# ADSL, ADSL 2, ADSL 2+  και  Broadband Hardware > Cisco  ADSL modems και routers >  SSH Access στο Router  - Connection timeout απο public IP

## d.stathopoulos

Καλήσπέρα, 

έχω configurarei ένα 1841 σε γραμμή OTE. 
Προσπαθώ να κάνω ssh στην DHCP assinged IP στο Dialer0 από public IP, και στο Putty παίρνω connection timeout. 



```
r1#sh run
Building configuration...

Current configuration : 2251 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname r1
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
no aaa new-model
!
!
dot11 syslog
ip source-route
!
!
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.2.1
!
ip dhcp pool wired
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1 
   dns-server 195.170.0.1 195.170.2.2 
!
ip dhcp pool wireless
   network 192.168.2.0 255.255.255.0
   default-router 192.168.2.1 
   dns-server 195.170.0.1 195.170.2.2 
!
!
ip cef
ip domain name example.com
no ipv6 cef
!
multilink bundle-name authenticated
!
username root privilege 15 secret 5 xxx
! 
archive
 log config
  hidekeys
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
!
interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1412
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1412
 duplex auto
 speed auto
!
interface ATM0/0/0
 no ip address
 no ip mroute-cache
 no atm ilmi-keepalive
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface ATM0/1/0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Dialer0
 ip address negotiated
 ip mtu 1492
 ip flow ingress
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap pap callin
 ppp pap sent-username a password 7 b
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 2 interface Dialer0 overload
ip nat inside source static tcp 192.168.2.24 22 interface Dialer0 33333
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 permit 192.168.2.0 0.0.0.255
access-list 2 permit any
dialer-list 1 protocol ip permit
!         
control-plane
!
line con 0
 login local
line aux 0
line vty 0 4
 login local
 transport input ssh
!
scheduler allocate 20000 1000
end

r1#
```

επειδή μάλλον κάπου κάνω λάθος στις λίστες μπορεί να το επισημάνει κανείς?

ευχαριστώ εκ των προτέρων.

----------


## arisgr

Απο το config που εχεις τωρα, μπορεις να κανεις ssh στην IP 192.168.2.24 
Αν εννοεις οτι θελεις να κανεις ssh στο ρουτερ τοτε πρεπει να βαλεις καταλληλη ACL στις VTY

----------


## SfH

Κλειδιά έχεις φτιάξει ? ( cry key gen rsa gen mod 1024 ) .



Off Topic


		Απλά για να μην είμαστε ανακριβείς, ο dialer στη συγκεκριμένη περίπτωση δεν παίρνει ip μέσο dhcp αλλά ipcp .

----------


## d.stathopoulos

Ευχαριστώ για τις επισημάνσεις. 
Έχω φτιάξει κλειδιά και απο το LAN κάνω κανονικά SSH. 
Στην περίπτωση μου cry key gen rsa gen mod 2048. 
Η λίστα για τον 192.168.2.24 λειτουργεί κανονικά και έχω καταφέρει να κάνω ssh. 

Θα κάνω και ένα 2ο τεστ σήμερα από διαφορετική public IP, γιατί υπήρχε access-list που με έκοβε στο LAN του 1ου τεστ.

----------


## d.stathopoulos

Τελικά έφταιγε το LAN στο 1ο test. 
Επειδή δεν έχω access  στον δικτυακό εξοπλισμό, γνωρίζει κανείς τι tool (nmap/netcat/traceroute/ping/telnet), μπορώ να χρησιμοποιήσω (και πώς) για να βρώ ποιο device κόβει τον δρόμο? 
Π.χ. έχω: 



```
Tracing route to a [IP x]
over a maximum of 30 hops:
  1    <1 ms    <1 ms    <1 ms  10.65.67.2
  2    <1 ms    <1 ms    <1 ms  10.250.249.97
  3    <1 ms    <1 ms    <1 ms  213.46.253.210
  4    <1 ms     1 ms     1 ms  nl-ams05a-ra1-f-10-0-0.aorta.net [213.46.252.141]
  5    <1 ms    <1 ms    <1 ms  nl-ams05a-rd2-ae-5-60.aorta.net [213.46.161.117]
  6     1 ms     1 ms     1 ms  84.116.136.30
  7     1 ms     1 ms     1 ms  213-46-161-138.aorta.net [213.46.161.138]
  8     8 ms     8 ms     9 ms  IP F
  9     8 ms     8 ms     8 ms  IP E
 10     *        *        *     Request timed out.
 11    59 ms    49 ms    63 ms  IP D 
 12    48 ms    48 ms    48 ms  IP C
 13    52 ms    51 ms    51 ms  IP B
 14    83 ms    83 ms    81 ms  IP A
```

πως μπορώ να βρώ ποια IP με κόβει και γιατί?

----------


## arisgr

Αφου πρωτα αναφερω οτι αυτο που ειχα πει περι ACL στη VTY ηταν μπουρδα  :Smile: 
Να ρωτησω το config ειναι μονο αυτο που μας δειχνεις? Αν οχι δωσε το ολο.
Επισης οφειλω να ομολογησω οτι δεν καταλαβαινω τι εννοεις οταν λες "υπήρχε access-list που με έκοβε στο LAN του 1ου τεστ"

----------


## tasoskont

> *Αφου πρωτα αναφερω οτι αυτο που ειχα πει περι ACL στη VTY ηταν μπουρδα* 
> Να ρωτησω το config ειναι μονο αυτο που μας δειχνεις? Αν οχι δωσε το ολο.
> Επισης οφειλω να ομολογησω οτι δεν καταλαβαινω τι εννοεις οταν λες "υπήρχε access-list που με έκοβε στο LAN του 1ου τεστ"


τι εννοεις μπουρδα???ο ποιο σωστος τροπος οσο αφορα ssh telnet ειναι να μπαινει το rule της ACLs στο VTY

----------


## arisgr

Μιλαω οσον αφορα την επιληση του προβληματος που αντιμετωπιζει. Χωρις ACL (και καποιο αλλο τροπο security) μπορει οποιοσδηποτε απο το νετ να κανει ssh. Για αυτο και ρωταω μηπως καποιο μερος του config τοχει παραλειψει.

----------


## tasoskont

> Μιλαω οσον αφορα την επιληση του προβληματος που αντιμετωπιζει. Χωρις ACL (και καποιο αλλο τροπο security) μπορει οποιοσδηποτε απο το νετ να κανει ssh. Για αυτο και ρωταω μηπως καποιο μερος του config τοχει παραλειψει.


my bad  δεν το καταλαβα sorry για το offtopic

----------


## d.stathopoulos

>Να ρωτησω το config ειναι μονο αυτο που μας δειχνεις? Αν οχι δωσε το ολο.

Έχω παραθέσει όλο το configuration

>Επισης οφειλω να ομολογησω οτι δεν καταλαβαινω τι εννοεις οταν λες "υπήρχε access-list που με έκοβε στο LAN του 1ου τεστ" 

Από το LAN του 1ου test, δεν μπορούσα να κάνω ssh ούτε στην port 33333, επειδή υποθέτω ότι υπάρχει ACL/Firewall στο LAN που κόβει SSH access προς το Internet

----------


## arisgr

Δοκιμασε αυτο:
no access-list 2
access-list 2 permit 192.168.2.0 0.0.0.255     


Ξαναφτιαξε crypto keys:
crypto key zeroize rsa
crypto key generate rsa

Επισης εχει δοκιμασε να κανεις telnet απεξω?Αν οχι δοκιμασε!
line vty 0 4
 login local
 transport input telnet ssh

----------

