldung unter
https://lists.mathias-kettner.de/cgi-bin/mailman/listinfo/checkmk-de
zeig mal deine sshd_config
Von meinem iPhone gesendet
Am 05.12.2019 um 10:17 schrieb Dominic Mai <dominic.mai@gerolsteiner.com>:
Hallo,
die Ausgaben unterscheiden sich mit diesem Parameter von innen und außen auf den ersten Zeilen nicht, der Verbindungsaufbau von außen stoppt bei der Zeile
debug1: Local version string SSH-2.0-OpenSSH_7.4
von innen folgen die Zeilen
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.4p1 Debian-10+deb9u6
debug1: match: OpenSSH_7.4p1 Debian-10+deb9u6 pat OpenSSH* compat 0x04000000
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to 123.456.789.0:22 as 'example'Mich wundert, dass in beiden Fällen eine Zeile mit der Meldung "Connection established" ausgegeben wird und der Verbindungsaufbau von außen einfach stoppt.
-----Ursprüngliche Nachricht-----
Von: checkmk-de <checkmk-de-bounces@lists.mathias-kettner.de> Im Auftrag von Werner Flamme
Gesendet: Mittwoch, 4. Dezember 2019 15:46
An: checkmk-de@lists.mathias-kettner.de
Betreff: Re: [Check_mk (deutsch)] Zugriff per SSHDominic Mai schrieb am 04.12.19 um 14:39:
Hallo Ralf,
der Zugriff kommt definitiv am System am. Aus dem internen Netz, über das die öffentliche Adresse auf die Appliance zugreift, funktioniert der Zugriff. Versuchen wir jedoch, von dem externen System zuzugreifen, sehen wir, dass der Zugriffsversuch ankommt und dann mit der Fehlermeldung „admin prohibited“ geblockt wird. Daher mein Gedanke, dass es einen Unterschied macht, ob der Zugriffsversuch von internen, privaten oder öffentlichen IP-Adressen stammt.
Ein Verbindungsaufbau per "ssh -vvv ..." sollte sehr ausführlich zeigen, welcher Dialog zwischen Appliance und Client stattfindet. Am besten "innen" zum Vergleich mit aufzeichnen und mit einem Verbindungsaufbau von "außen" vergleichen.
Wenn da gar nichts kommt, sitzt vielleicht eine Cisco ASA dazwischen, die ist bekannt für ihre Schere, mit der sie die Verbindungen kappt.
Gruß
Werner--
_______________________________________________________________________________
Gerolsteiner Brunnen GmbH & Co. KG
Sitz: Vulkanring - D-54567 Gerolstein
Registergericht: AG Wittlich HRA 11230
Geschaeftsfuehrer: Roel Annega (Vorsitzender), Ulrich Rust, Joachim Schwarz
Persoenlich haftende Gesellschafterin: Gerolsteiner Brunnen GmbH, Gerolstein
Registergericht: AG Wittlich HRB 11287
Vorsitzender des Beirates: Matthaeus Niewodniczansk
_______________________________________________
checkmk-de mailing list
checkmk-de@lists.mathias-kettner.de
Verwaltung & Abmeldung unter
https://lists.mathias-kettner.de/cgi-bin/mailman/listinfo/checkmk-de
Hi,
hier die config:
Port 22
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
IgnoreRhosts yes
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
PasswordAuthentication yes
KerberosAuthentication no
GSSAPIAuthentication no
UsePAM yes
X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
UseDNS no
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
AllowGroups ssh_users
-----Ursprüngliche Nachricht-----
Von: Ralf Prengel <ralf.prengel@rprengel.de>
Gesendet: Donnerstag, 5. Dezember 2019 16:00
An: Dominic Mai <dominic.mai@gerolsteiner.com>
Cc: Werner Flamme <werner.flamme@ufz.de>; checkmk-de@lists.mathias-kettner.de
Betreff: Re: [Check_mk (deutsch)] Zugriff per SSH
zeig mal deine sshd_config
Von meinem iPhone gesendet
Am 05.12.2019 um 10:17 schrieb Dominic Mai <dominic.mai@gerolsteiner.com>:
Hallo,
die Ausgaben unterscheiden sich mit diesem Parameter von innen und
außen auf den ersten Zeilen nicht, der Verbindungsaufbau von außen
stoppt bei der Zeiledebug1: Local version string SSH-2.0-OpenSSH_7.4
von innen folgen die Zeilen
debug1: Remote protocol version 2.0, remote software version
OpenSSH_7.4p1 Debian-10+deb9u6
debug1: match: OpenSSH_7.4p1 Debian-10+deb9u6 pat OpenSSH* compat
0x04000000
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to 123.456.789.0:22 as 'example'Mich wundert, dass in beiden Fällen eine Zeile mit der Meldung "Connection established" ausgegeben wird und der Verbindungsaufbau von außen einfach stoppt.
-----Ursprüngliche Nachricht-----
Von: checkmk-de <checkmk-de-bounces@lists.mathias-kettner.de> Im
Auftrag von Werner Flamme
Gesendet: Mittwoch, 4. Dezember 2019 15:46
An: checkmk-de@lists.mathias-kettner.de
Betreff: Re: [Check_mk (deutsch)] Zugriff per SSHDominic Mai schrieb am 04.12.19 um 14:39:
Hallo Ralf,
der Zugriff kommt definitiv am System am. Aus dem internen Netz, über das die öffentliche Adresse auf die Appliance zugreift, funktioniert der Zugriff. Versuchen wir jedoch, von dem externen System zuzugreifen, sehen wir, dass der Zugriffsversuch ankommt und dann mit der Fehlermeldung „admin prohibited“ geblockt wird. Daher mein Gedanke, dass es einen Unterschied macht, ob der Zugriffsversuch von internen, privaten oder öffentlichen IP-Adressen stammt.
Ein Verbindungsaufbau per "ssh -vvv ..." sollte sehr ausführlich zeigen, welcher Dialog zwischen Appliance und Client stattfindet. Am besten "innen" zum Vergleich mit aufzeichnen und mit einem Verbindungsaufbau von "außen" vergleichen.
Wenn da gar nichts kommt, sitzt vielleicht eine Cisco ASA dazwischen, die ist bekannt für ihre Schere, mit der sie die Verbindungen kappt.
Gruß
Werner--
______________________________________________________________________
_________
Gerolsteiner Brunnen GmbH & Co. KG
Sitz: Vulkanring - D-54567 Gerolstein
Registergericht: AG Wittlich HRA 11230
Geschaeftsfuehrer: Roel Annega (Vorsitzender), Ulrich Rust, Joachim
Schwarz Persoenlich haftende Gesellschafterin: Gerolsteiner Brunnen
GmbH, Gerolstein
Registergericht: AG Wittlich HRB 11287 Vorsitzender des Beirates:
Matthaeus Niewodniczansk
_______________________________________________
checkmk-de mailing list
checkmk-de@lists.mathias-kettner.de
Verwaltung & Abmeldung unter
https://lists.mathias-kettner.de/cgi-bin/mailman/listinfo/checkmk-de
_______________________________________________________________________________
Gerolsteiner Brunnen GmbH & Co. KG
Sitz: Vulkanring - D-54567 Gerolstein
Registergericht: AG Wittlich HRA 11230
Geschaeftsfuehrer: Roel Annega (Vorsitzender), Ulrich Rust, Joachim Schwarz
Persoenlich haftende Gesellschafterin: Gerolsteiner Brunnen GmbH, Gerolstein
Registergericht: AG Wittlich HRB 11287
Vorsitzender des Beirates: Matthaeus Niewodniczansk
This topic was automatically closed after 58 days. New replies are no longer allowed.