Mit ipsec VPN kann kein SSH-Zugriff auf den Computer hergestellt werden


1

Ich habe eine virtuelle Ubuntu-Maschine mit Bridged-Adapter, die für die Verwendung eines IPSec-VPN konfiguriert wurde. Ich kann SSH problemlos in den Computer einbinden, aber wenn ich das VPN einschalte, kann ich nicht. Durch den VPN-Tunnel reagiert der Linux-Computer auch nicht mehr auf Pings. Der VM kann nicht einmal sein eigenes Gateway anpingen. Mein VPN-Anbieter bietet keine Portweiterleitung an. Welche Befehle kann ich eingeben, um sicherzustellen, dass ich bei aktivem VPN weiterhin SSH über das lokale Netzwerk ausführen kann?

Hier ist die Ausgabe des Initiierens des Tunnels von SSH und des Versuchs, ihn als Socks-Proxy zu verwenden:

$ ssh -D 8123  -C -q -t -v ubuntu@192.168.1.27 "sudo ipsec up NordVPN"

authentication of 'us993.nordvpn.com' with EAP successful
IKE_SA NordVPN[9] established between 192.168.1.27[192.168.1.27]...23.81.21.124[us993.nordvpn.com]
scheduling reauthentication in 10085s
maximum IKE_SA lifetime 10625s
installing DNS server 78.46.223.24 via resolvconf
installing DNS server 162.242.211.137 via resolvconf
handling INTERNAL_IP4_NETMASK attribute failed
installing new virtual IP 10.6.6.231
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 3: new [dynamic-tcpip]
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 4: new [dynamic-tcpip]
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 5: new [dynamic-tcpip]
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 6: new [dynamic-tcpip]
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 7: new [dynamic-tcpip]
debug1: Connection to port 8123 forwarding to socks port 0 requested.
debug1: channel 8: new [dynamic-tcpip]
packet_write_wait: Connection to 192.168.1.27 port 22: Broken pipe

ssh -v wenn der tunnel gerade schon mal raus ist.

Nichts Besonderes in sshd_config?

Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 1024
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
PermitRootLogin prohibit-password
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes

sudo iptables -vpL (ob das VPN aktiv oder inaktiv ist):

Chain INPUT (policy ACCEPT 41 packets, 9581 bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
Chain OUTPUT (policy ACCEPT 37 packets, 6921 bytes)
 pkts bytes target     prot opt in     out     source               destination

Sie müssen herausfinden, wo das Problem liegt. Übergeben Sie SSH die -v-Direktive und teilen Sie uns mit, was darin steht. Wenn Sie eine Kopie Ihrer / etc / ssh / sshd_config-Datei vom Server und von iptables -vnL bereitstellen, können wir uns die serverseitigen Konfigurations- und Firewall-Regeln ansehen und möglicherweise einen Einblick in das Problem geben. Das Problem könnte auch ein MTU-Problem sein.
davidgo

hey danke @davidgo. hat die angeforderten Informationen gepostet. Lass mich wissen was du denkst!
Walrus the Cat

@davidgo fügte ein paar Informationen hinzu: Durch den VPN-Tunnel reagiert die Linux-Maschine auch nicht auf Pings. Die VM kann nicht einmal ein eigenes Gateway anpingen.
Walrus the Cat

Ich vermute, wenn Sie den IPSec-Tunnel aufrufen, ändert sich das Routing, sodass Sie nicht mehr über Ihre ursprüngliche Verbindung auf die Box zugreifen können. Eine Lösung besteht darin, dem Befehl ipsec einen Befehl voranzustellen, der die Adresse Ihres Hauses (oder Ihres Büros) über die Ethernet-Schnittstelle weiterleitet, sodass die Route nach dem Ersetzen des Standard-Gateways immer noch ihren Weg zurückfindet.
davidgo

es weist mir anscheinend eine interne IP eines anderen Schemas zu 10.0.0.26 was ich pingen kann, und ich kann meine eigene ip pingen 192.168.1.27 aber ich kann nicht ping 192.168.1.1 . Welche Befehle könnten Sie eingeben, um das Problem zu beheben?
Walrus the Cat
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.