LINUX.ORG.RU

Не могу подключиться по ssh

 ,


0

1

Привет, народ.

Локалка 192.168.77.0/24. В ней nas на убунте 20.04 с адресом 192.168.77.13 и rpi4 192.168.77.21. На роутере, который держит 192.168.77.0/24 стоит впн сервер 10.70.72.0/24. Nas является клиентом впн на впс 10.70.71.0/24 с адресом 10.70.71.2.

На nas НЕТ включенных фаерволов (специально обнулен nftables flush ruleset, проверял по nftables list ruleset, iptables -L, других фаеров нет (ufw/firewalld)).

С удаленного пэка, который является клиентом впн на роутере 10.70.72.3, пробую ssh к малинке - ssh 192.168.77.21 - соединение проходит.

С удаленного пэка, который является клиентом впн на впс 10.70.71.3, пробую ssh к nas - ssh 10.70.71.2 - соединение проходит.

С удаленного пэка, который является клиентом впн на роутере 10.70.72.3, пробую сначала ssh на малину - ssh 192.168.77.21, а с малины на nas - ssh 192.168.77.13 - соединение НЕ проходит.

С удаленного пэка, который является клиентом впн на роутере 10.70.72.3, пробую ssh к nas - ssh 192.168.77.13 - соединение НЕ проходит.

Лог последнего соединения:

debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 21: include /etc/ssh/ssh_config.d/* matched no files
debug1: /etc/ssh/ssh_config line 54: Applying options for *
debug2: resolve_canonicalize: hostname 192.168.77.13 is address
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts' -> '/Users/user/.ssh/known_hosts'
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts2' -> '/Users/user/.ssh/known_hosts2'
debug1: Authenticator provider $SSH_SK_PROVIDER did not resolve; disabling
debug3: ssh_connect_direct: entering
debug1: Connecting to 192.168.77.13 [192.168.77.13] port 22.
debug3: set_sock_tos: set socket 3 IP_TOS 0x48

При этом, если удаленный пэка оказывается непосредственно в сети 192.168.77.0/24, то он успешно коннектится к nas. Точно такие же симптомы с веб сервером и самбой на этом же nas.

На роутере никаких ограничений нет (к малинке подключается, к другим ресурсам локалки доступ тоже есть). В dmesg на nas записи при отключенном фаерволле не идут. Если включить nftables, предварительно разрешив коннект к ssh, то показывает такое:

[652574.783481] SSH: IN=wg0 OUT= MAC= SRC=10.70.71.3 DST=10.70.71.2 LEN=64 TOS=0x08 PREC=0x40 TTL=63 ID=0 DF PROTO=TCP SPT=50057 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
[652639.216694] SSH: IN=eno1 OUT= MAC=18:СКРЫТО SRC=10.70.72.3 DST=192.168.77.13 LEN=64 TOS=0x08 PREC=0x40 TTL=63 ID=0 DF PROTO=TCP SPT=50082 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
[652706.921377] SSH: IN=wg0 OUT= MAC= SRC=10.70.71.3 DST=10.70.71.2 LEN=64 TOS=0x08 PREC=0x40 TTL=63 ID=0 DF PROTO=TCP SPT=50163 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

Первая и третья запись - коннект к nas с удаленного пэка через впн на впс. Вторая запись - попытка коннекта к nas через внп на роутере. Все маршруты есть, они в порядке, ведь к rpi, которая в той же локалке, я успешно подключаюсь, а к nas почему-то нет. Второй день ломаю голову. Пинги и трасса, кстати, тоже не проходят. И именно до nas. Все остальные ресурсы локалки доступны. В чем причина может быть?



Последнее исправление: Entmatix (всего исправлений: 2)

Ответ на: комментарий от AVL2

По tcpdump когда пытаюсь коннектиться по ssh пакеты до nas доходят. Ответы действительно не уходят. Маршруты nas:

default via 192.168.77.1 dev eno1 proto dhcp src 192.168.77.13 metric 100 
10.70.71.0/24 dev wg0 proto kernel scope link src 10.70.71.2 
192.168.77.0/24 dev eno1 proto kernel scope link src 192.168.77.13 
192.168.77.1 dev eno1 proto dhcp scope link src 192.168.77.13 metric 100

Для примера маршруты rpi, с которой нет такой проблемы

default via 192.168.77.1 dev eth0 proto dhcp src 192.168.77.21 metric 202 
192.168.77.0/24 dev eth0 proto dhcp scope link src 192.168.77.21 metric 202 
Entmatix
() автор топика
Ответ на: комментарий от Entmatix

ну вот залезай на nas на интерфесе eno1 и далее на шлюз и смотри на интерфейсе с адресом 192.168.77.1 , есть там ответ или нет.

Вообще говоря, скорее всего проблема на 192.168.77.1

В роутинге nas одна запись явно лишняя

вот эта:

192.168.77.1 dev eno1 proto dhcp scope link src 192.168.77.13 metric 100

AVL2 ★★★★★
()
Последнее исправление: AVL2 (всего исправлений: 1)
Ответ на: комментарий от AVL2

Спасибо, направление ты подсказал правильно, но проблема не со шлюзом. Как оказалось, если отключить интерфейс ваергарда, который соединяет nas с сервером на vps, то все работает так же, как на rpi. А при подключенном ваергарде нужно вручную добавить путь

10.70.72.0/24 via 192.168.77.1 dev eno1 

Так работает. Пакеты обратно направляются по правильному пути. Все остальные маршруты динамические, я их не менял.

Entmatix
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.