Услуги зад Technicolor tc7200.20

[Асен Нейков]

Здравейте,  в началото на седмицата техници на блА1 смениха кабелния модем на един обект. Зад него имам микротик, който се опитвам да достъпя през публичния адрес, но за съжаление безуспешно. Firewall-ът ми е изключен, в /ip services са махнати всички правила. Като се зачетох в упътването на модема, по default 3-ти и 4-ти порт са в passtrought режим, което би означавало, че са bridge към света. Пробвах и в двата порта, взимам си един и същи публичен адрес. На 1-ви и 2-ри модема прави нат в частна мрежа. Според съпорта на гореспоменатата компания не филтрират нищо. За късмет имам тунел, през който мога да правя промени по конфигурацията. Пробва също със смяна на порта на Winbox, ssh не ме пуска. Също като dstnat-на някое устройство от вътрешната мрежа не минава трафик през правилото. В настройките на модема е спрян firewall-a и като цяло няма много опции за промяна по него.

[111111]

Или имаш DMZ или нямаш.

Пусни един trace и виж от къде минава трафика.

[JohnTRIVOLTA]

Преди 8 часа, Асен Нейков написа:

Като се зачетох в упътването на модема, по default 3-ти и 4-ти порт са в passtrought режим, което би означавало, че са bridge към света.

Чак към света ме съмнява, но вероятно са така бриджнати портовете за достъп до техният L2 сегмент и респективно тяхната IPTV !

Ако сте договорили повече от един публичен адрес  е друго, но и микротик рутера ще е на друг адрес , а не на този на който го търсите .

Единственото , което може да направите е да пренасочите в устройството на А1 необходимите портове или направо да ползвате DMZ , както спомена колегата в горният пост за достъп до него или изкарване на услуга на публичен адрес !

[Асен Нейков]

За да съм в DMZ трябва да прехвърля микротика във вътрешната мрежа на модема и той да посреща трафика от интернет, което не ми харесва като идея. Ще се оглеждам за нов доставчик.

Като сканирам отвън се виждат отворени портове. Winbox-a стои в Logging in... и нищо не се случва. През тунела се свързвам нормално.

Not shown: 996 filtered ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
1723/tcp open  pptp
8291/tcp open  unknown

traceroute:

address: 78.130.251.58
 # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST
 1 192.168.0.1                        0%   58   0.3ms     0.2     0.1     0.7
 2 10.132.64.1                      12..   58 timeout       6     4.1    15.4
 3 89.215.170.35                    15..   58 timeout     6.9     4.5    19.5
 4 213.169.34.81                    13..   58 timeout       8     6.4    11.9
 5 193.169.198.130                   69%   58 timeout    10.5     8.2    20.2
 6 193.169.198.117                  29..   58 timeout    11.7     8.9    16.7
 7 94.155.94.22                     17..   58   8.7ms    10.5     7.3    16.2
 8 94.155.94.199                    15..   57  30.1ms    30.9    17.2     115
 9 78.130.251.58                      0%   57  12.2ms      13      11    19.4

 

[JohnTRIVOLTA]

Че той в коя мрежа е сега? Какъв е този тунел който имате - вероятно някакъв ppp client към кого ? Не става ясно отвън какво сканирате, кой адрес, на какво устройство и интерфейс е присвоен същият? Трейса показва че сте зад 2бр частни мрежи !!! Питайте доставчикът , ако може устройството да мине изцяло в бридж мод за да си присвоите на микротика публичният адрес , ако не ви удовлетворява пренасочване на портове!

Редактирано 26 Юни, 2020 от JohnTRIVOLTA

[Асен Нейков]

Отново да уточня- Микротика ми е закачен на 3-ти порт на модема, който е в Passtrought режим.

Преди 1 час, JohnTRIVOLTA написа:

Какъв е този тунел който имате - вероятно някакъв ppp client към кого ?

Тунелите са два, един l2tp и един sstp от микротика, който е зад модема към административната ми мрежа. По този начин имам достъп до устройството за промени в конфигурацията.

 Микротика зад модема си взима публичен адрес по DHCP

 /ip address print  
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                
 0   192.168.0.1/24     192.168.0.0     bridge                                   
 1 D 85.130.49.99/22    85.130.48.0     ether1                                   
 2 D 192.168.20.4/32    192.168.20.1    l2tp-out1

 

 

Преди 1 час, JohnTRIVOLTA написа:

Не става ясно отвън какво сканирате, кой адрес, на какво устройство и интерфейс е присвоен същият?

Сканирам адреса, който микротика си взима на wan интерфейса от доставчика по dhcp.

nmap -Pn 85.130.49.99

Starting Nmap 7.01 ( https://nmap.org ) at 2020-06-26 10:35 EEST
Nmap scan report for unknown.interbgc.com (85.130.49.99)
Host is up (0.013s latency).
Not shown: 995 filtered ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
1723/tcp open  pptp
8291/tcp open  unknown

Съответно портовете, които натвам се виждат като отворени, но през правилата не минава трафик. Същото е и с административните портове на рутера.

Благодаря за съветите, ще търся отговорност на компанията защо нямам достъп до публичния адрес,  достатъчно време си загубихме.

 

[JohnTRIVOLTA]

преди 32 минути, Асен Нейков написа:

Отново да уточня- Микротика ми е закачен на 3-ти порт на модема, който е в Passtrought режим.

Тунелите са два, един l2tp и един sstp от микротика, който е зад модема към административната ми мрежа. По този начин имам достъп до устройството за промени в конфигурацията.

 Микротика зад модема си взима публичен адрес по DHCP

/ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 192.168.0.1/24 192.168.0.0 bridge 1 D 85.130.49.99/22 85.130.48.0 ether1 2 D 192.168.20.4/32 192.168.20.1 l2tp-out1

 /ip address print  
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                
 0   192.168.0.1/24     192.168.0.0     bridge                                   
 1 D 85.130.49.99/22    85.130.48.0     ether1                                   
 2 D 192.168.20.4/32    192.168.20.1    l2tp-out1

 

 

Сканирам адреса, който микротика си взима на wan интерфейса от доставчика по dhcp.

nmap -Pn 85.130.49.99 Starting Nmap 7.01 ( https://nmap.org ) at 2020-06-26 10:35 EEST Nmap scan report for unknown.interbgc.com (85.130.49.99) Host is up (0.013s latency). Not shown: 995 filtered ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 1723/tcp open pptp 8291/tcp open unknown

nmap -Pn 85.130.49.99

Starting Nmap 7.01 ( https://nmap.org ) at 2020-06-26 10:35 EEST
Nmap scan report for unknown.interbgc.com (85.130.49.99)
Host is up (0.013s latency).
Not shown: 995 filtered ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
1723/tcp open  pptp
8291/tcp open  unknown

Съответно портовете, които натвам се виждат като отворени, но през правилата не минава трафик. Същото е и с административните портове на рутера.

Благодаря за съветите, ще търся отговорност на компанията защо нямам достъп до публичния адрес,  достатъчно време си загубихме.

 

Дайте да видим рутинг таблицата на микротика тогава и един трейс от него до dir.bg пример ?! Вероятно трфикът навън си минава през локалната на модема и пътя ви е неактивен към пъбличният гейт понеже имате 2 ласт рисорт пътя в борда и по-малкият като стойност е неактивен! Дори това може да се види от VPN сървъра от кой адрес реално клиента се свързва !

Редактирано 26 Юни, 2020 от JohnTRIVOLTA

[Асен Нейков]

На 26.06.2020 г. at 11:31, JohnTRIVOLTA написа:

Дайте да видим рутинг таблицата на микротика

/ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          85.130.48.1               1
 1 ADC  85.130.48.0/22     85.130.49.99    ether1                    0
 2 ADC  192.168.0.0/24     192.168.0.1     bridge                    0
 3 A S  192.168.1.0/24                     192.168.20.1              2
 4 ADC  192.168.20.1/32    192.168.20.2    sstp-out1                 0
                                           sstp-out2         
                                           l2tp-out1         

трейс до dir.bg:

     
/tool traceroute dir.bg interface=ether1 
 # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS                        
 1 192.168.0.1                        0%    6   0.2ms     0.2     0.2     0.3       0                               
 2 10.132.64.1                        0%    6   5.4ms     7.4     5.4    10.2     1.7                               
 3 89.215.170.35                      0%    6   5.3ms     7.8     5.3    12.9     2.5                               
 4 213.169.34.81                      0%    6   6.7ms     7.8     6.7     8.9     0.9                               
 5 193.169.198.130                   40%    6  10.4ms    10.4     8.3    12.6     1.8                               
 6 193.169.198.187                    0%    5  10.6ms    10.7     9.6    13.2     1.3                               
 7                                  100%    5 timeout                                                               
 8                                  100%    5 timeout                                                               
 9                                  100%    5 timeout                                                               
10 194.145.63.12                      0%    5  10.2ms     9.6     8.4    10.3     0.7

Идглежда изходящия трафик минава през локалната на модема. VPN клиентът се свързва с публичния адрес, който си взима динамично на wan интерфейса.

/ppp active print
Flags: R - radius 
 #   NAME         SERVICE CALLER-ID         ADDRESS         UPTIME   ENCODING                                                                                     
                                                                  
 1   ######   sstp    85.130.49.99      192.168.20.2    1h12m53s AES256-CBC                                                                                   
 2   ######   sstp    85.130.49.99      192.168.20.3    1h12m53s AES256-CBC                                                                                   
 3   ######   l2tp    85.130.49.99      192.168.20.4    1h12m52s            

 

[JohnTRIVOLTA]

Пуснете трейс без интерфейс да слагате. Кажете коя е тази 10.132.64.0 мрежа . Публичният адрес на модема 89.215.170.35 ли е ? Постнете и нат секцията на рутера ви !

Редактирано 27 Юни, 2020 от JohnTRIVOLTA

[Асен Нейков]

На 27.06.2020 г. at 21:19, JohnTRIVOLTA написа:

Пуснете трейс без интерфейс да слагате.

/tool traceroute abv.bg
 # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS                                                     
 1 192.168.0.1                        0%    2   0.2ms     0.3     0.2     0.3     0.1                                                         
 2 10.132.64.1                       50%    2 timeout     5.6     5.6     5.6       0                                                            
 3 89.215.170.35                     50%    2 timeout     9.2     9.2     9.2       0                                                            
 4 213.169.34.81                     50%    2 timeout     7.1     7.1     7.1       0                                                            
 5 178.132.83.22                      0%    2  13.8ms    13.8    13.8    13.8       0                                                            
 6 178.132.83.17                      0%    1  10.9ms    10.9    10.9    10.9       0                                                            
 7 94.72.148.140                      0%    1  13.1ms    13.1    13.1    13.1       0                                                            
 8 194.153.145.104                    0%    1  11.8ms    11.8    11.8    11.8       0

 

На 27.06.2020 г. at 21:19, JohnTRIVOLTA написа:

Кажете коя е тази 10.132.64.0 мрежа

Нямам представа, на доставчика е.

 

На 27.06.2020 г. at 21:19, JohnTRIVOLTA написа:

Публичният адрес на модема 89.215.170.35 ли е ?

В момента от passtrought порта нямам достъп до настройките на модема, за да потвърдя.

 

На 27.06.2020 г. at 21:19, JohnTRIVOLTA написа:

Постнете и нат секцията на рутера ви !

/ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix="" 

 1 X  chain=dstnat action=dst-nat to-addresses=192.168.0.10 to-ports=25000 protocol=tcp dst-port=25000 log=no log-prefix="" 

 2 X  chain=dstnat action=dst-nat to-addresses=192.168.0.10 to-ports=2054 protocol=tcp dst-port=2054 log=no log-prefix="" 

 3    chain=dstnat action=dst-nat to-addresses=192.168.0.10 to-ports=8181 protocol=tcp dst-port=8181 log=yes log-prefix=""

 От трейса се вижда, че все пак минавам през една частна мрежа в модема. Жалкото, е че няма начин да се прескочи. Една седмица по- късно от доставчика не ги интересува изобщо за какво иде реч и за да се реши проблема настояват да пусна router частта на модема, за да не ги разкарвам излишно. За пореден път късам с великата гига компания. В крайна сметка се наложи да нат-на портовете през тунела на съвсем различно публично ip, за да може клиентите да си гледат камерите.

Редактирано 1 Юли, 2020 от Асен Нейков

[Асен Нейков]

Проблемът се реши със смяна на оператора. Никой от техническия отдел не успя да реши на пръв поглед елементарен казус.

Редактирано 12 Август, 2020 от Асен Нейков