Jump to content
  • 0
henry.pootel

Помогите с пробросом tcp порта.

Question

Здравствуйте. Имеем keenetic, к нему подключен raspberry_pi к 4 порту. До кинетика могу добраться только по ssh. Нужно пробросить

любой порт (например 2222) на 22 порт raspberry. IP кинетика - 172.30.30.30/24 IP raspberry - 172.16.17.16/24

Имеем:

release: 2.16.D.11.0-1
hw_version: 15560000-A
hw_id: ku_ra
device: Keenetic Ultra

 

interface GigabitEthernet0/4
    rename 4
    switchport mode access
    switchport access vlan 222
    up

interface GigabitEthernet0/Vlan222
    role inet for BELKA
    security-level public
    ip address 172.16.17.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up

interface GigabitEthernet0/Vlan888
    rename BELKA
    description Belka_VID888
    role inet
    mac address factory wan
    security-level public
    ip address 172.30.30.30 255.255.255.224
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip global 49149
    igmp upstream
    up

ip static tcp BELKA 2222 dc:a6:32:ac:16:b0 22 !LB

dc:a6:32:ac:16:b0 -- MAC raspberry

 

НЕ РАБОТАЕТ.

ssh -p 2222 root@172.30.30.30                                           
ssh: connect to host 172.30.30.30 port 2222: Connection refused


На raspberry firewall нет, с кинетика пинг идет.

P.S. Раньше, до инцидента, raspberry получал IP по dhcp (172.16.16.16/24 - кинетика адрес и пулл) из кинетика и все работало. Но добрый человек прописал на raspberry статический адрес 172.16.17.16/24 и теперь как-то надо попасть на raspberry по ssh.

 

 

 

 

 

Share this post


Link to post
Share on other sites

Recommended Posts

  • 0
9 минут назад, henry.pootel сказал:

Здравствуйте. Имеем keenetic, к нему подключен raspberry_pi к 4 порту. До кинетика могу добраться только по ssh. Нужно пробросить

любой порт (например 2222) на 22 порт raspberry. IP кинетика - 172.30.30.30/24 IP raspberry - 172.16.17.16/24

Имеем:


release: 2.16.D.11.0-1
hw_version: 15560000-A
hw_id: ku_ra
device: Keenetic Ultra

 


interface GigabitEthernet0/4
    rename 4
    switchport mode access
    switchport access vlan 222
    up

interface GigabitEthernet0/Vlan222
    role inet for BELKA
    security-level public
    ip address 172.16.17.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up

interface GigabitEthernet0/Vlan888
    rename BELKA
    description Belka_VID888
    role inet
    mac address factory wan
    security-level public
    ip address 172.30.30.30 255.255.255.224
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip global 49149
    igmp upstream
    up

ip static tcp BELKA 2222 dc:a6:32:ac:16:b0 22 !LB

dc:a6:32:ac:16:b0 -- MAC raspberry

 

НЕ РАБОТАЕТ.

ssh -p 2222 root@172.30.30.30                                           
ssh: connect to host 172.30.30.30 port 2222: Connection refused


На raspberry firewall нет, с кинетика пинг идет.

P.S. Раньше, до инцидента, raspberry получал IP по dhcp (172.16.16.16/24 - кинетика адрес и пулл) из кинетика и все работало. Но добрый человек прописал на raspberry статический адрес 172.16.17.16/24 и теперь как-то надо попасть на raspberry по ssh.

 

 

 

 

 

Вам удаленно надо заходить?

Share this post


Link to post
Share on other sites
  • 0
29 minutes ago, Илья Картавенко said:

Вам удаленно надо заходить?

Ну да, c (172.30.30.1 PC) на (172.30.30.30:2222----172.16.17.1 Keenetic) в (172.16.17.16:22 Raspberry)

Share this post


Link to post
Share on other sites
  • 0

А IP точно белый? А то уже 3ий вопрос про проброс портов, а IP у вех серый... 🤔

Вы по SSH через Кинетик cloud заходите?

Share this post


Link to post
Share on other sites
  • 0
6 minutes ago, CBLoner said:

А IP точно белый? А то уже 3ий вопрос про проброс портов, а IP у вех серый... 🤔

Вы по SSH через Кинетик cloud заходите?

Нет. Кинетик доступен по ssh.
Хочу шоб и raspberry через кинетик по ssh был доступен...

 

Share this post


Link to post
Share on other sites
  • 0

Надо сделать masquerade или SNAT+DNAT и разрешить форвардинг между интерфейсами кинетика.
 

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, henry.pootel сказал:

Да, IP серый. Проводок от кинетика до PC. Между ними 7км.

Да фиолетово, сколько между ними.

В данном варианте получите доступ только через ВЕБ, зарегистрировав доменное имя от Кинетика.

Сетевые правила -> Доменное Имя -> Доступ к веб-приложениям домашней сети

Вот ваш путь

Share this post


Link to post
Share on other sites
  • 0

И только к веб ресурсам.... Можете конечно поднять SSTP VPN сервер через облачное имя Кинетик.... Но на практике тормозит жутко.... Так как бесплатно ;-)

Share this post


Link to post
Share on other sites
  • 0
Just now, CBLoner said:

Да фиолетово, сколько между ними.

В данном варианте получите доступ только через ВЕБ, зарегистрировав доменное имя от Кинетика.

Сетевые правила -> Доменное Имя -> Доступ к веб-приложениям домашней сети

Вот ваш путь

Какое доменное име? О чем Вы?

У меня есть доступ от PC к кинетику. Кинетик видит мой PC и RASPBERRY на двух своих интерфейсах. Нужно пробросить порт 2222 на 20 порт raspberry.
Простая задачка для Linux. Тут не понимаю синтаксиса, прошу помощи...

Да, на Кинетике есть еще домашняя сеть (другой интерфейс в vlan1)
Только 4-ый (GigabitEthernet0/Vlan222 и GigabitEthernet0/4) в другом VLAN-е (222) и с другой сеткой (172.16.17.1/24), где и raspberry сидит.



 

Share this post


Link to post
Share on other sites
  • 0

Разве я говорил о веб ресурсах? Мне нужно сделать доступ по ssh на raspberry , который подключен к кинетику. Доступ к кинетику у меня есть полный (И веб и telnet и ssh)

Раньше я пробрасывал порт в VLAN1 (в домашнюю сеть), но она сейчас другая , отличается от статического IP raspberry. Поэтому на 4 порту кинетика, я настроил ту же

сеть, что и у raspberry. Кинетик пингает raspberry. Осталось пробросить порт... Странно, но механизм не заработал (который пробрасывал порт в домашнюю сеть ранее).

Edited by henry.pootel

Share this post


Link to post
Share on other sites
  • 0

Алё... гараж... Вам нужен доступ ИЗВНЕ или ИЗНУТРИ локальной сети?

Выражайтесь яснее!

Share this post


Link to post
Share on other sites
  • 0
Just now, CBLoner said:

Алё... гараж... Вам нужен доступ ИЗВНЕ или ИЗНУТРИ локальной сети?

Выражайтесь яснее!

Спокойно, Ипполит. Пишу еще.
Есть кинетик, у него два интерфейса (VLAN222 и VLAN888) Один идет на мой PC, второй на raspberry. Мне нужно зайти с PC на raspberry по ssh. (на 22 порт)
Прямой маршрутизации нет. Raspberry не знает никакие маршруты, кроме своей сети, где кинетик.
 

Share this post


Link to post
Share on other sites
  • 0

... когда raspberry был в VLAN1 (домашней сетикинетика), то проброс порта работал и я ходил на raspberry.
Но на raspberry изменили настройки, написали статический адрес. Не из домашней сети кинетика.

Однако, я поднял на 4-ом интерфейсе кинетика родную сеть raspberry. Только проброс не работает.
Конфиг аккуратно и ясно приложил.

 

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, henry.pootel сказал:

Спокойно, Ипполит. Пишу еще.
Есть кинетик, у него два интерфейса (VLAN222 и VLAN888) Один идет на мой PC, второй на raspberry. Мне нужно зайти с PC на raspberry по ssh. (на 22 порт)
Прямой маршрутизации нет. Raspberry не знает никакие маршруты, кроме своей сети, где кинетик.
 

Вопрос еще раз, комп и разбери находятся физически в одной сети, или вы хотите подключиться с другого конца города?

Share this post


Link to post
Share on other sites
  • 0
8 минут назад, henry.pootel сказал:

Спокойно, Ипполит. Пишу еще.
Есть кинетик, у него два интерфейса (VLAN222 и VLAN888) Один идет на мой PC, второй на raspberry. Мне нужно зайти с PC на raspberry по ssh. (на 22 порт)
Прямой маршрутизации нет. Raspberry не знает никакие маршруты, кроме своей сети, где кинетик.
 

Мы все спокойны как бегемоты 😁

Просто если из ВНЕ, то только из SSTP VPN

Если вы физически на одном Кинетике, но в разных VLAN (сегментах), то создайте разрешающие правила в Firewall (IP) из вашей сети туда, и из той сети обратно

Share this post


Link to post
Share on other sites
  • 0
1 minute ago, Илья Картавенко said:

Так вы просто сделайте свою домашнюю сеть так чтобы адрес разбери в нее входил.

Да, это вариант. Но подход плохой. Там же работают какие-то устройства... Это их надо всех остановить.

Share this post


Link to post
Share on other sites
  • 0
6 minutes ago, Илья Картавенко said:

Вопрос еще раз, комп и разбери находятся физически в одной сети, или вы хотите подключиться с другого конца города?

 

IMG_20210531_143022.jpg

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, henry.pootel сказал:

Да, это вариант. Но подход плохой. Там же работают какие-то устройства... Это их надо всех остановить.

Не надо, после этого просто кинетик перезагрузите.

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, Илья Картавенко сказал:

Не надо, после этого просто кинетик перезагрузите.

А зачем в принципе по VLAN всё делилось? Может специально, а мы его в одну сеть?! ;-)

Share this post


Link to post
Share on other sites
  • 0
2 minutes ago, CBLoner said:

Если вы физически на одном Кинетике, но в разных VLAN (сегментах), то создайте разрешающие правила в Firewall (IP) из вашей сети туда, и из той сети обратно

Вот про правила и спрашиваю. Каков синтаксис? Надо организовать masuerade для src ip мооего PC на интерфейсе vlan222 (с портами 2222 в 22)

Share this post


Link to post
Share on other sites
  • 0

Попробуйте заменить

ip static tcp BELKA 2222 dc:a6:32:ac:16:b0 22 !LB

на

ip static tcp BELKA 2222 172.16.17.16 22 !LB

Чтобы правило с MAC работало, в таблице ARP (show ip neighbour) должно быть соответствие IP <-> MAC.

Или попробуйте добавить статическую запись

ip arp 172.16.17.16 dc:a6:32:ac:16:b0

 

Share this post


Link to post
Share on other sites
  • 0
Just now, CBLoner said:

А зачем в принципе по VLAN всё делилось? Может специально, а мы его в одну сеть?! ;-)

Ну, такая задача. Несколько сетей приходит в кинетик. И интернет где-то тоже... Но речь не об интернете.
Почему правило проброса порта работает в VLAN1 (домашнюю сеть), и не работает в VLAN222?
Или я не умею писать правила. Конфиг показал, кто знает как, пожалуйста исправьте.

Share this post


Link to post
Share on other sites
  • 0

ИМХО

1. Проверить чтобы все IP весели на статике

2. Прописать правила из одно сети в другую (либо по полной, либо для определённых сервисов)

Так как уже много чего насыпалось, то можно:

1. Скрин девайсов из каждой сети

2. Скрин правил firewall для каждой сети и я думаю мы скажем как подправить правила.

Share this post


Link to post
Share on other sites
  • 0
1 час назад, henry.pootel сказал:

Здравствуйте. Имеем keenetic, к нему подключен raspberry_pi к 4 порту. До кинетика могу добраться только по ssh. Нужно пробросить

любой порт (например 2222) на 22 порт raspberry. IP кинетика - 172.30.30.30/24 IP raspberry - 172.16.17.16/24

Имеем:


release: 2.16.D.11.0-1
hw_version: 15560000-A
hw_id: ku_ra
device: Keenetic Ultra

 


interface GigabitEthernet0/4
    rename 4
    switchport mode access
    switchport access vlan 222
    up

interface GigabitEthernet0/Vlan222
    role inet for BELKA
    security-level public
    ip address 172.16.17.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up

interface GigabitEthernet0/Vlan888
    rename BELKA
    description Belka_VID888
    role inet
    mac address factory wan
    security-level public
    ip address 172.30.30.30 255.255.255.224
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip global 49149
    igmp upstream
    up

ip static tcp BELKA 2222 dc:a6:32:ac:16:b0 22 !LB

dc:a6:32:ac:16:b0 -- MAC raspberry

 

НЕ РАБОТАЕТ.

ssh -p 2222 root@172.30.30.30                                           
ssh: connect to host 172.30.30.30 port 2222: Connection refused


На raspberry firewall нет, с кинетика пинг идет.

P.S. Раньше, до инцидента, raspberry получал IP по dhcp (172.16.16.16/24 - кинетика адрес и пулл) из кинетика и все работало. Но добрый человек прописал на raspberry статический адрес 172.16.17.16/24 и теперь как-то надо попасть на raspberry по ssh.

 

 

 

 

 

У вас и PC и RPi находятся, судя по конфигу, за public интерфейсами. Между public интерфейсами связь закрыта. Вам нужно в МСЭ для начала разрешать доступы нужные

Share this post


Link to post
Share on other sites
  • 0
11 minutes ago, sergeyk said:

Попробуйте заменить


ip static tcp BELKA 2222 dc:a6:32:ac:16:b0 22 !LB

на


ip static tcp BELKA 2222 172.16.17.16 22 !LB

Чтобы правило с MAC работало, в таблице ARP (show ip neighbour) должно быть соответствие IP <-> MAC.

Или попробуйте добавить статическую запись


ip arp 172.16.17.16 dc:a6:32:ac:16:b0

 

Нет, не помогло. Но уже не отбивает по firewall...

 

Share this post


Link to post
Share on other sites
  • 0
4 minutes ago, werldmgn said:

У вас и PC и RPi находятся, судя по конфигу, за public интерфейсами. Между public интерфейсами связь закрыта. Вам нужно в МСЭ для начала разрешать доступы нужные

 

1 minute ago, henry.pootel said:

Нет, не помогло. Но уже не отбивает по firewall...

 

Ура, появился трафик на порты vlan222 , но чисто проброс без NAT-а. Как-то надо сделать MASQUERADE или DNAT+SNAT

Вижу такое. Т.е. порт подменился на 22, но не подменился src ip.

Правило такое:
ip static tcp 172.30.30.0 255.255.255.224 2222 172.16.17.16 22

... понял куда копать. Поизучаю синтаксис "ip static" видимо, все тут. Или нет?

Screenshot_20210531_145816.png

Share this post


Link to post
Share on other sites
  • 0

ip static - Создать правило трансляции локальных IP-адресов в глобальные или наоборот. Если interface или network соответствует интерфейсу c уровнем безопасности public, то будет выполняться трансляция адреса назначения (DNAT). Если to-address соответствует интерфейсу c уровнем безопасности public, то будет выполняться трансляция адреса источника (SNAT).  У вас оба интерфейса public, как я уже написал. Какие в таком случае создаются правила при ip static не понятно. Скорее всего оба и dnat и snat. Я предлагаю не мутить тут проброс, а настроить МСЭ для доступа из одного интерфейса в другой, и обращаться по оригинальному адресу малины.

Share this post


Link to post
Share on other sites
  • 0
8 minutes ago, werldmgn said:

ip static - Создать правило трансляции локальных IP-адресов в глобальные или наоборот. Если interface или network соответствует интерфейсу c уровнем безопасности public, то будет выполняться трансляция адреса назначения (DNAT). Если to-address соответствует интерфейсу c уровнем безопасности public, то будет выполняться трансляция адреса источника (SNAT).  У вас оба интерфейса public, как я уже написал. Какие в таком случае создаются правила при ip static не понятно. Скорее всего оба и dnat и snat. Я предлагаю не мутить тут проброс, а настроить МСЭ для доступа из одного интерфейса в другой, и обращаться по оригинальному адресу малины.

RPi не имеет default gw. Он только свою сетку знает. Нужен NAT.
Пока ломаю голову над подбором синтаксиса

Share this post


Link to post
Share on other sites
  • 0

на Wan порту trunk с vlan222 и vlan888? Есть ли возможность сделать на интерфейс GigabitEthernet0/Vlan222 security-level private? Сдается мне, что после этого проброс заработает корректно.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...