Jump to content

876 SSH von außen

-= Brummbär =-
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

-= Brummbär =- Rising Star

-= Brummbär =-   10

Geschrieben
Geschrieben

Kann mir bitte jemand das Brett vom Kopf abschrauben. Ich hab SSH Zugriff von intern auf meinen Router aber über die externe IP ist nichts zu machen. 

ip access-list extended SSHAccess
permit tcp any any eq 22 log
deny   tcp any any log


line vty 0 4
access-class SSHAccess in
password 7 xxxxx
transport input telnet ssh

 

Auf der Access-List vom Interface ist auch ssh von any zu any erlaubt. Ich bekomm nicht mal die Abfrage vom Benutzernamen. Am Zertifikat kann es eigentlich auch nicht liegen. Sonst würd ich ja nicht vom Hausnetz dran kommen.

Link zu diesem Kommentar
-= Brummbär =- Rising Star

-= Brummbär =-   10

Geschrieben
  • Autor
Geschrieben

Hallo Otaku19,

 

Ich hatte erst eine einfache access-list 23 mit permit host... Das hatte aber auch nicht geklappt.

 

version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname rtr01
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 xxxx
!
aaa new-model
!
!
aaa authentication login local_authen local
aaa authorization exec local_author local
!
!
aaa session-id common
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
clock save interval 8
!
crypto pki trustpoint TP-self-signed-2397648436
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2397648436
revocation-check none
rsakeypair TP-self-signed-2397648436
!
!


dot11 syslog
no ip source-route
ip cef
!
!
ip dhcp excluded-address 192.168.16.1 192.168.16.199
ip dhcp excluded-address 192.168.16.241 192.168.16.254
!
!
no ip bootp server
ip domain name domain.loc
ip name-server 141.1.1.1
ip name-server 141.1.1.2
ip inspect log drop-pkt
!
multilink bundle-name authenticated
!
!
!
no spanning-tree vlan 1
username router-admin privilege 15 secret 5 xxxxxx
!
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 3
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxxxxx address 1.2.3.4
!
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
set peer 1.2.3.4
match address VPN_Zentrale
!
archive
log config
 hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
zone security out-zone
zone security in-zone
zone-pair security ccp-zp-self-out source self destination out-zone
zone-pair security ccp-zp-in-out source in-zone destination out-zone
zone-pair security ccp-zp-out-self source out-zone destination self
!
!
!
interface BRI0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation hdlc
ip route-cache flow
shutdown
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description T-DSL Business Einwahl
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
pvc 1/32
 pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!

Link zu diesem Kommentar
-= Brummbär =- Rising Star

-= Brummbär =-   10

Geschrieben
  • Autor
Geschrieben 
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.16.254 255.255.255.0
ip access-group AusDemHausnetz in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
zone-member security in-zone
ip route-cache flow
ip tcp adjust-mss 1412
!
interface Dialer0
description DSL-Einwahl
mtu 1492
bandwidth 6144
ip address negotiated
ip access-group AusDemInternet in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
ip tcp adjust-mss 1300
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxx
ppp chap password 7 yyy
ppp pap sent-username xxx password 7 yyy
crypto map SDM_CMAP_1
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list NatInside interface Dialer0 overload
!
ip access-list extended AusDemHausnetz
permit ip any any
permit icmp any any
ip access-list extended AusDemInternet
permit ip 192.168.17.0 0.0.0.255 192.168.11.0 0.0.0.255
permit tcp any any established
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 172.16.0.0 0.15.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
deny   ip host 255.255.255.255 any
deny   ip host 0.0.0.0 any
permit esp any any
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit gre any any
permit udp any eq domain any
permit tcp any eq domain any
permit icmp any any echo-reply
permit icmp any any time-exceeded
permit icmp any any unreachable
permit udp host 192.53.103.103 eq ntp any
permit udp host 192.53.103.104 eq ntp any
permit udp host 192.53.103.108 eq ntp any
permit tcp any any eq 22
permit udp any any eq 22
permit icmp any any
deny   ip any any log
ip access-list extended NatInside
remark NoNat fuer VPN Tunnel
deny   ip 192.168.17.0 0.0.0.255 191.99.10.0 0.0.0.255
permit ip any any
ip access-list extended SSHAccess
permit tcp any any eq 22 log
permit tcp any any eq telnet log
deny   tcp any any log
ip access-list extended VPN_Zentrale
permit ip 192.168.17.0 0.0.0.255 192.168.10.0 0.0.0.255
!
logging trap debugging
access-list 100 remark CCP_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
access-class SSHAccess in
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

Link zu diesem Kommentar
-= Brummbär =- Rising Star

-= Brummbär =-   10

Geschrieben
  • Autor
Geschrieben

SSH von außen soll dazu dienen, dass ich den Router halt auch von einem anderen Standort aus erreichen und konfigurieren kann. Der andere Standort hat eine feste IP und darauf wird es letztlich beschränkt sein. Nur im Moment wär ich froh, wenn er überhaupt eine SSH Verbindung annimmt von außen :-( Auf meiner alten PIX 501 war das so herrlich einfach..

Link zu diesem Kommentar
Servidge Fellow

Servidge   10

Geschrieben
Geschrieben

Den Zugriff auf die Externe IP versuchst du aber auch von einer anderen öffentlichen IP aus und nicht aus dem LAN des Routers, also aus dem Netz 192.168.16.254/24 oder? Frage nur um Sicher zu gehen.

 

Ansonsten geht es ohne die ACLs auf dem Dialer und den vtys?

Genauso mit der Zonebased Fiewall Konfiguration.

Was gibt es für eine Ausgabe wenn du dich per telnet auf die Router ip und Port 22 connectest. Sollte sowas wie "SSH-2.0-Cisco-1.2" kommen.

Link zu diesem Kommentar
-= Brummbär =- Rising Star

-= Brummbär =-   10

Geschrieben
  • Autor
Geschrieben

Der Zugriff erfolgt über einen anderen Zugang. Ich sehe auch mit sh access-lists, dass sich die Zahl der matches erhöht, wenn ich zugreife. Mit debug ip ssh kommt aber gar nichts, wenn ich von außen anfrage. Merkwürdig ist halt, dass von innen her alles geht. Da sehe ich auch im Debug alles.

 

Ich hab auch von anderen externen Zugängen mal versucht eine SSH Verbindung aufzubauen, um auszuschließen, dass es an meinem zweiten Zugang liegt. Es ändert aber nichts am Verhalten.

Link zu diesem Kommentar
Otaku19 Veteran

Otaku19   33

Geschrieben
Geschrieben
Ich bin kein Router-Spezi, aber 2 Sachen:

- warum sollte man am Router einen externen Zugriff auf SSH erlauben wollen ? Das ist eine ziemliche Sicherheitslücke

 

mit entsprechenden Vorkerhungen ist nichts dagegen einzuwenden, da wäre zuerst eine gute Authentifizierung und IOS bietet irgendeine Art rate-limiting wenn jemand zu oft versucht sich zu verbinden

Link zu diesem Kommentar
-= Brummbär =- Rising Star

-= Brummbär =-   10

Geschrieben
  • Autor
Geschrieben

Oh mist. Danke für den Hinweis. An dem Router hab ich eine echte Montagskonfiguration hinbekommen scheint mir. Ich sollte vielleicht doch besser bei den alten PIXen bleiben :-)

 

Aber zum Verständnis. Ich komme ja von außen und verbinde mich auf die externe IP vom Router. Da spielt doch NAT (auf dem Zielrouter) erstmal überhaupt keine Rolle, oder?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...