Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

difficoltà di management da vlan

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
dafrasaga



Registrato: 25/09/13 09:23
Messaggi: 7

MessaggioInviato: Ven Nov 29, 2013 6:37 pm    Oggetto: difficoltà di management da vlan Rispondi citando

Ciao a tutti,
ho impostato una ZS come router+firewall con annesso due AP multi SSID per gestire LAN wifi separate.
I pc wifi sulle varie VLAN navigano tranquillamente in internet, ma non possono accedere a ZS 192.168.20.1 per il management.
Al contrario un pc wifi non su VLAN funziona regolarmente sia in internet che come ZS management.

Ho investigato un po' e mi sembra che quando tento di accedere da VLAN ad un certo punto della connessione si interrompe il socket TCP tra ZS ed il PC.
Questo lo deduco dalla prima serie di output di tcpdump dove il pc 192.168.20.67 fa ack sulla sequenza 927215763 e mai più sulla 927217211. In effetti tutte le sequenza ri-trasmesse (927215763:927217211) dall'altra parte del socket non arrivano ( verificato con tcpdump).


18:20:54.494716 192.168.20.67.38183 > 192.168.20.1.443: S 1201239132:1201239132(0) win 14600 <mss 1460,sackOK,timestamp 62707 0,nop,wscale 6> (DF)
18:20:54.494816 192.168.20.1.443 > 192.168.20.67.38183: S 927215762:927215762(0) ack 1201239133 win 14480 <mss 1460,sackOK,timestamp 160757241 62707,nop,wscale 7> (DF)
18:20:54.497130 192.168.20.67.38183 > 192.168.20.1.443: . ack 927215763 win 229 <nop,nop,timestamp 62710 160757241> (DF)
18:20:54.497640 192.168.20.67.38183 > 192.168.20.1.443: P 1201239133:1201239452(319) ack 927215763 win 229 <nop,nop,timestamp 62710 160757241> (DF)
18:20:54.497695 192.168.20.1.443 > 192.168.20.67.38183: . ack 1201239452 win 122 <nop,nop,timestamp 160757242 62710> (DF)
18:20:54.522811 192.168.20.1.443 > 192.168.20.67.38183: . 927215763:927217211(1448) ack 1201239452 win 122 <nop,nop,timestamp 160757248 62710> (DF)
18:20:54.522849 192.168.20.1.443 > 192.168.20.67.38183: P 927217211:927218120(909) ack 1201239452 win 122 <nop,nop,timestamp 160757248 62710> (DF)
18:20:54.526541 192.168.20.67.38183 > 192.168.20.1.443: . ack 927215763 win 229 <nop,nop,timestamp 62739 160757242,nop,nop,sack sack 1 {927217211:927218120} > (DF)
18:20:54.725662 192.168.20.1.443 > 192.168.20.67.38183: . 927215763:927217211(1448) ack 1201239452 win 122 <nop,nop,timestamp 160757299 62739> (DF)
18:20:55.133659 192.168.20.1.443 > 192.168.20.67.38183: . 927215763:927217211(1448) ack 1201239452 win 122 <nop,nop,timestamp 160757401 62739> (DF)
18:20:55.949687 192.168.20.1.443 > 192.168.20.67.38183: . 927215763:927217211(1448) ack 1201239452 win 122 <nop,nop,timestamp 160757605 62739> (DF)
18:20:57.585673 192.168.20.1.443 > 192.168.20.67.38183: . 927215763:927217211(1448) ack 1201239452 win 122 <nop,nop,timestamp 160758014 62739> (DF)
18:21:00.857669 192.168.20.1.443 > 192.168.20.67.38183: . 927215763:927217211(1448) ack 1201239452 win 122 <nop,nop,timestamp 160758832 62739> (DF)
18:21:05.764963 192.168.20.67.38183 > 192.168.20.1.443: F 1201239452:1201239452(0) ack 927215763 win 229 <nop,nop,timestamp 73977 160757242,nop,nop,sack sack 1 {927217211:927218120} > (DF)
18:21:05.765200 192.168.20.1.443 > 192.168.20.67.38183: F 927218120:927218120(0) ack 1201239453 win 122 <nop,nop,timestamp 160760058 73977> (DF)
18:21:05.767416 192.168.20.67.38183 > 192.168.20.1.443: R 1201239453:1201239453(0) win 0 (DF)
18:21:10.393675 192.168.20.1.443 > 192.168.20.67.36714: . 1294468464:1294469912(1448) ack 2077588714 win 122 <nop,nop,timestamp 160761216 33683800> (DF)

Se invece eccedo da un pc sempre wifi ma non su VLAN il tutto si conclude bene

18:21:29.973195 192.168.220.10.50971 > 192.168.20.1.443: S 1161506557:1161506557(0) win 14600 <mss 1460,sackOK,timestamp 98184 0,nop,wscale 6> (DF)
18:21:29.973279 192.168.20.1.443 > 192.168.220.10.50971: S 3689928863:3689928863(0) ack 1161506558 win 14480 <mss 1460,sackOK,timestamp 160766110 98184,nop,wscale 7> (DF)
18:21:29.975210 192.168.220.10.50971 > 192.168.20.1.443: . ack 3689928864 win 229 <nop,nop,timestamp 98186 160766110> (DF)
18:21:29.976279 192.168.220.10.50971 > 192.168.20.1.443: P 1161506558:1161506877(319) ack 3689928864 win 229 <nop,nop,timestamp 98186 160766110> (DF)
18:21:29.976339 192.168.20.1.443 > 192.168.220.10.50971: . ack 1161506877 win 122 <nop,nop,timestamp 160766111 98186> (DF)
18:21:30.002860 192.168.20.1.443 > 192.168.220.10.50971: . 3689928864:3689930312(1448) ack 1161506877 win 122 <nop,nop,timestamp 160766118 98186> (DF)
18:21:30.002889 192.168.20.1.443 > 192.168.220.10.50971: P 3689930312:3689931221(909) ack 1161506877 win 122 <nop,nop,timestamp 160766118 98186> (DF)
18:21:30.011754 192.168.220.10.50971 > 192.168.20.1.443: . ack 3689930312 win 274 <nop,nop,timestamp 98221 160766118> (DF)
18:21:30.011791 192.168.220.10.50971 > 192.168.20.1.443: . ack 3689931221 win 319 <nop,nop,timestamp 98222 160766118> (DF)
18:21:30.021193 192.168.220.10.50971 > 192.168.20.1.443: P 1161506877:1161507075(198) ack 3689931221 win 319 <nop,nop,timestamp 98232 160766118> (DF)
18:21:30.029946 192.168.20.1.443 > 192.168.220.10.50971: P 3689931221:3689931487(266) ack 1161507075 win 130 <nop,nop,timestamp 160766125 98232> (DF)
18:21:30.032963 192.168.220.10.50971 > 192.168.20.1.443: P 1161507075:1161507261(186) ack 3689931487 win 364 <nop,nop,timestamp 98243 160766125> (DF)
18:21:30.033464 192.168.20.1.443 > 192.168.220.10.50971: P 3689931487:3689932713(1226) ack 1161507261 win 139 <nop,nop,timestamp 160766125 98243> (DF)
18:21:30.039505 192.168.220.10.50971 > 192.168.20.1.443: F 1161507261:1161507261(0) ack 3689932713 win 410 <nop,nop,timestamp 98250 160766125> (DF)
18:21:30.039721 192.168.20.1.443 > 192.168.220.10.50971: P 3689932713:3689932750(37) ack 1161507262 win 139 <nop,nop,timestamp 160766127 98250> (DF)
18:21:30.039873 192.168.20.1.443 > 192.168.220.10.50971: F 3689932750:3689932750(0) ack 1161507262 win 139 <nop,nop,timestamp 160766127 98250> (DF)
18:21:30.041953 192.168.220.10.50971 > 192.168.20.1.443: R 1161507262:1161507262(0) win 0 (DF)
18:21:30.043287 192.168.220.10.50971 > 192.168.20.1.443: R 1161507262:1161507262(0) win 0 (DF)


La cosa buffa è che creo un socket tcp con netcat, per esempio sulla porta 888, sono in grado anche da VLAN di poter colloquiare con l'altra parte.
Come se la porta 80/443 di ZS non permetta connessioni da VLAN. Boh!!


Avete qualche idea... stò diventando pazzo.

GRazie
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Ven Nov 29, 2013 7:30 pm    Oggetto: Rispondi citando

Ciao , non dovresti avere nessun problema a permettere/negare il management di Zs da qualsiasi interfaccia/source-ip .
In System>>Setup>>https , che c'è ? Hai qualche restrizione relative ai SSID taggati sugli AP's ?
ciao
Top
Profilo Invia messaggio privato
dafrasaga



Registrato: 25/09/13 09:23
Messaggi: 7

MessaggioInviato: Sab Nov 30, 2013 10:11 am    Oggetto: Rispondi citando

redfive ha scritto:
Ciao , non dovresti avere nessun problema a permettere/negare il management di Zs da qualsiasi interfaccia/source-ip .
In System>>Setup>>https , che c'è ? Hai qualche restrizione relative ai SSID taggati sugli AP's ?
ciao


Ciao, in effetti era quello che pensavo anche io nel momento che ho deciso di crearmi una tale rete lan...
In system-setup-https ci cono le porte 80 http e 443 https e "any ip and interface" nella acl.

All'inizio pensavo che fosse un errato settaggio sugli apparati della rete tra cui uno switch managed cisco, ma poi dopo che con netcat ho potuto colloquiare regolarmente penso che la rete non abbia colpa.
E' proprio qualcosa legato alla porta 443 alla quale viene reindirizzata la 80 di default ma non riesco a capire cosa.
Lo strano è che le prime sequenze ip (SYN SYN+ACK ACK) avvengono regolarmente tra i due peers.

ciao
Top
Profilo Invia messaggio privato
dafrasaga



Registrato: 25/09/13 09:23
Messaggi: 7

MessaggioInviato: Mer Giu 04, 2014 9:00 am    Oggetto: Rispondi citando

Ragazzi,
rieccomi. Dopo mesi di letargo ho deciso di riprovare connettermi alla Web interface via VLAN.

Niente!!!!

Riepilogo:
Creato due VLAN sulla interfaccia ETH01

ETH01 100Mb/s Full Duplex
Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ (rev 10) UP
VLAN: 10 (guest)
192.168.10.1 255.255.255.0
VLAN: 20 (private)
192.168.20.1 255.255.255.0
Dynamic IP: 0.0.0.0 MAC: 00E04C204C38

Inserito nella HTTPS Web Interface Settings
Interface ETH01 VLAN 10 e VLAN 20

Se mi connetto tramite una delle VLAN (tramite AP TP-LINK ) posso navigare su internet ma non accedo alla Web interface.
Se tramite SSH setto un server netcat su ZS sulla porta esempio 888 posso connettermi tramite il PC connesso via VLAN, quindi deduco che la rete anche verso l'HOST ZEROSHELL funziona.

Idee??
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it