komische ssh-Probleme

[delphi99]

Hallo,

mal 'ne blöde Frage an die Community. Vlcht. könnt Ihr mir ja bissel auf die Sprünge helfen, derzeit stehe ich etwas auf dem Schlauch :-(

Ich betreibe diverse (debian) vServer bei 2 Hostern.
Neuerdings habe ich mit einem vServer ssh-Verbindungsprobleme, die Verbindung wird mit "kex_exchange_identification: Connection closed by remote host" abgebrochen.
Was ich bislang herausfinden konnte:
- das Problem tritt nur mit diesem einen Server auf (er ist nicht der einzige bei dem Hoster)
- das Problem tritt auf allen hinter meiner FW liegenden Hosts auf, egal ob W11, VM o. debian
- das Problem tritt nicht auf von anderen externen vServern zum betroffenen Server
- das Problem tritt auch nicht auf, wenn mein Linux Notebook über meinen Handy-Hotspot ins Internet geht.

Also kann es ja eigentlich nicht am Server selbst liegen, da die Verbindung ja von anderen Quellen funktioniert.
Und da alle Hosts hinter der FW betroffen sind, würde ich die Ursache in der FW suchen. Aber wo *Kopf kratz*

Ach ja, MySQL ist auch betroffen. Und es ging beides kurz nach der Einrichtung schonmal.

Ich hänge mit 2 WAN-Anschlüssen im Netz. Default ist vodafone Kabel 1000, fallback ist 1&1. Bei voda habe ich quasi feste IP4. Es gab aktuell keine Failover.

OPNsense ist allerletzte aktuelle Version.
War allerdings berufsbedingt Sophos-Nutzer, also lerne ich hier noch.

Danke Euch
Frank

[viragomann]

Hallo,

Ursache des Problems könnte ein asymmetrisches Routing sein. Um hier näher zu kommen, müsste man allerdings die Netzwerkgeräte auf der Strecke und deren Konfiguration sowie der der Endpunkte kennen.

Die einzige OPNsense im Spiel ist hier die bei dir zuhause, also clientseitig?

Und auf die Zielhosts greifst du direkt per externe IP zu?
Nutzen diese etwa ein bestimmtes Upstream-Gateway des Hosters, während der Zugriff direkt passiert?

[meyergru]

Meine Ideen dazu wären:

a. Da Du 2 WANs nutzt: https://docs.opnsense.org/manual/interfaces.html:

For legacy compatibility WAN interfaces set to type DHCP or interfaces with a Gateway Rules selection send reply packets to the corresponding gateway directly, also when the sender is on the same interface. This will break connectivity in some rare scenarios and can be disabled via Firewall->Settings->Advanced->Disable reply-to.

b. Da es ein PPPoE-Interface ist und es per Handy-Hotspot geht, könnte es an der MTU liegen, siehe: https://forum.opnsense.org/index.php?topic=45658.0

[delphi99]

Danke für die bisherigen Antworten.
Nix PPPoe. Beide Netze hängen via Zwischennetz (Router, kein Bridge-Mode) an der FW.
Zudem erklärt das nicht, warum nur dieser eine Server Probleme macht. Die anderen Server desselben Providers kann ich ganz normal via putty erreichen; und die des anderen Hosters auch. ssh-Konfiguration überall identisch.

Sehr mysteriös.

[meyergru]

Achso, ich dachte, wegen 1&1. Die MTU versauen kann übrigens jeder zwischengeschaltete Router, insofern würde ich das mal testen. Die SSH-Pakete zu Beginn der Verbindung enthalten u.a. die Host Keys, die können je nach Installationsdatum unterschiedliche Typen und damit Längen haben, "identisch" ist also mitunter relativ, wobei ich sogar aktuell von identischen Softwareständen ausgehe.

Disable reply-to ist gesetzt?

[delphi99]

MTU-Verringerung hat nix gebracht :-(

Was passiert wenn ich über 1&1 rausgehe? Gleicher Fehler.
Immer dieses kex_exchange_identification Problem. Ich suche mal weiter.

Neuer Test: Direkt von der OPNsense Console (ssh) funktioniert der ssh-connect. WTF?

Hat evtl. noch jemand eine Idee?

Naja, vorerst kann ich mich ja über einen meiner anderen Server durchhangeln. Aber doof ist es trotzdem :-(

Danke vorerst
Frank

[delphi99]

Hi,
hat sich geklärt :-)
Zenarmor hat den Server als Bedrohung eingestuft, muss ich mal schauen, weshalb.
Ist mir vorher aber garnicht aufgefallen *Kopf kratz*. Mal schauen.

Danke an alle
Frank

[Patrick M. Hausen]

Please come to my TED talk "IPS technology considered harmful."

[meyergru]

Aha. Siehe hier, Nummer 13.