Fragen eines FreeBSD-Neulings

[Urza]

Hallo,
wir haben einen PC als Radius-Server im Einsatz auf dem FreeBSD läuft, der bis vor Kurzem von einer Firma gewartet wurde und nun soll ich das machen.
Bisher konnte ich auf diesen Server mit "SSH Secure shell" remote zugreifen.

Dieser Server und der Ciscorouter, der diesen nutzt zur Einwahlauthentifizierung der Kunden, wurde in eine neue Umgebung (Rechenzentrum) versetzt mit neuem Adressraum.
Ich habe nun (mit Hilfe eines FreeBSD-Kenners) die IP-Adresse (...ifconfig...), die Subnetmaske und das Gateway (...default route...) auf die neuen Adressen geändert über einen lokalen Anschluss.

Ich kann nun ein von der Firma aus ein Ping auf den Radius-Server setzen aber wenn ich mit "SSH Secure shell" oder einem anderen Tool (Ponderosa) auf den Server zugreifen will, bekomme ich folgende Fehler, dass der Host nicht erreichbar ist.

Nun meine Frage, woran könnte das liegen und muss ich da vielleicht noch in irgendeiner anderen Datei etwas ändern?

mfg
Urza

 

[mousaka]

Willkommen im Forum

Mit ifconfig bleiben Änderungen nur bis zum nächsten Reboot vorhanden. Dauerhaft kannst du die Werte in der Datei /etc/rc.conf ändern.

Läuft auf dem Radius-Server eine Firewall (ipfw, pf, ...)? Evtl. sind dort auch die Werte des "alten" Adressraums eingetragen.

Für SSH:
Es kann sein, dass SSH gemäss /etc/ssd/sshd_config nur auf bestimmte Adressen hört, gegebenenfalls die Zeile ListenAddress 192.168.0.1 korrigieren oder ganz auskommentieren.

Generell hilf dir sockstat weiter, in der Auflistung aller Verbindungen sollten nirgendsmehr "alte" Werte erscheinen, ansonsten in den Konfigurationsdateien des entsprechenden daemon nachschauen.

mousaka

 

[Urza]

Danke für deine Antwort.

Willkommen im Forum

Danke

Mit ifconfig bleiben Änderungen nur bis zum nächsten Reboot vorhanden. Dauerhaft kannst du die Werte in der Datei /etc/rc.conf ändern.

Das hatte ich in der rc.conf so eingetragen, habe ich nur vergessen in meiner Frage zu erwähnen, sorry.

Läuft auf dem Radius-Server eine Firewall (ipfw, pf, ...)? Evtl. sind dort auch die Werte des "alten" Adressraums eingetragen.

Da das bisher alles eine Firma gewartet hat, ich erstmals am Freitag mit FreeBSD konfrontiert wurde, kann ich noch nichts dazu sagen.
Ich bekomme auch keinerlei Auskunft von dieser Firma, da sich mein Chef im Streit von dieser getrennt hat.

Für SSH:
Es kann sein, dass SSH gemäss /etc/ssd/sshd_config nur auf bestimmte Adressen hört, gegebenenfalls die Zeile ListenAddress 192.168.0.1 korrigieren oder ganz auskommentieren.

Da früher auch der SSH-Remotezugriff über Internet funktioniert hat, wobei ich mit wechselnden Adressen (DSL) gearbeitet habe, sollte das warscheinlich nicht so sein.

Generell hilf dir sockstat weiter, in der Auflistung aller Verbindungen sollten nirgendsmehr "alte" Werte erscheinen, ansonsten in den Konfigurationsdateien des entsprechenden daemon nachschauen.[/QUOTE]
Das werde ich mal versuchen.

Ich entnehme aus deinen Antworten, dass ich keine Chance habe, durch Tricks den Remotezugang doch noch zu erlangen, ohne dass ich noch einmal zum Rechenzentrum fahren muss und mich lokal über Tastatur anmelde.??

mfg
Urza

 

[mousaka]

Da früher auch der SSH-Remotezugriff über Internet funktioniert hat, wobei ich mit wechselnden Adressen (DSL) gearbeitet habe, sollte das warscheinlich nicht so sein.

Mit ListenAdress ist die IP-Adresse gemeint an der der SSH daemon lauscht, nicht von welcher IP aus man sicher verbinden kann.
Der Server hatte doch wohl eine statische IP und nur dein Client eine dynamische (DSL), oder?

Ich entnehme aus deinen Antworten, dass ich keine Chance habe, durch Tricks den Remotezugang doch noch zu erlangen, ohne dass ich noch einmal zum Rechenzentrum fahren muss und mich lokal über Tastatur anmelde.??

Ja, wird wohl nur lokal gehen.

Poste doch mal die Datei /etc/rc.conf. Darin sollte ersichtlich sein, welche daemons alle gestartet werden (firewall, ...).

mousaka

 

[Urza]

Hallo mousaka,
das mit dem SSH lauschen habe ich falsch verstanden. Der Server hat jetzt eine andere feste Adresse.
Die rc.conf poste ich später, wenn ich vom RC zurück bin (lokale Anmeldung).

Ich müsste also in der /etc/ssd/sshd_config die alte statische Adresse gegen die neue austauschen?
Muss ich da noch etwas ändern oder komme ich dann von Fern wieder drauf?

mfg
Urza

 

[mousaka]

Folgendes würde ich im RZ klären:

• Ausgabe von sockstat
• Listenaddress in sshd_config
• Firewall(-regeln)
• SSH Zugriff auf Radius-Server aus dem RZ (anderer Rechner) testen

Funktioniert der letzte Punkte, sollte es dann wohl auch aus der Ferne gehen.

mousaka

 

[peterle]

Aus dem Bauch heraus:

#sysinstall
(als Einsteigerhilfe für die Netzwerkkonfiguration)

DHCP statt statischer Adresse?

#ssh -l user IPderlankarte
(dürfte den Test vor Ort an der Konsole erleichtern)

Man korrigiere mich bitte, falls das falsch sein sollte.

 

[walt]

Sofort den Server abschalten und ersetzen oder neu installieren!

Falls der Cisco ebenfalls von der Fremdfirma gewartet wurde, (das geht aus dem Post leider nicht hervor) muss dieser ebenfalls ersetzt oder auf factory defaults gesetzt und neu konfiguriert werden.

Die hier geschilderten Probleme sind marginal im Vergleich zu dem, was man sich durch diese absolut unverantwortliche Vorgehensweise einhandeln kann - besonders in Anbetracht der Tatsache, dass man mit der Fremdfirma im Streit auseinander gegangen ist.

 

[Urza]

Hallo,
danke für eure Antworten.

Der Cisco-Router ist ein anderer und wurde schon neu installiert. Heute fahre ich mit einem Fachmann, den ich persönlich gut kenne, in das RZ und der konfiguriert den Radius-Server neu.

mfg
Urza

 

[peterle]

S
Die hier geschilderten Probleme sind marginal im Vergleich zu dem, was man sich durch diese absolut unverantwortliche Vorgehensweise einhandeln kann - besonders in Anbetracht der Tatsache, dass man mit der Fremdfirma im Streit auseinander gegangen ist.

Du hast natürlich streng genommen recht, aber seiner Lernkurve dient das weniger und es stellt sich auch die Frage, was noch alles auf dem Server an Daten schlummert, die er dann dummerweise trotzdem noch braucht - und an die muß er ran, kompromitiert oder nicht.