Провайдер прикрывает порты, как бы доказать это?!?!

Выше ТС уже написал про айпи. А teamviewer... Паранойя должна быть паранойной. На сервер я бы его не ставил. )

если провайдер рубит еще и ssh тогда совсем сложно

думаю вряд ли провайдер рубит ssh порт

Ну покажет мне его белый ip с которого он вылезает, где гарантия что он не протухает раз в неделю? А где гарантия что за этим ip не сидит половина района за nat?

никакой гарантии. оплатите 1С нику чтобы он у провайдера взял себе паблик IP.

Тут у нас есть секта перевешивания 22 порта на другой и секта уверяет что китайцев ломится меньше, мне было не жалко, пусть ломятся, нт ради спортивного перевесил 22 на 42222, правда мало стало ломиться. Обычному то пользователю мало надо портов 80 да 443.. все, даже почта наверно веб интерфейс.

Оптатите это не ко мне, я за свой домашний белый плачу, но навязывать ему….

Да обойдемся и обойдем, не проблема

Я не могу тебя понять. Ну, предположим, найдёшь ты какой-то мегаинструмент, который покажет... что? Что с компа программиста коннекта нет? Так у тебя уже есть эти данные.

Повторяю.

1. Делаешь пинг с компа программиста, убеждаешься, что сам сервер доступен. Делаешь телнет с компа програмиста, ничего не работает, скриншотишь.

2. Делаешь телнет со своего домашнего компа, всё работает, скриншотишь.

3. Звонишь в провайдер программиста, называешь номер договора программиста, расказываешь про действия в пункте 1,2. Берёшь у них почту, высылаешь скриншоты.

Далее, уже зависит от вменяемости суппорта. Третий пункт можно повторять при необходимости. Если суппорт совсем тупой, требовать, чтобы соединили с техническим специалистом.

Другого пути нет. Если ты найдёшь какой-то мегаинструмент, тебе придётся делать всё то же самое, только вместо скриншотов с телнетом слать скриншоты мегаинструмента.

если у Вас VPN сервис на linux сервере, можно добавить в помощь к ssh сервису fail2ban и разрулите сложными паролями, руту доступ по ssh заблокируете. и все

вообще разрешите доступ по ssh только учетке 1C ника

может и на микротике есть аналог fail2ban

поставь softether vpn

https://www.softether.org/4-docs/2-howto/6.VPN_Server_Behind_NAT_or_Firewall/2.VPN_Azure

поднять ssh вопрос пары минут, далее проверить некоторое время. будет и ssh отваливаться - ну тогда к провайдеру обращаться

он же Вам не за бесплатно обновы делает. Да и если у него проблемы с подключениями к Вашей 1С тогда, что Вы за него печетесь? Пусть сам свою проблему решает.

Еще давно читал про то что VPN организовывали поверх http протокола (чтобы даже через прокси в локалке можно было туннели делать), данные с VPN гоняли через HTTP get,post запросы. только как софт называется не помню, может уже и бросили его.

https://forum.mista.ru/topic.php?id=735273

Вам в голову не приходила мысль, что сервак мог забанить вашего 1С-ника, по причине брутфорса с его внешнего ip? Если он за натом провайдерским, то за тем-же натом вся его деревня, и половина компов только тем и занята, что слушает чужой трафик и пытаются подобрать пароли к сервисам, которые видят.

МТС ща тоже стал блочить VPN. Ещё летом тот же наш vpn сервак с IPsec работал, но сейчас уже всё, хера с два.

На каком основании? Может у вас сервак в списках РКН ? Если нет можно и телегу накатать. Сейчас по случаю 1-го ноября проверил, один сервак офисный, второй на DO USA, оба варианта чистый ipsec и ipsec+l2tp робят через МТС.

shadowsocks

я так понимаю у Вас public IP есть, сделайте проброс RDP порта компа с 1С на к.л. внешний порт устройства с public IP.

Нет, нет и ещё раз нет. Вы очень плохой совет дали! Напоминаю про недавнюю дыру в RDP, а она не первая и не последняя.

хотелось бы tcp

Можно и то и то сделать. Два демона один на tcp другой на udp. Путь к сертам/ключам один и тот же прописываем. Сети делим что бы под одну общую маску попадали (ну это для удобства fw и так далее). У меня так робит. Использую как раз для вариантов временных подключений аля отели и так далее, где что-то да зарезано. Да и порты на самом сервере ovpn в конфиге не меняю, докинуто несколько вариантов dnat.

Как минимум, дом.ру так блокировал tcp/25, но позволял блокировку убрать.

Это серверный порт. Тут как раз скорее обыденность нежели что-то новое.

Есть даже over dns и icmp но медленно...

согласен, скорректировал свой совет выше. Годиться как простое временное решение совместно с Firewall

Можно ещё и knocking на роутере наколхозить, в варианте серый-белый. :) Но всё это большие костыли получиться.
В целом ТС выше уже все объяснили, там начиная от проблем прова, во что я слабо верю, с фига бы пров блокировал не серверные порты на выход и причем на оперделенный ip? До локальных глюков у самого «так называемого программиста», во что я верю больше.

Наверное, из-за торрентов. У меня ipsec не работает на двух разных симках и на двух девайсах.

Борьба с VPN в разгаре и только начинается. И не только с VPN, но и со специалистами, которые их могут настраивать. Надо вешать на другие порты, желательно с пятизначными цифрами, и периодически менять. Возможно обфусцировать трафик.

80 порт белонгс ту рут. Используй четырёхзначные и не выёживайся.

80 порт белонгс ту рут. Используй четырёхзначные и не выёживайся.

так и использую 6055 потом 1193

До локальных глюков у самого «так называемого программиста», во что я верю больше.

По кругу ходим. Я же говорю сам видел своими глазами с офиса на промплощадку telnet ip port и тишина…. перевесил на 1193 с офиса работает у него нет по прежнему, допускаю что иногда и работает, кто виноват не знаю.

В свое время он написал програмулину которая и по сей день тянет ночами данные, так такие были чудеса…. кто то рулит чем то, шейперы или скрипты какие то, работает месяцами и вдруг начинаются затыки, казалось бы чего прову надо зачем мешать? а было такое.

Сам давным давно взял белый IP прописал его в фаере и лазил куда хотел на свои сетки, монтировал шары, и вдруг в один прекрасный день, перестало работать, ну я как тут и советовали звоню в саппорт и начинаю права качать, номер договора и тп… и им на меня класть с прибором, они прикрыли 137-139 и что там 445 вроде бы, они на страже балбесов. и как я не возмущался…. нет!

пришлось с микрота поднять два VPN один до офиса другой до завода. и как говорится никогда такого не было и вот опять.

Вам в голову не приходила мысль, что сервак мог забанить вашего 1С-ника, по причине брутфорса с его внешнего ip? Если он за натом провайдерским, то за тем-же натом вся его деревня, и половина компов только тем и занята, что слушает чужой трафик и пытаются подобрать пароли к сервисам, которые видят.

Про какой сервак речь? про мой? в логах VPN я видел неудачные попытки прицепиться и его удачные с ip из пула is74.ru пока пару недель все работало, а потом вдруг логи перестали вообще обновляться.. те попыток даже нет ни легальных ни какерских.

Повторюсь в десятый раз, к офису он цепляется без проблем. конфиги отличаются только IP адресами. ну теперь и портом

Другого пути нет. Если ты найдёшь какой-то мегаинструмент, тебе придётся делать всё то же самое, только вместо скриншотов с телнетом слать скриншоты мегаинструмента.

Ну хотелось бы знать на какого из домашних провов наезжать? Да наезжать то на них бесполезно ИМХО я уже писал как наезжал со 137 портом. Как их обьехать.

Сейчас я не знаю кто из них виноват, лично видел что порт 6055 не отвечал мне, значит виноват дом ру, перевесил на 1193 у меня заработало. а у него попрежнему нет, значит виновата Интерсвязь, или оба, конкурируют не ладят…. не знаю

одно и то же пишу по кругу.

Провайдер может по нагрузке резать. А ещё, 1С обычно рожает по нескольку часов со своими выгрузками и просто не влазит в сессию. Т.к. сессия, как правило, обновляется раз в сутки.

P.S.: скажи чтобы маршрутизатор перезагружал перед выгрузкой и всё.

Выше ТС уже написал про айпи. А teamviewer… Паранойя должна быть паранойной. На сервер я бы его не ставил. )

Абсолютно согласен!

Tor ⟿ VPN

забрось впн за 443 порт

Вам уже приводили пример последовательности действий.

Вариант первый: Не работает не откуда. Пинаем тех под. прова «промплощадки», с приложением примеров, тут чем больше разных вариантов, тем лучше. В вашем варианте это получаеться минимум офис + домашний + домашний 1ц-ка + мобильный докиньте(если есть несколько обсосов даже лучше). Если тех. под. не пинается, отправляем официальное письмо, вида от ооо ромашка бла-бла-бла.

Вариант второй: Не работает только с определенного места. Все тоже самое только пинаем локальных провов, показывая вот оттуда работает(так же чем больше вариантов откуда работает, тем лучше), а от вас нет.

Отваливается переодически. Тут сложнее, но в целом почти так же собираем статистику и к прову.

А то что вы изначально пытаетесь выяснить на каком хопе дохнет, это бессмысленная затея. Межпровайдерские разборки уже дело самих провов. Вы пинаете того кто предоставляет услугу, а уж они по цепочке доходят до виновного.

и им на меня класть с прибором, они прикрыли 137-139 и что там 445 вроде бы, они на страже балбесов. и как я не возмущался…. нет!

Так у вас и так получалось костылестроение, надо смонтировать шару с srv1 прописываем dnat, надо с srv2 меняем dnat. Можно было бы не возмущаться, а тем же dnat на высоких портах всё и решить. Но это всё равно костыли, а vpn это кошерно, не надо лишних действий производить.

я уже писал как наезжал со 137 портом.

С этим вариантом вас действительно могут и послать. С точки зрения прова, вы что, собираетесь по всему инету лазить на виндовые шары? Вот с вариантами 25/tcp как писали выше я тоже сталкивался. Но тут тупая претензия, я мля «не от большой любви к искусству» вам за статик плачу, у меня почтарь здесь. Хватает такого наезда. :)

У меня ipsec не работает на двух разных симках и на двух девайсах.

Хм, я проверил так же, два разных телефона и две симки, личная и корп.

Наверное, из-за торрентов.

Совсем не понял причем тут торрент? Поясните пожалуйста.

про мой?

Да.

в логах VPN я видел неудачные попытки прицепиться и его удачные с ip из пула is74.ru

Вот и причина.

а потом вдруг логи перестали вообще обновляться..

Так и должно быть.

fail2ban-client status
firewall-cmd --direct --get-all-rules

Сотовые операторы блочат торренты. Народ начинает заворачивать торрент траффик внутри VPN/UDP соединения - и опять нагружает вышку гигантским траффиком. Поэтому запрет VPN over UDP в интересах их бизнеса.

Это отдельные проблемы. Не влияющие на возможность «телегу накатать». Мало ли кто/где «не те грибы собирает и кушает их». Меня интересует полноценное предоставление заявленных услуг, лично мне/компании. Добиться от этих «торговцев из Химок» конечно чего-то вразумительного тяжело. Тут согласен. Но если и не пробовать то можно «в маня мирке продолжать жить» «ой заблочили» «ну наверное так и надо» «ой ещё раз» «ну ничего переживем» и так далее.
Например если у меня с корп симки перестанет работать ipsec до офиса, я буду долго и нудно иметь тех. под. с вопросами wtf? Если не ответят или пошлют, накатаю официальное письмо от имени компании. Сомневаюсь, что после этого полетят отмазы.

Самое прикольное-айтишники провайдеров (их как много) сидят тут на ЛОРЕ и хихикают. Может даже каждый пятый из присутствующих. Только не признаются. Бояца… Боятся, что ТС узнает где они кучкуются.

:)

Чур не я (минус минимум я) Я из провайдинга для человечков давно ушел. :)
ЗЫ Хотя вот интересно было, когда осилили провайдинг, узнал случайно что инет потребляет старая знакомая, так ей накинули н-миллионов на счет. Получился безлимит. :) Предупреждая вопросы, это согласованно со стороны владельца бизнеса.

Как доказать этим сучарам, что это их косяк

В цивилизованном обществе, как вариант, конфликты могут рассматриваться в судах. Но это - своя особая матрица, с законами, адвокатами, судебными издержками, апелляциями и так далее…

цивилизованном обществе

Вот и провайдерский РАБ.отник голос подал.

:)

Да, ну, глупость. Так, кто-то не понятно зачем, не понятно почему «кукарекнул». К реальной жизни не имеет отношения.

Глупость несут анониы. Чтобы не повредить своему настоящему нику.

Хм. А что есть «повредить своему настоящему нику» ? Как ему можно повредить?

Может не так выразился. Скорее за барду не будет отвечать например анс. А только неизвестный. Не в обиду.

В таком виде полностью согласен. Говорят есть такие личности, которые любят из под анонима написать «гадость». Зачем правда не понятно. Видимо это из тех кто у меня в лифтах слово их трех буковок пишет, и считает что это «круто».

PS «барду» это что за слово? Поймите правильно, реально не знаю, это что-то из «новодела»?

Барду бурду… Язык русский вообще…

:)