GRE tunnel :: Hinnavaatluse Foorumid

ufo56 · HV Guru liitunud: 18.11.2004

Oleks siis vaja püsti saada koduse kasti kaitseks gre tunnelit mis omab ddos kaitset lihtsamalt öeldes.

Kast võetud OVHst, kena ddos kaitse jms kõik vahva. Nüüd oleks siis vaja see koduse kasti "ette" tööle saada. Miskit nagu töötab ja samas ei tööta ka.

OVH kast

Spezz · HV veteran liitunud: 21.08.2005

Otse internetist koduse kasti UDP külge pääseb(OVH vahele jättes)?

ufo56 · HV Guru liitunud: 18.11.2004

OFFF · HV veteran liitunud: 29.07.2004

Ma prooviks algatuseks netcatiga. Teeks koju ühe UDP "teenuse" ja teiselt poolt siis nc-ga genereeriks mõned udp paketid. Näeks ära kas pakett jõuab kohale ja vastus läheb kaotsi või ei jõua pakett üldse kohale.

ufo56 · HV Guru liitunud: 18.11.2004

Kodus tcpdump näitab et jõuab, ehk siis internet->ovh->kodu

12:18:02.032428 IP 112-53-65-62.dyn.estpak.ee.55679 > domeen.ee.9987: UDP, length 34
12:18:02.032506 IP 112-53-65-62.dyn.estpak.ee.55679 > domeen.ee.9987: UDP, length 178
12:18:02.577703 IP 112-53-65-62.dyn.estpak.ee.55679 > domeen.ee.9987: UDP, length 34
12:18:02.577718 IP 112-53-65-62.dyn.estpak.ee.55679 > domeen.ee.9987: UDP, length 178

Kui ovh kastist teha üle tunneli netcat -u 192.168.168.2 9987 siis kodune masin ei näita midagi.

OFFF · HV veteran liitunud: 29.07.2004

Ma ei pidanud seda silmas. Ma pidasin seda silmas, et pane koju netcat kuulama ja genereeri ovh otsa peale mingit udp liiklust. Vaata, kas "teenuse" socketisse ka see pakett jõuab.

ufo56 · HV Guru liitunud: 18.11.2004

Tegin ovh masinasse teksti faili kuhu kirjutasin "Udp test"
Saatsin selle teele üle tunneli koju

OFFF · HV veteran liitunud: 29.07.2004

Aga kui see sama test nüüd läbi OVH dNATi ka suruda? Mis siis võiks juhtuda?

ufo56 · HV Guru liitunud: 18.11.2004

Panen siia ka info

Kodu arvutist saata udp pakk teele siis jõuab see ovh kastini, edasi ta ei forwardi seda.

Hetkel reeglid seal sellised

Spoiler

ja skeem võrgust

Spoiler

EDIT: Jõudsin selleni nüüd kui saata udp test pakk teele ruudib ovh selle edasi aga kodune server vastab nii.
koduserver #nc -u -l 192.168.168.2 -p 9988
invalid connection to [koduserver ip] from (UNKNOWN) [ühendus kust pakk saadetud ip] 55056

ja peale seda netcat sulgub, selle pordi taga muidugi ühtegi reaalset teenust ei jookse ka. Port 9987 taga on aga seda ei suuda netcat kuulata kuna see töötab

alar26t · HV kasutaja liitunud: 21.04.2011

Nagu ma portidest aru saan, siis gre tunnel on mõeldud teamspeaki jaoks. Miks mitte viia teamspeaki vpsi peale?

ufo56 · HV Guru liitunud: 18.11.2004

OFFF · HV veteran liitunud: 29.07.2004

Ära kuula jõuga ühe liidese peal. Kuula default kõigi liideste peal. Siis peaks ära kaduma see urror.

ufo56 · HV Guru liitunud: 18.11.2004

Consooli tuleb mingit segast teksti siis vaid.

OFFF · HV veteran liitunud: 29.07.2004

Et lihtsalt kuulad ja siis tuleb läbu v. ikka saadad ja siis tuleb mingi kummaline läbu. Üldiselt, huvitav mõistatus tundub

Kas Sul tsharki ei ole? See on natuke mugavam liikluse kuulamiseks.
[edit]
Ma lugesin nüüd dumpi teravama pilguga ja sain aru, et Sa ikka saadad. Ja miskipärast see udp läheb poole tee peal justkui katki. Tõepoolest v. imelik lugu.

ufo56 · HV Guru liitunud: 18.11.2004

Nujah, imelik tõesti. See läbu ▒▒▒7B9▒e▒▒▒"▒▒ pigem see et mingi info mida putty/shell ei suuda näidata. Kui kuulan ja miskit ei saada siis loomulikult vaikus.
Näiteks "[udp sum ok]" viitab sellele et nagu korras pakk jõuab kohale. Netist leidsin miskit kus osadel näitas tcpdump et udp pakk katki.

Täna hoidsin mingi enamus päevast lahti kodu arvutist üle tunneli tcp ühenduse läbi telnetti ja ei katkenud ära ega miskit.

EDIT:

tshark kodu servus
http://pastebin.com/38MVSiMM

EDIT2: wiresharki capture fail kodu serverist, esimene 9988 on "tühja" udp peale test ja 9987 on connectides õige asjaga kus jookseb ka vastav server taga.
https://www.dropbox.com/s/s5vreusqg2r4z7n/shark.pcapng?dl=0

OFFF · HV veteran liitunud: 29.07.2004

Ma nüüd pakun natuke "kõhutunde" järgi, ma olen analoogse, kuigi mitte täpselt samasuguse probleemiga vaevelnud.
Ma eeldan, et sellel sinu "kodukastil" on veel mõni liides peale selle gre liidese. Mina teeks selle teise liidese vastu ka "route" serveri poolt ja püüaks ühenduda mitte tunneli otsas kuulava pordi vaid reaalse liidese peal kuulava pordi pihta (eeldusel, et teenus on sul default konffitud "kuula kõiki liideseid").

ufo56 · HV Guru liitunud: 18.11.2004

Teenus on confitud kuulama kõiki liideseid.

On kaks liidest veel jah. See töötaks nagunii kuna igaltpoolt mujalt peale gre tunneli pole mingit muret ühendatavusega.

pead silmas nii ? route add -host kodukast-ip gw ovh gateway ip

OFFF · HV veteran liitunud: 29.07.2004

Einoh, seda küll. Ma pean silmas seda, et sa püüad ühendust luua LÄBI gre tunneli aga näiteks hoopis sisemise liidese IP, mitte GRE tunneli IP vastu.

ufo56 · HV Guru liitunud: 18.11.2004

Kõik töötab täpselt nii kaua kuni läbi tunneli ühendada.

Pigem häda kodu servus ikka, seal juba mitu aastat olnud debian millel katsetatud igast asju.

koduses serveris avastasin mingi ip tunnel mooduli mida ovh omas pole, äkki mingi openvpn jäänuk

lsmod | grep gre
ip_gre 17563 0
ip_tunnel 21463 1 ip_gre
gre 12777 1 ip_gre

EDIT: sättisin MTU:1476 pealt 1500 peale aga vahet pole. Kuigi gre'l peab 1476 olema.

ufo56 · HV Guru liitunud: 18.11.2004

Nagu ikka mõnedes kohtades ei tea pea mis teevad käed ja vastupidi.
Küsisin selgelt et kas ma pean paneelist tegema endale mingid tulemüüri reeglid ka. Vastati ei. Seega ei hakanud jamamagi. Nüüd küsisin üle, rääkisin asja ära ja öeldi et jah sa pead minema tegema sealt mingi gre tunneli reegli. Töötab igatahes.

Üks väike jama on veel aga ei teagi kas confi viga. Teenuse logide järgi vaadates ja pingi järgi otsustades siis see ühendus käib peale connecti saamist ikkagi üle koduse kasti. Ühesõnaga miskit valesti veel.

EDIT: jah, koduse neti otsast töötab vaid, mujalt ei pääse ligi
27.03.2015 13:49 SCHandler Info Expected answer from: 37.187.xxx.xxx:9987, but received answer from: koduserver-ip:9987