[gelöst] ssh -L 3333:192.168.0.50:22 fritzboxIP und revers PFW geht nicht

[teletux]

Hallo,
es geht bei meiner 7170 weder ssh -L ... noch ssh -R ..., z.B.

ssh -L *:3333:192.168.0.50:22 fritzboxIP
ssh -R *:2222:localhost:22 myfritzbox.dyndns.org

(Mit oder ohne Sternchen) *

Die Ports 3333 oder 2222 sind immer zu. Ich mache so was ständig mit Linux-PCs, dort gehts. Was übersehe ich bei dropbear-on-fritzbox?

Gruss
Eckard

 

[sf3978]

Versuch mal Folgendes auf deinem PC:

ssh -f -L 3333:192.168.0.50:22 fritzboxIP sleep 30

 

[teletux]

Vielen Dank, geht so mit -L. Teilerfolg! Mit -R gehts leider nicht so, jedenfalls nicht ganz: der Port wird forward'et, die FB 192.168.0.11 läßt aber von außerhalb (vom LAN) keinen Zugriff auf den revers forward'eten Port zu, z.B. von 192.168.0.53 aus:

# ssh -p 2230 192.168.0.11
ssh: connect to host 192.168.0.11 port 2230: Connection refused

Der Port IST aber offen! Befinde ich mich auf der FB, so kann ich mit telnet in den revers fordward'eten Port 2230 gehen:

# /var/tmp/busybox telnet localhost 2230
SSH-1.99-OpenSSH_4.4          
....

geht! Wie bewege ich die FB den Port 2230 zum LAN, also von z.B. 192.168.0.53 -> FB 192.168.0.11 Port 2230 hin zu öffnen? Andere Ports, ich sage mal 5 Stück insgesamt bräuchte ich, zumindest aber 2.

Hintergrund: vom Internet her spricht ein SSH-Client (Linux-PC oder WinXY mit putty) meine FB an und macht revers-Portforwarding -R *:2230:localhost:5900 oder -R *:2230:localhost:22. Dann will ich vom LAN aus über Port 2230 der FB tunneln, auf Port 5900 (VNC) oder Port 22 (ssh, NX, ..). Habe das bisher mit kleinen PCs (fli4l.de) gemacht, jetzt soll das mit der FB funktionieren.

vielen Dank schon mal
Eckard

 

[RalfFriedl]

Normalerweise kann man nur vom lokalen Rechner auf die Ports zugreifen. Mit anderen Worten, der Port wird an die Adresse 127.0.0.1 oder localhost gebunden. Bei der Weiterleitung von Client an den Server kann man das mit der Option -g ändern. Diese wirkt sich aber nicht auf den Server aus.
Bist Du sicher, daß das mit dem anderen Server funktioniert hat, oder hast Du in dem Fall den Port vom gleichen Rechner aus genutzt?
Du könntest nach der entsprechenden Option für den Server suchen, den Server anpassen oder zusätzlich einen Proxy auf der Box einsetzen.

 

[teletux]

Ich nutze genau dieses revers-PFW seit 5 Jahren mit dem fli4l/ eisfair (fli4l.de, "Diskettenrouter"). Gestern z.B. habe ich es das letzte Mal genutzt. Wöchentlich ca. 5 Male mit Kunden, die eben Support brauchen. Den Port 2230 oder 2231, oder ... kann ich beliebig wählen, ich komme per ssh -p 2230 fli4l auf den fli4l bzw gleich auf den entfernten PC. Es funktioniert! Nur leider noch nicht mit der FB. Ist das zur Verfügung-stellen des Ports in einem Linux-System normalerweise die Aufgabe des "portmapper"? - Die FB hat keinen portmapper laufen, richtig?

 

[RalfFriedl]

Dann ist auf diesem Server ein OpenSSH Server, der auch noch so konfiguriert ist, daß er das zuläßt. Du kannst mal suchen, ob dropbear auch eine entsprechende Option hat.

 

[teletux]

gute Idee. Habs gefunden:

# ./dropbear -help
Dropbear sshd v0.52
Usage: ./dropbear [options]
Options are:
[...]
-j              Disable local port forwarding
-k              Disable remote port forwarding
-a              Allow connections to forwarded ports from any host
-p [address:]port
                Listen on specified tcp port (and optionally address),
                up to 10 can be specified
                (default port is 22 if none specified)

Habe dropbear mit -p 22 -p 2230 gestartet:

/var/tmp/dropbear -p 2230 -p 22 -a -r /var/tmp/dropbear_rsa_host_key -d /var/tmp/dropbear_dss_host_key

Nun kann ich mich vom LAN aus auch auf Port 2230 einloggen. ABER: von remote aus geht revers-Portforwarding schief:

internet-server:~ # ssh -R *:2230:localhost:22 myfritzbox.dyndns.org sleep 20
[email protected]'s password: 
Warning: remote port forwarding failed for listen port 2230

"port forwarding failed"! Und tatsächlich ist ein ssh -p 2230 192.168.0.11 dann nur ein login auf die Fritzbox selbst, es wird der Port nicht forwarded. Dr. Google beschreibt in diesem Zusammenhang nur Bug-reports. Ob dropbear 0.52 in dieser Hinsicht buggy ist?

Der dropbear meines fli4l 3.0.1 kann jedenfalls noch revers-PFW:

# ps
[...]
 2428 root        484 R   dropbear -p 22 -a
[...]

fli4l 3.0.1 # dropbear -help
Dropbear sshd v0.47
Usage: dropbear [options]
Options are:
-b bannerfile   Display the contents of bannerfile before user login
                (default: none)
-d dsskeyfile   Use dsskeyfile for the dss host key
                (default: /etc/ssh/dropbear_dss_host_key)
-r rsakeyfile   Use rsakeyfile for the rsa host key
                (default: /etc/ssh/dropbear_rsa_host_key)
-F              Don't fork into background
-E              Log to stderr rather than syslog
-w              Disallow root logins
-s              Disable password logins
-g              Disable password logins for root
-j              Disable local port forwarding
-k              Disable remote port forwarding
-a              Allow connections to forwarded ports from any host
-p port         Listen on specified tcp port, up to 10 can be specified
                (default 22 if none specified)

ob ich mal den 0.47 des dropbear nehme? - Wenn auch nur zum austesten?
(wo bekomme ich alte Versionen her?)

@19:25 Uhr: ich glaube das mit dem dropbear ... -p 2230 ... war Panne: dropbear kann diesen Port verständlicherweise nicht forwarden, wenn es diesen Port selbst verwendet! Logisch! Deswegen jetzt auch die Fehlermeldung: Warning: remote port forwarding failed for listen port 2230, ohne -p 2203 im dropbear-Aufruf war die Fehlermeldung ja nicht und das Portforwarding funktioniert ja auch: mit telnet localhost 2230 auf der FB selbst kam ich ja durch!

Also: go back: wie mache ich der FB 7170 klar, dass wenn der Port 2230 forwarded ist, dass dieser Port bitte vom LAN her geöffnet ist!?!

 

[RalfFriedl]

Schau Dir das nochmal genauer an und denk mal darüber nach, was Du da angestellt hast.

 

[MaxMuster]

Also: go back: wie mache ich der FB 7170 klar, dass wenn der Port 2230 forwarded ist, dass dieser Port bitte vom LAN her geöffnet ist!?!

Hmm. wäre das nicht "-a Allow connections to forwarded ports from any host"??
Ansonsten: Wenn es mit OpenSSH geht, dann mach es doch mit OpenSSH, das lässt sich (z.B. mit Freetz) ja auch für deine FB bauen, sogar statisch, so dass du das Binary auch ohne freetz nutzen könntest.

EDIT: Oops, hattest du ja schon mit "-a" gemacht. Und ohne "-p 2230" aber mit "-a" hattest du schon?!?

Jörg

 

[teletux]

Hurrahh! Es klappt! Vielen Dank! Klar, der dropbear mit -a und ohne -p 2230 gestartet war die Lösung, das -a hatte ich zeitgleich mit -p 2230 dazugenommen. Manchmal kann es so einfach sein ;-) Jetzt kann ich meinen älteren und lauten fli4l-PC verschrotten

 

[MaxMuster]

Schön, die Umwelt freut sich ;-)
Noch ne Bitte: Markierst du bitte den Thread noch als "gelöst", indem du das zum Titel hinzufügst?!? Es wird dann einfach übersichtlicher
(1. Beitrag -> Ändern -> Erweitert, damit lässt sich auch der Titel ändern/ergänzen)

Jörg