Author |
Message |
|
Post subject: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Posted: 26.09.2010 - 09:56 #85098
|
|
Majster
Joined: Júl 11, 2008
Posts: 2311
|
|
Hlavny router ma verejnu ip: X.X.X.X, potrebujem sa dostat prilasenim cez ssh cez verejnu ip hlavneho routera na server ktory je hned za nim(ip: y.y.y.y). Mam nastaveny srcnat, aj dstnat na y.y.y.y
DSTNAT:
Code: › 15 chain=dstnat action=dst-nat to-addresses=Y.Y.Y.Y to-ports=22
protocol=tcp dst-address=X.X.X.X dst-port=22
Do hlavneho routera sa cez verejnu ip dostanem bez problemov. Po presmerovani som skusal aj vypnut ssh v ip/services v hlavnom routeri ale ani so zapnutym ani s vypnutym som sa do servera za routerom nedostal. Keby to bolo blkovane poskytovatelom tak by som sa asi nedostal do hlavneho routera. Viete povedat kde by mohol byt problem? |
|
|
|
|
|
|
Post subject: RE: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Posted: 26.09.2010 - 10:10 #85099
|
|
Guru
Joined: Jún 19, 2005
Posts: 1019
|
|
problem moze byt v tom, ze sa chces prihlasit cez port 22 na ktorom ta chce prihlasit priamo na MK, skus to napriklad cez port x.x.x.x:222 |
|
|
|
|
|
|
Post subject: RE: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Posted: 26.09.2010 - 10:18 #85100
|
|
Majster
Joined: Júl 11, 2008
Posts: 2311
|
|
mam moznost momentalne to otestovat jedine cez mobil cez linuxacky terminal. Po zadani prikazu: ssh x.x.x.x:222 vypisuje: couldnt resolve hostname x.x.x.x:222: name or service not known. Tako som pozmenil nat pravidlo: Code: › 15 chain=dstnat action=dst-nat to-addresses=Y.Y.Y.Y to-ports=22
protocol=tcp dst-address=X.X.X.X dst-port=222 |
|
|
|
|
|
|
Post subject: RE: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Posted: 26.09.2010 - 10:24 #85101
|
|
Majster
Joined: Júl 11, 2008
Posts: 2311
|
|
Klasickou cestou ssh x.x.x.x sa dostanem do hlavneho mikrotiku(ak je zapnute ip/services/ssh). Ked vypnem ip/services/ssh tak mi vypise na mobile: connect to host x.x.x.x port 22: Connection refused. V oboch pripadoch je zapnute dstnat pravidlo. Ked napise to connection refused nic neukaze v hlavnom mikrotiku(ze by to naozaj bolo blokovane poskytovatelom?). |
|
|
|
|
|
|
Post subject: RE: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Posted: 26.09.2010 - 10:52 #85102
|
|
Basic
Joined: Mar 10, 2005
Posts: 254
Location: okolie Brezna
|
|
rado3105 wrote: ›Klasickou cestou ssh x.x.x.x sa dostanem do hlavneho mikrotiku(ak je zapnute ip/services/ssh). Ked vypnem ip/services/ssh tak mi vypise na mobile: connect to host x.x.x.x port 22: Connection refused. V oboch pripadoch je zapnute dstnat pravidlo. Ked napise to connection refused nic neukaze v hlavnom mikrotiku(ze by to naozaj bolo blokovane poskytovatelom?).
skus skontrolovat firewall |
|
|
|
|
|
|
Post subject: RE: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Posted: 26.09.2010 - 11:08 #85103
|
|
Majster
Joined: Júl 11, 2008
Posts: 2311
|
|
po vypnuti vsetkych pravidiel vo firewalle, to iste: connection refused. |
|
|
|
|
|
|
Post subject: RE: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Posted: 26.09.2010 - 11:49 #85106
|
|
Ucen
Joined: Feb 21, 2006
Posts: 538
Location: BA
|
|
rado3105 wrote: ›po vypnuti vsetkych pravidiel vo firewalle, to iste: connection refused.
Takyto typ spojenia blokuju aj samotny operatori... Mas vyskusane aj ine pripojenie? |
|
|
|
|
|
|
Post subject: RE: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Posted: 26.09.2010 - 11:51 #85107
|
|
Majster
Joined: Júl 11, 2008
Posts: 2311
|
|
aj ine mam vyskusane. Ale ide o to ste-ve ze sa cez daneho operatora dostanem do winboxu cez ssh. Keby bolo ssh blokovane tak sa do toho hlavneho routera nedostanem. |
|
|
|
|
|
|
Post subject: RE: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Posted: 26.09.2010 - 12:55 #85109
|
|
Ucen
Joined: Feb 21, 2006
Posts: 538
Location: BA
|
|
f tom pripade beriem nas5. Mne sa uz totizto prihodilo nieco take.. |
|
|
|
|
|
|
Post subject: RE: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Posted: 26.09.2010 - 13:13 #85110
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
rado3105 wrote: ›mam moznost momentalne to otestovat jedine cez mobil cez linuxacky terminal. Po zadani prikazu: ssh x.x.x.x:222 vypisuje: couldnt resolve hostname x.x.x.x:222: name or service not known. Tako som pozmenil nat pravidlo: Code: › 15 chain=dstnat action=dst-nat to-addresses=Y.Y.Y.Y to-ports=22
protocol=tcp dst-address=X.X.X.X dst-port=222
kokso, keby si aspon poriadne precital aku chybovu hlasku vypisal, a zamyslel sa nad tym, tak by si usetril cas sebe aj inym. je tam napisane "couldnt resolve hostname x.x.x.x:222" teda "neviem resolvovat (previest nazov na IP) pre nazov x.x.x.x:222". teraz sa skusme zamysliet - ked som tam dal IPcku a port, a on si mysli ze je to hostname a chce to prevadzat na IPcku, nie je nieco zle? odpoved je - ano je. tak napisem "man ssh" alebo "ssh --help" a dozviem sa ze port sa nezadava za dvojbodku, ale takto
ssh -p 222 x.x.x.x
a tym padom je hlavny problem v tom ze neviem spustit ssh. az ked sa mi podari spustit ssh a bude posielat do siete nejake pakety tam kde ja chcem, tak sa da riesit si ich spravne zDNATujem a poslem niekam inam. |
|
|
|
|
|
|
Post subject: RE: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Posted: 26.09.2010 - 13:51 #85113
|
|
Majster
Joined: Júl 11, 2008
Posts: 2311
|
|
vdaka pixall, ked som mal moznost skusat to na windows masine a na inom internete, skusal som cez putty a tam sa port zadava samostatne a tiez to neslo, takze v tom tiez chyba nebude. Teraz mozem skusit iny internet len na linuxackom mobile(nejde tam spustit putty), tak som nevedel. Sorry moja chyba. Vdaka za radu ohladom ssh. Ale problem tym stale nie je vyrieseny. |
|
|
|
|
|
|
Post subject: RE: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Posted: 26.09.2010 - 19:10 #85132
|
|
Basic
Joined: Sep 02, 2009
Posts: 433
|
|
Pravdepodobné chodivé riešenie by bolo nastaviť to podľa tohto príkladu.
Pred akýmkoľvek zásahom do konfigurácie je nutné si odzálohovať fungujúcu konfiguráciu.
Do príkladu som použil neverejné IP adresy.
IP adresa 1 routra eth0 192.168.90.254
IP adresa 1 routra eth1 192.168.91.1
IP adresa 2 routra eth0 192.168.91.254
IP adresa 2 routra eth1 192.168.92.1
iptables -t nat -A PREROUTING -s 192.168.90.0/24 -d 192.168.90.254 -p TCP --dport 10000 -j DNAT --to-destination 192.168.91.254:22
iptables -A FORWARD -s 192.168.90.0/24 -d 192.168.91.254 -i eth0 -o eth1 -p TCP --dport 22 -j ACCEPT
iptables -A FORWARD -s ! 192.168.90.0/24 -i eth1 -o eth0 -m state --state ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.90.0/24 -o eth1 -j SNAT 192.168.91.1
Neručím za funkčnosť riešenia. |
|
|
|
|
|
|
Post subject: RE: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Posted: 26.09.2010 - 19:19 #85133
|
|
Majster
Joined: Júl 11, 2008
Posts: 2311
|
|
Ewew myslis ze si mi pomohol? Si zena? |
|
|
|
|
|
|
Post subject: RE: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Posted: 26.09.2010 - 19:27 #85138
|
|
Basic
Joined: Sep 02, 2009
Posts: 433
|
|
rado3105 wrote: ›Ewew myslis ze si mi pomohol? Si zena?
Predsa potrebuješ dostať komunikáciu z vonka dovnútra.
DNAT to presmeruje na IP druhého routra a SNAT zaistí prepísanie zdrojovej IP adresy.
Túto konfiguráciu mám overenú, funguje ale neručím či bude tebe fungovať. Je to len ekvivalentný príklad.
Asi toľko |
|
|
|
|
|
|
Post subject: RE: Nemoznost dostat sa cez verejnu ip na zariadenia za routerom
Posted: 26.09.2010 - 19:46 #85141
|
|
Majster
Joined: Júl 11, 2008
Posts: 2311
|
|
Kto by mal seriozny zaujem pomoct tak mu dam vstup do toho routera(PM). Fakt nechapem co s tym moze byt. |
|
|
|
|
|
|
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group Credits |