не удается подцепится по ssh

[Shumsky]

Итак, суть такова: имею шлюз с белым ip. Почему-то не выходит подцепится к нему по ssh (к слову http сервер (nginx) тоже ничего не отдает). Коннект к миру идёт через PPPOE.
Конфиги\логи:
/usr/local/etc/mpd5/mpd.conf

Код: Выделить всё

default:
	load pppoe_client
pppoe_client:
#
# PPPoE client: only outgoing calls, auto reconnect,
# ipcp-negotiated address, one-sided authentication,
# default route points on ISP's end
#

	create bundle static B1
	set iface route default
	set ipcp ranges 0.0.0.0/0 0.0.0.0/0
	
	create link static L1 pppoe
	set link action bundle B1
	set auth authname authname
	set auth password password
	set link max-redial 0
	set link mtu 1460
	set link keep-alive 10 60
	set pppoe iface ed1
	set pppoe service "service"
	open

/var/log/auth.log

Код: Выделить всё

Sep  4 15:05:25 gateway sshd[1789]: Did not receive identification string from ***.***.***.***

/var/log/nginx-access.log

Код: Выделить всё

***.***.***.*** - - [04/Sep/2011:15:50:14 +0300] "GET / HTTP/1.1" 200 151 "-" "Opera/9.80 (X11; Linux i686; U; en) Presto/2.9.168 Version/11.51"

Код: Выделить всё

00010  24645  1770031 divert 8668 ip from 192.168.0.0/24 to any out via ng0
00020  18607  3303607 divert 8668 ip from any to me in via ng0
00030 134726 29222559 allow ip from any to any
65535      3      704 deny ip from any to any

Пинги с внешнего мира идут, порты видятся. Попытки коннекта заканчиваются робовой птицей обломинго. Ситуации аналогичные как с GENERIC, так и с самосборным ядров. Куда копать?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[rmn]

как нат сконфигурен?

Если ssh и web-серверы на шлюзе, не надо пускать пакеты к ним в нат. Поставь

Код: Выделить всё

allow ip from any to me 22 in
allow ip from any to me 80 in
allow ip from me to any out

перед дивертами.

[Shumsky]

# ipfw show
00001 735 56984 allow ip from any to me dst-port 22 in
00002 0 0 allow ip from any to me dst-port 80 in
00003 23 2188 allow ip from me to any out
00010 56737 31655606 divert 8668 ip from 192.168.0.0/24 to any out via ng0
00020 40811 6378994 divert 8668 ip from any to me in via ng0
00030 250439 94102303 allow ip from any to any
65535 3 704 deny ip from any to any

вот так сейчас все выглядит... Результат - ноль.
Пакеты идут, логи пишутся, но от меня - молчок

[snorlov]

попробуйте указать имя интерфейса ng0, либо дать from any to any dst-port 22. Если сработает, то можно двигаться дальше

[rmn]

Shumsky
а ssh настроен? Указана опция AllowUsers (и PermitRootLogin yes)?

[Shumsky]

попробуйте указать имя интерфейса ng0, либо дать from any to any dst-port 22. Если сработает, то можно двигаться дальше

не помогает.

Shumsky
а ssh настроен? Указана опция AllowUsers (и PermitRootLogin yes)?

ну, я-то с домашнего ящика на шлюз захожу легко и непринужденно, вот в чем бида. а PermitRootLogin - по меньшей мере глупо, ибо негоже по ssh сразу-же на рутовый аккаунт ломится

[Shumsky]

да, раньше у нас была вот какая неинтересная система: исходящий траффик шел по одному каналу, входящий - по другом, плюс по каждому из каналов шли только определённые пакеты. Как сейчас - хз, необходимо будет у шефа уточнить. Может-ли быть беда в этом?

[bagas]

если пинги идут и порты видятся, то значит с авторизацией ssh. Возможно что то с сертификатом.
Видно , что пакеты бегают.

Код: Выделить всё

ssh -vv -l user 192.168.1.2

покажи те вывод.

[Shumsky]

Код: Выделить всё

%ssh -w -l Wagner 192.168.0.1
Bad tun device '-l'

[bagas]

я вас поросил вывести лог поднятия соединения до удаленной машины ключь -vv
а не организация туннеля между устройствами tun. -w

[Shumsky]

Код: Выделить всё

OpenSSH_5.9p1 Debian-1, OpenSSL 1.0.0e 6 Sep 2011
debug1: Reading configuration data /home/komar/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 46.98.187.233 [46.98.187.233] port 22.
debug1: Connection established.
debug3: Incorrect RSA1 identifier
debug3: Could not load "/home/komar/.ssh/id_rsa" as a RSA1 public key
debug1: identity file /home/komar/.ssh/id_rsa type 1
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-4095
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-4095
debug1: identity file /home/komar/.ssh/id_rsa-cert type -1
debug1: identity file /home/komar/.ssh/id_dsa type -1
debug1: identity file /home/komar/.ssh/id_dsa-cert type -1
debug1: identity file /home/komar/.ssh/id_ecdsa type -1
debug1: identity file /home/komar/.ssh/id_ecdsa-cert type -1

[slb51]

А вот так попробуй:

Код: Выделить всё

${fwcmd} add allow ip from any to any 22 in via ${if_out}
${fwcmd} add allow ip from any 22 to any out via ${if_out}

У меня работает.