Posts by max_871871

    Nein, Du wirst es nicht glauben, aber ich benutze (aus Gründen der Redundanz) ssh via Internet _und_ ssh via WG-VPN _und_ telnet-ssl via WG-VPN. Aber der 1. Schitt ist m. E. das ssh und wenn das funktioniert, kann man es auch in einem VPN unterbringen.

    und wie mache ich jetzt weiter. Also dass ich von wo anders (aus einem anderen Netzwerk) auf den Pi per SSH komme?

    Gut, aber genau so wichtig wie das Ergebnis, ist immer auch eine Mitteilung von dir, von wo Du diesen Portscan gemacht hast.


    Und Du hast ja nicht nur einen v4-Portscan gemacht, sondern auch einen v6-Portscan (lt. deinem Beitrag oben):

    Code
    Connection to 2001:871:264:d58f:18aa:189d:5980:83f3 22 port [tcp/ssh] succeeded!

    gemacht. Auch bei diesem Portscan fehlt der Hinweis, von wo aus Du das gemacht hast.

    einfach aus dem Mac Terminal unter pi@ip

    Von wo hast Du diesen v6-Portscan gemacht? Aus dem (v6-)Internet oder aus deinem privaten Subnetz?

    jetzt musst Du auf deinem PI noch den v6-fähigen ddclient installieren und mit Hilfe der /etc/dhcpcd.conf, eine statische/feste Interface-ID (betr. die v6-Portfreigabe in der v6-Firewall deines Routers) für die externe/öffentliche IPv6-Adresse deines PI, konfigurieren. Die PEs (privacy extensions) auf deinem PI, kannst Du deaktivieren.

    Vorher musst Du aber bzgl. Sicherheit und Authentifizierung (am besten das pubkey-Verfahren benutzen), den sshd-Server und den ssh-Client richtig konfigurieren.

    den portscan habe ich mit dem Befehl: nc -zv 91.115.194.116 22 den du mir geschickt hast gemacht

    Von wo hast Du diesen v6-Portscan gemacht? Aus dem (v6-)Internet oder aus deinem privaten Subnetz?

    jetzt musst Du auf deinem PI noch den v6-fähigen ddclient installieren und mit Hilfe der /etc/dhcpcd.conf, eine statische/feste Interface-ID (betr. die v6-Portfreigabe in der v6-Firewall deines Routers) für die externe/öffentliche IPv6-Adresse deines PI, konfigurieren. Die PEs (privacy extensions) auf deinem PI, kannst Du deaktivieren.

    Vorher musst Du aber bzgl. Sicherheit und Authentifizierung (am besten das pubkey-Verfahren benutzen), den sshd-Server und den ssh-Client richtig konfigurieren.

    okay. Kannst du mir die Command schreiben?

    Naja, alle sind nicht unbekannt. dig hat ja funktioniert. Und mit nc wäre es deine jetzige externe IPv4-Adresse, aber das hat nicht funktioniert weil Du den prompt ":~$" mit kopiert hast. Ist auch nicht relevant, weil Du aus deinem eigenen Subnetz gescannt hättest.

    Die andere Zeile war eine Ausgabe und nicht als Eingabe geeignet.

    Sonst, wie ich bereits geschrieben habe, kann es mit c&p, in der Kommandozeile immer wieder Probleme geben. In so einem Fall, die Eingabe manuell machen

    habs:

    Connection to 2001:871:264:d58f:18aa:189d:5980:83f3 22 port [tcp/ssh] succeeded!

    und nun?

    Du musst dnsutils auf deinem Pi installieren:

    Code
    sudo apt-get install dnsutils

    oder host benutzen:

    Code
    host myip.opendns.com 2620:0:ccc::2

    Siehe auch EDIT2 oben.

    alle kommands unbekannt.


    pi@raspberrypi:~ $ dig -6 aaaa +short myip.opendns.com @2620:0:ccc::2

    2001:871:264:d58f:18aa:189d:5980:83f3

    pi@raspberrypi:~ $ :~$ nc -zv 91.115.194.116 22

    -bash: :~$: command not found

    pi@raspberrypi:~ $ Connection to 91.115.194.116 22 port [tcp/ssh] succeeded!

    -bash: Connection: command not found

    pi@raspberrypi:~ $

    Wenn Du nur IPv6 benutzen willst, dann mach in der v6-Firewall der FB nur eine Portfreigabe auf die (statische?) interface-ID der externen IPv6-Adresse deines PI (als border device). Eine Portweiterleitung für IPv4 brauchst Du dann nicht.

    Die externe IPv6-Adresse deines PI kannst Du auch dem PI feststellen, mit z. B.:

    Code
    host myip.opendns.com 208.67.222.222

    das ist die Antwort das:

    host myip.opendns.com 208.67.222.222

    Using domain server:

    Name: 208.67.222.222

    Address: 208.67.222.222#53

    Aliases:


    myip.opendns.com has address 91.115.194.116

    Dann ist entweder tcpdump nicht installiert oder Du hast copy&paste gemacht:

    Code
    sudo apt-get install tcpdump

    und alles manuell eingeben (d. h. kein copy&paste).

    Die IP-Adresse vom PI bekommst Du mit "ip a". Hast Du in deiner FB, an die falsche Ip weitergeleitet?

    jezt hat er etwas gefunden. das hier:


    sudo tcpdump -c 50 -vvveni eth0 port 22 and 'tcp[13] & 2!=0'

    tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes

    11:36:56.902020 dc:a6:32:b2:d1:1c > 74:42:7f:b2:42:98, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 60)

    192.168.178.54.22 > 61.177.173.13.24204: Flags [S.], cksum 0x5dcc (incorrect -> 0x67eb), seq 43180331, ack 1989741050, win 65160, options [mss 1460,sackOK,TS val 1936071559 ecr 2521865132,nop,wscale 7], length 0

    11:37:09.062021 dc:a6:32:b2:d1:1c > 74:42:7f:b2:42:98, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 60)

    192.168.178.54.22 > 61.177.173.13.38819: Flags [S.], cksum 0x5dcc (incorrect -> 0x82e1), seq 241209331, ack 2844957893, win 65160, options [mss 1460,sackOK,TS val 1936083719 ecr 2521864132,nop,wscale 7], length 0

    11:37:13.552040 dc:a6:32:b2:d1:1c > 74:42:7f:b2:42:98, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 60)

    192.168.178.54.22 > 61.177.173.13.24204: Flags [S.], cksum 0x5dcc (incorrect -> 0x26e1), seq 43180331, ack 1989741050, win 65160, options [mss 1460,sackOK,TS val 1936088209 ecr 2521865132,nop,wscale 7], length 0