SFTP Probleme

  • Moin Moin in die Runde,


    ich stehe aktuell echt auf dem Schlauch und scheine blind zu sein.

    Ich nutze über meinen RS SFTP über "internal-sftp" - sprich über den SSH-Clienten


    Funktioniert auch alles wunderbar.


    Normale SSH-Verbindungen zum Server funktionieren über die IP sowie über den Hostnamen -> alles schick


    Jetzt zum Problem:

    Sobald ich mich via SFTP Verbinde (Filezilla), wird der Hostname nicht mehr unterstützt -> lediglich nur noch die IP.


    Strange ist, dass es bei SSH problemlos funktioniert und es läuft ja beides über den gleichen Clienten.


    DNS/rDNS Settings sind alle korrekt gesetzt.



    Hat hier jemand vielleicht noch eine Idee woran es liegen könnte?

  • Ja, passt alles. Es würde ja sonst auch zu Problemen bei den „normalen“ SSH Verbindungen kommen. Da funktioniert ja beides - das ist ja das verrückte.


    IPv6 hatte ich testweise auch mal komplett deaktiviert, brachte aber auch nichts.


    wenn SSH über den Hostname auch nicht funktionieren würde - Okay - dann würde es einleuchtend sein. Aber das bei SSH beides klappt und bei SFTP nur die IP will in meinen Kopf nicht rein :/^^


    In den Logs findet sich zudem auch nichts hilfreiches. Firewall hatte ich auch schon deaktiviert... auch Fehlanzeige.


    Die sshd_config ist auch nahezu default - bis auf:

    - Portänderung

    - RootLogin deaktiviert

    - Subsystem aus internal-sftp gestellt

    - und die GroupConfig für die SFTP Usergruppe


    Fail2ban gibt es da auch noch, spielt da aber nicht mit rein.


    Unterm Strich kein Weltuntergang- mit der IP klappt es ja. Damit kann ich mich als „Shell-Freak“ aber nicht zufrieden geben :D

  • wenn SSH über den Hostname auch nicht funktionieren würde - Okay - dann würde es einleuchtend sein.

    Das muss nichts heißen.

    Unterschiedliche Clients gehen unterschiedlich mit DualStack um.


    Die einen bevorzugen IPv6 und versuchen danach IPv4, andere probieren nur IPv6 und geben dann auf, wenn es fehlschlägt, Dritte wiederum machen eine RaceCondition zwischen IPv6 und IPv4 - der schnellerer Socket gewinnt. Es gibt da die wildesten Sachen.


    Stimmt im FileZilla Client der Port? (doofe Frage, ich weiß).


    Unter Linux mit OpenSSH als Client gibt es noch SSH Client Configs, mit dem man für einzelne Hostnames Einstellungen (wie Key und Port) überschreiben kann.

    Bei der IP greifen diese Einstellungen dann nicht. Ich weiß nicht, ob es sowas unter FileZilla auch gibt (Windows?)


    Was ich aber gerade gefunden habe: https://forum.filezilla-project.org/viewtopic.php?t=50329

    FileZilla nutzt die Sessions von Putty bzw. Pageant - existieren solche bei dir? Sind diese noch iO?

  • Der Port passt.


    Warum auch immer aber eben bin ich über den Hostnamen reingekommen (Handy als Hotspot). Allerdings nur bei einem Server. Bei den Servern hatte ich dann in der sshd_config mittels "AddressFamily" IPv4-only und IPv6-only probiert. Auch ohne Erfolg. Die Configs bei den ganzen Servern sind gleich. Warum es also nun bei dem einen klappt - I dont know.


    Kleiner SFTP-Log von Filezilla:


    FileZilla nutzt die Sessions von Putty bzw. Pageant - existieren solche bei dir? Sind diese noch iO?

    ...hier stehe ich ehrlich gesagt auf dem Schlauch.

  • Was ergibt denn ein...

    Code
    ssh -v4 deinhostname.net
    ssh -v6 deinhostname.net

    Irgendwelche Unterschiede erkennbar?

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Daran hatte ich ja gar nicht gedacht. Wir kommen der Sache aber schonmal näher - IPv6 = Timeout


    Alle Sockets laufen jedenfalls.


    /etc/hosts

    Code
    127.0.0.1       localhost
    XXX.XXX.XXX.XX  my.site.net        my
    
    ::1     localhost
    XXX:XXX:X:X::XX       my.site.net        my

    /etc/network/interfaces

  • Sobald ich mich via SFTP Verbinde (Filezilla), wird der Hostname nicht mehr unterstützt -> lediglich nur noch die IP. [...]

    Hat hier jemand vielleicht noch eine Idee woran es liegen könnte?

    Ich habe nur die Überschrift gelesen, aber es gibt wohl mehrere Nutzer, bei denen dieses Problem in der Vergangenheit aufgetreten ist: Forenlink

    Wenn das Problem unter Linux auftritt (hatte ich selbst bislang nicht), könnte man versuchen, ggf. via strace herauszubekommen, woher sich FileZilla die DNS-Informationen holt.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Ich bin hier noch fleißig am Configs durchsuchen. Das Problem liegt - stand jetzt - wohl an IPv6.


    Die Webseiten sind über NGINX via IPv6 erreichbar - SSH klappt aber nicht (warum auch immer). Linux und Server machen ja echt Spaß, aber langsam muss ich mich wohl geschlagen geben.


    ip6tables -S

    Code
    -P INPUT ACCEPT
    -P FORWARD ACCEPT
    -P OUTPUT ACCEPT
  • Das Gesamtsetup ist ein Proxmox-Server. Darin habe ich meine KVMs.


    Ich habe jetzt mal versucht intern eine Verbindung herzustellen.


    KVM1 -> ssh -v6 -p XXX kvm2.mysite.net

    = Funktioniert


    Intern (zwischen den KVMs) scheint IPv6 also zu funktionieren.


    Bleibt also nur die Frage, warum ich von außen nicht auf den SSH Port drankomme. Ein "ping6 kvm2.mysite.net" funktioniert komischerweise. Die Firewall von Proxmox hatte ich testweise auch schon deaktiviert.

  • Bist Du wirklich 100% sicher, dass das Problem beim Server zu suchen ist? Vielleicht blockiert irgendwas auf Deinem PC, am Router oder der Internetanbieter den Port?


    Eventuell einmal einen zweiten SSH-Port (>50000) eintragen und darüber testen. Und mit irgendwelchen Online-Tools schauen, ob TCP-Ports wirklich über IPv6 erreichbar sind. Gerne kannst Du mir auch mal die IPv6-Adresse und den SSH-Port per PN ("Konversation") senden, dann versuche ich mal eine Verbindung von extern aufzubauen. Zugangsdaten brauche ich dafür ja nicht, es soll ja nur der TCP-Verbindungsaufbau getestet werden. :)


    Edit: Moment mal, dass Proxmox im Spiel ist, lese ich erst jetzt. Bist Du wirklich ganz sicher, dass andere IPv6-Dienste der Gastsysteme von extern erreichbar sind? Das riecht nämlich nach einer ganz anderen Problematik. (Stichwort NDP)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • NDP hatte ich auch schon auf dem Schirm. Ist Default auch aktiv. Auf dem Proxmox-Host komme ich via "ssh -v6 root1.mysite.net" auch nicht drauf.


    interfaces (Host)

    Oder muss ich bei der inet6 vmbr0 auch die bond0 Settings anhängen? Diese will Proxmox jedesmal dann wieder rausnehmen.

  • Es handelt sich um einen dedizierten Server. Da ich langsam den Überblick über meine Änderungen verloren hatte, fahre ich aktuell 100% Default Settings. Sprich Proxmox (wie eine Neuinstallation) mit der Netzwerk-Config von oben.


    Zumindest der Host sollte ja über IPv6 anpingbar sein. Aber selbst klappt ja schon nicht. Das ist doch verrückt.

  • Stand der Dinge:


    - Der Host und die Gast-KVMs lassen sich von außen nur über IPv4 anpingen

    - Alle Gast-KVMs können sich untereinender über IPv4/IPv6 anpingen

    - Der Host kann die KVMs über IPv4/IPv6 anpingen und umgekehrt


    Anscheinend bin ich für IPv6 echt zu blöd. Mit meiner "interfaces-config" muss ich doch zumindest nen Ping mit dem Host hinbekommen. Das bedarf doch keiner Zusatzanpassung... oder liege ich da flasch?

  • Anscheinend bin ich für IPv6 echt zu blöd. Mit meiner "interfaces-config" muss ich doch zumindest nen Ping mit dem Host hinbekommen. Das bedarf doch keiner Zusatzanpassung... oder liege ich da flasch?

    Kommt darauf an - ich weiß natrürlich nicht wie das bei den Dedis ist - aber im restlichen Netcup Universum ist das IPv6 Gateway immer fe80::1

    Ob du das so gesetzt hast, weiß ich nicht.

  • Ich bin RIPE Mitglied und habe daher meine eigenen Netze. Jetzt wollte ich mich halt mal an IPv6 trauen -> mit wenig erfolg aktuell.


    Das Gateway ist mein mir immer die XXX.1.


    Aber auch hier:

    Das IPv4 Gateway bekomme ich angepingt, IPv6 nicht (bzw. nur intern). Ich glaube ich muss mal eine Mail an meinen RZ Anbieter schreiben um externe Fehler auszuschließen.