[Problem] 7580 blockiert SSH nach ein paar Minuten

amatör

Mitglied
Mitglied seit
15 Feb 2014
Beiträge
408
Punkte für Reaktionen
10
Punkte
18
Ich habe ein seltsames Problem...

Ich wollte meine bisherige 7490 durch eine 7580 ersetzen. Dazu habe ich die Konfiguration übertragen und alles schien auf Anhieb zu funktionieren.

Beim Arbeiten über VPN hatte ich jedoch immer wieder Probleme mit toten SSH-Verbindungen. Erst dachte ich natürlich an ein Problem auf dem Zielrechner, aber es betraf alle möglichen Zielrechner. Man konnte weder eine bestehende SSH-Verbindung nutzen, noch eine neue aufbauen. Es ist dann, als ob irgendwo Port 22 blockiert würde, denn alles andere funktioniert weiterhin. Es handelt sich übrigens um IPSec-VPN und das Ziel ist auch eine Fritzbox.

Nachdem ich die wieder die 7580 durch die 7490 ersetzt habe, war der Spuk sofort vorbei.

Ich hatte schon verschiedene Modelle, aber so ein Problem hatte ich noch nie. Ich weiß gar nicht wie ich das einkreisen könnte. Ist da irgendwas bekannt?


Nachtrag:

Wie ich so noch einmal darüber nachdenke, ist es ja besonders seltsam, weil die 7580 ja nur meine VPN-Verbindung sieht und doch gar nicht erkennen kann, ob ich da gerade SSH in meinem Tunnel drinnen mache, oder?
 
Zuletzt bearbeitet:
Wie ich so noch einmal darüber nachdenke, ist es ja besonders seltsam, weil die 7580 ja nur meine VPN-Verbindung sieht und doch gar nicht erkennen kann, ob ich da gerade SSH in meinem Tunnel drinnen mache, oder?
Stimmt. Ist es sicher, dass die SSH Verbindung durch den Tunnel läuft?
 
Zuletzt bearbeitet von einem Moderator:
Puh… Das wäre nur der letzte Ausweg…

Hallo @amatör!

Und wo liegt da bei dir das Problem?
Das einzige "Aufwändige" ist bei einer sauberen Neueinrichtung das oder die Adressbuch /-bücher. Aber diese lassen sich ja auch völlig problemlos ex- und wieder importieren. Sache weniger Sekunden - und klappt immer.
Früher, als ich bis vor drei Jahren noch das AVM-IPsec benutzt habe, war die Neueinrichtung dieses (sehr umfangreichen!) VPN auch zeitaufwändig. Aber da ich die Konfigurationen nach dem ersten Versuch (!) danach grundsätzlich mit dem Texteditor gemacht und einfach importiert habe, war das auch in wenigen Minuten erledigt.

Alles andere ist ja wirklich (einschließlich der Einstellungen für viele Telefoniegeräte usw.) in 5 Minuten erledigt.

Fakt ist, dass eine saubere Neueinrichtung gegenüber der "Einrichtung für Faule" mittels Import einer Konfiguration immer von Vorteil ist. Gerade, wenn Generationssprünge der Hardware dabei sind.

Und JA, hier gibt es reine Glaubenskriege - und diese will ich keinesfalls hier befeuern. Ich berichte von meinen eigenen guten Erfahrungen, denn wie letztens schon geschrieben, wundere ich mich immer wieder über die Probleme, welche andere Nutzer immer wieder haben - und ich eben nicht.

vy 73 de Peter
 
Hallo @amatör!

Und wo liegt da bei dir das Problem?

Ich müsste halt einiges neu einrichten - VoiP-Nummern, AB und vor allem die VPN-Verbindungen, die, wenn sie neu erstellt werden, ja auch in einen Clients angepasst werden müssen. Wie man die im Text-Editor macht und importiert, ist mir nicht bekannt, klingt aber nützlich. Hast du mir einen Link?

Tatsache ist, dass ich die Übertragung der Konfiguration schon bei sehr vielen Fritzboxen gemacht habe und bisher damit nie ein Problem hatte. Ich finde daher, das ein ein tolles und sehr nützliches Feature ist, das ich gerne nutze.
 
Einen Link mit einer Erklärung für das Erstellen der Konfigurationen für das "AVM-IPsec" habe ich nicht, denn ich nutze diese Art des VPN ja schon lange nicht mehr. (Es gab aber hier im Forum einige Beiträge dazu, auch ich habe meine Erfahrungen und auch Beispieldateien gepostet.)
Aber gab es nicht mal (bei der letzten offiziellen Firmware) die Möglichkeit, die VPN-Konfiguration zu exportieren und dann die Option des Imports auf einer anderen F!B? Diese exportierten Dateien kannst du auch mit einem geeigneten Editor bearbeiten.
Ich habe jedenfalls (außer dem mir anerzogenen regelmäßigen Schlüsselwechsel - den ich ja immer ganz schnell in der vorliegenden .conf-Datei realisieren konnte) nie die VPN-Konfiguration meiner vielen per VPN erreichbaren Clients und der Partner-Router verändern müssen. Auch nicht bei meinem Wechsel über viele Generationen von Fritz!Boxen.

Noch mal zu ssh:
Ich bin ja seit vielen Jahren ein ssh-Poweruser. Habe bestimmt 20 (sehr weit entfernt betriebene) Geräte, welche ich auf der Konsole per ssh warte. Beispielsweise alle meine Freifunk-Router und natürlich auch meine acht OpenWrt-Server.
Vielleicht beschreibst du mal, wie du per ssh auf deine Geräte "gehst". Mit "Geräte" meine ich wirklich, was für Geräte du nutzt, und mit "wie" ist die Art der Authentisierung (mit Benutzername und Passwort :mad: oder mit public-key-auth :) ) gemeint. Auch welches Betriebssystem du auf welchen Geräten und deinem PC nutzt, ist hier interessant.
Auch wäre es interessant zu wissen, woher diese "toten ssh-Verbindungen" kommen. Sind das Abbrüche, von dir selbst per PC initiierter Verbindungen, oder ist es das ganz normale "Rauschen des Internet" durch ganze Heerscharen von Spielmatzen, welche unablässig versuchen, ssh-Verbindungen zu fremden Geräten zum Laufen zu bringen.
Was sagen die Logfiles auf den per ssh zu erreichenden Geräten?

Was passiert, wenn du (meinetwegen nur temporär) in der F!B einer deiner per VPN erreichbaren Gegenstellen eine Portweiterleitung auf eines der via ssh zu erreichenden Geräte einrichtest, und versuchst, dieses Gerät direkt (also ohne über das VPN zu gehen) mit "ssh <Benutzername>@<IP_Gegenstelle> <ssh-Port>" zu erreichen? Mit den richtigen Einstellungen in der sshd-Konfiguration auf dem Server ist das auch eine sehr sichere und allgemein übliche Methode.

Ich will mit diesen Anregungen erreichen, dass du den Ort des Fehlers eingrenzen kannst.


vy 73 de Peter
 
Vielleicht beschreibst du mal, wie du per ssh auf deine Geräte "gehst". Mit "Geräte" meine ich wirklich, was für Geräte du nutzt, und mit "wie" ist die Art der Authentisierung (mit Benutzername und Passwort :mad: oder mit public-key-auth :) ) gemeint. Auch welches Betriebssystem du auf welchen Geräten und deinem PC nutzt, ist hier interessant.
Auch wäre es interessant zu wissen, woher diese "toten ssh-Verbindungen" kommen. Sind das Abbrüche, von dir selbst per PC initiierter Verbindungen, oder ist es das ganz normale "Rauschen des Internet" durch ganze Heerscharen von Spielmatzen, welche unablässig versuchen, ssh-Verbindungen zu fremden Geräten zum Laufen zu bringen.
Was sagen die Logfiles auf den per ssh zu erreichenden Geräten?
Wie ich schon geschrieben habe, sind das SSH-Verbindungen, die ich auf Rechner in einem über ein Fritzbox-IPSec-VPN angebundenes Remote-Netz initiiere. Mein Client-Rechner ist ein Mac, remote sind es ein Mac und mehrere Ubuntu-Server, das Login erfolgt über Keys. Das Zielnetz ist selbstverständlich von außen nur über VPN erreichbar, also keine sonstigen geöffneten Ports oder so.

In den sshd-Logfiles sehe ich gar nichts - auf der Verbindung ist dann einfach nichts mehr los. Im Gegensatz zu einem normalen Logout fehlt halt die Meldung "Disconnected from user". Die Session wird dann irgendwann ausgeloggt, aber ich kann jetzt nicht mehr feststellen, wann das genau passiert.

Eingegrenzt habe ich das Problem ja schon auf die 7580. Ich meine: 7580 anschließen, Problem reproduzierbar vorhanden - 7490 anschließen, Problem verschwunden - das ist ja doch sehr eindeutig. Wenn das aber kein bekanntes Problem ist, wird mir letztlich nichts anderes als das von dir empfohlene Neuaufsetzen übrig bleiben. Jetzt habe ich erst mal die Support-Daten an AVM geschickt, vielleicht kann man darin etwas erkennen. Vorerst kann ich ja die 7490 weiterverwenden.
 
Zuletzt bearbeitet:
Ist das vielleicht einfach nur ein Problem von NAT Timeouts? In der SSH Config kann man ein keepalive Einrichten. Teste das mal:
Code:
    ServerAliveInterval 30
    ServerAliveCountMax 2
 
Ist das vielleicht einfach nur ein Problem von NAT Timeouts?
Danke für die Anregung. Das kann ich mir aber nicht vorstellen, denn wenn sich die aktiven SSH-Verbindungen aufgehängt haben, dann kann ich keine neue mehr starten, und zwar egal auf welchen Zielrechner (auch z.B. auf einen, auf dem ich noch gar nicht war). Bei einem Timeout müsste das ja aber möglich sein.
 
OK, ich denke, dann hast du wirklich alles unternommen, was mir dazu einfällt oder auch ich gemacht hätte.
Auch wenn ich mich mit diversen Linux-Servern recht gut auskenne, so habe ich doch keinerlei praktische Erfahrung mit der Apple-Welt und auch nicht mit der 7580.

Den Vorschlag von Frank finde ich interessant und zielführend. Zumindest sollte das mal getestet werden. (Schon wegen der Erfahrungen ...)
Mir ist die von dir (amatör) beschriebene Problematik zwar noch nie aufgefallen, aber das mag vielleicht auch daran liegen, dass mein WireGuard-VPN so gut wie nie eine Verbindung über IPv4 aufbaut und auch die eigentlichen VPN-Verbindungen fast immer über IPv6 laufen. Und IPv6 benötigt ja die alte Krücke mit Namen "NAT" nicht.

edit (weil der nächst Beitrag zwischenzeitlich ankam):
Dann schlage ich einfach vor, auf die Antwort von AVM zu warten.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.