SKFREE

Troubleshooting - Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
rado3105 - 26.09.2010 - 09:56
Post subject: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Hlavny router ma verejnu ip: X.X.X.X, potrebujem sa dostat prilasenim cez ssh cez verejnu ip hlavneho routera na server ktory je hned za nim(ip: y.y.y.y). Mam nastaveny srcnat, aj dstnat na y.y.y.y
DSTNAT:
Code: › 15   chain=dstnat action=dst-nat to-addresses=Y.Y.Y.Y to-ports=22
     protocol=tcp dst-address=X.X.X.X dst-port=22

Do hlavneho routera sa cez verejnu ip dostanem bez problemov. Po presmerovani som skusal aj vypnut ssh v ip/services v hlavnom routeri ale ani so zapnutym ani s vypnutym som sa do servera za routerom nedostal. Keby to bolo blkovane poskytovatelom tak by som sa asi nedostal do hlavneho routera. Viete povedat kde by mohol byt problem?
yeager - 26.09.2010 - 10:10
Post subject:
problem moze byt v tom, ze sa chces prihlasit cez port 22 na ktorom ta chce prihlasit priamo na MK, skus to napriklad cez port x.x.x.x:222
rado3105 - 26.09.2010 - 10:18
Post subject:
mam moznost momentalne to otestovat jedine cez mobil cez linuxacky terminal. Po zadani prikazu: ssh x.x.x.x:222 vypisuje: couldnt resolve hostname x.x.x.x:222: name or service not known. Tako som pozmenil nat pravidlo:
Code: › 15   chain=dstnat action=dst-nat to-addresses=Y.Y.Y.Y to-ports=22
     protocol=tcp dst-address=X.X.X.X dst-port=222
rado3105 - 26.09.2010 - 10:24
Post subject:
Klasickou cestou ssh x.x.x.x sa dostanem do hlavneho mikrotiku(ak je zapnute ip/services/ssh). Ked vypnem ip/services/ssh tak mi vypise na mobile: connect to host x.x.x.x port 22: Connection refused. V oboch pripadoch je zapnute dstnat pravidlo. Ked napise to connection refused nic neukaze v hlavnom mikrotiku(ze by to naozaj bolo blokovane poskytovatelom?).
menge - 26.09.2010 - 10:52
Post subject:
rado3105 wrote: ›Klasickou cestou ssh x.x.x.x sa dostanem do hlavneho mikrotiku(ak je zapnute ip/services/ssh). Ked vypnem ip/services/ssh tak mi vypise na mobile: connect to host x.x.x.x port 22: Connection refused. V oboch pripadoch je zapnute dstnat pravidlo. Ked napise to connection refused nic neukaze v hlavnom mikrotiku(ze by to naozaj bolo blokovane poskytovatelom?).


skus skontrolovat firewall
rado3105 - 26.09.2010 - 11:08
Post subject:
po vypnuti vsetkych pravidiel vo firewalle, to iste: connection refused.
ste-ve - 26.09.2010 - 11:49
Post subject:
rado3105 wrote: ›po vypnuti vsetkych pravidiel vo firewalle, to iste: connection refused.

Takyto typ spojenia blokuju aj samotny operatori... Mas vyskusane aj ine pripojenie?
rado3105 - 26.09.2010 - 11:51
Post subject:
aj ine mam vyskusane. Ale ide o to ste-ve ze sa cez daneho operatora dostanem do winboxu cez ssh. Keby bolo ssh blokovane tak sa do toho hlavneho routera nedostanem.
ste-ve - 26.09.2010 - 12:55
Post subject:
f tom pripade beriem nas5. Mne sa uz totizto prihodilo nieco take..
pixall - 26.09.2010 - 13:13
Post subject:
rado3105 wrote: ›mam moznost momentalne to otestovat jedine cez mobil cez linuxacky terminal. Po zadani prikazu: ssh x.x.x.x:222 vypisuje: couldnt resolve hostname x.x.x.x:222: name or service not known. Tako som pozmenil nat pravidlo:
Code: › 15   chain=dstnat action=dst-nat to-addresses=Y.Y.Y.Y to-ports=22
     protocol=tcp dst-address=X.X.X.X dst-port=222


kokso, keby si aspon poriadne precital aku chybovu hlasku vypisal, a zamyslel sa nad tym, tak by si usetril cas sebe aj inym. je tam napisane "couldnt resolve hostname x.x.x.x:222" teda "neviem resolvovat (previest nazov na IP) pre nazov x.x.x.x:222". teraz sa skusme zamysliet - ked som tam dal IPcku a port, a on si mysli ze je to hostname a chce to prevadzat na IPcku, nie je nieco zle? odpoved je - ano je. tak napisem "man ssh" alebo "ssh --help" a dozviem sa ze port sa nezadava za dvojbodku, ale takto

ssh -p 222 x.x.x.x

a tym padom je hlavny problem v tom ze neviem spustit ssh. az ked sa mi podari spustit ssh a bude posielat do siete nejake pakety tam kde ja chcem, tak sa da riesit si ich spravne zDNATujem a poslem niekam inam.
rado3105 - 26.09.2010 - 13:51
Post subject:
vdaka pixall, ked som mal moznost skusat to na windows masine a na inom internete, skusal som cez putty a tam sa port zadava samostatne a tiez to neslo, takze v tom tiez chyba nebude. Teraz mozem skusit iny internet len na linuxackom mobile(nejde tam spustit putty), tak som nevedel. Sorry moja chyba. Vdaka za radu ohladom ssh. Ale problem tym stale nie je vyrieseny.
ewew - 26.09.2010 - 19:10
Post subject:
Pravdepodobné chodivé riešenie by bolo nastaviť to podľa tohto príkladu.

Pred akýmkoľvek zásahom do konfigurácie je nutné si odzálohovať fungujúcu konfiguráciu. Idea

Do príkladu som použil neverejné IP adresy.

IP adresa 1 routra eth0 192.168.90.254
IP adresa 1 routra eth1 192.168.91.1
IP adresa 2 routra eth0 192.168.91.254
IP adresa 2 routra eth1 192.168.92.1

iptables -t nat -A PREROUTING -s 192.168.90.0/24 -d 192.168.90.254 -p TCP --dport 10000 -j DNAT --to-destination 192.168.91.254:22
iptables -A FORWARD -s 192.168.90.0/24 -d 192.168.91.254 -i eth0 -o eth1 -p TCP --dport 22 -j ACCEPT
iptables -A FORWARD -s ! 192.168.90.0/24 -i eth1 -o eth0 -m state --state ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.90.0/24 -o eth1 -j SNAT 192.168.91.1

Neručím za funkčnosť riešenia.
rado3105 - 26.09.2010 - 19:19
Post subject:
Ewew myslis ze si mi pomohol? Si zena?
ewew - 26.09.2010 - 19:27
Post subject:
rado3105 wrote: ›Ewew myslis ze si mi pomohol? Si zena?


Predsa potrebuješ dostať komunikáciu z vonka dovnútra.
DNAT to presmeruje na IP druhého routra a SNAT zaistí prepísanie zdrojovej IP adresy.
Túto konfiguráciu mám overenú, funguje ale neručím či bude tebe fungovať. Je to len ekvivalentný príklad.

Asi toľko
rado3105 - 26.09.2010 - 19:46
Post subject:
Kto by mal seriozny zaujem pomoct tak mu dam vstup do toho routera(PM). Fakt nechapem co s tym moze byt.
ewew - 26.09.2010 - 19:51
Post subject:
rado3105 wrote: ›Kto by mal seriozny zaujem pomoct tak mu dam vstup do toho routera(PM). Fakt nechapem co s tym moze byt.


Vieš o tom, že je to riskantné dávať prístup do routra. Ja do toho radšej šahať nebudem.
rado3105 - 26.09.2010 - 20:08
Post subject:
Ewew odpovedz mi prosim ta: Si zena? Alebo napis nieco o sebe. Fakt som zvedavy.
Thomas - 26.09.2010 - 21:51
Post subject:
máš na tom routri kam sa to snažíš prenatovať nastavenú správne gw ? prípadne nemáš tam nastavený prístup pre ssh len z niektorých ip ?
rado3105 - 26.09.2010 - 21:56
Post subject:
Gw je nastavena spravne, ssh funguje zo vsetkych ip.
rado3105 - 26.09.2010 - 22:13
Post subject:
Dakujem za pomoc Thomasovi, vyriesil to. Trebalo z toho nat pravidla odobrat verejnu ip adresu.
ewew - 26.09.2010 - 22:36
Post subject:
Ďalší sieťový problém bol úspešne vyriešení.

Dodatok k problému. Pravdepodobne nefunkčnosť spôsobovala prítomnosť paketov s iným rozsahom IP adries ako bol nakonfigurovaní daný interface. Sieť medzi routrom a serverom mala napríklad IP 192.168.99.0/24 a zrazu sa tam objavil paket s IP adresou z rozsahu 192.168.254.147. Samozrejme server to vyhodnotil ako paket nepatriaci do daného rozsahu IP a odmietol spojenie.
SNAT a DNAT nie su len na okrasu. SNAT - source network adress translate a DNAT - destination network adress translate.

Asi toľko.
gyro - 27.09.2010 - 01:19
Post subject:

╔═══════╗

║ E W E W

╚═══════╝

╔═══════╗

║ E W E W

╚═══════╝

╔═══════╗

║ E W E W

╚═══════╝
m-tec - 27.09.2010 - 15:42
Post subject:
Mna jebne !! Laughing Laughing Laughing Laughing Laughing Laughing Laughing Laughing Laughing Laughing Laughing Laughing Laughing Laughing Laughing Laughing Laughing Laughing
All times are GMT
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits