Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Jiří Šachl 06. 11. 2020, 11:20:04
-
Měl jsem roky v provozu RPi3 do kterého jsem se najednou nemohl vzdáleně dostat. Tak jsem se rozhodl a celé jsem ho dnes přeinstaloval na novou verzi lite raspberry (nepotřebuji desktop). Nastavil jsem přístupy, nastavil jsem ssh při spuštění a běží, nastavil jsem možnost přihlašování z lokální sítě, nastavil jsem povolení přihlášení roota. Síť je nastavená. ping funguje mezi vnějšími adresami a například vnitřním serverem, na něj jsem se dostal z RPi cestou ssh. V pořádku. Ale:
nedokážu si pingnout na tento počítač a ani tenhle počítač rpi nevidí v síti. router Mikrotik ho v dhcp vidí. Z tohoto počítače se přes putty dostanu cestou ssh na server. Ale na RPi ani zaboha. Ani ping na něj nejde, nenajde ho Windows 10 v síti. Kde může být zakopaný pse? Poradíte?
-
nastavil jsem možnost přihlašování z lokální sítě
co to znamená, nějaký whitelist v sshd_config, nebo pravidlo ve firewallu?
Neblokuješ omylem jeden IP protokol (v4, v6)?
To že nejede ani ping je celkem podezřelé, možná zkus namalovat diagram sítě s adresami a případně statickými routami, jsou-li, jinak to bude trochu věštění z křišť. koule.
ip(6)tables -L -v - jsou tam nějaká pravidla?
-
proč by fw blokoval jen jednu cestu, z RPI se ssh dostanu na server, ze serveru se dostanu na rpi cestou ssh. pinkání v síti normálně funguje jen mezi adresami 192.168.88.253 (to je tento počítač) a 192.168.88.258 (RPi)
firewall je na mikrotiku a na serveru je jen fail2ban co bany posílá do mikrotiku, na rpi je jen základní distro, nic dalšího kromě základního nastavení a upgrade jsem nedělal.
sshd.config
ListenAddress 192.168.88.0/24
-
Nedokážu si situaci představit, chtělo by to nákres. A když jsme u toho tak packet capture na všech relevantních bodech.
-
jdu malovat....
-
192.168.88.258 asi ne. Když nám nakreslíš jak to máš zapojené a která z cest nefunguje, bude to určitě jednodušší.
-
192.168.88.258 (RPi)
tady doufám, že jde o překlep, ale `258` není validní hodnota pro byte v IPv4.
EDIT: (by_cx byl rychlejsi, bludistak je jeho.)
-
nejsem picaso ani rubens
-
ListenAddress 192.168.88.0/24
tenhle option dělá něco jiného, než si myslíš. Je to na výběr adresy kde bude ssh poslouchat. Ne whitelist připojení. Více man sshd_config
-
jo překlep, rpi má 192.168.88.248, počítač 192.168.88.253, server 192.168.88.214
-
tenhle option dělá něco jiného, než si myslíš. Je to na výběr adresy kde bude ssh poslouchat. Ne whitelist připojení. Více man sshd_config
on ale nefunguje ani ping mezi těmito adresami...
-
on ale nefunguje ani ping mezi těmito adresami...
vylucovaci metoda, kdyz pichnes server do stejneho switche jako to Rpi, rozbehne se to?
Ten server ma fakt dva uplinky? Jako v etherchannelu?
EDIT: timhle chci vyloucit ze mas ty dva boxy oddelene bridgem (bridge=L3) v mikrotiku, tj. muze se na ne vztahovat nejake mikrotik firewall pravidlo.
-
teď je RPi na stejném switchi jako tento počítač. vykopnul jsem ho z dhcp a nechal ho znovu načíst. ping ani ssh nefunguje.
na to switchi 1100-16 jsou další zařízení na které ping prostě funguje.
ještě zkusím jednu možnost, mám ještě další rpi3
-
OK takže jestli to chápu správně, tak celá síť je jeden segment a nefunguje ti komunikace v rámci segmentu? Takže:
- Když na nich nastavíš natvrdo IP z nějakého jiného nesouvisejícího rozsahu, tak se vidí?
- Počítače se na sebe musí zeptat ARPem. Přijde na jednu stranu ARP dotaz, vygeneruje se odpověď, přijde odpověď na druhou stranu, a propíše se odpověď do ARP tabulky toho dotazujícího se počítače? A vidí ten ARP dotaz a odpověď všichni, kolem kterých prochází? (ARP dotaz je broadcastem, odpověď myslím někdy, nikdy jsem to naštěstí nemusel ladit)
- Když pošleš z těch zařízení nějaký jiný broadcast, tak je vidět všude?
-
Je to Pi vidět ve výpisu na tvém PC, když zavoláš v příkazové řádce zavoláš "arp"? Když tak nám to sem hoď.
Můžeš poslat výpis "ip a" a "ip r" z tvého PC i z toho RPi? Klidně jako fotku, pokud to z toho RPi nemáš jak dostat textově.
Z toho RPi by mě zajímal ještě výstup z "iptables -L".
-
prozatím jedna část:
¨z mého pc arp -a
-
a tady je odpověď z rpi na ip a a ip r aktuálně je připojený k vohnutý televizi tak se nedivte.
-
Ping z RPi na 192.168.88.1 funguje?
-
toto jsou pingy z RPi
-
toto jsou pingy z počítače
-
Tohle je fakt divný. Už mě napadá jen to, že to blokuje to tvoje PC. Pošli "iptables -L" z obou strojů a uvidíme. Pokud náhodou ne, tak zkus oba připojit na jeden switch.
-
ten switch 16 potrový jsem včera vyměnil, před tím tam byl firemní ale "hloupý" switch nic neříká že by byl někdo problém a to jsem měnil kabely a teď jsem vyměnil i IP adresu na RPi a je to furt stejný...
-
iptables -L z RPi3 i ze serveru je stejné (server hlídá fali2ban který bany posílá do mikrotiku)
-
Podle obrázku to ten Mikrotik routuje, není možné, že tam je na to ban?
-
Koukám že čím novější vlákno od tebe tím větší a větší perlička ...
Co má adresu 192.168.88.215 ?
-
Chlape bídná. Přestaňte se s*át s tou IPv4 a zkuste se na to Raspberry připojit přímo z terminálu Mikrotiku přes jeho adresu link local IPv6, což je ta, která dle fotky z bedny končí číslem b606 (doufám, že nemusím připomínat, že je třeba k adrese přidat „%“ a jméno rozhraní). Raspberry je ve stejném segmentu, musí být vidět - mělo by se objevit i v Mikrotiku v IPv6 neighbours. Když to nepůjde, připojte Raspberry přímo k Mikrotiku pro vyloučení problému v přepínači (switchi).
-
Koukám že čím novější vlákno od tebe tím větší a větší perlička ...
Co má adresu 192.168.88.215 ?
jiný switch dlink dgs 1100-05
-
Podle obrázku to ten Mikrotik routuje, není možné, že tam je na to ban?
mikrotik nemá adresu rpi v address listu, musel by ho zahazovat v letu ale proč by zahazoval rpi když úplně stejně na tom je server.
-
Koukám že čím novější vlákno od tebe tím větší a větší perlička ...
Co má adresu 192.168.88.215 ?
jiný switch dlink dgs 1100-05
Tak sis sám odpověděl, pokud server funguje a rpi má problém a mezi rpi je navíc switch tak zkoumej ten switch. Zkoušel si rpi napojit přímo do mikrotiku ?
-
Ještě si mohl použít pro hledání problému příkaz
tcpdump -n -i eth8 "(port 22)"
-
Ještě si mohl použít pro hledání problému příkaz
tcpdump -n -i eth8 "(port 22)"
zítra zjistím, už jsem odpojil klávesnici
-
Tak sis sám odpověděl, pokud server funguje a rpi má problém a mezi rpi je navíc switch tak zkoumej ten switch. Zkoušel si rpi napojit přímo do mikrotiku ?
nemůžu, musí být na tom místě kvůli propojení s meteostanicí, běží na něm (teď tedy ne) weewx
-
Tak sis sám odpověděl, pokud server funguje a rpi má problém a mezi rpi je navíc switch tak zkoumej ten switch. Zkoušel si rpi napojit přímo do mikrotiku ?
nemůžu, musí být na tom místě kvůli propojení s meteostanicí, běží na něm (teď tedy ne) weewx
Proč bys nemohl ?
-
nejsem picaso ani rubens
Jen pro jistotu, porovnej si netmasky na serveru, PC a RB, tedy tam kde to na sebe vidí a tam , kde ne
-
Proč bys nemohl ?
protože do každé místnosti mi podhledy na chodbě vede jen jeden cat6 drát a na jeho konci je podle počtu připojení switch. Takže do obýváku z routeru vede jen jeden drát a když fungují ostatní věci tak bude asi něco mezi rpi a počítačem, ale co? na stejném switchi je televize, přehrávač tesla, přehrávač evolveo, nas d-link, nas synology, ap asus, BD Samsung, RPi. Všechno kromě RPi komunikuje s internetem, já si na ně pingnu, já se z počítače do nich dostanu. Jedině ne do RPI. Proč?
-
nejsem picaso ani rubens
Jen pro jistotu, porovnej si netmasky na serveru, PC a RB, tedy tam kde to na sebe vidí a tam , kde ne
zkusím, díky.
-
Jen pro jistotu, porovnej si netmasky na serveru, PC a RB, tedy tam kde to na sebe vidí a tam , kde ne
kontrola provedena, dhcp dává všude správné netmasky. zkusil jsem na rpi dát i natvrdo adresu a nic. žádná změna.
-
Skus to skonfigurovat cez
sudo raspi-config a tam zapni ssh
cez
Interfacing Option/SSH
-
Skus to skonfigurovat cez
sudo raspi-config a tam zapni ssh
cez
Interfacing Option/SSH
jasně že je zapnuté ssh, hned při startu....dyď jsem psal, že se ze serveru na rpi cestou ssh dostanu a naopak.
-
A ta investigace šíření ARP zpráv teda bude? Nebo v jakém jsme teď stavu? ARP záznamy na sebe ty stroje mají? A když se nastaví IP z úplně jiného subnetu?
-
cize na sluzby sa z LAN segmentu dostanes, len ping ti nefunguje, lebo uz je to gulas? Zober PCko pripoj ho k RPI na priamo a over funkcionalitu.
-
ještě zkusím jednu poslední variantu...koupil jsem novou sdhc kartu https://www.alza.cz/verbatim-micro-sdhc-16gb-class-10-sd-adapter-d442132.htm
je možné, že ta původní taky premiová už za ty 3 roky nějak blbne.
-
tak ani tohle nepomohlo, z té nové karty to rpi běží dost rychle...ale stejně se na rpi za tohohle počítače vůbec ani nepípnu
-
díval jsem se na nastavení fw ve win10 verze 2004 ale žádnou blokaci pro rpi tu nemám, zvlášť když mu mohu změnit ip tak to není blokace jediné ip adresy. v čem může tedy být chyba, asi to blokuje fw v mikrotiku ale které z pravidel by to mohlo být aby to vyhodnocovalo jak vadnou jen jednu cestu tam a zpět?
nepomohlo ani dát celou lokální lan tj. 192.168.88.0/24 do whitelistu
-
Tohle je složité. Ptáš na se na otázky, na které můžeš odpovědět jenom ty. My netušíme co máš ve firewallu na tom Mikrotiku. Když se ptáš, zda by nepomohlo dát celý lokální subnet do whitelistu, tak mám pocit, že to tady je jen ztráta času, protože co ti brání místo psaní sem to prostě vyzkoušet? Už si to RPi napojil přímo do PC bez switche, jak ti někdo radil? Vyzkoušel si tu link-local adresu jak ti radil zase někdo jiný?
-
LOGICKY. Kdyby v RB fw byl nějaký drop pro SSH po 22 tak se to projeví i vůči serveru který běhá pod ubuntu serverem 20. Takže jádro OS je pro RPI i server stejné. Na server se dostanu pod ssh. Ze serveru se na rpi cestou ssh dostanu i pingnu. A naopak ze rpi (na přímo připojený-klávesnice, monitor) tak se cestou ssh dostanu na sever, pingnu na všechny prostředky v síti kromě tohohoto počítač. Já z tohodle počítače pingnu na všechno v síti kromě RPI, jako by neexistoval. Tak v čem je chyba ve fw v mikrotiku?
-
jestli si chces povidat sam se sebou tak nepotrebujes forum ;)
evidentne se v tom nevyznas, prijdes si pro radu ale misto abys ji realizoval tak spekulujes..
-
VYŘEŠENO - nikdo z Vás neměl pravdu. Chyba je v RPI, když už nepomohlo nic normálního vyzkoušel jsem vyměnit RPI, mám jich víc. A co se stalo? To další, asi o rok novější (i když stejná řada) funguje jak má. A to obě běhají v chlazených krabičkách s ventilátorem.
-
Ked sa uspokojis s tym tak OK, ale problem je niekde inde ;)
-
tak najdi kde ! rád se nechám poučit..
-
Myslím, že se tu všichni shodneme, že ten původní tik stačilo uvést do továrního nastavení a začalo by to fungovat. Pravděpodobně i bez jakýchkoli zásahů, protože pokud se nemýlím, tak výchozí nastavení je ta 192.168.88.0/24 na LAN, NAT a DHCP client na WAN.
-
Myslím, že se tu všichni shodneme, že ten původní tik stačilo uvést do továrního nastavení a začalo by to fungovat. Pravděpodobně i bez jakýchkoli zásahů, protože pokud se nemýlím, tak výchozí nastavení je ta 192.168.88.0/24 na LAN, NAT a DHCP client na WAN.
+1
-
Myslím, že se tu všichni shodneme, že ten původní tik stačilo uvést do továrního nastavení a začalo by to fungovat. Pravděpodobně i bez jakýchkoli zásahů, protože pokud se nemýlím, tak výchozí nastavení je ta 192.168.88.0/24 na LAN, NAT a DHCP client na WAN.
prdlajs, to všechno tam bylo, nejsem žádná lama...já začal s počítači v roce 1984 ..kdy ty ?
-
rozbalil jsem na kartu ubuntu server pro rpi abych dokázal kde je chyba, běží normálně ssh na něm funguje ale nelze se na něj dostat z tohoto počítače..deska rpi má někde nějakou chybu ale já ji řešit nehodlám...
-
rozbalil jsem na kartu ubuntu server pro rpi abych dokázal kde je chyba, běží normálně ssh na něm funguje ale nelze se na něj dostat z tohoto počítače..deska rpi má někde nějakou chybu ale já ji řešit nehodlám...
pro jistotu, to RPi pro ping neviditelne a tu druhe viditelne, v obou si pouzil TOTOZNOU kartu?
EDIT: a nastavil si v tom druhem TOTOZNOU MAC pro LAN + stejnou IP, jako ma neviditelne RPi?
-
použij jsem jiné RPi 3 a jinou kartu, nově instalovanou a funguje. Tatéž nová karta s čistou instalací RPIOS. A síť nefungoval tak jak se to tady řeší 3 stránky. prostě původní rpi po cca 3 letech neustálého provozu kdy každou vteřinu posílá dávku dat po síti odešlo. btw. znám jednu státní firmu, ze silového rezortu, kde top admin je zarytý windowsák co potřebuje mít na serveru český desktop je takový odpůrce linuxu že nedovolil mít v hyper-v linux. Firma co tam dělal přístupy přes karty, tj na vchod, do budov, do místností měla ale ovládací soft v linuxu. Proto museli nasadit rpi2 jako server na hlídání přístupů. To jsem zvědavý jak dlouho to vydrží. Jsem to šéfovi IT oddělení říkal, ale nevěřil mi. Prý je to v pořádku.
-
použij jsem jiné RPi 3 a jinou kartu, nově instalovanou a funguje.[...]
proto sem se ptal, protoze pak to puvodni RPi vubec nemusi byt vadne, ale mas nekde omezeni na jeho MAC adresu (pripadne na IP navazanu na tu MAC), takze pokud v puvodnim pouzijes (pro jistotu totoznou kartu z druheho) a hlavne mu nastavis stejnou MAC jako ma to druhe(v tu chvili odpojene) RPi, tak si tim overis ze je puvodni RPi vadne...
pripadne na druhem RPi pouzit kartu z privniho a nastavut mu MAC co ma (v tu chvili odpojene) prvni RPi...
proste a jednoduse, vyloucit problem karty ci jejiho obsahu a vylocit to ze nemas nekde neco co omezuje ping na MAC prnivho RPi...
-
Toto je jiná liga IT ;D palec nahoru že sis to vyřešil teda
-
VYŘEŠENO - nikdo z Vás neměl pravdu. Chyba je v RPI, když už nepomohlo nic normálního vyzkoušel jsem vyměnit RPI, mám jich víc. A co se stalo? To další, asi o rok novější (i když stejná řada) funguje jak má. A to obě běhají v chlazených krabičkách s ventilátorem.
A jen si přehodil kartu?
-
VYŘEŠENO - nikdo z Vás neměl pravdu. Chyba je v RPI, když už nepomohlo nic normálního vyzkoušel jsem vyměnit RPI, mám jich víc. A co se stalo? To další, asi o rok novější (i když stejná řada) funguje jak má. A to obě běhají v chlazených krabičkách s ventilátorem.
A jen si přehodil kartu?
NE. Vzal jsem jiné RPI3 a jinou, novou kartu, nahrál úplně aktuální OS. To původní OS atestuji ale asi půjde do kontejneru a elektro odpad.
-
NE. Vzal jsem jiné RPI3 a jinou, novou kartu, nahrál úplně aktuální OS. To původní OS atestuji ale asi půjde do kontejneru a elektro odpad.
nez to zbytecne vyhodis, hlavne konecne uz vyzkousej (za par vterin) tu zmenu MAC adresy ;-)
-
rozbalil jsem na kartu ubuntu server pro rpi abych dokázal kde je chyba, běží normálně ssh na něm funguje ale nelze se na něj dostat z tohoto počítače..deska rpi má někde nějakou chybu ale já ji řešit nehodlám...
A ta chyba se jmenuje MAC adresa.
Jestli ti to mezi serverem a RPi jede a mezi PC a RPi ne, tak bych šel po rozdílech mezi serverem a PC , RPi je v tom dle mne nevinně.
Mmch, já začínal s počítači v roce 1977. :-) Peace
-
Všichni dle vašich otázek dobře víme, jaké jste trdlo, mistře. Nevíte o tom nic, otázky hodny mateřské školky, ale sebevědomí jako prase. To je dnes už takový trend.
Myslím, že se tu všichni shodneme, že ten původní tik stačilo uvést do továrního nastavení a začalo by to fungovat. Pravděpodobně i bez jakýchkoli zásahů, protože pokud se nemýlím, tak výchozí nastavení je ta 192.168.88.0/24 na LAN, NAT a DHCP client na WAN.
prdlajs, to všechno tam bylo, nejsem žádná lama...já začal s počítači v roce 1984 ..kdy ty ?
-
Díky za všechny rady a názory. Jelikož mi to, co jsem potřeboval funguje, je už zbytečné tady o tom diskutovat. Děkuji za pochopení.
-
Díky za všechny rady a názory. Jelikož mi to, co jsem potřeboval funguje, je už zbytečné tady o tom diskutovat. Děkuji za pochopení.
takze si pravdepodobne vymenil jen zbytecne HW protoze si mel pro MAC puvodniho HW nejakej bordel v "siti"? opravdu je takovej problem to overit, abys mel regulerni reseni?
-
Díky za všechny rady a názory. Jelikož mi to, co jsem potřeboval funguje, je už zbytečné tady o tom diskutovat. Děkuji za pochopení.
takze si pravdepodobne vymenil jen zbytecne HW protoze si mel pro MAC puvodniho HW nejakej bordel v "siti"? opravdu je takovej problem to overit, abys mel regulerni reseni?
kdo ví, že na 100% je to problém MAC adresou když ta se nezměnila u PC ani u RPI? Proč bych týden řešil kravinu když mám možnost využít jiné, novější, výkonější RPi na to co potřebuji? Proč?
-
Pokud si vyměnil RPi, tak se změnila.
-
...Proč bych týden řešil kravinu když mám možnost využít jiné, novější, výkonější RPi na to co potřebuji? Proč?
Protože tady ten týden kolem tebe kmitalo 10 lidí, aby vyřešili tvůj problém, ty de***e.
-
kdo ví, že na 100% je to problém MAC adresou když ta se nezměnila u PC ani u RPI? Proč bych týden řešil kravinu když mám možnost využít jiné, novější, výkonější RPi na to co potřebuji? Proč?
To samozrejme nevi na 100% nikdo, ale ty to muzes za par vterin (nechapu kde si vzal ten tyden) overit ;-)
Proc? Treba protoze si tu mel dotaz a lidi se ti snazili poradit, kdyz ne kvuli sobe, tak kvuli nim bys mohl tech par vterin venovat k overeni, zda nove_rpi s nastavenou starou_mac stale funguje, pripadne stare_rpi s novou_kartou s nastavene novou_mac nezacne chodit...
sudo ip link set dev eth0 down
sudo ip link set dev eth0 address aa:bb:cc:dd:ee:ff
sudo ip link set dev eth0 up