Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Il router non raggiunge ZS, ma la LAN naviga regolarmente

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
DaniloFailli



Registrato: 01/04/15 15:47
Messaggi: 24

MessaggioInviato: Lun Giu 08, 2015 2:20 pm    Oggetto: Il router non raggiunge ZS, ma la LAN naviga regolarmente Rispondi citando

Ciao, ho una situazione particolare che non riesco a comprendere, la mia configurazione attuale č la seguente:

LAN router: 172.16.2.1
WAN ZS (ETH01): 172.16.2.10
LAN ZS (ETH02): 192.168.2.1
NAT -> ETH01

Dalla LAN accedo all'interfaccia WEB di ZS in SSH senza problemi.

La situazione anomala č che pur aprendo la porta ssh dal router verso ZS non riesco a raggiungere ZS dall'esterno. Se invece apro una porta sia sul router che su ZS per raggiungere un dispositivo interno alla LAN, allora tutto funziona correttamente.

A questo punto la prova che ho fatto č stata di pingare ZS dal router, sembra come se il router non vedesse ZS, il router mi restituisce Request time out.

Se da un PC della rete pingo una qualsiasi delle ETH di ZS o la LAN del router, non incontro problemi.
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 764

MessaggioInviato: Lun Giu 08, 2015 2:25 pm    Oggetto: Rispondi citando

Controlla da quali interfacce/s.ip hai permesso il management via ssh, da Setup, SSH.
ciao
Top
Profilo Invia messaggio privato
DaniloFailli



Registrato: 01/04/15 15:47
Messaggi: 24

MessaggioInviato: Lun Giu 08, 2015 8:21 pm    Oggetto: Rispondi citando

ciao redfive, ho abilitato:
From Subnet 172.16.2.0/24 from ETH01
From [IP pubblico] from ETH01

Ma nulla di fatto.
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 764

MessaggioInviato: Lun Giu 08, 2015 8:50 pm    Oggetto: Rispondi citando

Potresti postar l'output di
Codice:
iptables -nvL INPUT | grep :22
e
Codice:
iptables -nvL SYS_SSH

Se vuoi fare prima, crei un cron-job, nominato es. sh_ssh (da setup, script/cron)ed inserisci
Codice:
# Bash script: sh_ssh-Cron
iptables -nvL INPUT | grep :22
#iptables -nvL SYS_SSH
tasto test e vedi l'output, commenti la seconda riga, decommenti la terza ed ancora tasto test.
Se vuoi entrare anche dall'esterno, a meno che non 'entri' da un pubblico statico, dichiara solo l'interfaccia wan di ZS, e sul router principale forwardi es la tcp 8822 >> ip.wan.zs 22, per entrare da fuori come porta userai la tcp 8822.
ciao
Top
Profilo Invia messaggio privato
DaniloFailli



Registrato: 01/04/15 15:47
Messaggi: 24

MessaggioInviato: Lun Giu 08, 2015 9:20 pm    Oggetto: Rispondi citando

Sto eseguendo i comandi da un'altra sede che ha il medesimo problema.

LAN router: 172.16.1.1
WAN ZS (ETH01): 172.16.1.10
LAN ZS (ETH02): 192.168.80.253
NAT -> ETH01

Questo č il risultato del primo comando:
Citazione:
128 11692 SYS_SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22


Questo il risultato del secondo comando:
Citazione:
Chain SYS_SSH (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
64 4304 ACCEPT all -- ETH02 * 192.168.80.0/24 0.0.0.0/0
0 0 ACCEPT all -- ETH01 * 84.253.152.107 0.0.0.0/0
0 0 ACCEPT all -- ETH01 * 172.16.1.0/24 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 764

MessaggioInviato: Lun Giu 08, 2015 9:29 pm    Oggetto: Rispondi citando

Citazione:
Chain SYS_SSH (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
64 4304 ACCEPT all -- ETH02 * 192.168.80.0/24 0.0.0.0/0
0 0 ACCEPT all -- ETH01 * 84.253.152.107 0.0.0.0/0
0 0 ACCEPT all -- ETH01 * 172.16.1.0/24 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Qui sembra accettare 'tutto quello che entra dalla ETH02, ed ha come s.ip.add 192.168.80.0/24', 'tutto quello che entra dalla ETH01, ed ha come s.ip.add 84.253.152.107', e 'tutto quello che entra dalla ETH01, ed ha come s.ip.add 172.16.1.0/24' ... la seconda regola ha funzionato (64 pacchetti)... le altre sono quelle che volevi ?
ciao
Top
Profilo Invia messaggio privato
DaniloFailli



Registrato: 01/04/15 15:47
Messaggi: 24

MessaggioInviato: Lun Giu 08, 2015 9:35 pm    Oggetto: Rispondi citando

la seconda č relativa al traffico LAN
la seconda con IP 84.... l'ho impostata perchč quelo č il pubblico sulla wan del router
la terza dovrebbe abilitare il traffico proveniente dalla rete 172.16.1.x sulle scheda WAN.

Sta proprio qui il punto, dal router non pingo ZS.

Questo mi impedisce di raggiungere qualsiasi servizio di ZS dall'esterno, comprese le VPN
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 764

MessaggioInviato: Lun Giu 08, 2015 9:43 pm    Oggetto: Rispondi citando

OK, ma il ping č una cosa (come č configurata la chain di INPUT del firewall ?) l'accesso ssh un'altra .....Prova a dichiarare , solo 2 regole, una con l'interfaccia lan ( e se vuoi l'indirizzo di rete/sm) e una con l'interfaccia wan, senza ip addresses ....
ciao
Top
Profilo Invia messaggio privato
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Mar Giu 09, 2015 7:28 am    Oggetto: Rispondi citando

io non ho capito una cosa, vuoi accedere all'interfaccia Web o tramite terminale sulla ssh ?

se vuoi arrivare all'interfaccia web devi abilitarti anche nell'apposita sezione

setup ---> web


potrebbe essere banale ma hai pensato di non aprire interfaccia direttamente su internet e abilitare un roadwarrior ? (vpn)
Top
Profilo Invia messaggio privato
DaniloFailli



Registrato: 01/04/15 15:47
Messaggi: 24

MessaggioInviato: Mar Giu 09, 2015 7:45 am    Oggetto: Rispondi citando

La chain di INPUT č ACCEPT.
Ho configurato SSH con le sole due regole LAN con IP/SM e WAN senza IP.

ma dall'esterno ancora non raggiungo ZS in SSH
Top
Profilo Invia messaggio privato Invia e-mail
DaniloFailli



Registrato: 01/04/15 15:47
Messaggi: 24

MessaggioInviato: Mar Giu 09, 2015 10:47 am    Oggetto: Rispondi citando

Passo in avanti:

Nella parte web ho abilitato Sia ETH01 che ETH02

Ora raggiungo il firewall dall'esterno, ma il ping dal router e il collegamento VPN ancora non va.

Andando in VPN L2L e visualizzando il log, ricevo quanto segue:

Citazione:
10:33:59 SIGUSR1[soft,ping-restart] received, process restarting
10:34:01 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
10:34:01 TUN/TAP device VPN00 opened
10:34:01 UDPv4 link local (bound): [undef]:1195
10:34:01 UDPv4 link remote: 84.253.152.107:1195
10:34:01 Authenticate/Decrypt packet error: packet HMAC authentication failed
10:34:11 message repeated 9 times
10:34:12 Inactivity timeout (--ping-restart), restarting
10:34:12 /root/kerbynet.cgi/scripts/vpn_mii VPN00 1500 1576 init
Top
Profilo Invia messaggio privato Invia e-mail
EmmeKappa



Registrato: 07/05/10 12:51
Messaggi: 315

MessaggioInviato: Mar Giu 09, 2015 10:56 am    Oggetto: Rispondi citando

stai tentando una lan to lan ?

io per connettermi in remoto sulla macchina uso un Host to Lan

per intenderci quella gia' creata in automatico

settata come tcp sulla 1199 e non come udp

il router esterno e' reindirizzato per mandarmi la 1199 verso l'interno su ZS tcp

sul router devi creare un " virtual server " per instradare le richieste verso ZS
Top
Profilo Invia messaggio privato
DaniloFailli



Registrato: 01/04/15 15:47
Messaggi: 24

MessaggioInviato: Mar Giu 09, 2015 11:15 am    Oggetto: Rispondi citando

Ciao EmmeKappa, il router č gią impostato, nelle open port ho inserito la 1195 UDP passante, arriva diretta a ZS.
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 764

MessaggioInviato: Mar Giu 09, 2015 11:46 am    Oggetto: Rispondi citando

Con la chain di input ad accept, da quella che per ZS č la rete wan (anche se privata) devi poter pingare l'ip delll'interfaccia wan di ZS, es se Zs avesse ip 172.19.0.254, il pc 172.19.0.100 deve pingare ZS, lo stesso per ssh, se hai dichiarato l'interfaccia wan, deve accettare qualsiasi connessione da quell'interfaccia, a maggior ragione se l'host 'chiamante' č nello stesso dominio di broadcast.
Per la vpn, come č configurata ? psk o X.509 ?
ciao
Top
Profilo Invia messaggio privato
DaniloFailli



Registrato: 01/04/15 15:47
Messaggi: 24

MessaggioInviato: Mar Giu 09, 2015 11:49 am    Oggetto: Rispondi citando

Io dai PC della rete pingo tranquillamente ZS.
Il problema nasce quando provo a pingare ZS dal router.
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 764

MessaggioInviato: Mar Giu 09, 2015 11:51 am    Oggetto: Rispondi citando

Dal router pinghi anche i pc ?
Come č configurata la vpn ?
ciao
Top
Profilo Invia messaggio privato
Kempes



Registrato: 09/06/15 10:07
Messaggi: 4

MessaggioInviato: Mar Giu 09, 2015 12:40 pm    Oggetto: Rispondi citando

scusate m'intrometto
il ruoter non pinga ne ZS ne i pc.
i pc non si pingano perchč e nattato ETH01 e posso capirlo non capisco il perchč non si pinga ZS.
la VPN č configurata Lan to Lan con autenticazione Pre-Shared Key identica sui ZS delle due lan
Top
Profilo Invia messaggio privato
DaniloFailli



Registrato: 01/04/15 15:47
Messaggi: 24

MessaggioInviato: Mar Giu 09, 2015 12:45 pm    Oggetto: Rispondi citando

Kempes č un mio collega.

Ho creato una route statica sl route, cosģ facendo pingo tutti i PC/Server che ho in rete.
ZS non riesco a pingarlo.

Diciamo che il ping a questo punto č la cosa meno preoccupante.
La questione ora diventa relativa alle VPN
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 764

MessaggioInviato: Mar Giu 09, 2015 9:37 pm    Oggetto: Rispondi citando

Forse non ho ben capito la topologia, e se ci sono dei pc nella rete tra la wan di ZS ed il router connesso ad internet (172.16.2.0), o se i pc sono tutti 'dietro' a ZS ( quindi nella rete 192.168.2.0) e nattati in uscita da ZS con l'ip 172.16.2.10 .....
Il router 172.16.2.1 non riesce a pingare 172.16.2.10 o 192.168.2.1 ?
Per la VPN, č abbastanza strano, almeno ... una L2L PSK di solito č funzionante in meno 3 minuti di orologio...La porta vą forwardata solo nel router esposto ad internet a cui č collegata la macchina che funge da VPN server, nel router del sito dove invece č presente la macchina che agisce da client non serve forwardare niente.
Potresti postare le schermate relative alle config. delle L2L ?
Se hai come default policy accept sulla chain di input (che č comunque sconsigliato) , potresti creare una regola, con input iface la wan, action accept, LOG...... poi la abiliti prima di pingare/connetterti in ssh/ connettere la vpn dal client remoto, dovrebbe aiutare a vedere cosa arriva e da dove...
ciao
Top
Profilo Invia messaggio privato
DaniloFailli



Registrato: 01/04/15 15:47
Messaggi: 24

MessaggioInviato: Ven Lug 03, 2015 8:22 am    Oggetto: Rispondi citando

Ciao Red, grazie del supporto.
Risolto tutto, c'era un problema sulle configurazioni di router e open port.

Ora tutto č ok.

Se posso, ultima domanda:

Dalle sedi remote ho necessitą di inserire i PC a dominio, il DC (DNS server) si trova in una delle sedi con VPN. Basta impostare il DNS 2 che punti all'IP del DC?

Grazie ancora.

P.S. Ho altre domande di siurezza sul firewall, quelle le vado a mettere nel posto giusto Wink
Top
Profilo Invia messaggio privato Invia e-mail
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it