Conexión SSH a servidor

Joex
Mi vida cambió con el ADSL
Conexión SSH a servidor

Hola buenas,

 

Llevo ya tiempo con este problema. Hablé con los de Movistar y me vinieron a cambiar el router y cuando hice la prueba de conexión al servidor conectándome a la IP pública funcionó, PERO estaba dentro de mi red.

 

Es decir, teóricamente la configuración es correcta y estando en mi red, me puedo conectar desde cualquier dispositivo y sea a la IP local, o a la pública funciona. Pero cuando lo hago desde el móvil tirando de datos y haciendo ssh a la IP pública, me da la opción de meter el usuario y la contraseña, pero me sale "Acces Denies". Igual me pasa desde cualquier equipo conectado a otra red, me deja hacer la conexión, pero a la hora de validar el usuario y la contraseña, me sale el mismo mensaje de acceso denegado.

 

¿Alguien sabe qué puede estar pasando?

 

PD: Sí, tambien he probado a cambiar de puerto. Dentro de mi red funciona, fuera no.

 

Muchas gracias y un saludo.

Mensaje 1 de 37
16.001 Visitas
36 RESPUESTAS 36
Joex
Mi vida cambió con el ADSL

Up. 

Mensaje 2 de 37
14.827 Visitas
zobex
Yo probé el VDSL

no tendras un comtrend vg-8050?? si es asi , tiene un bug que no deja a veces ver los dispositivos dentro de la red local....

Mensaje 3 de 37
14.809 Visitas
Joex
Mi vida cambió con el ADSL

Efectivamente tengo ese modelo. Me lo cambió movistar recientemente al suponer que otro problema que tenía con lo del ssh, era achacable al router. 

¿Y que debería hacer, actualizo el firmware, llamo a movistar para que me lo cambien OTRA vez?

 

 

Mensaje 4 de 37
14.807 Visitas
bondwell
Yo probé el VDSL

Los técnicos de movistar... ya sabes como arreglan siempre el problema, sea cual sea la causa y naturaleza, vienen con su kit de router nuevo.

 

No hacen otra cosa, siempre lo arreglan montando un ruoter nuevo, y que dependiendo de tu buenaventura será mejor o peor.

 

Pero en serio, olvídate de que te asesoren de verdad, alguien que sepa, porque estos señores que vienen a reparar las averias saben menos que tú.

Mensaje 5 de 37
14.806 Visitas
zobex
Yo probé el VDSL

yo se que ese router es basatante malo , yo tengo un problema similar con mi NAS y  no puedo acceder via wifi a el  , pero por lan si , la recomendación es aunque suene mal es comprar un router compatible con fibra (no todos los modelos valen) , es una inversión no muy grande , pero de olvidaras de la luz roja de cortes y problemas extraños de este router

Mensaje 6 de 37
14.793 Visitas
mad7
Yo probé el VDSL

No es por nada, pero tiene pinta de que tienes algo mal configurado en tu servidor.

Yo tengo acceso SSH remoto a varios servidores con el VG-8050 (versión C07_R03).

 

Si te da la opción de meter el usuario y el password es que se ha conectado realmente al servidor. El mensaje Access Denied lo da el servidor, no el router. Revisa tu configuración del SSH (lo mismo sólo tienes permitidas las conexiones locales).

 

Saludos.

Mensaje 7 de 37
14.785 Visitas
Joex
Mi vida cambió con el ADSL

Hola mad7, 

 

teóricamente, la configuración que tengo del servidor es la estándar, que se supone que con esa, ya debería permitir la conexión. En cualquier caso, ¿me podrías indicar cuál debería ser la configuración adecuada para la conexión remota al servidor? 

 

Muchas gracias.

Mensaje 8 de 37
14.778 Visitas
Joex
Mi vida cambió con el ADSL

INFORMACIÓN NUEVA:

 

siguiendo la recomendación del técnico de Movistar, activando el DMZ, me deja hacer la conexión, pero con esta opción desactivada, no.

Entonces, eso puede significar que haya que abrir algún puerto más. Lo cual no entiendo porque el 22 que tengo por defecto ya está abierto (incluso si hago el escáner de puertos me aparece como abierto) y todas las conexiones las hago a través de él. 

 

¿Alguno tiene alguna idea?

Mensaje 9 de 37
14.768 Visitas
bondwell
Yo probé el VDSL

Te voy a ayudar.

 

Si tu servidor es accesible SOLO desde fuera usando DMZ, es decir, desviando todo el tráfico sin NAT a una IP LOCAL (la del servidor) es porque tienes mal configurado el NAT (MAPA DE PUERTOS).

 

Tienes que configurar NAT correctamente, añadir el puerto que deseas abrir en el router, para que desde fuera desvie el puerto NAT x al puerto Y de la IP LOCAL.

 

Por ejemplo:

 

Tengo ip publica 2.2.100.10

 

El servidor (un HTTP por ejemplo) en ip local 192.168.1.5

 

En el router podemos hacer DMZ a la 192.168.1.5 (lo cual es peligroso e inseguro).

 

Lo recomendado:

 

Entramos en NAT (TAMBIEN EN EL PANEL DE CONFIGURACION DEL ROUTER);

 

y asignas el puerto HTTP (el 80) de entrada a la IP 192.168.1.5 puerto 80.

 

Guardas configuración y a funcionar bien.

 

Desde fuera podrás entrar a tu servidor a través de tu firewall. Y lo bueno es que sigues bloqueando los demás puertos, solo permitirá tráfico por el 80, en cambio, con DMZ te expones completamente.

 

PD:

 

1. Esto no te lo van  explicar los "ingenieros" de movistar.

2. Desactiva el control ALEJANDRA.

 

 

Mensaje 10 de 37
14.759 Visitas
mad7
Yo probé el VDSL

Pues estás en lo cierto, yo sólo tengo abierto el puerto 22.

Partiendo de que entonces el servidor está bien configurado porque funciona con DMZ... ¿Cómo abres el puerto 22? ¿desde Alejandra o en local?

 

Saludos.

Mensaje 11 de 37
14.755 Visitas
Joex
Mi vida cambió con el ADSL

Esa configuración ya la tengo hecha. Tengo abierto el mismo puerto por el que escucha el servidor, en el NAT del router.

 

Lo que estoy pensando que puede suceder, es que al hacer la conexión ssh al router, este se piensa que es para la administración del mismo y esté buscando usuarios suyos y no del servidor mío. No sé si me he explicado bien con lo último.

Mas extenso sería:

 

Cuando hago conexión ssh a la ip del router (192.168.1.1), me pide un usuario y una contraseña, que al yo no conocer esas credenciales y probar con el usuario de mi servidor, me de vuelve Access Denied. 

 

Muy raro todo esto de los routers de movistar.

Mensaje 12 de 37
14.752 Visitas
Joex
Mi vida cambió con el ADSL

En local. Lo tengo desvinculado del portal.

Mensaje 13 de 37
14.752 Visitas
bondwell
Yo probé el VDSL

Desactiva el servicio SSH de tu router,porque es el que impide que funcione bien. ¿has probado con usar otro puerto?  es más seguro mapear a otro puerto y así nadie intentará entrar.

 

Por ejemplo:

 

Puerto 2200 - 0.0.0.0  al 192....IPSSH  puerto 22

 

De manera que localmente accedes a la IP LOCAL puerto 22 y entras en ssh

 

Y desde fuera :   dominio : 2200   (puerto 2200) y entras tambien al servidor

Mensaje 14 de 37
14.744 Visitas
Joex
Mi vida cambió con el ADSL

Sí, lo he intentado porque he visto desde wireshark que mi ordenador estando en local hace la conexión desde un puerto diferente al 22, y luego entra por éste al servidor y realiza la conexión. Entonces al configurarlo en la sección NAT por si desde fuera hiciese algo parecido, me sale el siguiente error:

error.png

Mensaje 15 de 37
14.740 Visitas
bondwell
Yo probé el VDSL

No se ve la imagen.

 

Otra cosa:

 

¿Como haces las pruebas? 

 

Normalmente no puedes probar el acceso por la IP publica desde la misma red. Tienes que usar otro acceso a internet distinto, alguien que te ayude desde otro lugar, con otra ADSL o fibra optica diferente.

 

Mensaje 16 de 37
14.733 Visitas
Joex
Mi vida cambió con el ADSL

Nada, me dice que "External Port Range [1200-22] is invalid".

 

Pues me conecto desde el móvil con un cliente ssh. Conectado al wifi me conecta y tirando de datos no. En cambio, cuando he activado el DMZ, me he conectado. Todo desde el móvil, así que sé que la aplicación no es el problema.

Mensaje 17 de 37
14.732 Visitas
bondwell
Yo probé el VDSL

Las pruebas debes hacerlas desde fuera con otra conexión de internet.

Mensaje 18 de 37
14.725 Visitas
mad7
Yo probé el VDSL

Te has explicado perfectamente. Estaba pensando lo mismo, que lo mismo accedes al router en lugar de a tu servidor.

Yo es que saqué el router de Alejandra y lo configuré a mano desde el WEB GUI.

 

Puedes hacer una prueba (si quieres, claro): sacar el router de Alejandra cambiando el password de gestión del router, y después accedes por SSH con usuario 1234 y tu nuevo password. Si accedes (en este cas al router), entonces es que podría haber algún problema entre Alejandra y el router Comtrend al abrir el puerto de SSH.

 

Mensaje 19 de 37
14.724 Visitas
Joex
Mi vida cambió con el ADSL

Sí, si lo hago desde el móvil conectado al 3G.

Mensaje 20 de 37
14.722 Visitas
bondwell
Yo probé el VDSL

Lo del error en el rango lo entenderás mejor con ejemplos bien hechos:

 

NAT para un servidor ssh

 

External port  Start:  2200

External port  End:  2200

Protocol:  TCP

Internal Port Start: 22

Internal Port End: 22

Server IP: 192.168.x.x (esta es la IP del servidor SSH en tu red local).

 

Esto significa que desviamos los puertos del rango 2200 al 2200 a la IP 192.168.x.x y puertos locales 22 al 22, si te das cuenta no estamos realmente definiendo rangos, porque van del puerta al mismo puerto.

 

Si queremos permitir entrada por los puertos 22, 80, podemos abrir un rango

 

 

External port  Start:  20

External port  End:  100

Protocol:  TCP

Internal Port Start: 20

Internal Port End: 100

Server IP: 192.168.x.x (esta es la IP del servidor SSH en tu red local).

 

En este ejemplo abrimos el rango 20 al 100, todo lo que entra por puertos 20 al 100 (incluidos 22, 80 etc) van a la IP 192.168.x.x.

 

Y para hacer pruebas siempre desde otra conexión de internet, o desde el movil usando 3G o similar, no sirve WIFI porque usa tu propia conexión donde está localmente el servidor.

Mensaje 21 de 37
14.720 Visitas
Joex
Mi vida cambió con el ADSL

No se me había ocurrido meter ese usuario y contraseña, pero como sospechabas y como acabo de confirmas, efectivamente accedo a la configuración del router por consola. Llegados a este punto, ¿cuál puede ser el problema y/o la solución?

Mensaje 22 de 37
14.718 Visitas
mad7
Yo probé el VDSL

Si ya has sacado el router de Alejandra, entra con usuario 1234 / tu-password al WEB GUI del router http://192.168.1.1.

Ve al apartado Advanced Setup / NAT / Virtual Servers y abres el puerto 22 hacia tu servidor (ojo, asegúrate de que seleccionas el interfaz PPP).

 

 

 

Mensaje 23 de 37
14.706 Visitas
Joex
Mi vida cambió con el ADSL

[....], es verdad, fallo mío. Así funciona, pero me rechaza la conexión igualmente.

Mensaje 24 de 37
14.706 Visitas
Joex
Mi vida cambió con el ADSL

Sí, eso ya lo tengo hecho, pero debe estar entrando en conflicto con la configuración del router y me redirije a la ip del router en vez de a la ip de mi servidor. Eso haciendo ssh a la ip pública desde el móvil tirando de 3G. 

Mensaje 25 de 37
14.702 Visitas