FritzBox blockiert SSH-Verbindungen zu einer bestimmten Gegenstelle

[letzter3]

Moin.
Ganz seltsame Situation. Seit Jahren dasselbe Setup:
FritzBox 6590 Cable stellt im Heimnetzwerk den Internetzugang zur Verfügung.
Seit ein paar Tagen ist der Zugriff per SSH und VPN aus dem Heimnetzwerk von keinem client (Handy im WLan, PC per Kabel, Laptop etc.) aus auf einen bestimmten SSH/OpenVPN-Server (ABC.myfritz.net) nicht mehr möglich.

Der ABC.myfritz.net SSH/OpenVPN-Server ist aber aus allen anderen Netzen erreichbar.

Code: Alles auswählen

traceroute to ABC.myfritz.net (95.90.84.XY), 30 hops max, 60 byte packets
 1  _gateway (192.168.0.1)  0.255 ms  0.265 ms  0.272 ms
 2  * * *
 3  * * *
...
28  * * *
29  * * *
30  * * *

Ich kann aus dem Heimnetzwerk auf beliebige andere SSH/OpenVPN-Server zugreifen.

Code: Alles auswählen

traceroute to sdf.org (205.166.94.16), 30 hops max, 60 byte packets
 1  _gateway (192.168.0.1)  0.232 ms  0.174 ms  0.174 ms
 2  ip5f5a54fc.dynamic.kabel-deutschland.de (95.90.84.252)  19.185 ms ip5f5a54fd.dynamic.kabel-deutschland.de (95.90.84.253)  19.176 ms  19.159 ms
 3  ip53a9b4e7.static.kabel-deutschland.de (83.169.180.231)  20.321 ms  20.286 ms ip53a9b4e2.static.kabel-deutschland.de (83.169.180.226)  20.249 ms
 4  145.254.3.196 (145.254.3.196)  28.869 ms 145.254.3.192 (145.254.3.192)  28.831 ms 145.254.3.196 (145.254.3.196)  29.812 ms
 5  ae9-100-xcr1.hac.cw.net (195.89.99.1)  33.830 ms  33.794 ms  33.756 ms
 6  ae9-100-xcr1.hac.cw.net (195.89.99.1)  32.710 ms  32.272 ms  33.279 ms
 7  ae9.pcr1.aet.cw.net (195.2.22.246)  40.945 ms  34.108 ms  34.055 ms
 8  ae20-xcr2.nyk.cw.net (195.2.8.89)  110.771 ms  110.584 ms  110.523 ms
 ^C

Das Problem scheint an meiner FritzBox zu liegen, aber da wurde die letzten Monate nix geändert.
Das letzte Firmwareupdate auf 7.57 ist vom 07.09.2023.
Ein Neustart der Box hat auch nix geholfen.
Eine Suche mit "fritzbox 6590 blockiert ausgehende ssh" brachte keine Ergebnisse.
Völlig ratlos, kann mich mal jemand schubsen?

[mat6937]

Code: Alles auswählen

traceroute to ABC.myfritz.net (95.90.84.XY), 30 hops max, 60 byte packets

Unter diesem Subnetz antworten 2 Server:

Code: Alles auswählen

:~# scanssh -n 22 -s ssh 95.90.84.0/24
95.90.84.113:22 <refused>
95.90.84.72:22 SSH-2.0-OpenSSH_9.2p1 Debian-2+deb12u2

[letzter3]

Ja, sag ich doch.
Aus allen Netzen ausser meinem Heimnetz ist der SSH-Server erreichbar.
Ich erreiche aus meinem Heimnetz auch andere SSH-Server, halt nur den einen (ist mein eigener an einem anderen Standort) nicht.

[mat6937]

Ich erreiche aus meinem Heimnetz auch andere SSH-Server, halt nur den einen (ist mein eigener an einem anderen Standort) nicht.

Meinst Du diesen 95.90.84.72:22?
Versuch mal mit tcp, statt mit icmp:

Code: Alles auswählen

nc -zv -w 5 95.90.84.72 22

[letzter3]

Das wird jetzt seltsam....
Fehler.

Code: Alles auswählen

traceroute to 95.90.84.72 (95.90.84.72), 30 hops max, 60 byte packets
 1  _gateway (192.168.0.1)  0.272 ms  0.213 ms  0.200 ms
 2  ip5f5a54fc.dynamic.kabel-deutschland.de (95.90.84.252)  18.658 ms  28.506 ms  29.533 ms
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

Erfolg

Code: Alles auswählen

nc -zv -w 5 95.90.84.72 22
Connection to 95.90.84.72 22 port [tcp/ssh] succeeded!

Erfolg

Code: Alles auswählen

ssh -v -i .ssh/key_rsa USER@95.90.84.72
OpenSSH_9.6p1, OpenSSL 3.2.0 23 Nov 2023
....
Linux ptLWL01 6.1.0-18-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.76-1 (2024-02-01) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have mail.
Last login: Fri Feb 16 22:26:09 2024 from 95.90.84.135
letzter@ptLWL01:~$ exit

Erfolg

Code: Alles auswählen

ssh -v -i .ssh/key_rsa USER@ABC.myfritz.net  
OpenSSH_9.6p1, OpenSSL 3.2.0 23 Nov 2023
....
Linux ptLWL01 6.1.0-18-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.76-1 (2024-02-01) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have mail.
Last login: Thu Feb 22 23:52:26 2024 from 95.90.84.113
letzter@ptLWL01:~$ exit
Abgemeldet

Fehler

Code: Alles auswählen

 traceroute ABC.myfritz.net
traceroute to AB.myfritz (95.90.84.72), 30 hops max, 60 byte packets
 1  _gateway (192.168.0.1)  0.262 ms  0.224 ms  0.229 ms
 2  ip5f5a54fc.dynamic.kabel-deutschland.de (95.90.84.252)  17.626 ms  25.752 ms  25.738 ms
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * *^C

Fehler

Code: Alles auswählen

traceroute to 95.90.84.72 (95.90.84.72), 30 hops max, 60 byte packets
 1  _gateway (192.168.0.1)  0.265 ms  0.215 ms  0.224 ms
 2  ip5f5a54fd.dynamic.kabel-deutschland.de (95.90.84.253)  20.736 ms  20.711 ms  28.532 ms
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  *^C

[letzter3]

Dass lässt ja jetzt nichtmal auf ein Namensauflösungsproblem schliessen, da das traceroute auf die IP ja trotzdem fehlschlägt.

[mat6937]

Erfolg

Code: Alles auswählen

nc -zv -w 5 95.90.84.72 22
Connection to 95.90.84.72 22 port [tcp/ssh] succeeded!

Der Ping/traceroute (icmp) ist nicht wichtig.
Die FBen können für den stealth-Mode konfiguriert sein und dann gibt es meistens Probleme mit icmp.

[letzter3]

Und das verwirrt...

Code: Alles auswählen

nc -zv -w 5 ABC.myfritz.net 22
nc: connect to ABC.myfritz.net (2a02:8109:8000:63::249) port 22 (tcp) timed out: Operation now in progress
Connection to ABC.myfritz.net (95.90.84.72) 22 port [tcp/ssh] succeeded!

[letzter3]

Erfolg

Code: Alles auswählen

nc -zv -w 5 95.90.84.72 22
Connection to 95.90.84.72 22 port [tcp/ssh] succeeded!

Der Ping/traceroute (icmp) ist nicht wichtig.
Die FBen können für den stealth-Mode konfiguriert sein und dann gibt es meistens Probleme mit icmp.

Stimmt. Sind sie auch.

[mat6937]

Und das verwirrt...

Code: Alles auswählen

nc -zv -w 5 ABC.myfritz.net 22
nc: connect to ABC.myfritz.net (2a02:8109:8000:63::249) port 22 (tcp) timed out: Operation now in progress
Connection to ABC.myfritz.net (95.90.84.72) 22 port [tcp/ssh] succeeded!

Das verwirrt nicht und liegt an der Koexistenz von IPv4 + IPv6.
Registriere v6ABC.myfritz.net (für nur aaaa-Record) und v4ABC.myfritz.net (für nur a-Record) und schon herrscht Ordnung.

[letzter3]

Auf einmal funktioniert alles wieder
Merke: Hast du ein unerklärliches Problem, poste es im Debianforum und es löst sich von selbst auf.....

Danke.

[letzter3]

Das verwirrt nicht und liegt an der Koexistenz von IPv4 + IPv6.

Stimmt, bei genauem Lesen sehe ich es jetzt auch.

Registriere v6ABC.myfritz.net (für nur aaaa-Record) und v4ABC.myfritz.net (für nur a-Record) und schon herrscht Ordnung.

Das geht m.E. nicht. Habe dort keine Domain zum Verwalten, nutze nur den dyndns vom AVM um auf den dahinter liegenden Server zuzugreifen.

EDIT: Du meinst das?

Das IPv6-Rebind-Schutz-"Problem"
Wenn nun alles eingerichtet ist und der Aufruf des eigenen Dienstes aus dem Internet per IPv6 (über den Namen) funktioniert, stellt man eventuell fest, dass es am eigenen Client nicht funktioniert. Hier schlägt dann der DNS-Rebind-Schutz der FritzBox zu. Diese Funktion der FritzBox verhindert es, dass aus öffentlichen DNS-Quellen Antworten an Euch weitergeleitet werden, deren IP-Angabe auf eine interne IP im Heimnetz zeigt. Bei IPv4 ist diese Situation eher nicht zu erwarten und wenn, dann ist sie in vielen Fällen tendenziell böswillig. Daher auch dieser Schutzmechnismus.
Bei IPv6 und der abweichenden Archtitektur hingegen ist diese Situation nicht unüblich. Im DNS AAAA-Record für unser "Server" steht ja wirklich seine öffentliche IPv6 drin und diese befindet sich auch tatsächlich in unserem Heimnetz. Es sind also alle Bedingungen erfüllt, damit der DNS-Rebind-Schutz aktiv wird.

Unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen findet ihr ein Eingabefeld für den DNS-Rebindschutz. Hier tragt ihr den korrekten Namen (FQDN) Eures Dienstes ein. Anschließend lässt die FritzBox auf DNS-Anfragen für diesen Namen zu, selbst wenn sie eine IP aus dem Heimnetz liefern.

https://forum.heimnetz.de/threads/tueck ... zbox.2186/

[letzter3]

Muss das dann so aussehen?

https://avm.de/service/wissensdatenbank ... bgewiesen/

Ich bin davon ausgegangen, dass sowas nicht geht.
Siehe auch (deine Beiträge) unter viewtopic.php?t=186911

[mat6937]

Du meinst das?

Nein. Ich meine, MyFritz nicht zu benutzen und bei einem guten dyndns-Provider, a-Records und aaaa-Records zu registrieren.
Der dns-rebind-Schutz ist doch nur beim Zugriff aus dem Heimnetz relevant, oder?

BTW: Bzgl. Koexistenz von IPv6+IPv4 (dual-stack), siehe auch: https://en.wikipedia.org/wiki/Happy_Eyeballs

[letzter3]

Also es geht tatsächlich auch mit myfritz. Wie lange es diese Möglichkeit schon gibt, weiss ich nicht.

ssh -v -i .ssh/key_rsa user@ptlwl01.XYZ.myfritz.net
OpenSSH_9.6p1, OpenSSL 3.2.1 30 Jan 2024
debug1: Reading configuration data /home/USER/.ssh/config
debug1: /home/USER/.ssh/config line 2: Applying options for *
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 2: include /etc/ssh/ssh_config.d/*.conf matched no files
debug1: Connecting to ptlwl01.XYZ.myfritz.net [2a02:8109:b181:4600:e02c:e7ff:fed7:abab] port 22.
debug1: fd 3 clearing O_NONBLOCK
debug1: Connection established.
debug1: identity file .ssh/key_rsa type 0
debug1: identity file .ssh/key_rsa-cert type -1
debug1: identity file /home/USER/.ssh/id_rsa type 0
debug1: identity file /home/USER/.ssh/id_rsa-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_9.6
debug1: Remote protocol version 2.0, remote software version OpenSSH_9.2p1 Debian-2+deb12u2
debug1: compat_banner: match: OpenSSH_9.2p1 Debian-2+deb12u2 pat OpenSSH* compat 0x04000000
debug1: Authenticating to ptlwl01.XYZ.myfritz.net:22 as 'USER'
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: sntrup761x25519-sha512@openssh.com
debug1: kex: host key algorithm: rsa-sha2-512
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: SSH2_MSG_KEX_ECDH_REPLY received
debug1: Server host key: ssh-rsa SHA256:ABC
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: Host 'ptlwl01.XYZ.myfritz.net' is known and matches the RSA host key.
debug1: Found key in /home/USER/.ssh/known_hosts:23
debug1: ssh_packet_send2_wrapped: resetting send seqnr 3
debug1: rekey out after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: ssh_packet_read_poll2: resetting read seqnr 3
debug1: SSH2_MSG_NEWKEYS received
debug1: rekey in after 134217728 blocks
debug1: SSH2_MSG_EXT_INFO received
debug1: kex_ext_info_client_parse: server-sig-algs=<ssh-ed25519,sk-ssh-ed25519@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ecdsa-sha2-nistp256@openssh.com,webauthn-sk-ecdsa-sha2-nistp256@openssh.com,ssh-dss,ssh-rsa,rsa-sha2-256,rsa-sha2-512>
debug1: kex_ext_info_check_ver: publickey-hostbound@openssh.com=<0>
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Will attempt key: .ssh/key_rsa RSA SHA256:+ABC explicit
debug1: Will attempt key: /home/USER/.ssh/id_rsa RSA SHA256:ABC explicit
debug1: Offering public key: .ssh/key_rsa RSA SHA256:+ABC explicit
debug1: Server accepts key: .ssh/key_rsa RSA SHA256:+ABC explicit
Authenticated to ptlwl01.XYZ.myfritz.net ([2a02:8109:b181:4600:e02c:e7ff:fed7:abab]:22) using "publickey".
debug1: channel 0: new session [client-session] (inactive timeout: 0)
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: exec
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: client_input_hostkeys: searching /home/USER/.ssh/known_hosts for ptlwl01.XYZ.myfritz.net / 2a02:8109:b181:4600:e02c:e7ff:fed7:abab
debug1: client_input_hostkeys: no new or deprecated keys from server
debug1: Remote: /home/USER/.ssh/authorized_keys:1: key options: agent-forwarding port-forwarding pty user-rc x11-forwarding
debug1: Remote: /home/USER/.ssh/authorized_keys:1: key options: agent-forwarding port-forwarding pty user-rc x11-forwarding
debug1: Requesting X11 forwarding with authentication spoofing.
Linux ptLWL01 6.1.0-18-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.76-1 (2024-02-01) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have mail.
Last login: Sun Feb 25 23:25:19 2024 from 2a02:8109:b186:7800:37:d31a:a988:4ee2
USER@ptLWL01:~$

Es funktioniert bisher mit ssh unter Linux und OpenVPN unter Android.
OpenVPN unter WIN 10 in einer quemu funktioniert (noch?) nicht.