LINUX.ORG.RU
ФорумAdmin

Проброс портов

 , ,


0

2

Стоит у меня на сервере проброс портов с внешней сети(ip 62.109.4.21:100) на внутренний VPN адрес (видеорегистратор) . Все работало. потом внезапно перестало. С самого сервера Страничка открывается, а вот с внешней сети нет. Дальше пробовал слушать с помощью tcpdump внутренний vpn адрес. выдает

10:51:56.759862 IP 95-29-154-214.broadband.corbina.ru.21524 > 192.168.2.232.100: Flags [S], seq 782180643, win 8192, options [mss 1416,nop,wscale 2,nop,nop,sackOK], length 0
10:51:56.761166 IP 95-29-154-214.broadband.corbina.ru.21525 > 192.168.2.232.100: Flags [S], seq 3956695033, win 8192, options [mss 1416,nop,wscale 2,nop,nop,sackOK], length 0
10:51:57.011870 IP 95-29-154-214.broadband.corbina.ru.21526 > 192.168.2.232.100: Flags [S], seq 4062369629, win 8192, options [mss 1416,nop,wscale 2,nop,nop,sackOK], length 0
10:51:59.761709 IP 95-29-154-214.broadband.corbina.ru.21525 > 192.168.2.232.100: Flags [S], seq 3956695033, win 8192, options [mss 1416,nop,wscale 2,nop,nop,sackOK], length 0
10:51:59.762432 IP 95-29-154-214.broadband.corbina.ru.21524 > 192.168.2.232.100: Flags [S], seq 782180643, win 8192, options [mss 1416,nop,wscale 2,nop,nop,sackOK], length 0
10:52:00.011719 IP 95-29-154-214.broadband.corbina.ru.21526 > 192.168.2.232.100: Flags [S], seq 4062369629, win 8192, options [mss 1416,nop,wscale 2,nop,nop,sackOK], length 0
10:52:05.757062 IP 95-29-154-214.broadband.corbina.ru.21524 > 192.168.2.232.100: Flags [S], seq 782180643, win 8192, options [mss 1416,nop,nop,sackOK], length 0
10:52:05.762925 IP 95-29-154-214.broadband.corbina.ru.21525 > 192.168.2.232.100: Flags [S], seq 3956695033, win 8192, options [mss 1416,nop,nop,sackOK], length 0
Насколько я понял он порты пробрасывает . но вот только почему обратно они не идут??



Последнее исправление: Fast126 (всего исправлений: 4)

DNAT, вроде бы, корректно работает. В локальной сети видеорегистратор точно на 100 порту слушает?

Скиньте вывод «ip addr», «ip ro», «iptables -t nat -nvL», «iptables -nvL» для того, чтобы полная картина была видна.

zuzzas
()
Ответ на: комментарий от zuzzas

да уверен .. ip addr

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:f3:c4:a0 brd ff:ff:ff:ff:ff:ff
    inet 62.109.4.21/21 brd 62.109.7.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fef3:c4a0/64 scope link
       valid_lft forever preferred_lft forever
31: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1200 qdisc pfifo_fast state UNKNOWN group default qlen 3
    link/ppp
    inet 192.168.2.200 peer 192.168.2.232/32 scope global ppp0
       valid_lft forever preferred_lft forever
33: ppp1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1200 qdisc pfifo_fast state UNKNOWN group default qlen 3
    link/ppp
    inet 192.168.2.200 peer 192.168.2.232/32 scope global ppp1
       valid_lft forever preferred_lft forever

ip ro

62.109.0.0/21 dev eth0  proto kernel  scope link  src 62.109.4.21
192.168.2.232 dev ppp0  proto kernel  scope link  src 192.168.2.200
192.168.2.232 dev ppp1  proto kernel  scope link  src 192.168.2.200
iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 290K packets, 45M bytes)
 pkts bytes target     prot opt in     out     source               destination 
   25  1300 DNAT       tcp  --  *      *       0.0.0.0/0            62.109.4.21          tcp dpt:100 to:192.168.2.232
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            62.109.4.21          tcp dpt:100 to:192.168.2.232

Chain INPUT (policy ACCEPT 5223 packets, 642K bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain OUTPUT (policy ACCEPT 834 packets, 60008 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain POSTROUTING (policy ACCEPT 912 packets, 65146 bytes)
 pkts bytes target     prot opt in     out     source               destination 
iptables -nvL
Chain INPUT (policy ACCEPT 57821 packets, 25M bytes)
 pkts bytes target     prot opt in     out     source               destination 
    6   360 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 100,101,8670

Chain FORWARD (policy ACCEPT 270 packets, 19126 bytes)
 pkts bytes target     prot opt in     out     source               destination 
   58  2940 ACCEPT     tcp  --  eth0   ppp0    0.0.0.0/0            192.168.2.232        tcp dpt:100

Chain OUTPUT (policy ACCEPT 13733 packets, 2246K bytes)
 pkts bytes target     prot opt in     out     source               destination 

Fast126
() автор топика
Ответ на: комментарий от Fast126

1. Два ppp интерфейса с одинаковыми адресами не нужны. Предполагаю некую ошибку в конфигурации сервиса или в момент его поднятия; 2. Правила в filter таблице не используются, т.к. все policy для цепочек - ACCEPT; 3. В nat таблице нужно добавить правило в POSTROUTING, которое делало бы SNAT. А то вы не сможете маршрутизировать пакет обратно в Интернет.

tcpdump вы запускали на всех интерфейсах ("-i any") или только на одном?

zuzzas
()
Ответ на: комментарий от zuzzas

Я незнаю от куда берутся 2 интерфейса если честно но работало и с ними. . проброс портов я делал командой:

 
iptables -t nat -A PREROUTING --dst 62.109.4.21 -p tcp --dport 100 -j DNAT --to-destination 192.168.2.232
iptables -I FORWARD 1 -i eth0 -o ppp0 -d 192.168.2.232 -p tcp -m tcp --dport 100 -j ACCEPT

Fast126
() автор топика
Ответ на: комментарий от Fast126

Я незнаю от куда берутся 2 интерфейса

Так нужно разобраться.
Это вполне может быть источником вашей проблемы.
Из-за одинаковых IP на интерфейсах может глючить маршрутизация.

ArcFi
()
Ответ на: комментарий от Fast126

Если внешний IP статический:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.232 -j SNAT --to 62.109.4.21

Если динамический:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.232 -j MASQUERADE

Попробуйте посмотреть вывод «tcpdump -vvnn -i any tcp», нет ли каких аномалий с получением ответа по другому интерфейсу. Если ничего не поможет, но надо делать tcpdump с той стороны, чтобы убедиться, что пакеты действительно доходят.

zuzzas
()
Ответ на: комментарий от Fast126

А вы расскажите, как у вас pppd настроен. Скиньте конфиги.

zuzzas
()
Ответ на: комментарий от zuzzas

так это у меня в rc.local прописано

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
tcpdump -vvnn -i any tcp
tcpdump -vvnn -i any tcp
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
18:42:02.054099 IP (tos 0x0, ttl 64, id 25583, offset 0, flags [DF], proto TCP (6), length 52)
    62.109.4.21.22 > 183.3.202.103.64447: Flags [.], cksum 0xc413 (incorrect -> 0x5974), seq 1986437761, ack 3594628637, win 493, options [nop,nop,TS val 21101749 ecr 8896467], length 0
18:42:03.033300 IP (tos 0x10, ttl 64, id 54457, offset 0, flags [DF], proto TCP (6), length 368)
    62.109.4.21.22 > 95.29.154.214.40710: Flags [P.], cksum 0x3dd8 (incorrect -> 0x1b37), seq 1290968709:1290969025, ack 1416347120, win 602, options [nop,nop,TS val 21101993 ecr 96957], length 316
18:42:03.041919 IP (tos 0x0, ttl 56, id 45352, offset 0, flags [DF], proto TCP (6), length 52)
    95.29.154.214.40710 > 62.109.4.21.22: Flags [.], cksum 0x1d89 (correct), seq 1, ack 316, win 756, options [nop,nop,TS val 97458 ecr 21101993], length 0
18:42:04.034535 IP (tos 0x10, ttl 64, id 54458, offset 0, flags [DF], proto TCP (6), length 640)
 

Но я повторюсь на сервере команда links 62.109.4.21 открывает сайт

Fast126
() автор топика
Ответ на: комментарий от Fast126

Прошу прощение  — links 62.109.4.21:100

xl2tpd.conf

 
[global]
ipsec saref = no
[lns default]
ip range = 192.168.2.201-192.168.2.240
local ip = 192.168.2.200
require chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
/etc/ppp/options.xl2tpd
refuse-mschap-v2
refuse-mschap
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
idle 1800
mtu 1200
mru 1200
lock
hide-password
local
#debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

Fast126
() автор топика
Ответ на: комментарий от Fast126

И да ничего не помогло. Примечательно то что он работал до этого момента с такими конфигами

Fast126
() автор топика
Ответ на: комментарий от Fast126

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

В выхлопе iptables -t nat -nvL этого нет. Запустите вручную и проверьте.
И еще куда все-таки дэфроут ведет? ip r урезанный привели.
ЗЫ И присоединяюсь к вышесказанному, с ppp интерфейсами разберитесь их не должно быть два одинаковых.

anc ★★★★★
()
Ответ на: комментарий от anc

Я переустановил систему . два ppp исчезло. остался один приведу все конгфиги заново

ip addr

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:f3:c4:a0 brd ff:ff:ff:ff:ff:ff
    inet 62.109.4.21/21 brd 62.109.7.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fef3:c4a0/64 scope link 
       valid_lft forever preferred_lft forever
3: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1200 qdisc pfifo_fast state UNKNOWN group default qlen 3
    link/ppp 
    inet 192.168.2.200 peer 192.168.2.232/32 scope global ppp0
       valid_lft forever preferred_lft forever

ip ro
62.109.0.0/21 dev eth0  proto kernel  scope link  src 62.109.4.21 
192.168.2.232 dev ppp0  proto kernel  scope link  src 192.168.2.200 
iptables -t nat -nvL
 pkts bytes target     prot opt in     out     source               destination         
    2   142 MASQUERADE  all  --  *      eth0    192.168.2.0/24       0.0.0.0/0           
    0     0 MASQUERADE  all  --  *      eth0    192.168.2.0/24       0.0.0.0/0           
    0     0 SNAT       all  --  *      eth0    192.168.2.232        0.0.0.0/0            to:62.109.4.21
iptables -nvL
Chain INPUT (policy ACCEPT 1374 packets, 638K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  eth0   ppp0    0.0.0.0/0            192.168.2.232        tcp dpt:8670
    8   480 ACCEPT     tcp  --  eth0   ppp0    0.0.0.0/0            192.168.2.232        tcp dpt:101
   31  1860 ACCEPT     tcp  --  eth0   ppp0    0.0.0.0/0            192.168.2.232        tcp dpt:100
   60  3600 ACCEPT     tcp  --  eth0   ppp0    0.0.0.0/0            192.168.2.232        tcp dpt:100

Chain OUTPUT (policy ACCEPT 141 packets, 12141 bytes)
 pkts bytes target     prot opt in     out     source               destination    

Fast126
() автор топика
Ответ на: комментарий от Fast126

Если запустите tcpdump на ppp0 и увидите ту же ситуацию - пакеты идут, но обратно ничего не приходит, то остаётся только смотреть ту сторону.

zuzzas
()

но вот только почему обратно они не идут

А сам регистратор, шлюз на нем правильно прописан?

lvi ★★★★
()
Ответ на: комментарий от lvi

Да привильно. с другого конца стоит роутер а к нему видеорегистратор. Сейчас я роутер временно к себе забрал подсоединил малинку(настроил на нем апач на 100 порт ) и на роутере перебросил порты на нее .дабы проверить . И снова таже фигня на сервере.links 192.168.2.232 открывает а вот перебрасывать не перебрасывает .

Fast126
() автор топика
Ответ на: комментарий от Fast126

Дальше я вожу на распберри tcpdump -i eth0 port 100

 sudo tcpdump -i eth0 port 100
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
07:38:41.083346 IP 213.87.147.71.29400 > raspberrypi.local.100: Flags [S], seq 395776496, win 8192, options [mss 1420,nop,wscale 8,nop,nop,sackOK], length 0
07:38:41.083612 IP raspberrypi.local.100 > 213.87.147.71.29400: Flags [S.], seq 3968500859, ack 395776497, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:38:41.129053 IP 213.87.147.71.49069 > raspberrypi.local.100: Flags [S], seq 2773938091, win 8192, options [mss 1420,nop,wscale 8,nop,nop,sackOK], length 0
07:38:41.129246 IP raspberrypi.local.100 > 213.87.147.71.49069: Flags [S.], seq 3277980778, ack 2773938092, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:38:41.326965 IP 213.87.147.71.14820 > raspberrypi.local.100: Flags [S], seq 2287244958, win 8192, options [mss 1420,nop,wscale 8,nop,nop,sackOK], length 0
07:38:41.327102 IP raspberrypi.local.100 > 213.87.147.71.14820: Flags [S.], seq 1157384402, ack 2287244959, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:38:41.369073 IP 213.87.147.71.33857 > raspberrypi.local.100: Flags [S], seq 2223775959, win 8192, options [mss 1420,nop,wscale 8,nop,nop,sackOK], length 0
07:38:41.369280 IP raspberrypi.local.100 > 213.87.147.71.33857: Flags [S.], seq 2338191724, ack 2223775960, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:38:42.076485 IP raspberrypi.local.100 > 213.87.147.71.29400: Flags [S.], seq 3968500859, ack 395776497, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:38:42.476463 IP raspberrypi.local.100 > 213.87.147.71.49069: Flags [S.], seq 3277980778, ack 2773938092, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:38:42.676457 IP raspberrypi.local.100 > 213.87.147.71.33857: Flags [S.], seq 2338191724, ack 2223775960, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:38:42.676601 IP raspberrypi.local.100 > 213.87.147.71.14820: Flags [S.], seq 1157384402, ack 2287244959, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:38:44.076504 IP raspberrypi.local.100 > 213.87.147.71.29400: Flags [S.], seq 3968500859, ack 395776497, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:38:44.083139 IP 213.87.147.71.29400 > raspberrypi.local.100: Flags [S], seq 395776496, win 8192, options [mss 1420,nop,wscale 8,nop,nop,sackOK], length 0
07:38:44.083319 IP raspberrypi.local.100 > 213.87.147.71.29400: Flags [S.], seq 3968500859, ack 395776497, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
07:38:44.128839 IP 213.87.147.71.49069 > raspberrypi.local.100: Flags [S], seq 2773938091, win 8192, options [mss 1420,nop,wscale 8,nop,nop,sackOK], length 0
07:38:44.128965 IP raspberrypi.local.100 > 213.87.147.71.49069: Flags [S.], seq 3277980778, ack 2773938092, win 29200, options    

Получается что распбери пакеты доходят и она даже отвечает ..

Fast126
() автор топика
Ответ на: комментарий от Fast126

Я разобрался от куда у меня 2 интерфейса возникают(ppp0 и ppp1). когда роутер пересоединяется возникает ppp1/

Fast126
() автор топика
Ответ на: комментарий от Fast126

Да привильно. с другого конца стоит роутер а к нему видеорегистратор

Покажите что на самом деле с роутингом на этом роутере, что-то мне подсказывает дело в нем.

anc ★★★★★
()
Ответ на: комментарий от anc

Да дело в нем я выяснил методом тыка .. Только как теперь это исправить я не знаю. В общем ситуация такая . имеется Роутер Keenetic 4G II . Видеорегистратор Компьютер которому нужен просто вход в интернет На роутере стоит 4g модем и и настроено l2tp. Дальше Стоит проброс от интерфейса l2tp на адрес видеорегистратора.

Дальше вчера ради эксперимента я поставил на нем галочку для в хода в интернет - то есть он весь поток теперь направляет через VPN. И вроде как стало работать но с большими перебоями и тормозами .

Получается вот что роутер принимал ответ с vpn а ответ отправлял куда- то в интернет.

Странно еще то что Он проработал в нормально без глюков месяца 2. а теперь даже сброс к заводским настройкам не помогает.

Fast126
() автор топика
Ответ на: комментарий от Fast126

а запятые.

Да дело в нем, я выяснил это методом тыка .. Только как теперь это исправить я не знаю. В общем ситуация такая: имеется Роутер Keenetic 4G II.

Видеорегистратор

Компьютер которому нужен просто вход в интернет

На роутере стоит 4g модем и настроено l2tp. Дальше Стоит проброс от интерфейса l2tp на адрес видеорегистратора.

Дальше вчера ради эксперимента я поставил на нем галочку для в хода в интернет - то есть он весь поток теперь направляет через VPN. И вроде как стало работать но с большими перебоями и тормозами .

Получается вот что роутер принимал ответ с vpn а ответ отправлял куда- то в интернет.

Странно еще то что Он проработал в нормально без глюков месяца 2. а теперь даже сброс к заводским настройкам не помогает.

Fast126
() автор топика
Ответ на: комментарий от Fast126

Не много не понятно зачем такая схема. Если я правильно понял задача в том, что бы из инета можно было попасть на видеорегистратор. Так же предполагаю что белого ip со стороны Keenetic нет. Если все так, то поднимите тунель не на Keenetic а на компе видерегистратора и будет профит.

anc ★★★★★
()

Если НА САМОМ ДЕЛЕ всё работало, ничего не менялось и само перестало работать, то это, как правило, глюк софта, который проще всего лечится перезагрузкой. Если на самом деле ничего не трогалось.

targitaj ★★★★★
()
Ответ на: комментарий от anc

Видеорегистратор - это не комп. А Комп ночью выключается. И он для других нужд..

Fast126
() автор топика
Ответ на: комментарий от targitaj

Перезагрузка не помогает. пробовал уже

Fast126
() автор топика
Ответ на: комментарий от Fast126

И вроде как стало работать но с большими перебоями и тормозами .

Ну может сам 4g так работает, если этот роутер еще используется для других целей (выход в инет юзверей и т.д.). Вроде l2tp за натом норм работает, хотя сам активно не использую, но есть юзверы для которых настроено, используют megafon и yota, причем у одного yota крайне плохо принимает но все равно как-то работает.
Еще вариант попробовать сменить на тот же openvpn (слышал на каких-то кинетиках он работает)

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.