אני מנסה לגשת דרך SSH למחשב שמריץ אובנטו.
המחשב נמצא מאחורי ראוטר אז הגדרתי לו כתובת IP קבועה וכמו כן port forwarding לפורט 22 לכתובת הנ"ל.
כל נסיון לגשת לשרת לא מתוך הLAN נכשל. יכול להיות שצריך לשנות משהו ב/etc/ssh/sshd_config?
כרגע הוא נראה כך

קוד:

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin prohibit-password
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile	%h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

sudo netstat -pltn כדי להוכיח שהוא מאזין על 0.0.0.0:22 (או על 22::: אם זה ipv6)

אם הוכחת, והתחברות מבחוץ לא עובדת, אז להריץ sudo tcpdump -ni any port 22

ולנסות להתחבר מבחוץ, לראות אם הפאקט מגיע למחשב.

לפני שעושים את זה, לבדוק שה IP שהנתב קיבל מספק האינטרנט בהתחברות לא מתחיל במספרים 100.64 עד 100.127, משום שאם הוא כן, אז מזל טוב - אתה מאחורי Carrier-Grade NAT (לקריאה נוספת: https://en.wikipedia.org/wiki/Carrier-grade_NAT) ואז בעצם ה IP שלך לא רק שלך. צריך לדרוש הוצאה מה CGNAT מהספק, לבלשט להם שיש לך שרת FTP שאתה מתחבר אליו ממקומות אחרים לצרכי עבודה.

נמאס לכם לזכור סיסמאות? לחצו כאן!

נראה שהכל אמור להיות תקין :/
יכול להיות שיש עוד משהו שאני מפספס?

אתה יכול לפרט לגבי "הכל"? האם ה tcpdump מראה שמגיע פאקט חיבור כשאתה מנסה להתחבר מחוץ לרשת שלך? (פליז תגיד לי שאתה אכן מנסה להתחבר מבחוץ כמו שאמרת ולא עם ה IP החיצוני מבפנים!)

כי אם התחברת מבחוץ ואתה לא מאחורי CGNAT, והוא לא מראה, אז זה לא נראה "אמור להיות תקין" כי זה לא - ויש לך בעייה בהפניה שכלל לא קשורה ל OpenSSH או ללינוקס...

כמובן הכל מניח חיבור סטנדרטי לאינטרנט דרך ספק אינטרנט כמקובל. אם אתה נמצא מאחורי רשת שמנוהלת על ידי גוף כלשהו, כמובן שלהם יכולים להיות פיירוולים משלהם (מצד שני ממילא נדיר לקבל במקרים כאלה כתובת אמיתית באינטרנט גם ככה...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

טעות שלי.... מסתבר שאני מאחרי cgnat
ננסה לדבר מחר עם הספק.
לפחות למדתי משהו חדש.

תודה רבה!

בהצלחה...

נמאס לכם לזכור סיסמאות? לחצו כאן!

לאחר שיחה עם הספק הכל הסתדר וכעת אני יכול להתחבר מרחוק ללא בעיה.
רק שעכשיו צצה בעיה חדשה שאמנם לא קשורה לבעיה הקודמת אבל מאוד מעניין אותי לדעת איך זה קורה-
כשאני מנסה להתחבר מהרשת בעבודה אני לא מצליח, אם אני מתחבר באופן זמני לרשת מהסלולרי שלי, מתחבר לשרת שלי ואז מחליף שוב לרשת של העבודה אז הכל עובד מצוין.
(נסתי את זה כמה פעמים ווידאתי שהIP שלי משתנה במהלך התהליך של החלפת הרשת)

איך זה עובד???

יש סיכוי גבוה מאוד שה- FW במקום העבודה שלך חוסם יציאה על פורט 22.

Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. -Rick Cook

אבל החיבור ממשיך להתקיים גם כשאני חוזר לרשת של העבודה

חיבור קיים ממשיך? אם כן אתה עדיין מעביר את הפאקטים על החיבור הישן. אתה לא יכול להחליף חיבור ואיי פי בלי לשבור את כל חיבורי ה TCP הקיימים...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אז איך החיבור הישן ממשיך להתקיים? בוודאות ip השתנה ובודאות עדיין יש חיבור...

תגדיר IP השתנה

כמה חיבורים יש?

אולי אחד קווי ואחד אלחוטי?

וכו'

נמאס לכם לזכור סיסמאות? לחצו כאן!

שניהם אלחוטי

תראה...

חיבור TCP לא יכול להחליף IP באמצע. אם הוא יעשה את זה, הוא יהיה חיבור "חדש" מבחינת הצד המרוחק (אם בכלל הפאקט שלך יגיע אליו, ולא יחסם כבר בשלב הרשת שלך, בתור IP שמקורו לא ברשת שממנה הוא הגיע...), חיבור שמעולם לא נפתח (לא היה 3way handshake), והתוצאה תהיה שליחת פאקט RST מהצד המרוחק ותו לא, לדעתי. ישנם פרוטוקולים אחרים שכן תומכים בדברים כאלה, של multihomed stream connection, כגון SCTP... אבל ב TCP זה לא ניתן לביצוע בשום צורה למיטב ידיעתי. ואני מאוד מאוד אשמח להיות טועה אם תוכיח לי אחרת, כי ניתוק חיבורים לשרתים שאני עובר בין חיבור קווי ל Wi-Fi זה בערך הדבר הכי מעצבן שקורה לי ביום-יום...

אתה יכול פשוט לבדוק. תריץ סניפר שמפולטר לפי IP יעד של השרת שלך, תתחבר, תחליף IP כביכול, תמשיך לכתוב דברים ולראות תגובות בחיבור ה SSH, ותראה איזה IP כתוב בסניפר באותו זמן.

נמאס לכם לזכור סיסמאות? לחצו כאן!