WANから自LAN内のサーバへssh接続できません

WANからLANのRaspberry PIにssh接続できない（どうやらポート開放が上手く行ってない）のでご教示おねがいします。

よしそろそろ俺も"のまどわーかー"になっちゃうぜ、"のまどわーかー"ってやつによ。そして"スタバ"で"MacBook"広げ、外から見える陳列席でタカタカ、ターン（RET）ってやっちゃうぜ？と思い──というのは嘘で、スタバには行かないしマッキントッシュなんて高いマシーンは持ってません。しかし中古で買った安い型落ちPCにLinuxをインストールして、外出先からRaspberry Pi(以下、RP）に作ったGitリポジトリにファイルをPush出きるようにしようと思ったわけです、姉さん。（Gitリポジトリは作成済み）
ところが出先からでもwifiでssh接続できるように試行錯誤しているのですが上手くいきません。どなたかご教授ください。

以下、環境
試行しているクライアントOS：Ubuntu 14.04
サーバ：RP モデルB（OS：Rasbian Wheezy）
ルータ：バッファロー・ WZR-HP-G302H

行ったこと
１）RPにufwをインストールして、22番・80番・8000番・8080番のポートを許可。IPアドレスの固定
２）MyDNSでグローバルドメインを取得（仮に\.\.\.\とする）
３）ルータのポート開放（22番、8000番、8080(80)番）

４）UbuntuのFireFoxにVPN（Hotspot Sield）アドオンをインストール
５）RPにLighttpとWebiopiをインストール。Open-sshは最初から入っていた。

結果

１）クライアントのUbuntuからRPに、LAN内でssh接続（ssh ユーザ名@192.168.11.x 及びssh ユーザ名@ローカルhost名.local）はできる
２）LAN内（Hotspot Sield未使用）から、http://ローカルhost名.local（LAN内IP）で、ブラウザにlighttpのホームが見える
３）LAN内（Hotspot Sield未使用）から、http://ローカルhost名.local:8000（LAN内IP）で、ブラウザでWebiopiが見える（何故かログインアカウントとパスワードの入力は求められなかった）

４）WAN経由でUbuntuからssh接続（ssh \.\.\.\ そして ssh ユーザ名@\.\.\.\ そして ssh -p 22 \.\.\.\）ができない。（ssh: connect to host \.\.\.\ port 22: Connection refused と返ってくる）
５）WANから（Hotspot Sield有効）でhttp://\.\.\.\(:80) で、ブラウザでLighttpのホームが開かない
６）WANから（Hotspot Sield有効）でhttp://\.\.\.\:8080で、ブラウザでLighttpのホームが開く
７）WANから（Hotspot Sield有効）でhttp://\.\.\.\:8000で、ブラウザでWebiopiが開く

８）UbuntuからnmapコマンドでRPのローカルIPを調べると
22/tcp open ssh
80/tcp open http
8000/tcp closed http-alt （Webiopi稼働時はopen）
8080/tcp closed http-proxy
９）Ubuntuからnmapコマンドで192.168.11.1（ルータ）を調べると
53/tcp open domain
80/tcp open http
10）Ubuntuからnmapコマンドで\.\.\.\を調べると
53/tcp open domain
80/tcp open http

11）ブラウザを使いCMAN(www.cman.jp)で、\\.\\.\\.\\のポートを調べると
22番にはアクセス可
80番にはアクセス不可
8000番にはアクセス不可（RPでwebiopiを稼働させている時はアクセス可）
8080番にはアクセス可

12）ブラウザを使い、192.168.11.1を開いて「ゲーム＆アプリ」→「ポート変換」を見ると以下の図

携帯電話・スマートフォンを所持しておりませんので、厳密にはLAN外から（端末→インターネット→LAN）の検証はできておりません。また、ターミナルを使ったUbuntuからのssh接続もLAN内からしか検証していません（できない）ので、問題が
・RPの設定にあるのか
・ルータのポート開放が間違っているのか
・それともssh接続の仕方が間違っているのか
分かりません。
お分かりになられる方がいらっしゃったら、どうかご教示ください。よろしくお願い致します。

行動規範の内容に同意します

回答1件

ベストアンサー

実環境での試行錯誤が必要そうですが、下記の可能性があります。
A.WAN側からは受け付けている状態になっているが、内側からの接続試行はできない可能性
B.SSHはメンテナンス接続用ポートとして特殊な扱いになっている可能性（フィルタリング
等の処理にかかる前にルータにインターセプトされている、暗黙のフィルタリングが
存在する、等）

対策：
A.については実際にWAN側からやってみるしかありません。やれないというならなぜその
ような設定を作るのか？という話です。
B.については下記のいずれかで対応すればよいでしょう。
・WAN側からLANの機器にSSH接続したい場合、VPNでLAN側へ接続してからSSHで接続する
ようにする方が一般的な設定（複数機器のメンテナンスが可能となるため）。ただ、
UbuntuからPPTP-VPN接続できるかは不明。
・WAN側のport番号を22以外の適当な大きい数字（1024-65535/12456とかキリが悪い番号
の方が他とかぶらなくて良い）に変更してみる。WAN側からssh接続する場合は、接続先の
port番号を上記で設定した数字に設定して接続する。これでもダメなら、内側の数字も
変更し、sshd(サーバ側）でssh接続の待ち受けポートを22から内側のport番号に変更
してみる。

投稿2017/05/29 02:03

himazin.blm

総合スコア596

taurus

2017/06/01 09:11

sshの標準TCPポートは、（細かな説明は省きますが）セキュリティー上からもあまりよろしくないので、2233とかを使うといいかもしれません。/etc/ssh/sshd_config設定ファイルの上のほうにPort 22がありますので、それを2233とかに変更してください。（本当は、SSH2に限定し、鍵認証のみで行うべきです。）バッファローのルーターは、TCP 2233がRaspberry Piのローカルアドレスにポートフォワーディングしてください。そして、DDNSですが、ルーターのステータス画面で間違いなく、持っているグローバルIPが反映されているかを以下のようなサイトから確認してください。１．グローバルIPアドレスで、TCP2233が通過できるか？２．DDNS名で、名前解決と同様にアクセスできるか？英語ですが、下記にネットワークツールが各種あります。（同時に右上で、自分のグローバルIPも確認できます。） https://centralops.net/co/ - nslookupなど https://pentest-tools.com/network-vulnerability-scanning/tcp-port-scanner-online-nmap　　-　nmapを外部からやってくれるサイト上記で、ポートの開放が確認出来たら、カフェにGo!ですｗ

tochu_cha

2017/07/30 16:14

himazin.blmさん、ご回答有難うございました。 "A"でした。パソコンを持ち出してWiFiがあるところでsshを叩いてみると、何とか繋がりました。さらに詳しい確認方法も為になりました。 taurusさんもセキュリティはじめ、詳細な設定についてお教えいただき有難うございました。ご両者とも本当に、参考になりました。有り難うございます。

tochu_cha

2017/07/30 16:15

あと、確認に手間取り御礼が遅くなりましたことをお詫び申し上げます。どうもすみませんでした。

行動規範の内容に同意します