---

Jeg kan pludselig ikke længere connecte til min server via ssh. Det
gælder vel at mærke kun når jeg forsøger fra min debian-maskine, ikke
når jeg er i windows.

Derfor konkluderer jeg, (måske fejlagtigt), at sshd kører på serveren og
at problemet ligger i mit software på debian-maskinen.

"...
axel@debian$ ssh -2 -vvv 192.168.1.6
OpenSSH_3.0.2p1 Debian 1:3.0.2p1-8, SSH protocols 1.5/2.0, OpenSSL
0x0090603f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Seeding random number generator
debug1: Rhosts Authentication disabled, originating port will not be
trusted.
debug1: restore_uid
debug1: ssh_connect: getuid 1000 geteuid 0 anon 1
debug1: Connecting to 192.168.1.6 [192.168.1.6] port 22.
debug1: temporarily_use_uid: 1000/1000 (e=0)
debug1: restore_uid
debug1: temporarily_use_uid: 1000/1000 (e=0)
ssh: connect to address 192.168.1.6 port 22: Connection refused
debug1: restore_uid
...."

Er der nogen, der kan hjælpe mig?
--
Mvh.
Axel

---

Axel Eystein Jensen <axel@eystein.dk> wrote:
> Jeg kan pludselig ikke længere connecte til min server via ssh. Det
> gælder vel at mærke kun når jeg forsøger fra min debian-maskine, ikke
> når jeg er i windows.
>
> Derfor konkluderer jeg, (måske fejlagtigt), at sshd kører på serveren og
> at problemet ligger i mit software på debian-maskinen.
[..]
> ssh: connect to address 192.168.1.6 port 22: Connection refused
> debug1: restore_uid

Din konklusion er korrekt. Enten koerer sshd ikke paa det interface
hvorpaa 192.168.1.6 er bundet, eller du har firewall regler som goer at
bestemte maskiner ikke har lov at skabe en ssh forbindelse til den.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

....
> [..]
> > ssh: connect to address 192.168.1.6 port 22: Connection refused
> > debug1: restore_uid
>
> Din konklusion er korrekt. Enten koerer sshd ikke paa det interface
> hvorpaa 192.168.1.6 er bundet, eller du har firewall regler som goer at
> bestemte maskiner ikke har lov at skabe en ssh forbindelse til den.
....
Ok, jeg er temmelig sikker på at sshd kører. Jeg har tjecket at dæmonen er
der. Jeg kan jo logge ind fra samme maskine, samme ip, men bare via en
ssh-client i windows.

Jeg har ikke nogen firewall kørende, jeg er godt nok på en router med nogle
begrænsninger, men jeg burde jo slet ikke komme gennem routeren. Jeg skulle
jo gerne blive i det interene netværket via switch.

Kan det have noget at gøre med at jeg connecter til en forkert port (22) ?
Kan det være port 80 eller noget andet?
--
Mvh.
Axel

---

Axel Eystein Jensen wrote:

> ...
>> [..]
>> > ssh: connect to address 192.168.1.6 port 22: Connection refused
>> > debug1: restore_uid
>>
>> Din konklusion er korrekt. Enten koerer sshd ikke paa det interface
>> hvorpaa 192.168.1.6 er bundet, eller du har firewall regler som goer at
>> bestemte maskiner ikke har lov at skabe en ssh forbindelse til den.
> ...
> Ok, jeg er temmelig sikker på at sshd kører. Jeg har tjecket at dæmonen er
> der. Jeg kan jo logge ind fra samme maskine, samme ip, men bare via en
> ssh-client i windows.
>
> Jeg har ikke nogen firewall kørende, jeg er godt nok på en router med
> nogle begrænsninger, men jeg burde jo slet ikke komme gennem routeren. Jeg
> skulle jo gerne blive i det interene netværket via switch.
>
> Kan det have noget at gøre med at jeg connecter til en forkert port (22) ?

Bruger du samme port fra Windows og Linux? Har Windows og Linux samme IP?

> Kan det være port 80 eller noget andet?

SSH på port 80? Næppe...

Har du slået ECN til på Linux'en og er din router br0ken?

Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
God, root, what is difference?
God is more forgiving.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

....
> Har du slået ECN til på Linux'en og er din router br0ken?
....
Sorry, hvad er ECN? Og hvad mener du med at min router er br0ken? Om den er
defekt? Nej det tror jeg ikke.
--
Mvh.
Axel

---

> Bruger du samme port fra Windows og Linux? Har Windows og Linux samme
> IP?
....
Jeg er ikke helt klar over hvilken port jeg connecter til når jeg bruger
windows, men i linux er det port 22. Windows og linux har samme IP som
skrevet ovenfor. Det er samme maskine bare med både w98 og debian
installeret.
--
Mvh.
Axel

---

Axel Eystein Jensen wrote:

>> Bruger du samme port fra Windows og Linux? Har Windows og Linux samme
>> IP?
> ...
> Jeg er ikke helt klar over hvilken port jeg connecter til når jeg bruger
> windows, men i linux er det port 22. Windows og linux har samme IP som
> skrevet ovenfor. Det er samme maskine bare med både w98 og debian
> installeret.

Og du er sikker på, at det rent faktisk er ssh, du bruger (og ikke telnet
ved en fejltagelse)?

Prøv at kontrollere om portnummeret rent faktisk er 22 fra Windows (kør
netstat mens du er logget på).

Prøv at kontrollere, hvorvidt der kører en sshd på serveren, der lytter på
port 22 (netstat -anp | grep :22).

Kontroller også at du ikke har firewallet udgående port 22 fra
Linux-maskinen.

Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
I would never kill somebody
- unless they pissed me off!
-- Eric Cartman
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

> Og du er sikker på, at det rent faktisk er ssh, du bruger (og ikke telnet
> ved en fejltagelse)?
....
Se nu begynder vi at komme videre. Du har ret, det ser ud til at jeg
connecter via telnet.
"...
mother# netstat -anp|more
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
PID/Program name
tcp 0 2 192.168.1.8:23 192.168.1.7:1058
ESTABLISHED
285/in.telnetd: 192
...."
Lige en kort bemærkning. Mine ip skifter internt i netværket afhængig af
hvilken rækkefølge maskinerne kobles på switchen!
....
> Prøv at kontrollere om portnummeret rent faktisk er 22 fra Windows (kør
> netstat mens du er logget på).
....
"...
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 126 192.168.1.8:telnet 192.168.1.7:1058
ESTABLISHED
Active UNIX domain sockets (w/o servers)
...."
Ja, det er telnet og porten må være 23.
....
> Prøv at kontrollere, hvorvidt der kører en sshd på serveren, der lytter på
> port 22 (netstat -anp | grep :22).
....
tcp 0 0 0.0.0.0:2222 0.0.0.0:* LISTEN
248/sshd2

Ok, sshd2 lytter til port 2222, korrekt?
....
> Kontroller også at du ikke har firewallet udgående port 22 fra
> Linux-maskinen.
....
Ingen firewall, som tidligere skrevet.

Jeg prøver at koble på port 2222 og ser om jeg kan lave en ssh forbindelse.
Er der nogen der har en ide om hvorfor det er port 2222 og ikke port 22?

Mange tak for hjælpen!
--
Mvh.
Axel

---

Axel Eystein Jensen wrote:
....
> Jeg prøver at koble på port 2222 og ser om jeg kan lave en ssh
> forbindelse.
....
Jeg har ændret port fra 2222 til 22, men jeg får stadig ikke love til at
connecte:
"...
axel@debian$ ssh2 -l axel -d 99 -C 192.168.1.8
Development-time debugging not compiled in.
To enable, configure with --enable-debug and recompile.
debug: connecting to 192.168.1.8...
debug: entering event loop
debug: ssh_client_wrap: creating transport protocol
debug: ssh_client_wrap: creating userauth protocol
debug: Remote version: SSH-1.99-2.0.13 (non-commercial)
debug: Host key found from the database.
debug: client_disconnect: No further authentication methods available.

Disconnected; authentication error (No further authentication methods
available.).
debug: uninitializing event loop
Connection to 192.168.1.8 closed.
...."
Ligger fejlen i "(No further authentication methods available.)" og hvad
betyder det?
--
Mvh.
Axel

---

Axel Eystein Jensen <axel@eystein.dk> wrote:
>> Din konklusion er korrekt. Enten koerer sshd ikke paa det interface
>> hvorpaa 192.168.1.6 er bundet, eller du har firewall regler som goer at
>> bestemte maskiner ikke har lov at skabe en ssh forbindelse til den.
> ...
> Ok, jeg er temmelig sikker på at sshd kører. Jeg har tjecket at dæmonen er
> der. Jeg kan jo logge ind fra samme maskine, samme ip, men bare via en
> ssh-client i windows.

Er ovenstaaende IP adresse (192.168.1.6) korrekt? Kan du pinge den? Har
din server mere end eet netkort? Hvilken IP adresse har din router?
Hvilken IP adresse bruger du i Windows? Hvilken IP adresse har din Linux
installation?

Hvilket output giver "ifconfig" paa din server? Hvilket giver det paa
din Linux arbejdsmaskine?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

....
> Er ovenstaaende IP adresse (192.168.1.6) korrekt?
....
Ja
....
> Kan du pinge den?
....
Ja
....
> Har din server mere end eet netkort?
....
Nej
....
> Hvilken IP adresse har din router?
....
192.168.1.1, hvorfor?
....
> Hvilken IP adresse bruger du i Windows? Hvilken IP adresse har din Linux
> installation?
....
Samme IP!
....
> Hvilket output giver "ifconfig" paa din server?
....
eth0 Link encap:Ethernet HWaddr
inet addr:192.168.1.6 Bcast:192.168.1.255 Mas
UP BROADCAST RUNNING MULTICAST MTU:1500 Metri
RX packets:258 errors:0 dropped:0 overruns:0 fr
TX packets:234 errors:0 dropped:0 overruns:0 ca
collisions:0 txqueuelen:100
RX bytes:17466 (17.0 KiB) TX bytes:87199 (85.1
Interrupt:12 Base address:0xe800

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 fram
TX packets:8 errors:0 dropped:0 overruns:0 carr
collisions:0 txqueuelen:0
RX bytes:560 (560.0 b) TX bytes:560 (560.0 b)
....
> Hvilket giver det paa din Linux arbejdsmaskine?
....
Hvad leder du efter specielt i ifconfig?
--
Mvh.
Axel

---

"Axel Eystein Jensen" <axel@eystein.dk> writes:

> Sorry, hvad er ECN? Og hvad mener du med at min router er br0ken? Om den er
> defekt? Nej det tror jeg ikke.

ECN er et flag er en måde at håndtere forstoppelser på
internettet. Der anvendes et flag i TCP-headeren, der indtil for
nyligt bare har været 'reserveret til senere brug'.

Noget router software har så haft en TCP-implementation der sage: Hvis
dette flag er sat så er pakken i stykker og jeg har lov til at smide
pakken væk.

En fuldstændig absurd måde at fortolken ideen om flag reserveret til
fremtidig brug.


# echo 0 > /proc/sys/net/ipv4/tcp_ecn

Vil omgå problemet hvis det er ECN-problematikken, der er tale om.

--
Emacs er det eneste moderne styresystem der ikke er multitrådet.

---

Peter Makholm wrote:

> Noget router software har så haft en TCP-implementation der sage: Hvis
> dette flag er sat så er pakken i stykker og jeg har lov til at smide
> pakken væk.
>
> En fuldstændig absurd måde at fortolken ideen om flag reserveret til
> fremtidig brug.

Det er vi enige i, men... Hvad skulle den stakkels programmør have
gjort? Han havde jo ikke en jordisk chance for at vide hvad den
"fremtidige brug" ville være.

Nu er jeg ikke programmør eller noget, men ville en fornuftig
implementation så have ladet pakken passere som om at flaget ikke var
der? Det lyder jo egentlig mest fornuftigt. Hvis flaget så kom til at
betyde "send alle pakker med dette flag sat til Langtbortistan!" kunne
problemet være løst med en software-opdatering i routeren?

--
"...in Spain!"

---

Christian Andersen <7kf2z58ugb001@sneakemail.com> writes:

> Det er vi enige i, men... Hvad skulle den stakkels programmør have
> gjort? Han havde jo ikke en jordisk chance for at vide hvad den
> "fremtidige brug" ville være.

Aldrig selv sætte flaget og ignorere det hvis det er sat.

Ansvaret for at denne procedure fungerer ligger så hos dem der
definerer udvidelse til standarden. Altså at brugen af de reserverede
flag kan ignoreres udene at ødelægge protokollen. Hvis dette ikke er
muligt må man bumpe versionsnummeret.

--
Emacs er det eneste moderne styresystem der ikke er multitrådet.

---

Peter Makholm wrote:

>> Det er vi enige i, men... Hvad skulle den stakkels programmør have
>> gjort? Han havde jo ikke en jordisk chance for at vide hvad den
>> "fremtidige brug" ville være.

> Aldrig selv sætte flaget og ignorere det hvis det er sat.
>
> Ansvaret for at denne procedure fungerer ligger så hos dem der
> definerer udvidelse til standarden. Altså at brugen af de reserverede
> flag kan ignoreres udene at ødelægge protokollen. Hvis dette ikke er
> muligt må man bumpe versionsnummeret.

Præcis hvad jeg tænkte. Mange tak.

--
"...in Spain!"

---

Axel Eystein Jensen wrote:

[...]

> axel@debian$ ssh -2 -vvv 192.168.1.6
> OpenSSH_3.0.2p1 Debian 1:3.0.2p1-8, SSH protocols 1.5/2.0, OpenSSL

Tid til at opgradere ;)

--
Don't waste space

---

On 12 Mar 2002 22:07:44 GMT, Thomas <inthenews@corell.dk> wrote:

>> OpenSSH_3.0.2p1 Debian 1:3.0.2p1-8, SSH protocols 1.5/2.0, OpenSSL
>
>Tid til at opgradere ;)

Eh?

[..]
openssh (1:3.0.2p1-8) unstable; urgency=critical
.
* Security fix - patch from upstream (Closes: #137209, #137210)
[..]

Eller tænker du på zlib?

--
- Peter Brodersen

---

Peter Brodersen <professionel@nerd.dk> wrote:
> On 12 Mar 2002 22:07:44 GMT, Thomas <inthenews@corell.dk> wrote:
>
>>> OpenSSH_3.0.2p1 Debian 1:3.0.2p1-8, SSH protocols 1.5/2.0, OpenSSL
>>
>>Tid til at opgradere ;)
>
> Eh?
>
> [..]
> openssh (1:3.0.2p1-8) unstable; urgency=critical
> .
> * Security fix - patch from upstream (Closes: #137209, #137210)
> [..]
>
> Eller tænker du på zlib?

Han taenker paa en off-by-one fejl der blev fundet fornyligt i sshd.
Giver root til autheticated users.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Wed, 13 Mar 2002 14:04:49 +0100, Alex Holst <a@area51.dk> wrote:

>> openssh (1:3.0.2p1-8) unstable; urgency=critical
>Han taenker paa en off-by-one fejl der blev fundet fornyligt i sshd.
>Giver root til autheticated users.

.... som der netop er patchet for i Debian 1:3.0.2p1-8.

--
- Peter Brodersen

---

On Wed, 13 Mar 2002 14:04:49 +0100, Alex Holst wrote:

>>> Tid til at opgradere ;)

>> Eh?

>> [..] openssh (1:3.0.2p1-8) unstable; urgency=critical . *
>> Security fix - patch from upstream (Closes: #137209, #137210) [..]

>> Eller tænker du på zlib?

> Han taenker paa en off-by-one fejl der blev fundet fornyligt i sshd.
> Giver root til autheticated users.

Måske "Eh?"'et kommer af at Debian anbefaler at installere 3.0.2p1-8
som lap til det nævnte hul:

"Debian Security Advisory

DSA-119-1 ssh -- local root exploit, remote client exploit

Joost Pol reports that OpenSSH versions 2.0 through 3.0.2 have an
off-by-one bug in the channel allocation code. This vulnerability
can be exploited by authenticated users to gain root privilege or by
a malicious server exploiting a client with this bug.

[...]

The Debian unstable and testing archives do include a more recent
OpenSSH (ssh) package. If you are running these pre-release
distributions you should ensure that you are running version
3.0.2p1-8, a patched version which was added to the unstable archive
today, or a later version."

<http://www.debian.org/security/2002/dsa-119>


Mvh.

--
"Well, I'm a moon around you" Adam Sjøgren
asjo@koldfront.dk

---

Ok, nu er problemet løst. Jeg gik ind i "/etc/ssh2/sshd2_config" og
ændrede "RequireReverseMapping" fra "yes" til "no".

Nu kan jeg komme i kontakt igen
--
Mvh.
Axel