SSH dall'esterno

[davix10]

Salve a tutti, vorrei fare in modo di poter accedere al raspberry dall'esterno ma non riesco a venirne a capo.
Per ora ho creato l'host su no-ip e ho installato tutti i file necessari sul raspberry ma non riesco ad accedere con putty dall'esterno. Premesso che la configurazione è corretta perchè ho provato a cambiare l'indirizzo ip da no-ip e vedo che viene poi aggiornato correttamente, quale potrebbe essere il problema? Ho un router collegato in cascata alla mia Vodafone station e il rasp utilizza la connessione del router. In ogni caso dovrei aprire la porta 22 sia della Vodafone station che del router, giusto? Ho provato in tutti i modi ma non c'è verso..
Qualcuno può darmi qualche consiglio su come va configurato il port forwarding che secondo me è il problema di tutto?
Grazie!

[latimeria]

scusa ma quali sono "i file necessari"? parli di questo https://samhobbs.co.uk/2015/01/dynamic- ... and-ubuntu ?
comunque ovviamente la porta 22 va aperta su entrambi i router........ma questi sono su due reti differenti? tipo 192.168.1.1 e 192.168.0.1
posta uno schema della tua rete

[davix10]

scusa ma quali sono "i file necessari"? parli di questo https://samhobbs.co.uk/2015/01/dynamic- ... and-ubuntu ?
comunque ovviamente la porta 22 va aperta su entrambi i router........ma questi sono su due reti differenti? tipo 192.168.1.1 e 192.168.0.1
posta uno schema della tua rete

Ho utilizzato questo tutorial http://www.opengeek.it/linux/configurar ... da-remoto/.

la mia rete è composta da ADSL Vodafone su cui è collegato un'altro router via ethernet. Dal router c'è una connessione wi-fi al raspberry con indirizzo 192.168.3.114.
Nel router vodafone ho aperto la 22 così


Questo è l'ip del router: 192.168.1.2 TCP 10456 22(porta locale)
Dal router invece ho fatto così: 192.168.3.114 10455 10456(porta locale) TCP

Spero di essere stato abbastanza chiaro

[latimeria]

intanto sei sicuro che la vodafone station ed il router parlano tra loro? ( io ho la stessa configurazione a casa ........ router telecom e in cascata router wifi con zeroshell che mi fa da firewall......però non basta attaccare un cavo tra i due )

poi il port forwarding che hai fatto è sbagliato: intanto è inutile cambiare porta al servizio ssh, se qualcuno vuole tentare di entrare ci mette un secondo a capire su che porta girano i servizi attivi; casomai per proteggerti attiva la connessione utilizzando i certificati http://raspi.tv/2012/how-to-set-up-keys ... spberry-pi( o ne hai una copia sul pc dal quale vuoi connetterti o ciccia ) e magari usa pure fail2ban; comunque dovrebbe essere:
vodafone station: 10456 in ingresso - 22 in uscita verso l'indirizzo del router
router: 22 in ingresso - 22 in uscita verso l'indirizzo ip del raspberry
per connetterti con putty: indirizzodnsdinamico.noip.com:10456
quella guida fa abbastanza schifo, in rete trovi di meglio

[davix10]

intanto sei sicuro che la vodafone station ed il router parlano tra loro? ( io ho la stessa configurazione a casa ........ router telecom e in cascata router wifi con zeroshell che mi fa da firewall......però non basta attaccare un cavo tra i due )

poi il port forwarding che hai fatto è sbagliato: intanto è inutile cambiare porta al servizio ssh, se qualcuno vuole tentare di entrare ci mette un secondo a capire su che porta girano i servizi attivi; casomai per proteggerti attiva la connessione utilizzando i certificati http://raspi.tv/2012/how-to-set-up-keys ... spberry-pi( o ne hai una copia sul pc dal quale vuoi connetterti o ciccia ) e magari usa pure fail2ban; comunque dovrebbe essere:
vodafone station: 10456 in ingresso - 22 in uscita verso l'indirizzo del router
router: 22 in ingresso - 22 in uscita verso l'indirizzo ip del raspberry
per connetterti con putty: indirizzodnsdinamico.noip.com:10456
quella guida fa abbastanza schifo, in rete trovi di meglio

Scusa per metterli in cascata non basta collegare un cavo ethernet tra di loro?

Per 10456 in ingresso intendi porta esterna o interna (locale)?

[latimeria]

guarda fai una prova semplice: vai su questo sito http://www.whatsmyip.org/ che ti dice qual'è l'indirizzo ip dinamico vodafone col quale sei connesso; poi entra nella tua area personale di no-ip e vai su "manage host": se a fianco al nome dell'host che hai attivato trovi lo stesso indirizzo ip dinamico allora tutto funziona, diversamente il client no-ip che hai installato sul raspberry non funziona oppure il raspberry non va su internet.........e quindi: ma collegandoti al router ( non la vodafone station ) via wifi o cavo navighi in internet??.....non ho capito
10456 sulla vodafone station=porta esterna=porta aperta lato internet

[davix10]

guarda fai una prova semplice: vai su questo sito http://www.whatsmyip.org/ che ti dice qual'è l'indirizzo ip dinamico vodafone col quale sei connesso; poi entra nella tua area personale di no-ip e vai su "manage host": se a fianco al nome dell'host che hai attivato trovi lo stesso indirizzo ip dinamico allora tutto funziona, diversamente il client no-ip che hai installato sul raspberry non funziona oppure il raspberry non va su internet.........e quindi: ma collegandoti al router ( non la vodafone station ) via wifi o cavo navighi in internet??.....non ho capito
10456 sulla vodafone station=porta esterna=porta aperta lato internet

si si da no ip funziona tutto correttamente. dal router vado su internet senza problemi sia via cavo che wifi.
Ho fatto tutte le impostazioni che mi hai detto e ora funziona perfettamente!! Grazie!!
Ho ancora una domanda, la connessione con la chiave per l'ssh è utile in termini di sicurezza o meglio, è così facile crackare la rete dall'esterno?

[latimeria]

mettiamola così: nessun amministratore di sistema si sognerebbe mai di aprire la connessione ssh su internet lasciando la sicurezza al solo utilizzo della password
il link al tutorial che ti ho postato è scritto bene e facile da seguire......leggilo un paio di volte prima di metterlo in pratica, se vuoi utilizzarlo; altra soluzione sicura è usare una connessione vpn; almeno installa fail2ban che banna l'indirizzo ip che cerca di accedere sbagliando la password di ingresso dopo un numero di tentativi sbagliati che puoi configurare

[davix10]

ho provato ad installare solo fail2ban ma credo di aver fatto casino...ora dall'esterno non accedo più con putty (software caused network abort). Come posso ripristinare tutto come prima?

[latimeria]

Code: Select all

sudo apt-get remove --purge fail2ban

rimuove il pacchetto ed i file di configurazione connessi
.......comunque hai letto la documentazione prima di installarlo?

[davix10]

Code: Select all

sudo apt-get remove --purge fail2ban

rimuove il pacchetto ed i file di configurazione connessi
.......comunque hai letto la documentazione prima di installarlo?

Ho seguito questa guida https://dvpizone.wordpress.com/2014/03/ ... pberry-pi/. Ora sono dall'esterno e, senza rimuovere il pacchetto, mi ha chiesto nome utente e password ma poi non mi ha fatto più entrare..
Cosa consigli di fare?

[latimeria]

scusa ma prima di installare fail2ban tutto bene e dopo disastro??? mi pare strano anche perchè fail2ban non fa altro che leggere i file di log e usare iptables per bannare gli indirizzi ip che tentano accessi non autorizzati; cosa dice il file di log?

Code: Select all

/var/log/fail2ban.log

secondo me è un problema di timeout della connessione con putty, se entri senza problemi dalla rete interna ma non da internet non può essere fail2ban
comunque togliti il dubbio e disinstallalo

[davix10]

Adesso sembra funzionare senza aver toccato nulla e con la configurazione del tutorial che ti ho linkato nel post precedente. Ho utilizzato putty dal pc e utilizzo l'accesso standard (user e password).
Ora funziona perfettamente!! ma solo così è sicuro? Posso visualizzare anche chi prova ad entrare, intendo l'indirizzo ip?

[latimeria]

Code: Select all

/var/log/auth.log

visualizzalo e vedrai .............
se non hai disinstallato fail2ban

Code: Select all

/var/log/fail2ban.log

ti elenca gli indirizzi ip bannati perchè hanno tentato la connessione sbagliando le credenziali

[davix10]

Code: Select all

/var/log/auth.log

visualizzalo e vedrai .............
se non hai disinstallato fail2ban

Code: Select all

/var/log/fail2ban.log

ti elenca gli indirizzi ip bannati perchè hanno tentato la connessione sbagliando le credenziali

Grazie mille per l'aiuto!!