Raspberry pi ssh přístup - kde je zakopaný pes.

Raspberry pi ssh přístup - kde je zakopaný pes.
« kdy: 06. 11. 2020, 11:20:04 »
Měl jsem roky v provozu RPi3 do kterého jsem se najednou nemohl vzdáleně dostat. Tak jsem se rozhodl a celé jsem ho dnes přeinstaloval na novou verzi lite raspberry (nepotřebuji desktop). Nastavil jsem přístupy, nastavil jsem ssh při spuštění a běží, nastavil jsem možnost přihlašování z lokální sítě, nastavil jsem povolení přihlášení roota. Síť je nastavená. ping funguje mezi vnějšími adresami a například vnitřním serverem, na něj jsem se dostal z RPi cestou ssh. V pořádku. Ale:
nedokážu si pingnout na tento počítač a ani tenhle počítač rpi nevidí v síti. router Mikrotik ho v dhcp vidí. Z tohoto počítače se přes putty dostanu cestou ssh na server. Ale na RPi ani zaboha. Ani ping na něj nejde, nenajde ho Windows 10 v síti. Kde může být zakopaný pse? Poradíte?


Jose D

  • *****
  • 770
    • Zobrazit profil
Re:Raspberry pi ssh přístup - kde je zakopaný pes.
« Odpověď #1 kdy: 06. 11. 2020, 12:12:39 »
nastavil jsem možnost přihlašování z lokální sítě

co to znamená, nějaký whitelist v sshd_config, nebo pravidlo ve firewallu?
Neblokuješ omylem jeden IP protokol (v4, v6)?

To že nejede ani ping je celkem podezřelé, možná zkus namalovat diagram sítě s adresami a případně statickými routami, jsou-li, jinak to bude trochu věštění z křišť. koule.

ip(6)tables -L -v - jsou tam nějaká pravidla?

Re:Raspberry pi ssh přístup - kde je zakopaný pes.
« Odpověď #2 kdy: 06. 11. 2020, 12:22:38 »
proč by fw blokoval jen jednu cestu, z RPI se ssh dostanu na server, ze serveru se dostanu na rpi cestou ssh. pinkání v síti normálně funguje jen mezi adresami 192.168.88.253 (to je tento počítač) a 192.168.88.258 (RPi)
firewall je na mikrotiku a na serveru je jen fail2ban co bany posílá do mikrotiku, na rpi je jen základní distro, nic dalšího kromě základního nastavení a upgrade jsem nedělal.

sshd.config
ListenAddress 192.168.88.0/24
« Poslední změna: 06. 11. 2020, 12:27:05 od Jiří Šachl »

_Jenda

  • *****
  • 1 270
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Raspberry pi ssh přístup - kde je zakopaný pes.
« Odpověď #3 kdy: 06. 11. 2020, 12:26:25 »
Nedokážu si situaci představit, chtělo by to nákres. A když jsme u toho tak packet capture na všech relevantních bodech.

Re:Raspberry pi ssh přístup - kde je zakopaný pes.
« Odpověď #4 kdy: 06. 11. 2020, 12:27:51 »
jdu malovat....


by_cx

  • ***
  • 241
    • Zobrazit profil
    • E-mail
Re:Raspberry pi ssh přístup - kde je zakopaný pes.
« Odpověď #5 kdy: 06. 11. 2020, 12:30:17 »
192.168.88.258 asi ne. Když nám nakreslíš jak to máš zapojené a která z cest nefunguje, bude to určitě jednodušší.

Jose D

  • *****
  • 770
    • Zobrazit profil
Re:Raspberry pi ssh přístup - kde je zakopaný pes.
« Odpověď #6 kdy: 06. 11. 2020, 12:31:41 »
192.168.88.258 (RPi)

tady doufám, že jde o překlep, ale `258` není validní hodnota pro byte v IPv4.
EDIT: (by_cx byl rychlejsi, bludistak je jeho.)

Re:Raspberry pi ssh přístup - kde je zakopaný pes.
« Odpověď #7 kdy: 06. 11. 2020, 12:35:18 »
nejsem picaso ani rubens

Jose D

  • *****
  • 770
    • Zobrazit profil
Re:Raspberry pi ssh přístup - kde je zakopaný pes.
« Odpověď #8 kdy: 06. 11. 2020, 12:37:19 »
ListenAddress 192.168.88.0/24

tenhle option dělá něco jiného, než si myslíš. Je to na výběr adresy kde bude ssh poslouchat. Ne whitelist připojení. Více man sshd_config

Re:Raspberry pi ssh přístup - kde je zakopaný pes.
« Odpověď #9 kdy: 06. 11. 2020, 12:37:23 »
jo překlep, rpi má 192.168.88.248, počítač 192.168.88.253, server 192.168.88.214

Re:Raspberry pi ssh přístup - kde je zakopaný pes.
« Odpověď #10 kdy: 06. 11. 2020, 12:38:20 »

tenhle option dělá něco jiného, než si myslíš. Je to na výběr adresy kde bude ssh poslouchat. Ne whitelist připojení. Více man sshd_config
on ale nefunguje ani ping mezi těmito adresami...

Jose D

  • *****
  • 770
    • Zobrazit profil
Re:Raspberry pi ssh přístup - kde je zakopaný pes.
« Odpověď #11 kdy: 06. 11. 2020, 12:42:02 »
on ale nefunguje ani ping mezi těmito adresami...

vylucovaci metoda, kdyz pichnes server do stejneho switche jako to Rpi, rozbehne se to?
Ten server ma fakt dva uplinky? Jako v etherchannelu?

EDIT: timhle chci vyloucit ze mas ty dva boxy oddelene bridgem (bridge=L3) v mikrotiku, tj. muze se na ne vztahovat nejake mikrotik firewall pravidlo.
« Poslední změna: 06. 11. 2020, 12:46:56 od Jose D »

Re:Raspberry pi ssh přístup - kde je zakopaný pes.
« Odpověď #12 kdy: 06. 11. 2020, 12:48:53 »
teď je RPi na stejném switchi jako tento počítač. vykopnul jsem ho z dhcp a nechal ho znovu načíst. ping ani ssh nefunguje.
na to switchi 1100-16 jsou další zařízení na které ping prostě funguje.
ještě zkusím jednu možnost, mám ještě další rpi3
« Poslední změna: 06. 11. 2020, 12:53:19 od Jiří Šachl »

_Jenda

  • *****
  • 1 270
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Raspberry pi ssh přístup - kde je zakopaný pes.
« Odpověď #13 kdy: 06. 11. 2020, 12:53:32 »
OK takže jestli to chápu správně, tak celá síť je jeden segment a nefunguje ti komunikace v rámci segmentu? Takže:
  • Když na nich nastavíš natvrdo IP z nějakého jiného nesouvisejícího rozsahu, tak se vidí?
  • Počítače se na sebe musí zeptat ARPem. Přijde na jednu stranu ARP dotaz, vygeneruje se odpověď, přijde odpověď na druhou stranu, a propíše se odpověď do ARP tabulky toho dotazujícího se počítače? A vidí ten ARP dotaz a odpověď všichni, kolem kterých prochází? (ARP dotaz je broadcastem, odpověď myslím někdy, nikdy jsem to naštěstí nemusel ladit)
  • Když pošleš z těch zařízení nějaký jiný broadcast, tak je vidět všude?

by_cx

  • ***
  • 241
    • Zobrazit profil
    • E-mail
Re:Raspberry pi ssh přístup - kde je zakopaný pes.
« Odpověď #14 kdy: 06. 11. 2020, 13:01:40 »
Je to Pi vidět ve výpisu na tvém PC, když zavoláš v příkazové řádce zavoláš "arp"? Když tak nám to sem hoď.

Můžeš poslat výpis "ip a" a "ip r" z tvého PC i z toho RPi? Klidně jako fotku, pokud to z toho RPi nemáš jak dostat textově.

Z toho RPi by mě zajímal ještě výstup z "iptables -L".