Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

PPPOE e configurazione port forwarding/virtual server

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
gipsea



Registrato: 27/02/17 18:45
Messaggi: 24

MessaggioInviato: Ven Apr 14, 2017 7:53 am    Oggetto: PPPOE e configurazione port forwarding/virtual server Rispondi citando

Buon giorno a tutti.

Sono ormai quasi due mesi che a tempo perso cerco di configurare ZS installato su APU2c4 per accedere al pc di casa da remoto.

Inizialmente ho avuto un problema con l'IP assegnatomi dal ISP che ho risolto

Prima di ZS avevo un generico low end modem/router commerciale che avevo configurato cosi' come sto cercando di configurare ZS ovvero:

1)ZS stabilisce la connessione con l'ISP con un PPPOE attraverso un modem esterno (esattamente come con il vecchio netgear) su ETH02

2)port forwarding/virtual server delle porte 80 e 443 verso il pc locale come di seguito riportato;

Citazione:

Chain PREROUTING (policy ACCEPT 1035 packets, 62177 bytes)
0 0 DNAT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:10.0.0.2:443
0 0 DNAT tcp -- ETH02 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:10.0.0.2:443
1 40 DNAT tcp -- ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:10.0.0.2:80

Chain POSTROUTING (policy ACCEPT 72 packets, 5541 bytes)
pkts bytes target prot opt in out source destination
3317 291K SNATVS all -- * * 0.0.0.0/0 0.0.0.0/0
6 468 MASQUERADE all -- * ETH02 0.0.0.0/0 0.0.0.0/0
1686 168K MASQUERADE all -- * ppp0 0.0.0.0/0 0.0.0.0/0
1571 118K OpenVPN all -- * * 0.0.0.0/0 0.0.0.0/0



Secondo me il virtual server su ETH02 e' superfluo ma lo ho configurato per precauzione

Su setup/network nella descrizione PPPO e' presente:
Citazione:
Connected inet addr:93.150.129.190 P-t-P:192.168.12.1 (PPPoE: ETH02)


il routing table, se servisse e' il seguente:
Citazione:

Destination Netmask Type Metric Gateway Interface Flags State Source
DEFAULT GATEWAY 0.0.0.0 Net 0 none ppp0 U Up Static
10.0.1.0 255.255.255.0 Net 0 none ETH02 U Up Auto
10.0.0.0 255.255.255.0 Net 0 none BRIDGE00 U Up Auto
192.168.12.1 255.255.255.255 Host 0 none ppp0 UH Up Auto
192.168.250.0 255.255.255.0 Net 0 none VPN99 U Up Auto


Con questa configurazione purtroppo non riesco a raggiungere il pc (10.0.0.2)

ANOMALIA
Ho configurato ZS per permettere accesso via WEB solo dal rete interna o VPN su porta 4430 (per evitare magari conflitti con 443 del port forwarding anche se penso non sia necessario)
Ora, se mi collego con il DDNS alla porta 4430 si apre la schermata di accesso di ZS e riesco af effettuare un collegamento con ssh a ZS anche se queste porte non sono in forwarding Shocked Shocked

Qualcuno ha un'idea del perche' di tutto cio'?

Secondo me c'entrano di mezzo le regole di IPTABLES ed i settaggi di PPPO. Forse che invece di un PTP su 192.168.12.1 dovrebbe essere quella della rete interna 10.0.0.0?

lascio a chi e' piu' esperto le considerazioni del caso

Grazie e buona Pasqua a tutti

gipsea
Top
Profilo Invia messaggio privato
gipsea



Registrato: 27/02/17 18:45
Messaggi: 24

MessaggioInviato: Ven Apr 14, 2017 6:01 pm    Oggetto: Rispondi citando

A suo tempo mi sono informato un poco su IPTABLES e ca console ssh su ZS l'unico inghippo a cui potrei pensare per il fatto di poter navigare ZS da DDNS si trova in queste regole:

Codice:

iptables -S
-A INPUT -p tcp -m tcp --dport 8080 -j SYS_HTTPS
-A INPUT -p tcp -m tcp --dport 4430 -j SYS_HTTPS
-A INPUT -p tcp -m tcp --dport 22 -j SYS_SSH
:
-A SYS_HTTPS -i lo -j ACCEPT
:
-A SYS_SSH -i lo -j ACCEPT


se e soltanto se possiamo pensare che ZS vede le richieste sulle porte attraverso PPPO come da 'lo'

non ne esco piu'!!!!!!

grazie
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Ven Apr 14, 2017 8:36 pm    Oggetto: Rispondi citando

Se la tua interfaccia wan è la ppp0, il port-forwarding và impostato su tale interfaccia, su ETH02 è superfluo. L'host 10.0.0.2 ha settato il corretto default-gateway ? Hai creato delle regole nella chain di FORWARD, nella sezione firewall ? Per l'accesso SSH, devi dichiarare tu da dove vuoi sia permesso, da Setup, SSH.
ciao
Top
Profilo Invia messaggio privato
gipsea



Registrato: 27/02/17 18:45
Messaggi: 24

MessaggioInviato: Dom Apr 16, 2017 12:19 am    Oggetto: Rispondi citando

Ciao redfive.

Per evitare strascichi di vecchie configurazioni ho creato un nuovo profilo di ZS da zero.

confermo che PPPO e' l'interfaccia wan

nessuna regola nel FW

10.0.0.2 e' configurato con dhcp dinamico. assegno su ZS un IP fisso al MAC della scheda di rete. Di fatto il pc 10.0.0.2 riesce a navigare

Codice:

-A PREROUTING -i ppp0 -p tcp -m tcp --dport 22 -j DNAT --to-destination 10.0.0.2:22
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.0.0.2:443
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 10000 -j DNAT --to-destination 10.0.0.2:10000
-A POSTROUTING -j SNATVS
-A POSTROUTING -o ppp0 -j MASQUERADE

Queste le uniche regole di NAT/port forwarding che ho impostato

Di fatto:
- la connessione ssh tramite DDNS su pc 10.0.0.2 funziona Very Happy ed il DDNS non ha problemi
- nessuna connessione da browser su porta 443 o 10000
- ho cambiato la porta per web accesso locale a 4430 e purtroppo DDNS:4430 mi fa accedere al pannello di ZS (giuro non ho dimenticato/tralasciato una regola di port forwarding!!!! Wink )
grazie
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Dom Apr 16, 2017 10:35 am    Oggetto: Rispondi citando

dall'esterno digiti https://tuodyndns ?
Da setup, Web, dichiari da dove può essere accessibile la gui di ZS, di default è dalle reti private ....
Top
Profilo Invia messaggio privato
gipsea



Registrato: 27/02/17 18:45
Messaggi: 24

MessaggioInviato: Lun Apr 17, 2017 4:34 pm    Oggetto: Rispondi citando

per accesso web ho lasciato solo 10.0.0.0/24 e al massimo da eth0

nn sono a casa ed ho provato gli accessi remoti.
penso di iniziare a circoscrivere il problema.
di fatti io riesco a collegarmi al pc da remoto su porta 22 e con webmin da https://DDNS:10000.

a questo punto mi viene da pensare che anche se ho creato un nuovo profilo ci siano 'configurazioni precedenti residue' che in qualche modo vanno in conflitto cn le porte 443 e 4430

ho cancellato la cache di browser su pc e telefoni. Non so se ZS salva una cache DNS o simili che possa confondere il sistema. Ne sei a conoscenza?

mercoledi proverò a cambiare il nome del ddns e le porte di accesso cn valori diversi e vedrò se fosse appunto un problema di cache

in ogni caso come si fa a 'resettare' ZS alle impostaxioni di default?creando nuovi profili è come ripartire da 0 o questi contengono solo le configurazioni principali?

grazie
Top
Profilo Invia messaggio privato
gipsea



Registrato: 27/02/17 18:45
Messaggi: 24

MessaggioInviato: Mer Apr 19, 2017 3:45 pm    Oggetto: Rispondi citando

Aggiornamenti:

- ripristino porte per accesso web a 80, 443 solo da rete locale 10.0.0.0/24

- aggiunta porte 12345 -> 443 in virtual server

-cambiato DDNS nome con uno mai utilizzato prima NUOVO:DDNS

attuali port forwarding:
Codice:

-A PREROUTING -i ppp0 -p tcp -m tcp --dport 22 -j DNAT --to-destination 10.0.0.2:22
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.0.0.2:443
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 10000 -j DNAT --to-destination 10.0.0.2:10000
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 1194 -j DNAT --to-destination 10.0.0.2:1194
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 12345 -j DNAT --to-destination 10.0.0.2:443


Risultato
- ssh a NUOVO.DDNS mi fa accedere a ZS (invece che al pc) e ricevo questo messaggio: The authenticity of host 'NUOVO.DDNS (xxx.xxx.xxx.xxx)' can't be established.
- https://NUOVO.DDNS accedo a ZS (invece che al pc). stesso risultato sia da chrome che firefox
- https://NUOVO:DDNS:12345, connessione rifiutata. stesso risultato sia da chrome che firefox
- https://NUOVO:DDNS:10000, connessione rifiutata. stesso risultato sia da chrome che firefox

qualcuon ha un'idea di cosa stia succedendo?
Posso dare ulteriori e più dettagliate informazioni?

Sono disponibile anche a messaggi privati/collegamenti remoti di qualcuno che possa verificare le configurazioni di ZS più specificatamente

grazie
Top
Profilo Invia messaggio privato
gipsea



Registrato: 27/02/17 18:45
Messaggi: 24

MessaggioInviato: Mer Apr 19, 2017 7:36 pm    Oggetto: Rispondi citando

Ulteriore agiornamento:

visto che non sono riuscito a migliorare come speravo ho effettuato un'altra prova ovvero:

nuovo profilo con NUOVO1.DDNS, e nuovo dhcp 10.1.1.0/24 per evitare che qualora ci fossero dei dati di cache non interferissero.

di fatti quello che ottengo è:

-riuscire a collegarmi al server con una porta tipo 123 ->443
- mi collego al server su 10000->10000 x webmin
- mi collego con ssh 22-> 22

STRANEZZA
ho provato ad impostare anche port forwarding 80 ->80 e 8000->80: ZS mi ridereziona da NUOVO1.DDNS ->https://DDNS!!!! Confused Confused Confused Confused

come posso svuotare/controllare i file di configurazione DNS?
mahhhhh

grazie
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Mer Apr 19, 2017 8:35 pm    Oggetto: Rispondi citando

Puoi postare l'output di
Codice:
iptables -t nat -nvL PREROUTING
Top
Profilo Invia messaggio privato
gipsea



Registrato: 27/02/17 18:45
Messaggi: 24

MessaggioInviato: Mer Apr 19, 2017 10:19 pm    Oggetto: Rispondi citando

Codice:

Chain PREROUTING (policy ACCEPT 750 packets, 59342 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DNAT       tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 to:10.1.1.2:443
   65  3900 DNAT       tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:12345 to:10.1.1.2:443
   31  1860 DNAT       tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:10000 to:10.1.1.2:10000
   46  2272 DNAT       tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 to:10.1.1.2:22
    4   240 DNAT       tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 to:10.1.1.2:80
    6   360 DNAT       tcp  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8000 to:10.1.1.2:80


errata corrige:
porta 12345 -> 443 e non 123->443

grazie
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Mer Apr 19, 2017 10:56 pm    Oggetto: Rispondi citando

Potresti creare qualche regola firewall specifica solo per loggare, e vedi cosa passa, altrimenti, da terminale, assumendo che l'host 10.1.1.2 sia collegato alla ETH00, dai
Codice:
tcpdump -n -c 20  -i ETH00 "host 10.1.1.2 and (dst port 10000 or src port 1000)"

Provi a connetterti dall esterno sulla tcp 10000 e vedi 'cosa entra e cosa esce' ... la connessione sulla tcp 10000 è in https ?
Top
Profilo Invia messaggio privato
gipsea



Registrato: 27/02/17 18:45
Messaggi: 24

MessaggioInviato: Mer Apr 19, 2017 11:17 pm    Oggetto: Rispondi citando

un sacco di lettere e numeri Very Happy Very Happy Very Happy

visto che eth00, eth01 e Wlan sono in un bridge ho sostituito ETH00 con BRIDGE00. a parte questo aggiustamento è uscito qualcosa.

vuoi la schermata?

ho provato lo stesso comando con porte 443 in ingresso ed uscita e non ho loggato niente...

attendo info

grazie
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Gio Apr 20, 2017 6:46 am    Oggetto: Rispondi citando

Citazione:
vuoi la schermata?

Non sarebbe una cattiva idea ... Smile
Top
Profilo Invia messaggio privato
gipsea



Registrato: 27/02/17 18:45
Messaggi: 24

MessaggioInviato: Gio Apr 20, 2017 12:14 pm    Oggetto: Rispondi citando

redfive ha scritto:
Citazione:
vuoi la schermata?

Non sarebbe una cattiva idea ... Smile


tutta tua:
Codice:

 tcpdump -n -c 20  -i BRIDGE00 "host 10.1.1.2 and (dst port 12345 or src port 443)"
tcpdump: WARNING: BRIDGE00: no IPv4 address assigned
tcpdump: listening on BRIDGE00
13:10:19.448298 10.1.1.2.443 > 37.227.115.148.19392: S 3983730287:3983730287(0) ack 1896747526 win 28960 <mss 1460,sackOK,timestamp 1661665 269051,nop,wscale 7> (DF)
13:10:19.457895 10.1.1.2.443 > 37.227.115.148.18432: S 3549279314:3549279314(0) ack 1657529522 win 28960 <mss 1460,sackOK,timestamp 1661668 269026,nop,wscale 7> (DF)
13:10:19.739560 10.1.1.2.443 > 37.227.115.148.19392: . ack 241 win 235 <nop,nop,timestamp 1661738 269107> (DF)
13:10:19.739956 10.1.1.2.443 > 37.227.115.148.19392: P 1:153(152) ack 241 win 235 <nop,nop,timestamp 1661738 269107> (DF)
13:10:19.937124 10.1.1.2.443 > 37.227.115.148.19392: P 153:184(31) ack 293 win 235 <nop,nop,timestamp 1661787 269130> (DF)
13:10:19.937169 10.1.1.2.443 > 37.227.115.148.19392: F 184:184(0) ack 293 win 235 <nop,nop,timestamp 1661787 269130> (DF)
13:10:20.100962 10.1.1.2.443 > 37.227.115.148.18432: . ack 241 win 235 <nop,nop,timestamp 1661828 269130> (DF)
13:10:20.101264 10.1.1.2.443 > 37.227.115.148.18432: P 1:153(152) ack 241 win 235 <nop,nop,timestamp 1661828 269130> (DF)
13:10:20.295163 10.1.1.2.443 > 37.227.115.148.18432: . ack 795 win 243 <nop,nop,timestamp 1661877 269165> (DF)
13:10:20.296339 10.1.1.2.443 > 37.227.115.148.18432: . 153:1521(1368) ack 795 win 243 <nop,nop,timestamp 1661877 269165> (DF)
13:10:20.296585 10.1.1.2.443 > 37.227.115.148.18432: P 1521:3914(2393) ack 795 win 243 <nop,nop,timestamp 1661877 269165> (DF)
13:10:25.297694 10.1.1.2.443 > 37.227.115.148.18432: P 3914:3945(31) ack 795 win 243 <nop,nop,timestamp 1663128 269240> (DF)
13:10:25.297780 10.1.1.2.443 > 37.227.115.148.18432: F 3945:3945(0) ack 795 win 243 <nop,nop,timestamp 1663128 269240> (DF)
13:10:40.291497 10.1.1.2.443 > 37.227.115.148.18432: . ack 796 win 243 <nop,nop,timestamp 1666876 271157> (DF)
13:10:40.493535 10.1.1.2.443 > 37.227.115.148.19200: S 1929465552:1929465552(0) ack 2951976804 win 28960 <mss 1460,sackOK,timestamp 1666926 271158,nop,wscale 7> (DF)
13:10:41.064273 10.1.1.2.443 > 37.227.115.148.19072: S 3475016244:3475016244(0) ack 2523423376 win 28960 <mss 1460,sackOK,timestamp 1667069 271183,nop,wscale 7> (DF)
13:10:41.412309 10.1.1.2.443 > 37.227.115.148.19200: . ack 241 win 235 <nop,nop,timestamp 1667156 271206> (DF)
13:10:41.412566 10.1.1.2.443 > 37.227.115.148.19200: P 1:153(152) ack 241 win 235 <nop,nop,timestamp 1667156 271206> (DF)
13:10:41.439475 10.1.1.2.443 > 37.227.115.148.19072: S 3475016244:3475016244(0) ack 2523423376 win 28960 <mss 1460,sackOK,timestamp 1667163 271183,nop,wscale 7> (DF)
13:10:41.673694 10.1.1.2.443 > 37.227.115.148.19200: P 153:184(31) ack 293 win 235 <nop,nop,timestamp 1667222 271304> (DF)
22 packets received by filter
0 packets dropped by kernel


buona lettura
Top
Profilo Invia messaggio privato
gipsea



Registrato: 27/02/17 18:45
Messaggi: 24

MessaggioInviato: Gio Apr 20, 2017 5:01 pm    Oggetto: Rispondi citando

Onde ridurre eventuali possibili intromissioni del server DNS di ZS, l'ho disabilitato. Risultato: ancora niente! SadSadSad

C'è sempre poi una domanda parallela a questa situazione:
Perchè da rete locale se cerco di raggiungere per esempio https://NUOVO1.DDSN:12345 il browser mi da sempre messaggio di errore tipo
Citazione:
NUOVO1.DDNS refused to connect.


Redfive, come procede la lettura? Smile

grazie
Top
Profilo Invia messaggio privato
gipsea



Registrato: 27/02/17 18:45
Messaggi: 24

MessaggioInviato: Mer Apr 26, 2017 11:31 pm    Oggetto: Rispondi citando

tutto bloccato?! Shocked Shocked

nessuno ha più un suggerimento?

Io purtroppo non mi sono mosso di una virgola Exclamation Exclamation Exclamation

VIsto che con linux sono sempre stato pronto a re-installare tutto quando e se qualcosa andava particolarmente male, ci ho provato anche con ZS ma anche qui non tutto è andato liscio ed avevo anche scritto questo post:

http://www.zeroshell.net/forum/viewtopic.php?t=6041&highlight= perchè la stessa chiavetta che parte al boot sul PC si blocca per errori dal boot su APU2C4..

Sono completamente bloccato senza poter andare avanti ne ricominciare da zero Sad

ogni aiuto è benvenuto sempre

grazie
Top
Profilo Invia messaggio privato
gipsea



Registrato: 27/02/17 18:45
Messaggi: 24

MessaggioInviato: Gio Apr 27, 2017 10:35 pm    Oggetto: Rispondi citando

Oggi sono riuscito a reinstallare ZS da file immagine.

Il problema esiste!!!!

Configurato
- PPPO (inet addr:93.150.x.x P-t-P:192.168.12.1)
- DDNS
- web con le subnet 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 (stessa subnet del ptp!!!)
- ssh accesso da subnet 192.168.0.0/24, ETH00
- NESSUNA REGOLA VIRTUAL SERVER

se digito https://DDNS o https://ISP.dinamic.ip (che trovo dalla configurazione di pppo) raggiungo la pagina di accesso di ZS

se inserisco questa regola:
- virtual server pppo:4430 -> server.ip:443

quando digito https://DDNS:4430 il browser riporta
'This site can’t be reached

gipsea.ddns.net refused to connect'

Analogamente se da shell uso: ssh admin@DDNS raggiungo ZS di nuovo SENZA REGOLA VIRTUAL SERVER/FIREWALL

Di fatti, utilizzando PPPO il sistema è direttamente raggiungibile dall'esterno!!!

Spero ci sia una soluzione a breve

buon lavoro
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it