Precedente :: Successivo |
Autore |
Messaggio |
DaniloFailli
Registrato: 01/04/15 15:47 Messaggi: 24
|
Inviato: Lun Giu 08, 2015 2:20 pm Oggetto: Il router non raggiunge ZS, ma la LAN naviga regolarmente |
|
|
Ciao, ho una situazione particolare che non riesco a comprendere, la mia configurazione attuale č la seguente:
LAN router: 172.16.2.1
WAN ZS (ETH01): 172.16.2.10
LAN ZS (ETH02): 192.168.2.1
NAT -> ETH01
Dalla LAN accedo all'interfaccia WEB di ZS in SSH senza problemi.
La situazione anomala č che pur aprendo la porta ssh dal router verso ZS non riesco a raggiungere ZS dall'esterno. Se invece apro una porta sia sul router che su ZS per raggiungere un dispositivo interno alla LAN, allora tutto funziona correttamente.
A questo punto la prova che ho fatto č stata di pingare ZS dal router, sembra come se il router non vedesse ZS, il router mi restituisce Request time out.
Se da un PC della rete pingo una qualsiasi delle ETH di ZS o la LAN del router, non incontro problemi. |
|
Top |
|
 |
redfive
Registrato: 26/06/09 22:21 Messaggi: 777
|
Inviato: Lun Giu 08, 2015 2:25 pm Oggetto: |
|
|
Controlla da quali interfacce/s.ip hai permesso il management via ssh, da Setup, SSH.
ciao |
|
Top |
|
 |
DaniloFailli
Registrato: 01/04/15 15:47 Messaggi: 24
|
Inviato: Lun Giu 08, 2015 8:21 pm Oggetto: |
|
|
ciao redfive, ho abilitato:
From Subnet 172.16.2.0/24 from ETH01
From [IP pubblico] from ETH01
Ma nulla di fatto. |
|
Top |
|
 |
redfive
Registrato: 26/06/09 22:21 Messaggi: 777
|
Inviato: Lun Giu 08, 2015 8:50 pm Oggetto: |
|
|
Potresti postar l'output di Codice: | iptables -nvL INPUT | grep :22 | e Codice: | iptables -nvL SYS_SSH |
Se vuoi fare prima, crei un cron-job, nominato es. sh_ssh (da setup, script/cron)ed inserisci Codice: | # Bash script: sh_ssh-Cron
iptables -nvL INPUT | grep :22
#iptables -nvL SYS_SSH
| tasto test e vedi l'output, commenti la seconda riga, decommenti la terza ed ancora tasto test.
Se vuoi entrare anche dall'esterno, a meno che non 'entri' da un pubblico statico, dichiara solo l'interfaccia wan di ZS, e sul router principale forwardi es la tcp 8822 >> ip.wan.zs 22, per entrare da fuori come porta userai la tcp 8822.
ciao |
|
Top |
|
 |
DaniloFailli
Registrato: 01/04/15 15:47 Messaggi: 24
|
Inviato: Lun Giu 08, 2015 9:20 pm Oggetto: |
|
|
Sto eseguendo i comandi da un'altra sede che ha il medesimo problema.
LAN router: 172.16.1.1
WAN ZS (ETH01): 172.16.1.10
LAN ZS (ETH02): 192.168.80.253
NAT -> ETH01
Questo č il risultato del primo comando:
Citazione: | 128 11692 SYS_SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
|
Questo il risultato del secondo comando:
Citazione: | Chain SYS_SSH (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
64 4304 ACCEPT all -- ETH02 * 192.168.80.0/24 0.0.0.0/0
0 0 ACCEPT all -- ETH01 * 84.253.152.107 0.0.0.0/0
0 0 ACCEPT all -- ETH01 * 172.16.1.0/24 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
|
|
|
Top |
|
 |
redfive
Registrato: 26/06/09 22:21 Messaggi: 777
|
Inviato: Lun Giu 08, 2015 9:29 pm Oggetto: |
|
|
Citazione: | Chain SYS_SSH (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
64 4304 ACCEPT all -- ETH02 * 192.168.80.0/24 0.0.0.0/0
0 0 ACCEPT all -- ETH01 * 84.253.152.107 0.0.0.0/0
0 0 ACCEPT all -- ETH01 * 172.16.1.0/24 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 |
Qui sembra accettare 'tutto quello che entra dalla ETH02, ed ha come s.ip.add 192.168.80.0/24', 'tutto quello che entra dalla ETH01, ed ha come s.ip.add 84.253.152.107', e 'tutto quello che entra dalla ETH01, ed ha come s.ip.add 172.16.1.0/24' ... la seconda regola ha funzionato (64 pacchetti)... le altre sono quelle che volevi ?
ciao |
|
Top |
|
 |
DaniloFailli
Registrato: 01/04/15 15:47 Messaggi: 24
|
Inviato: Lun Giu 08, 2015 9:35 pm Oggetto: |
|
|
la seconda č relativa al traffico LAN
la seconda con IP 84.... l'ho impostata perchč quelo č il pubblico sulla wan del router
la terza dovrebbe abilitare il traffico proveniente dalla rete 172.16.1.x sulle scheda WAN.
Sta proprio qui il punto, dal router non pingo ZS.
Questo mi impedisce di raggiungere qualsiasi servizio di ZS dall'esterno, comprese le VPN |
|
Top |
|
 |
redfive
Registrato: 26/06/09 22:21 Messaggi: 777
|
Inviato: Lun Giu 08, 2015 9:43 pm Oggetto: |
|
|
OK, ma il ping č una cosa (come č configurata la chain di INPUT del firewall ?) l'accesso ssh un'altra .....Prova a dichiarare , solo 2 regole, una con l'interfaccia lan ( e se vuoi l'indirizzo di rete/sm) e una con l'interfaccia wan, senza ip addresses ....
ciao |
|
Top |
|
 |
EmmeKappa
Registrato: 07/05/10 12:51 Messaggi: 323
|
Inviato: Mar Giu 09, 2015 7:28 am Oggetto: |
|
|
io non ho capito una cosa, vuoi accedere all'interfaccia Web o tramite terminale sulla ssh ?
se vuoi arrivare all'interfaccia web devi abilitarti anche nell'apposita sezione
setup ---> web
potrebbe essere banale ma hai pensato di non aprire interfaccia direttamente su internet e abilitare un roadwarrior ? (vpn) |
|
Top |
|
 |
DaniloFailli
Registrato: 01/04/15 15:47 Messaggi: 24
|
Inviato: Mar Giu 09, 2015 7:45 am Oggetto: |
|
|
La chain di INPUT č ACCEPT.
Ho configurato SSH con le sole due regole LAN con IP/SM e WAN senza IP.
ma dall'esterno ancora non raggiungo ZS in SSH |
|
Top |
|
 |
DaniloFailli
Registrato: 01/04/15 15:47 Messaggi: 24
|
Inviato: Mar Giu 09, 2015 10:47 am Oggetto: |
|
|
Passo in avanti:
Nella parte web ho abilitato Sia ETH01 che ETH02
Ora raggiungo il firewall dall'esterno, ma il ping dal router e il collegamento VPN ancora non va.
Andando in VPN L2L e visualizzando il log, ricevo quanto segue:
Citazione: | 10:33:59 SIGUSR1[soft,ping-restart] received, process restarting
10:34:01 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
10:34:01 TUN/TAP device VPN00 opened
10:34:01 UDPv4 link local (bound): [undef]:1195
10:34:01 UDPv4 link remote: 84.253.152.107:1195
10:34:01 Authenticate/Decrypt packet error: packet HMAC authentication failed
10:34:11 message repeated 9 times
10:34:12 Inactivity timeout (--ping-restart), restarting
10:34:12 /root/kerbynet.cgi/scripts/vpn_mii VPN00 1500 1576 init
|
|
|
Top |
|
 |
EmmeKappa
Registrato: 07/05/10 12:51 Messaggi: 323
|
Inviato: Mar Giu 09, 2015 10:56 am Oggetto: |
|
|
stai tentando una lan to lan ?
io per connettermi in remoto sulla macchina uso un Host to Lan
per intenderci quella gia' creata in automatico
settata come tcp sulla 1199 e non come udp
il router esterno e' reindirizzato per mandarmi la 1199 verso l'interno su ZS tcp
sul router devi creare un " virtual server " per instradare le richieste verso ZS |
|
Top |
|
 |
DaniloFailli
Registrato: 01/04/15 15:47 Messaggi: 24
|
Inviato: Mar Giu 09, 2015 11:15 am Oggetto: |
|
|
Ciao EmmeKappa, il router č gią impostato, nelle open port ho inserito la 1195 UDP passante, arriva diretta a ZS. |
|
Top |
|
 |
redfive
Registrato: 26/06/09 22:21 Messaggi: 777
|
Inviato: Mar Giu 09, 2015 11:46 am Oggetto: |
|
|
Con la chain di input ad accept, da quella che per ZS č la rete wan (anche se privata) devi poter pingare l'ip delll'interfaccia wan di ZS, es se Zs avesse ip 172.19.0.254, il pc 172.19.0.100 deve pingare ZS, lo stesso per ssh, se hai dichiarato l'interfaccia wan, deve accettare qualsiasi connessione da quell'interfaccia, a maggior ragione se l'host 'chiamante' č nello stesso dominio di broadcast.
Per la vpn, come č configurata ? psk o X.509 ?
ciao |
|
Top |
|
 |
DaniloFailli
Registrato: 01/04/15 15:47 Messaggi: 24
|
Inviato: Mar Giu 09, 2015 11:49 am Oggetto: |
|
|
Io dai PC della rete pingo tranquillamente ZS.
Il problema nasce quando provo a pingare ZS dal router. |
|
Top |
|
 |
redfive
Registrato: 26/06/09 22:21 Messaggi: 777
|
Inviato: Mar Giu 09, 2015 11:51 am Oggetto: |
|
|
Dal router pinghi anche i pc ?
Come č configurata la vpn ?
ciao |
|
Top |
|
 |
Kempes
Registrato: 09/06/15 10:07 Messaggi: 4
|
Inviato: Mar Giu 09, 2015 12:40 pm Oggetto: |
|
|
scusate m'intrometto
il ruoter non pinga ne ZS ne i pc.
i pc non si pingano perchč e nattato ETH01 e posso capirlo non capisco il perchč non si pinga ZS.
la VPN č configurata Lan to Lan con autenticazione Pre-Shared Key identica sui ZS delle due lan |
|
Top |
|
 |
DaniloFailli
Registrato: 01/04/15 15:47 Messaggi: 24
|
Inviato: Mar Giu 09, 2015 12:45 pm Oggetto: |
|
|
Kempes č un mio collega.
Ho creato una route statica sl route, cosģ facendo pingo tutti i PC/Server che ho in rete.
ZS non riesco a pingarlo.
Diciamo che il ping a questo punto č la cosa meno preoccupante.
La questione ora diventa relativa alle VPN |
|
Top |
|
 |
redfive
Registrato: 26/06/09 22:21 Messaggi: 777
|
Inviato: Mar Giu 09, 2015 9:37 pm Oggetto: |
|
|
Forse non ho ben capito la topologia, e se ci sono dei pc nella rete tra la wan di ZS ed il router connesso ad internet (172.16.2.0), o se i pc sono tutti 'dietro' a ZS ( quindi nella rete 192.168.2.0) e nattati in uscita da ZS con l'ip 172.16.2.10 .....
Il router 172.16.2.1 non riesce a pingare 172.16.2.10 o 192.168.2.1 ?
Per la VPN, č abbastanza strano, almeno ... una L2L PSK di solito č funzionante in meno 3 minuti di orologio...La porta vą forwardata solo nel router esposto ad internet a cui č collegata la macchina che funge da VPN server, nel router del sito dove invece č presente la macchina che agisce da client non serve forwardare niente.
Potresti postare le schermate relative alle config. delle L2L ?
Se hai come default policy accept sulla chain di input (che č comunque sconsigliato) , potresti creare una regola, con input iface la wan, action accept, LOG...... poi la abiliti prima di pingare/connetterti in ssh/ connettere la vpn dal client remoto, dovrebbe aiutare a vedere cosa arriva e da dove...
ciao |
|
Top |
|
 |
DaniloFailli
Registrato: 01/04/15 15:47 Messaggi: 24
|
Inviato: Ven Lug 03, 2015 8:22 am Oggetto: |
|
|
Ciao Red, grazie del supporto.
Risolto tutto, c'era un problema sulle configurazioni di router e open port.
Ora tutto č ok.
Se posso, ultima domanda:
Dalle sedi remote ho necessitą di inserire i PC a dominio, il DC (DNS server) si trova in una delle sedi con VPN. Basta impostare il DNS 2 che punti all'IP del DC?
Grazie ancora.
P.S. Ho altre domande di siurezza sul firewall, quelle le vado a mettere nel posto giusto  |
|
Top |
|
 |
|