SSH Zugriff von extern - Trace Möglichkeit?

[frichter]

Hallo,

betreibe ein LANCOM 1781EF+ in einer Außenstelle in Frankreich. Das Gerät hängt hinter einer Box von Orange und baut von dort aus ein VPN zu unserem Lancom in der Zentrale in Deutschland auf, alles funktioniert. Ich würde gerne zumindest mal testweise per SSH auf das Lancom zugreifen, über die feste öffentliche IP der Orange Box. Habe Port Forwarding Port 22 TCP eingerichtet auf die LAN-IP des 1781. Habe auch im Admin Interface die Zugriffe erlaubt (SSH auf LAN, WAN usw.). Bekomme aber via SSH keinen connect von außen hin. Lässt sich da irgendwas tracen, ob ich überhaupt bis zum Lancom hinkomme oder ob gar keine Pakete ankommen und der Fehler beim Forwarding liegen muss?

Danke für eure Tips.

Frank

[Dr.Einstein]

Hinweis vorweg da du LAN IP geschrieben hast. Benutzt du keine WAN Gegenstelle zwischen der Orange Box und dem Lancom Router? Wenn du eine WAN Gegenstelle hast, so musst du die "WAN"-IP des Lancoms eintragen, also die aus dem Transfer Netzwerk.

Unter der Annahme, dass du jetzt irgendwie vom Lan auf den Router raufkommst:

Code: Alles auswählen

trace # eth @ +"WAN" +": 8022"

Filtert auf den WAN-Port und Port 8022, falls du z.B. den Port umbiegst, damit nicht laufend der Port dicht wird wegen SSH Fehlversuchen. Ansonsten die 8022 gegen 22 tauschen. Ist der Trace gestartet, so kannst du via z.B. Mobilfunk versuchen, auf deine feste IP Port 22 zuzugreifen. Du musst dann das Paket sehen, wenn die Weiterleitung korrekt funktioniert.

[frichter]

Danke, komme wahrscheinlich erst morgen dazu es auszuprobieren. Bin mir auch nicht sicher ob die Orange Box über WAN oder LAN connected ist. Zwischen der Orange Box und dem Lancom gibt es aber keine Gegenstelle mehr, die Geräte sind direkt verbunden. Den SSH Port habe ich zum Test erstmal auf 22 gelassen, den biege ich dann im Nachhinein um, wenn es laufen sollte. Ich melde mich nach dem Test.

[Dr.Einstein]

Default Route aber vorhanden?

[frichter]

Default Route aber vorhanden?

Default-Route wo?

Habe jetzt erfahren, das die Orange Box am LAN1 des 1781 hängt und nicht am WAN-Port.

[Dr.Einstein]

Habe jetzt erfahren, das die Orange Box am LAN1 des 1781 hängt und nicht am WAN-Port.

Gemeint war eher, ob du eine Gegenstelle zur Orange Box eingerichtet hast, also z.B. mittels Assistenten einen Internetzugang eingerichtet. Dann legt der Lancom ein Transfernetz an zwischen den Geräten. Oder hängt der Lancom einfach im selben Netzwerk wie die Orangebox und es gibt kein zweites Netzwerk?

Default Route im Lancom

[frichter]

Habe jetzt erfahren, das die Orange Box am LAN1 des 1781 hängt und nicht am WAN-Port.

Gemeint war eher, ob du eine Gegenstelle zur Orange Box eingerichtet hast, also z.B. mittels Assistenten einen Internetzugang eingerichtet. Dann legt der Lancom ein Transfernetz an zwischen den Geräten. Oder hängt der Lancom einfach im selben Netzwerk wie die Orangebox und es gibt kein zweites Netzwerk?

Default Route im Lancom

Es gibt kein Transfernetz, das Lancom hängt im gleichen Netz wie die Orangebox.

Lancom: 192.168.100.116
Orangebox: 192.168.100.118

Und ja, das Lancom hat eine Default-Route auf die Orange Box.

defaultroute.jpg

[plumpsack]

betreibe ein LANCOM 1781EF+ in einer Außenstelle in Frankreich. Das Gerät hängt hinter einer Box von Orange und baut von dort aus ein VPN zu unserem Lancom in der Zentrale in Deutschland auf, alles funktioniert.

Ich würde gerne zumindest mal testweise per SSH auf das Lancom zugreifen, über die feste öffentliche IP der Orange Box.

A) Warum willst du das "->VPN<-"-Firmennetzwerk aushebeln/unterwandern?

B) Was sagt dein Chef dazu?

C) Warum greifst du nicht per SSH auf die VPN-IP-Adresse aus dem Firmen-Netzwerk zu?

[frichter]

Hi,

die Fragen sind natürlich berechtigt.

Es geht einfach nur darum, im Fehlerfall wenn das VPN aus irgend einem Grund nicht funktionieren sollte eine Möglichkeit zu haben, an das Gerät zu kommen. Es ist auch nur ein Test. Ich habe das ganze auch auf einen anderen Port gelegt und über die Zugriffs-Stationen nur die öffentliche IP zugelassen, mit der ich zugreife.

Natürlich kann ich mir auch einen VPN-Zugang auf dem Lancom erstellen.

[Hagen2000]

Ich würde mal die Rück-Route der SSH-Pakete betrachten.
Ist die VPN-Verbindung ein Full-Tunnel oder ein Split-Tunnel?
Bei einem Full-Tunnel würden nämlich alle Pakete vom LANCOM zurück zu Dir in den Tunnel geschickt werden, während deine Anfragen ja "außen herum" über die öffentliche IP der Orange-Box eingetroffen sind.

[Frühstücksdirektor]

Hallo Frank,

Du kannst alternativ auch einen Wireshark-Capture über die WEBconfig starten.
Da kann man zumindest sehen, ob überhaupt Pakete an die MAC-Adresse des LANCOMs gehen, ggf. mit falschem Port o.Ä.
Es ist ja erstmal zu klären, ob überhaupt Pakete beim LANCOM ankommen, danach kann man dann auf Applikationensebene einen SSH-Trace machen.

Viele Grüße,
Frühstücksdirektor

[plumpsack]

die Fragen sind natürlich berechtigt.

Es geht einfach nur darum, im Fehlerfall wenn das VPN aus irgend einem Grund nicht funktionieren sollte eine Möglichkeit zu haben, an das Gerät zu kommen

Na dann frag die Person/Firma, die das Gerät eingerichtet hatte!

Dafür gibt es bestimmt eine Dokumentation und einen Grund dafür, das das Gerät nicht >direkt< aus dem Internet erreichbar ist.

Und was bedeutet

Natürlich kann ich mir auch einen VPN-Zugang auf dem Lancom erstellen.

Ich dachte du hast ein VP-Netzwerk?