Follow

Kann mich nicht via IPv6 mit SSH zu meiner OPnsense Firewall verbinden.

* IPv4 SSH: Funktioniert
* IPv6 Ping: Funktioniert
* Firewallregel für IPv6 SSH existiert und ich sehe im Log, dass sie angesprungen wird und die Verbindung durchlässt.
* Vom Client aus: SSH + IPv6 Verbindungen zu anderen Servern funktionieren
* An anderen Clients aus (aus anderen Netzwerken) : Dasselbe Problem.
* SSH Daemon horcht auf korrekte IPv6 Adresse
* SSH Daemon reagiert auf dieser Adresse von localhost aus.

Schön langsam weiß ich nicht mehr weiter

* Clients und ihre Netze sind einwandfrei
* Andere Dienste als SSH gehen mit v6 einwandfrei
* Die Firewall lässt die Verbindung durch
* Der SSH Daemon horcht auf der richtigen Adresse

Was bleibt noch zu überprüfen? 🤔

SSH Client bleibt bei "connecting to ip:port" stehen.

@tsia @dadosch @bionade24 @kuleszdl @_xhr_ @gwenn @alex

Ursache war ein fehlendes "disable reply-to", siehe thomas-krenn.com/de/wiki/OPNse

Wieso das aber nur bei IPv6 gefehlt hat und v4 auch ohne funktioniert, muss ich mir nochmal im Detail ansehen.

@thomas würde erst mal telnet auf port 22 probieren. Dann siehst du zumindest mal ob TCP geht. sshd versucht beim connect auch gerne mal nen reverse lookup der Client IP. Vielleicht klemmt da irgendwas.

@tsia Hmmm ja, das ist ein guter Hinweis. Dem gehe ich mal nach :)

@thomas vielleicht irgendso ne MTU Geschichte? Einmal ist bei mir ne SSH-Session regelmäßig zusammengebrochen, wenn mehr als 5 Zeilen aufeinmal neu hinzugekommen sind...

@dadosch Hm sollte nicht - habe am Netzwerk lange nichts geändert. Aber ausschließen kann ich es auch nicht. Ich checke das mal.

@thomas Auf beiden seiten korrekte ssh configs? Evtl. hast du nur die Server config gecheckt.

@thomas tcpdump auf beiden Seiten und gucken was wirklich passiert.

@thomas Wenn ich blind raten müsste würde ich auch auf die MTU tippen.

@thomas Was sagt auf der OPNsense ein tcpdump auf dem v6 interface mit 'ip6' als Option? Kommt da was an?

@thomas Hmm, d.h. dass der Traffic vom Kernel nicht zum SSHd durchgestellt wird. Irgendeine komische legacy Einstellung mit tcpwrappern oder einer 'lokalen FW'?

@thomas Also lokale FW im Sinne einer Application Firewall, so was AppArmor, Capsicum, selinux. Ich kenne Opnsense nicht, daher rate ich ins Blaue :)

@thomas
interessant... ich hasse sowas xD ich hatte was ähnliches. als ich andere lokale netze ansprechen wollte. da musste ich auch eine bestimmte option aktivieren...
"Filterung statischer Routen Umgehe Firewall Regeln für Verkehr auf der gleichen Schnittstelle "
Die option musste ich aktivieren..

@tsia @dadosch @bionade24 @kuleszdl @_xhr_ @gwenn

Sign in to participate in the conversation
\m/ Metalhead.club \m/

Metalhead.club is a Mastodon instance hosted in Germany and powered by 100% green energy.