[HaBo]

RemoteC

Anzeige

Hallo!

Ich kann seit ca. einer Woche über SSH nicht mehr auf einen Linux-Webserver zugreifen auf den ich aber Zugriff brauche. Jedes mal durch die Stadt fahren damit ich physisch Zugriff habe ist etwas umständlich

PuTTY schreibt "Network error: Connection timed out"
WinSCP das selbe, auch mit OpenSSH funktioniert das ganze nicht und über die Konsole auch nicht. Es ist egal ob ich IP oder Domain eingebe. Habs auch auf mehreren PCs probiert, falls meine eigene Firewall etwas blocken sollte.

Ich war gestern direkt am Server, hab alle Dienste und den Server mehrmals neu gestartet, immer noch das selbe Bild. Config-Files wurden noch nie geändert und schauen auf den ersten Blick in Ordnung aus.

Sehr eigenartig finde ich ja, dass ich vom Linux-Server nichts externes pingen kann, dann kommt ne Fehlermeldung dass keine Internetverbindung besteht (egal ob ich IP oder Domain pinge). Eine SSH-Verbindung mit localhost kann ich herstellen, mit der externen IP bzw. Domain aber nicht.

Der Webserver steht in einem Netzwerk welches über einen ISA-Server mit "draußen" verbunden ist. Auf dem ISA-Server wurden (angeblich) keine Einstellungen geändert, die Ausnahmeregel für SSH (Port 22) ist auch vorhanden, jede externe Anfrage von Port 22 wird auf die IP des Webservers weitergeleitet. Man kann am ISA-Server auch Anfragen simulieren, das habe ich natürlich prompt gemacht und da ist rausgekommen, dass eine Anfrage einer externen IP auf Port 22 geblockt wird weil die Standardregel (letzte Regel die alles blockt) verwendet wird. In den Logs/Warnungen am ISA konnte ich nichts entdecken dass zeitlich mit meinen Versuchen eine SSH-Verbindung herzustellen zusammenpasst.

Woran kann es liegen, dass ich keine Verbindung aufbauen kann? Früher bekam ich immer wieder eine Fehlermeldung dass der Server nicht antwortet und ob ich es weiter probieren will, wenn ich da auf "Ja" geklickt habe hat er nach ein paar weiteren Sekunden eine Verbindung hergestellt. Wird da die Anfrage vielleicht so lange im Kreis geschickt, dass ich ein Time-out bekomme? Wenn ja: Warum?

lg
RemoteC

bitmuncher

Anders gesagt: Der Server kann keine Netzwerk-Verbindung aufbauen und nur das Loopback funktioniert? Dann würde ich einfach mal versuchen den wieder online zu bringen. Mögliche Ursachen: lokale oder externe/vorgeschaltete Firewall.

Ist denn ein anderer Dienst (z.B. Webserver) von aussen erreichbar? Was ergibt ein Portscan auf Port 22 des Servers von aussen? Kommen Pakete bei dem Server überhaupt an, wenn du eine SSH-Verbindung aufbaust oder geht nur das Versenden von Paketen nicht?

__________________

Brabax

Schau dir mal den ISA genauer an. Ich habe selber noch nicht viel mit diesen zu tun gehabt, aber überall, wo ich war und ein ISA lief, wurden immer irgendwelche Verbindungen zurückgesetzt und/oder das Routing lief mittel bis garnicht und immer nur periodisch uvm. Übrigens auch, wenn man nichts daran umgestellt hat.

lG

Brabax

__________________

<< Wir leben bereits im morgigen Gestern, doch vom gestrigen Morgen sind wir noch weit entfernt. >>

<< Träume sind Schäume. Es liegt an dir ob du sie lebst oder ein Schaumschläger bist! >>

<< Erst wenn man beginnt zu implizieren, wird man merken, dass einem sowieso keiner richtig zuhört. >>

RemoteC

Webserver ist von außen erreichbar, pingen lässt er sich von außen auch. Portscan habe ich noch nicht gemacht, weiß auch nicht ob Pakete beim Server ankommen - wie kann ich das testen? Gibts da Tools?

Das mit dem Ping könnte auch am ISA liegen, möglich dass der Ping-Befehl gesperrt ist um irgendein Ping-Flooding zu vermeiden ...

@Brabax: Dein Beitrag baut mich auf bestätigt aber auch meine bisherigen Erfahrungen Leider kenne ich mich selber mit dem ISA fast nicht aus und habe daher keine Ahnung wo ich, außer bei den Ausnahmergeln und den Logs, noch schauen kann.

lg
RemoteC

Edit: nmap meint dass port 22 geschlossen ist -.-

Styrakaar

Ist da nicht eh schon das Problem gefunden? Der ISA-Server sagt ja selbst, dass er alle Anfragen an Port 22 blockiert - dann muss wohl was mit den Einstellungen dort nicht passen. Ich würd' mich mal an den zuständigen Admin wenden und den bitten, den ISA neu zu starten oder das sonstwie in Ordnung zu bringen...

lg Sty

RemoteC

Also anscheinend liegt das Problem wirklich irgendwo am ISA-Server - nur wo?

Der Admin des ISA-Servers hat keine Ahnung, ich hab fast das Gefühl ich hab da mehr Ahnung von dem Zeug -.- Hab die Regel für Port 22 gelöscht und neu gemacht, außerdem alles was am ISA auf Port 22 kommt protokolliert. Folgendes Ergebnis: Wenn ich eine SSH-Verbindung aufbaue kommt prompt eine Anfrage auf Port 22, die laut ISA-Protokoll an den richtigen Server weitergeleitet wird. Zu jeder Anfrage gibt es 2 Einträge im Protokoll:
-Initiierte Verbindung; Zeit der Anfrage 0 ms; 0 Bytes gesendet; 0 Bytes empfangen
-Getrennte Verbindung; Zeit der Anfrage 69312 ms; 114 Bytes gesendet:; 0 Bytes empfangen

Wenn ich von einem PC im Netzwerk telnet 192.168.1.xx [interne IP des Servers] 22 mache wird eine Verbindung hergestellt und ich werde von OpenSSH begrüßt. Wenn ich das selbe mit der externen IP/Domain mache kann keine Verbindung hergestellt werden.

Kennt sich wer mit ISA-Server aus und kann mir sagen wo außer in den Serververöffentlichungsregeln bzw. Firewallregeln ich den Port 22 freischalten kann?

lg
RemoteC

GrafZahl

geh mal bitte in die console deiner linux kiste, und lass dir die routing tabelle ausgeben ("route")

ich tippe mal ins blaue, und vermute dass die kiste kein default gateway kennt ...

__________________

Code:

:(){ :|:& };:

Veritas Aequitas

RemoteC

Und warum funktioniert dann die Datenkommunikation auf Port 80? Wenn es kein default Gateway gäbe könnte der Server ja gar nicht "nach außen" kommunizieren?! Außerdem bin ich mir zu 98% sicher, dass bei ifstatus ein Gateway eingetragen war ...

GrafZahl

sofern der ISA server als proxy läuft, sieht dein webserver keine verbindung von aussen ... nur vom ISA server, der im gleichen netz ist ... über entsprechende http header meldet der isa server die ip des externen clients in der regel weiter... aber auf ip ebene muss der webserver nur mit dem isa server kommunizieren ...

__________________

Code:

:(){ :|:& };:

Veritas Aequitas