Re: sshd hinter NAT-Router läßt mich 10 s warten
On Fri, May 19, 2006 at 03:56:49PM +0200, Daniel Musketa wrote: Am Freitag, 19. Mai 2006 11:57 schrieb Daniel Musketa: Am Freitag, 19. Mai 2006 11:05 schrieb Paul Puschmann: Hast du einen DynDNS-Eintrag registriert? Wie zum Beispiel example.homeip.net, ueber den du einen Router immer per Namen erreichen kannst ohne die (aktuelle) IP zu kennen? Ja, habe ich (sogar mehrere, wegen Redundanz und so ;-) Worauf wolltest Du denn da hinaus? Würde es grundsätzlich was bringen, diese Domain auf dem Server irgendwo einzutragen? Ich schaetze nein, ich wollte nur mal fragen, wie man den Weg zu deinem Router auch ncoh aufloesen koennte. Gruss, Paul signature.asc Description: Digital signature
Re: sshd hinter NAT-Router läßt mich 10 s warten
Am Freitag 19 Mai 2006 01:15 schrieb Daniel Musketa: Verbinde ich mich über VPN, funktioniert alles normal, verbinde ich mich zur externen IP des Netzes, also über Portforwarding, klappt nur das *erste* Einloggen nach einer längeren Pause (ca. 1 h); bei jedem weiteren Login entsteht eine Pause von exakt 10 Sekunden. Am besten fragst Du man den Administrator des Servers. Ich könnte mir z.B. vorstellen, das das eine Maßnahme gegen Brute-Force Atacken von Skrip-Kiddies ist. Die nur einen Connect von außen direkt zulassen und jeden weiteren künstlich verzögern. Gruß Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: sshd hinter NAT-Router läßt mich 10 s warten
On Fri, May 19, 2006 at 01:15:23AM +0200, Daniel Musketa wrote: Hallo, ich möchte mich per SSH mit einem Server in einem LAN verbinden. Ich kann das LAN entweder über VPN erreichen oder den Server auf Port 22 »von außen« über einen NAT-Router mit Portforwarding. Verbinde ich mich über VPN, funktioniert alles normal, verbinde ich mich zur externen IP des Netzes, also über Portforwarding, klappt nur das *erste* Einloggen nach einer längeren Pause (ca. 1 h); bei jedem weiteren Login entsteht eine Pause von exakt 10 Sekunden. Dies gilt auch bei Verbindungen vom Server zu sich selbst, wenn er über den Router geht. Hi, hast du evtl. noch einen eigenen DNS-Server? Das Problem scheint zu sein, dass ssh beim login automatisch ein reverse-lookup machen will, das aber nicht schafft / darf. Hat dein Rechner im LAN eine Moeglichkeit DNS-Anfragen zu stellen? Und welche Namensraeume nutzt du? Gruss, Paul signature.asc Description: Digital signature
Re: sshd hinter NAT-Router läßt mich 10 s warten
verbinde ich mich zur externen IP des Netzes, also über Portforwarding, klappt nur das *erste* Einloggen nach einer längeren Pause (ca. 1 h); bei jedem weiteren Login entsteht eine Pause von exakt 10 Sekunden. Am besten fragst Du man den Administrator des Servers. Ich könnte mir z.B. vorstellen, das das eine Maßnahme gegen Brute-Force Atacken von Skrip-Kiddies ist. Die nur einen Connect von außen direkt zulassen und jeden weiteren künstlich verzögern. Ähhm, ich ... bin der Administrator (ó_ò) Ich finde aber z. B. in /etc/ssh/sshd.conf keine option, die auf das gezeigte Verhalten passen würde. Grüße Daniel
Re: sshd hinter NAT-Router läßt mich 10 s warten
On Fri, May 19, 2006 at 09:41:53AM +0200, Daniel Musketa wrote: verbinde ich mich zur externen IP des Netzes, also über Portforwarding, klappt nur das *erste* Einloggen nach einer längeren Pause (ca. 1 h); bei jedem weiteren Login entsteht eine Pause von exakt 10 Sekunden. Am besten fragst Du man den Administrator des Servers. Ich könnte mir z.B. vorstellen, das das eine Maßnahme gegen Brute-Force Atacken von Skrip-Kiddies ist. Die nur einen Connect von außen direkt zulassen und jeden weiteren künstlich verzögern. Ähhm, ich ... bin der Administrator (ó_ò) Ich finde aber z. B. in /etc/ssh/sshd.conf keine option, die auf das gezeigte Verhalten passen würde. Dann setze in /etc/ssh/sshd_config mal folgenden Eintrag: ReverseMappingCheck no Paul signature.asc Description: Digital signature
Re: sshd hinter NAT-Router läßt mich 10 s warten
ich möchte mich per SSH mit einem Server in einem LAN verbinden.
verbinde ich mich
zur externen IP des Netzes, also über Portforwarding, klappt nur das
*erste* Einloggen nach einer längeren Pause (ca. 1 h); bei jedem weiteren
Login entsteht eine Pause von exakt 10 Sekunden.
Dies gilt auch bei Verbindungen vom Server zu sich selbst, wenn er über
den Router geht.
Hi, hast du evtl. noch einen eigenen DNS-Server?
Das Problem scheint zu sein, dass ssh beim login automatisch ein
reverse-lookup machen will, das aber nicht schafft / darf. Hat dein Rechner
im LAN eine Moeglichkeit DNS-Anfragen zu stellen? Und welche Namensraeume
nutzt du?
DNS macht der Router (192.168.0.10), der wird ja auch befragt:
strace:
8
14:29:12 Process 24757 attached - interrupt to quit
14:29:12 gettimeofday({1147955352, 808103}, NULL) = 0
14:29:12 gettimeofday({1147955352, 808143}, NULL) = 0
14:29:17 poll([{fd=4, events=POLLIN}], 1, 4942) = 0
14:29:17 gettimeofday({1147955357, 751242}, NULL) = 0
14:29:17 poll([{fd=4, events=POLLOUT, revents=POLLOUT}], 1, 0) = 1
14:29:17 send(4, yj10013756893678934759002847in-a..., 44, 0) = 44
14:29:17 poll([{fd=4, events=POLLIN, revents=POLLIN}], 1, 5000) = 1
14:29:17 ioctl(4, FIONREAD, [88]) = 0
***
14:29:17 recvfrom(4, yj2052006568935760031227..., 1024, 0,
{sa_family=AF_INET, \
sin_port=htons(53), sin_addr=inet_addr(192.168.0.10)}, [16]) = 88
***
14:29:17 gettimeofday({1147955357, 752057}, NULL) = 0
14:29:22 poll([{fd=4, events=POLLIN}], 1, 4999) = 0
14:29:22 close(4) = 0
14:29:22 read(6, 00033, 4) = 4
14:29:22 read(6, 300016ssh-connection, 27) = 27
...
8
tcpdump:
// 192.168.0.102: SSH-Server
// 192.168.0.10: Router
// ww.xx.yy.zz: Client von außen
8
16:12:03.168211 IP 192.168.0.102.1269 192.168.0.10.53: 9205+ PTR?
zz.yy.xx.ww.in-addr.arpa. (44)
16:12:03.168645 IP 192.168.0.10.53 192.168.0.102.1269: 9205* 1/0/0 (88)
16:12:03.204862 IP 192.168.0.102.22 ww.xx.yy.zz.49968: . ack 946 win 1752
nop,nop,timesta...
16:12:08.167226 IP 192.168.0.102.1269 192.168.0.10.53: 9205+ PTR?
zz.yy.xx.ww.in-addr.arpa. (44)
16:12:08.167663 IP 192.168.0.10.53 192.168.0.102.1269: 9205* 1/0/0 (88)
16:12:13.166759 IP 192.168.0.102.22 ww.xx.yy.zz.49968: P 1345:1409(64) ack
946 win 1752 no...
16:12:13.260007 IP ww.xx.yy.zz.49968 192.168.0.102.22: P 946:1186(240) ack
1409 win 8320 n...
8
Und normalerweise nutzen alle Rechner im LAN diesen DNS-Server. Manuelle
Abfragen funktionieren:
8
$ time nslookup ww.xx.yy.zz
Server: 192.168.0.10
Address: 192.168.0.10#53
ww.xx.yy.zz.in-addr.arpa name = pCCDDEEFF.dip0.t-ipconnect.de.
real 0m0.008s
user 0m0.004s
sys 0m0.003s
8
Interessant finde ich wie gesagt den Unterschied zwischen
ww.xx.yy.zz.in-addr... bei nslookup, während tcpdump das rückwärts als
zz.yy.xx.ww.in-addr... darstellt. Gibt es da einen Untersched?
Re: sshd hinter NAT-Router läßt mich 10 s warten
Am Freitag, 19. Mai 2006 09:49 schrieb Paul Puschmann: On Fri, May 19, 2006 at 09:41:53AM +0200, Daniel Musketa wrote: verbinde ich mich zur externen IP des Netzes, also über Portforwarding, klappt nur das *erste* Einloggen nach einer längeren Pause (ca. 1 h); bei jedem weiteren Login entsteht eine Pause von exakt 10 Sekunden. Am besten fragst Du man den Administrator des Servers. Ich könnte mir z.B. vorstellen, das das eine Maßnahme gegen Brute-Force Atacken von Skrip-Kiddies ist. Die nur einen Connect von außen direkt zulassen und jeden weiteren künstlich verzögern. Ähhm, ich ... bin der Administrator (ó_ò) Ich finde aber z. B. in /etc/ssh/sshd.conf keine option, die auf das gezeigte Verhalten passen würde. Dann setze in /etc/ssh/sshd_config mal folgenden Eintrag: ReverseMappingCheck no Hab ich mal gemacht: 8 # /etc/init.d/ssh reload * Reloading OpenBSD Secure Shell server's configuration /etc/ssh/sshd_config line 80: Deprecated option ReverseMappingCheck ...done. 8 Deprecated option also. Hat aber nix gebracht: 8 09:58:07 debug1: Host '' is known and matches the RSA host key. 09:58:07 debug1: Found key in /root/.ssh/known_hosts:8 09:58:07 debug1: ssh_rsa_verify: signature correct 09:58:07 debug1: SSH2_MSG_NEWKEYS sent 09:58:07 debug1: expecting SSH2_MSG_NEWKEYS 09:58:07 debug1: SSH2_MSG_NEWKEYS received 09:58:07 debug1: SSH2_MSG_SERVICE_REQUEST sent 09:58:07 debug1: SSH2_MSG_SERVICE_ACCEPT received 09:58:17 debug1: Authentications that can continue: publickey,password 09:58:17 debug1: Next authentication method: publickey 09:58:17 debug1: Trying private key: /root/.ssh/identity 09:58:17 debug1: Offering public key: /root/.ssh/id_rsa 09:58:17 debug1: Server accepts key: pkalg ssh-rsa blen 149 8
Re: sshd hinter NAT-Router läßt mich 10 s warten
On Fri, May 19, 2006 at 09:49:22AM +0200, Daniel Musketa wrote: ich möchte mich per SSH mit einem Server in einem LAN verbinden. verbinde ich mich zur externen IP des Netzes, also über Portforwarding, klappt nur das *erste* Einloggen nach einer längeren Pause (ca. 1 h); bei jedem weiteren Login entsteht eine Pause von exakt 10 Sekunden. Dies gilt auch bei Verbindungen vom Server zu sich selbst, wenn er über den Router geht. ?? Wenn er ueber den Router geht? Wie soll das denn gehen? Server = ssh-Server (Thema), richtig? Hi, hast du evtl. noch einen eigenen DNS-Server? Das Problem scheint zu sein, dass ssh beim login automatisch ein reverse-lookup machen will, das aber nicht schafft / darf. Hat dein Rechner im LAN eine Moeglichkeit DNS-Anfragen zu stellen? Und welche Namensraeume nutzt du? DNS macht der Router (192.168.0.10), der wird ja auch befragt: Okay. Aber was macht er? Ist das ein interner DNS-Server, der eigene (interne) Zonen verwaltet oder ist das nur ein DNS-Proxy, der fuer die internen Rechner DNS-Abfrage durchreicht, damit diese im Internet surfen koennen? tcpdump: // 192.168.0.102: SSH-Server // 192.168.0.10: Router // ww.xx.yy.zz: Client von außen Welche Namensraeume? Also: Welcher Domainname ist _in_ deinem LAN eingetragen? Client von aussen = Client mit dynamischer IP, richtig? (siehe unten, pCCDDEEFF.dip0.t-ipconnect.de) 8 16:12:03.168211 IP 192.168.0.102.1269 192.168.0.10.53: 9205+ PTR? zz.yy.xx.ww.in-addr.arpa. (44) [snip] 16:12:13.260007 IP ww.xx.yy.zz.49968 192.168.0.102.22: P 946:1186(240) ack 1409 win 8320 n... 8 Finde ich nicht so aussagekraeftig. Und normalerweise nutzen alle Rechner im LAN diesen DNS-Server. Manuelle Abfragen funktionieren: 8 $ time nslookup ww.xx.yy.zz Server: 192.168.0.10 Address: 192.168.0.10#53 ww.xx.yy.zz.in-addr.arpa name = pCCDDEEFF.dip0.t-ipconnect.de. 8 Interessant finde ich wie gesagt den Unterschied zwischen ww.xx.yy.zz.in-addr... bei nslookup, während tcpdump das rückwärts als zz.yy.xx.ww.in-addr... darstellt. Gibt es da einen Untersched? Zu der umgekehrten Reihenfolge weiss ich nun keinen Rat. Vielleicht ist es eine Eigenheit der Programme. Gruss, Paul signature.asc Description: Digital signature
Re: sshd hinter NAT-Router läßt mich 10 s warten
Am Freitag, 19. Mai 2006 10:22 schrieb Paul Puschmann: On Fri, May 19, 2006 at 09:49:22AM +0200, Daniel Musketa wrote: ich möchte mich per SSH mit einem Server in einem LAN verbinden. verbinde ich mich zur externen IP des Netzes, also über Portforwarding, klappt nur das *erste* Einloggen nach einer längeren Pause (ca. 1 h); bei jedem weiteren Login entsteht eine Pause von exakt 10 Sekunden. Dies gilt auch bei Verbindungen vom Server zu sich selbst, wenn er über den Router geht. ?? Wenn er ueber den Router geht? Wie soll das denn gehen? Um weitere Fehlerquellen auszuschließen, habe ich testweise eine Verbindung von der Maschine, auf der der SSH-Server läuft, zu sich selbst gemacht. Zu 127.0.0.1 geht natürlich sofort, zu 192.168.0.102 (das ist erselbst) auch, aber zu externe_IP_des_Routers:forwarded_port tritt dieselbe Pause auf. Server = ssh-Server (Thema), richtig? Ja ;-) DNS macht der Router (192.168.0.10), der wird ja auch befragt: Okay. Aber was macht er? Ist das ein interner DNS-Server, der eigene (interne) Zonen verwaltet oder ist das nur ein DNS-Proxy, der fuer die internen Rechner DNS-Abfrage durchreicht, damit diese im Internet surfen koennen? Das ist ein kleiner (Hardware-)DSL-Router von Draytek, fungiert also als DNS-Proxy. Welche Namensraeume? Also: Welcher Domainname ist _in_ deinem LAN eingetragen? Mmh, da muß ich passen. Die /etc/networks des SSH-Servers kennt nur localnet 192.168.0.0. Wo kann ich suchen?
Re: sshd hinter NAT-Router läßt mich 10 s warten
On Fri, May 19, 2006 at 10:40:03AM +0200, Daniel Musketa wrote: Am Freitag, 19. Mai 2006 10:22 schrieb Paul Puschmann: On Fri, May 19, 2006 at 09:49:22AM +0200, Daniel Musketa wrote: ich möchte mich per SSH mit einem Server in einem LAN verbinden. verbinde ich mich zur externen IP des Netzes, also über Portforwarding, klappt nur das *erste* Einloggen nach einer längeren Pause (ca. 1 h); bei jedem weiteren Login entsteht eine Pause von exakt 10 Sekunden. Dies gilt auch bei Verbindungen vom Server zu sich selbst, wenn er über den Router geht. ?? Wenn er ueber den Router geht? Wie soll das denn gehen? Um weitere Fehlerquellen auszuschließen, habe ich testweise eine Verbindung von der Maschine, auf der der SSH-Server läuft, zu sich selbst gemacht. Zu 127.0.0.1 geht natürlich sofort, zu 192.168.0.102 (das ist erselbst) auch, aber zu externe_IP_des_Routers:forwarded_port tritt dieselbe Pause auf. Hast du einen DynDNS-Eintrag registriert? Wie zum Beispiel example.homeip.net, ueber den du einen Router immer per Namen erreichen kannst ohne die (aktuelle) IP zu kennen? DNS macht der Router (192.168.0.10), der wird ja auch befragt: Okay. Aber was macht er? Ist das ein interner DNS-Server, der eigene (interne) Zonen verwaltet oder ist das nur ein DNS-Proxy, der fuer die internen Rechner DNS-Abfrage durchreicht, damit diese im Internet surfen koennen? Das ist ein kleiner (Hardware-)DSL-Router von Draytek, fungiert also als DNS-Proxy. Welche Namensraeume? Also: Welcher Domainname ist _in_ deinem LAN eingetragen? Mmh, da muß ich passen. Die /etc/networks des SSH-Servers kennt nur localnet 192.168.0.0. Wo kann ich suchen? Okay. Was erscheint denn eigentlich nachdem du die 10sec. gewartet hast am login-prompt? (Ich meine hier den Eintrag last login from:) Welchen Eintrag hast du denn in /etc/network/interfaces und was steht in /etc/resolv.conf (unabhaengig davon: hast du das Tool resolvconf installiert?) Gruss, Paul signature.asc Description: Digital signature
Re: sshd hinter NAT-Router läßt mich 10 s warten
Am Freitag, 19. Mai 2006 11:05 schrieb Paul Puschmann: On Fri, May 19, 2006 at 10:40:03AM +0200, Daniel Musketa wrote: Am Freitag, 19. Mai 2006 10:22 schrieb Paul Puschmann: On Fri, May 19, 2006 at 09:49:22AM +0200, Daniel Musketa wrote: ich möchte mich per SSH mit einem Server in einem LAN verbinden. verbinde ich mich zur externen IP des Netzes, also über Portforwarding, klappt nur das *erste* Einloggen nach einer längeren Pause (ca. 1 h); bei jedem weiteren Login entsteht eine Pause von exakt 10 Sekunden. Hast du einen DynDNS-Eintrag registriert? Wie zum Beispiel example.homeip.net, ueber den du einen Router immer per Namen erreichen kannst ohne die (aktuelle) IP zu kennen? Ja, habe ich (sogar mehrere, wegen Redundanz und so ;-) DNS macht der Router (192.168.0.10), der wird ja auch befragt: Okay. Aber was macht er? Ist das ein interner DNS-Server, der eigene (interne) Zonen verwaltet oder ist das nur ein DNS-Proxy, der fuer die internen Rechner DNS-Abfrage durchreicht, damit diese im Internet surfen koennen? Das ist ein kleiner (Hardware-)DSL-Router von Draytek, fungiert also als DNS-Proxy. Welche Namensraeume? Also: Welcher Domainname ist _in_ deinem LAN eingetragen? Mmh, da muß ich passen. Die /etc/networks des SSH-Servers kennt nur localnet 192.168.0.0. Wo kann ich suchen? Okay. Was erscheint denn eigentlich nachdem du die 10sec. gewartet hast am login-prompt? (Ich meine hier den Eintrag last login from:) Bei den jeweils *ersten* Malen, also denen, die sofort durchgehen, steht da Last login from IP-Adresse, bei den weiteren Logins, die dann 10 Sekunden dauern, steht da Last login from [EMAIL PROTECTED]. Welchen Eintrag hast du denn in /etc/network/interfaces $ cat /etc/network/interfaces # The loopback network interface auto lo iface lo inet loopback # This is a list of hotpluggable network interfaces. # They will be activated automatically by the hotplug subsystem. mapping hotplug script grep map eth0 # The primary network interface iface eth0 inet static address 192.168.0.102 netmask 255.255.255.0 network 192.168.0.0 broadcast 192.168.0.255 gateway 192.168.0.10 # dns-* options are implemented by the resolvconf package, if installed dns-nameservers 192.168.0.10 und was steht in /etc/resolv.conf $ cat /etc/resolv.conf nameserver 192.168.0.10 (unabhaengig davon: hast du das Tool resolvconf installiert?) Laut aptitude nicht.
Re: sshd hinter NAT-Router läßt mich 10 s warten
On Fri, May 19, 2006 at 11:57:53AM +0200, Daniel Musketa wrote: Am Freitag, 19. Mai 2006 11:05 schrieb Paul Puschmann: On Fri, May 19, 2006 at 10:40:03AM +0200, Daniel Musketa wrote: Am Freitag, 19. Mai 2006 10:22 schrieb Paul Puschmann: On Fri, May 19, 2006 at 09:49:22AM +0200, Daniel Musketa wrote: ich möchte mich per SSH mit einem Server in einem LAN verbinden. verbinde ich mich zur externen IP des Netzes, also über Portforwarding, klappt nur das *erste* Einloggen nach einer längeren Pause (ca. 1 h); bei jedem weiteren Login entsteht eine Pause von exakt 10 Sekunden. Hast du einen DynDNS-Eintrag registriert? Wie zum Beispiel example.homeip.net, ueber den du einen Router immer per Namen erreichen kannst ohne die (aktuelle) IP zu kennen? Ja, habe ich (sogar mehrere, wegen Redundanz und so ;-) DNS macht der Router (192.168.0.10), der wird ja auch befragt: Okay. Aber was macht er? Ist das ein interner DNS-Server, der eigene (interne) Zonen verwaltet oder ist das nur ein DNS-Proxy, der fuer die internen Rechner DNS-Abfrage durchreicht, damit diese im Internet surfen koennen? Das ist ein kleiner (Hardware-)DSL-Router von Draytek, fungiert also als DNS-Proxy. Welche Namensraeume? Also: Welcher Domainname ist _in_ deinem LAN eingetragen? Mmh, da muß ich passen. Die /etc/networks des SSH-Servers kennt nur localnet 192.168.0.0. Wo kann ich suchen? Okay. Was erscheint denn eigentlich nachdem du die 10sec. gewartet hast am login-prompt? (Ich meine hier den Eintrag last login from:) Bei den jeweils *ersten* Malen, also denen, die sofort durchgehen, steht da Last login from IP-Adresse, bei den weiteren Logins, die dann 10 Sekunden dauern, steht da Last login from [EMAIL PROTECTED]. Das ist echt klasse. Kann es eventuell sein, dass der ssh an sich keine reverse-dns-Aufloesung macht sondern dies von dem login-script / bzw. der Funktion die dir last login... erzeugt gemacht wird? Mir geht jetzt langsam die Zeit aus, weswegen ich vorschlage in der Richtung weiterzusuchen. Du koenntest testweise (mit einer zweiten Shell als Backup) mal testen ob dir das auskommentieren des folgenden Wertes in der /etc/pam.d/login was bringt. # Prints the last login info upon succesful login # (Replaces the `LASTLOG_ENAB' option from login.defs) sessionoptional pam_lastlog.so Gruss, Paul signature.asc Description: Digital signature
Re: sshd hinter NAT-Router läßt mich 10 s warten
Okay. Was erscheint denn eigentlich nachdem du die 10sec. gewartet
hast am login-prompt? (Ich meine hier den Eintrag last login from:)
Bei den jeweils *ersten* Malen, also denen, die sofort durchgehen, steht
da Last login from IP-Adresse, bei den weiteren Logins, die dann 10
Sekunden dauern, steht da Last login from
[EMAIL PROTECTED].
Das ist echt klasse. Kann es eventuell sein, dass der ssh an sich
keine reverse-dns-Aufloesung macht sondern dies von dem login-script /
bzw. der Funktion die dir last login... erzeugt gemacht wird?
Naja, die strace-Ausgabe des sshd-Prozesses
root 24757 0.0 0.8 5096 1832 ? Ss 12:55 0:00 sshd:
root [priv]
sieht schon anders aus:
8
14:29:12 Process 24757 attached - interrupt to quit
14:29:12 gettimeofday({1147955352, 808103}, NULL) = 0
14:29:12 gettimeofday({1147955352, 808143}, NULL) = 0
14:29:17 poll([{fd=4, events=POLLIN}], 1, 4942) = 0
14:29:17 gettimeofday({1147955357, 751242}, NULL) = 0
14:29:17 poll([{fd=4, events=POLLOUT, revents=POLLOUT}], 1, 0) = 1
14:29:17 send(4, yj10013756893678934759002847in-a..., 44, 0) = 44
14:29:17 poll([{fd=4, events=POLLIN, revents=POLLIN}], 1, 5000) = 1
14:29:17 ioctl(4, FIONREAD, [88]) = 0
***
14:29:17 recvfrom(4, yj2052006568935760031227..., 1024, 0,
{sa_family=AF_INET, \
sin_port=htons(53), sin_addr=inet_addr(192.168.0.10)}, [16]) = 88
***
14:29:17 gettimeofday({1147955357, 752057}, NULL) = 0
14:29:22 poll([{fd=4, events=POLLIN}], 1, 4999) = 0
14:29:22 close(4) = 0
...
8
Du koenntest testweise (mit einer zweiten Shell als Backup) mal testen ob
dir das auskommentieren des folgenden
Wertes in der /etc/pam.d/login was bringt.
# Prints the last login info upon succesful login
# (Replaces the `LASTLOG_ENAB' option from login.defs)
sessionoptional pam_lastlog.so
Ich hab's auskommentiert, keine Änderung. Ich habe aber noch keinen Dienst
reloaden lassen. Für wen ist denn /etc/pam.d/login zuständig? Wird die
automatisch bei jeder PAM-Aktion geparst?
PS: Der Server ist 'ne gute Autostunde weg, vielleicht könnt Ihr das bei
weiteren Vorschlägen berücksichtigen (^_~)
Re: sshd hinter NAT-Router läßt mich 10 s warten
On Fri, May 19, 2006 at 01:08:56PM +0200, Daniel Musketa wrote:
Okay. Was erscheint denn eigentlich nachdem du die 10sec. gewartet
hast am login-prompt? (Ich meine hier den Eintrag last login from:)
Bei den jeweils *ersten* Malen, also denen, die sofort durchgehen, steht
da Last login from IP-Adresse, bei den weiteren Logins, die dann 10
Sekunden dauern, steht da Last login from
[EMAIL PROTECTED].
Das ist echt klasse. Kann es eventuell sein, dass der ssh an sich
keine reverse-dns-Aufloesung macht sondern dies von dem login-script /
bzw. der Funktion die dir last login... erzeugt gemacht wird?
Naja, die strace-Ausgabe des sshd-Prozesses
root 24757 0.0 0.8 5096 1832 ? Ss 12:55 0:00 sshd:
root [priv]
sieht schon anders aus:
8
14:29:12 Process 24757 attached - interrupt to quit
14:29:12 gettimeofday({1147955352, 808103}, NULL) = 0
14:29:12 gettimeofday({1147955352, 808143}, NULL) = 0
14:29:17 poll([{fd=4, events=POLLIN}], 1, 4942) = 0
14:29:17 gettimeofday({1147955357, 751242}, NULL) = 0
14:29:17 poll([{fd=4, events=POLLOUT, revents=POLLOUT}], 1, 0) = 1
14:29:17 send(4, yj10013756893678934759002847in-a..., 44, 0) = 44
14:29:17 poll([{fd=4, events=POLLIN, revents=POLLIN}], 1, 5000) = 1
14:29:17 ioctl(4, FIONREAD, [88]) = 0
***
14:29:17 recvfrom(4, yj2052006568935760031227..., 1024, 0,
{sa_family=AF_INET, \
sin_port=htons(53), sin_addr=inet_addr(192.168.0.10)}, [16]) = 88
***
14:29:17 gettimeofday({1147955357, 752057}, NULL) = 0
14:29:22 poll([{fd=4, events=POLLIN}], 1, 4999) = 0
14:29:22 close(4) = 0
...
8
Du koenntest testweise (mit einer zweiten Shell als Backup) mal testen ob
dir das auskommentieren des folgenden
Wertes in der /etc/pam.d/login was bringt.
# Prints the last login info upon succesful login
# (Replaces the `LASTLOG_ENAB' option from login.defs)
sessionoptional pam_lastlog.so
Ich hab's auskommentiert, keine Änderung. Ich habe aber noch keinen Dienst
reloaden lassen. Für wen ist denn /etc/pam.d/login zuständig? Wird die
automatisch bei jeder PAM-Aktion geparst?
Schaetze ich mal. Ich bin jetzt mit den verschiedenen
Login-Mechanismen bei ssh nicht so vertraut aber jenachdem koenntest
du pam dort rauswerfen (wenn du dich z.B. per key einloggst, achtung,
gefaehrliches Halbwissen).
Was ich eben eigentlich erreichen wollte ist ja, dass last login:
nicht mehr auftaucht. Wenn ich hier etwas frueher in der
/etc/ssh/sshd_config nachgesehen haette, haette ich wahrscheinlich
auch den Eintrag PrintLastLog yes finden koennen.
Wie gefaellt dir das? (duerfte recht unkritisch sein)
Wenn der 10sec-Effekt dann nicht mehr auftritt, weisst du schon mal
ungefaehr woran es liegt: an der Namensaufloesung, oder?
Allerdings weiss ich da jetzt nicht noch, wie wir da weiter kommen
koennten Aber dafuer gibt es ja noch andere Listenmitglieder.
PS: Der Server ist 'ne gute Autostunde weg, vielleicht könnt Ihr das bei
weiteren Vorschlägen berücksichtigen (^_~)
Weswegen ich auf die extra-Shell hingewiesen habe. (Okay, wenn das
Netzwerk getrennt wird und dann das Login nicht mehr klappt, bringt es
auch nichts mehr)
Gruss, Paul
signature.asc
Description: Digital signature
Re: sshd hinter NAT-Router läßt mich 10 s warten
On Fri, May 19, 2006 at 10:40:03AM +0200, Daniel Musketa wrote: Das ist ein kleiner (Hardware-)DSL-Router von Draytek, fungiert also als DNS-Proxy. Wenn es einer aus der Schadensklasse Vigor ist dann ist dessen DNS laut http://groups.google.de/group/de.comp.os.unix.linux.misc/browse_frm/thread/35f526a2f1d1712f/a5896b4564fbb370?lnk=stq=draytek+dns+group%3Ade.comp.os.unix.*rnum=1hl=de#a5896b4564fbb370 optimiert für Windows aka broken. -- Nicht Absicht unterstellen, wenn auch Dummheit ausreicht! pgptC5SaLFpR7.pgp Description: PGP signature
Re: sshd hinter NAT-Router läßt mich 10 s warten
On Fri, May 19, 2006 at 01:51:10PM +0200, Martin Reising wrote: On Fri, May 19, 2006 at 10:40:03AM +0200, Daniel Musketa wrote: Das ist ein kleiner (Hardware-)DSL-Router von Draytek, fungiert also als DNS-Proxy. Wenn es einer aus der Schadensklasse Vigor ist dann ist dessen DNS laut http://groups.google.de/group/de.comp.os.unix.linux.misc/browse_frm/thread/35f526a2f1d1712f/a5896b4564fbb370?lnk=stq=draytek+dns+group%3Ade.comp.os.unix.*rnum=1hl=de#a5896b4564fbb370 optimiert für Windows aka broken. Aha. Ich bin davon ausgegangen, dass das Ding laeuft und in Google gesucht worden ist. Also: Keine Annahmen treffen... Schoen, dass du dich damit eingeklinkt hast. Gruss, Paul signature.asc Description: Digital signature
Re: sshd hinter NAT-Router läßt mich 10 s warten
Am Freitag, 19. Mai 2006 13:27 schrieb Paul Puschmann: Du koenntest testweise (mit einer zweiten Shell als Backup) mal testen ob dir das auskommentieren des folgenden Wertes in der /etc/pam.d/login was bringt. # Prints the last login info upon succesful login # (Replaces the `LASTLOG_ENAB' option from login.defs) sessionoptional pam_lastlog.so Ich hab's auskommentiert, keine Änderung. Ich habe aber noch keinen Dienst reloaden lassen. Für wen ist denn /etc/pam.d/login zuständig? Wird die automatisch bei jeder PAM-Aktion geparst? Schaetze ich mal. Ich bin jetzt mit den verschiedenen Login-Mechanismen bei ssh nicht so vertraut aber jenachdem koenntest du pam dort rauswerfen (wenn du dich z.B. per key einloggst, achtung, gefaehrliches Halbwissen). Was ich eben eigentlich erreichen wollte ist ja, dass last login: nicht mehr auftaucht. Wenn ich hier etwas frueher in der /etc/ssh/sshd_config nachgesehen haette, haette ich wahrscheinlich auch den Eintrag PrintLastLog yes finden koennen. Hab PrintLastLog auf no gesetzt - Last login taucht nicht mehr auf. Das sehe ich nach ... 10 Sekunden ... (._.) Wenn der 10sec-Effekt dann nicht mehr auftritt, weisst du schon mal ungefaehr woran es liegt: an der Namensaufloesung, oder? Allerdings weiss ich da jetzt nicht noch, wie wir da weiter kommen koennten Aber dafuer gibt es ja noch andere Listenmitglieder. Un da kommt auch gleich eins: Am Freitag, 19. Mai 2006 13:51 schrieb Martin Reising: Wenn es einer aus der Schadensklasse Vigor ist dann ist dessen DNS laut http://groups.google.de/group/de.comp.os.unix.linux.misc/browse_frm/thread/ 35f526a2f1d1712f/a5896b4564fbb370?lnk=stq=draytek+dns+group%3Ade.comp.os.un ix.*rnum=1hl=de#a5896b4564fbb370 optimiert für Windows aka broken. Dort steht nämlich: | Von: Nikolaus Rath | Datum: Fr 12 Mai 2006 17:25 | | Armin Braun [EMAIL PROTECTED] writes: | ich habe einen Draytek Vigor 2500. Unter Linux bekomme ich bei diesem | als DNS-Eintrag beim ersten DHCP-Request (also z.B. beim Booten) die IP | des Routers, in meinem Fall 192.168.1.1. Dabei sollte dann eigentlich | der DNS verwendet werden, der im Router fest eingestellt ist (von meinem | Provider). Irgendwie tut das aber nicht, es könnte daran liegen, dass | ich noch nicht das Firmware-Update von Draytek eingespielt habe. Manche | Seiten kann ich damit öffnen, andere wiederum nicht. | | DNS über Vigor ist komplett broken, wird nicht gefixt und funktioniert | nur unter Windows einigermaßen. Such dir einen anderen DNS Server und | verwende den Vigor als reinen Router, dann gehts. Also habe ich gerade die /etc/resolv.conf geändert und den bei der Einwahl vom Provider an den Vigor 2500 (ja, genau) übergebenen Nameserver eingesetzt. Das Ergebnis: 8 14:07:35 OpenSSH_3.8.1p1 Debian-8.sarge.4, OpenSSL 0.9.7e 25 Oct 2004 14:07:35 debug1: Reading configuration data /etc/ssh/ssh_config 14:07:35 debug1: Connecting to [xx.xx.xx.xx] port 22102. 14:07:35 debug1: Connection established. 14:07:35 debug1: identity file /root/.ssh/identity type -1 14:07:35 debug1: identity file /root/.ssh/id_rsa type 1 14:07:35 debug1: identity file /root/.ssh/id_dsa type -1 14:07:35 debug1: Remote protocol version 2.0, remote software version OpenSSH_4.1p1 Debian-7ubuntu4.1 14:07:35 debug1: match: OpenSSH_4.1p1 Debian-7ubuntu4.1 pat OpenSSH* 14:07:35 debug1: Enabling compatibility mode for protocol 2.0 14:07:35 debug1: Local version string SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 14:07:35 debug1: SSH2_MSG_KEXINIT sent 14:07:35 debug1: SSH2_MSG_KEXINIT received 14:07:35 debug1: kex: server-client aes128-cbc hmac-md5 none 14:07:35 debug1: kex: client-server aes128-cbc hmac-md5 none 14:07:35 debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(102410248192) sent 14:07:35 debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP 14:07:36 debug1: SSH2_MSG_KEX_DH_GEX_INIT sent 14:07:36 debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY 14:07:36 debug1: Host '' is known and matches the RSA host key. 14:07:36 debug1: Found key in /root/.ssh/known_hosts:8 14:07:36 debug1: ssh_rsa_verify: signature correct 14:07:36 debug1: SSH2_MSG_NEWKEYS sent 14:07:36 debug1: expecting SSH2_MSG_NEWKEYS 14:07:36 debug1: SSH2_MSG_NEWKEYS received 14:07:36 debug1: SSH2_MSG_SERVICE_REQUEST sent 14:07:36 debug1: SSH2_MSG_SERVICE_ACCEPT received 14:07:36 debug1: Authentications that can continue: publickey,password 14:07:36 debug1: Next authentication method: publickey 14:07:36 debug1: Trying private key: /root/.ssh/identity 14:07:36 debug1: Offering public key: /root/.ssh/id_rsa 14:07:36 debug1: Server accepts key: pkalg ssh-rsa blen 149 14:07:36 debug1: read PEM private key done: type RSA 14:07:36 debug1: Authentication succeeded (publickey). 14:07:36 debug1: channel 0: new [client-session] 14:07:36 debug1: Entering interactive session. 14:07:37 Last login: Fri May 19 14:06:55 2006 from pAABBCCDD.dip0.t-ipconnect.de 8 \(^o^)/
Re: sshd hinter NAT-Router läßt mich 10 s warten
On Fri, May 19, 2006 at 02:14:34PM +0200, Daniel Musketa wrote: i Also habe ich gerade die /etc/resolv.conf geändert und den bei der Einwahl vom Provider an den Vigor 2500 (ja, genau) übergebenen Nameserver eingesetzt. [snip] Kann ich mich denn auf diese Nameserver verlassen oder könnten da morgen schon andere stehen? Gibt es alternative benutzbare? Der Provider deines Vertrauens sollte dir vernuenftige DNS-Server zur Verfuegung stellen. Ich nutze folgende (teils Pironet, NetCologne und T-Online): 195.94.88.254 194.64.31.2 194.64.31.3 195.94.90.10 194.8.194.70 194.8.197.60 Paul signature.asc Description: Digital signature
Re: sshd hinter NAT-Router läßt mich 10 s warten
On Fri, May 19, 2006 at 02:14:34PM +0200, Daniel Musketa wrote: Kann ich mich denn auf diese Nameserver verlassen oder könnten da morgen schon andere stehen? Ja, da können Morgen ganz andere IP-Adressen für Nameserver übergeben werden. Gibt es alternative benutzbare? Nein, denn auch deren IP-Adressen können sich jederzeit ändern. Besser ist es auf einem Server im LAN einen Nameserver ohne Forwarder einzurichten und zu benutzen. Server kann man auch zu Computer der im LAN als erster ein- und als letzter ausgeschaltet wird übersetzen. -- Nicht Absicht unterstellen, wenn auch Dummheit ausreicht! pgpLM92zec6YE.pgp Description: PGP signature
Re: sshd hinter NAT-Router läßt mich 10 s warten
Hallo, Martin, danke noch mal persönlich für den Hinweis mit dem Vigor. Am Freitag, 19. Mai 2006 14:57 schrieb Martin Reising: On Fri, May 19, 2006 at 02:14:34PM +0200, Daniel Musketa wrote: Kann ich mich denn auf diese Nameserver verlassen oder könnten da morgen schon andere stehen? Ja, da können Morgen ganz andere IP-Adressen für Nameserver übergeben werden. Gibt es alternative benutzbare? Nein, denn auch deren IP-Adressen können sich jederzeit ändern. Besser ist es auf einem Server im LAN einen Nameserver ohne Forwarder einzurichten und zu benutzen. Nun, um mal etwas abzuschweifen: Genau dieser (SSH-)Server soll mittelfristig sowieso den VPN-Aufbau, um den sich im Moment dieser Vigor (IPSec mit PSK) kümmert, mit OpenVPN übernehmen. Um nicht jedem der größtenteils Windows-Clients eine weitere Route eintragen zu müssen, würde sich ja anbieten, ein neues Default-Gateway einzurichten, das dann auch für DNS zuständig ist. Woher bezieht denn dann aber dieser DNS-Server seine Informationen? Oder meinst Du, der sollte sich darum ganz allein kümmern (bei den Root-Servern angfangen ...)?
Re: sshd hinter NAT-Router läßt mich 10 s warten
On Fri, May 19, 2006 at 03:26:42PM +0200, Daniel Musketa wrote: Woher bezieht denn dann aber dieser DNS-Server seine Informationen? Oder meinst Du, der sollte sich darum ganz allein kümmern (bei den Root-Servern angfangen ...)? Ja, ohne Forwarder werden die Root-Server verwendet. Die verweisen den Nameserver allerdings an die zuständigen TLD-Nameserver, die dann ggf. an die Second Level Domainserver usw. Da der Nameserver im allgemeinen diese Informationen cachet ist die Belastung der Rootserver gering. Wenn allerdings alle Dialup Workstation/Windows-Mühlen ohne eigenen cachenden Nameserver die Rootserver benutzen sieht die Sache ein Wenig anders aus. -- Nicht Absicht unterstellen, wenn auch Dummheit ausreicht! pgpZLxBTHduDc.pgp Description: PGP signature
Re: sshd hinter NAT-Router läßt mich 10 s warten
On Fri, May 19, 2006 at 03:26:42PM +0200, Daniel Musketa wrote: Hallo, Martin, danke noch mal persönlich für den Hinweis mit dem Vigor. Am Freitag, 19. Mai 2006 14:57 schrieb Martin Reising: On Fri, May 19, 2006 at 02:14:34PM +0200, Daniel Musketa wrote: Kann ich mich denn auf diese Nameserver verlassen oder könnten da morgen schon andere stehen? Ja, da können Morgen ganz andere IP-Adressen für Nameserver übergeben werden. Gibt es alternative benutzbare? Nein, denn auch deren IP-Adressen können sich jederzeit ändern. Besser ist es auf einem Server im LAN einen Nameserver ohne Forwarder einzurichten und zu benutzen. Nun, um mal etwas abzuschweifen: Genau dieser (SSH-)Server soll mittelfristig sowieso den VPN-Aufbau, um den sich im Moment dieser Vigor (IPSec mit PSK) kümmert, mit OpenVPN übernehmen. Um nicht jedem der größtenteils Windows-Clients eine weitere Route eintragen zu müssen, würde sich ja anbieten, ein neues Default-Gateway einzurichten, das dann auch für DNS zuständig ist. Woher bezieht denn dann aber dieser DNS-Server seine Informationen? Oder meinst Du, der sollte sich darum ganz allein kümmern (bei den Root-Servern angfangen ...)? Auf diesem neuen Server richtest du einfach ein interne Zone (fuer deine internen Rechner) ein und definierst dann Forward-DNS-Server. D.h. dass alle Anfragen, die nciht in deinem lokalen Netz aufgeloest werden koennen an einen DNS-Server nach draussen zur Bearbeitung abgegeben werden. Wie gesagt, ich habe bei uns die in der anderen Mail genannten Server eingetragen und bin sehr zufrieden damit. Wenn du einen DNS-Server von deinem Provider nimmst, solltest du (eigentlich) davon ausgehen koennen, dass diese schon recht lange in Betrieb bleiben. Ausnahme evtl. T-Online. Daher lohnt es sich auch mehrere Server als Forward einzutragen. Gruss, Paul signature.asc Description: Digital signature
Re: sshd hinter NAT-Router läßt mich 10 s warten
Am Freitag, 19. Mai 2006 11:57 schrieb Daniel Musketa: Am Freitag, 19. Mai 2006 11:05 schrieb Paul Puschmann: Hast du einen DynDNS-Eintrag registriert? Wie zum Beispiel example.homeip.net, ueber den du einen Router immer per Namen erreichen kannst ohne die (aktuelle) IP zu kennen? Ja, habe ich (sogar mehrere, wegen Redundanz und so ;-) Worauf wolltest Du denn da hinaus? Würde es grundsätzlich was bringen, diese Domain auf dem Server irgendwo einzutragen?
