Rsync opt -lan port 9998
-
Hola a todos
es mi primer post.
tengo un pfsense como firewall configurado con tres tarjetas ethernet
1.-WAN IP publica
2.-OPT1 DMZ . con un ordenador servidor web y acceso ssh desde internet 192.168.2.10
3.-LAN con algunos ordenadores dentro 192.168.1.X usando dhcpdhe sido capaz de dejar funcionando todo, es decir accedo desde el exterior las paginas web y accedo tambien al servicion ssh en el lado OPT1
Los ordenadores de la Lan funciona correctamente en su labor de navegacion correo etc.
El equipo estable y va muy bienLa pregunta es :
dentro de la Lan tengo un servidor ssh 192.168.1.110 , abierto en el puerto 9998, que lo utilizo como backup.
Hay alguna forma de que funcione el abrir un cliente en el ordenador unico de opt1 192.168.2.10 y conseguir acceder al 192.168.1.110 port 9998 que es el que da el servicio?Siento preguntar una cosa tal facil para vosotros , pero es la forma que yo tenia de hacer backups diarios de mi servidor web con un rsync a un ordenador dentro de la LAN
con el antiguo firewall IpcopMuchas gracias
-
entro de la Lan tengo un servidor ssh 192.168.1.110 , abierto en el puerto 9998, que lo utilizo como backup.
Hay alguna forma de que funcione el abrir un cliente en el ordenador unico de opt1 192.168.2.10 y conseguir acceder al 192.168.1.110 port 9998 que es el que da el servicio?Regla en OPT1 para TCP origen 192.168.2.10 (cualquier puerto) destino 192.168.1.110 puerto 9998. Nada más. Siempre y cuando…
en tu SSH tengas permitido el acceso desde otras redes que no sean 192.168.1.110. A veces uno tiene un cortafuegos o restricciones en el servidor y no piensa en ello.
También tienes que tener en cuenta si accedes por nombre o por IP. Prueba siempre primero por IP en tu cliente SSH. Así sabrás si tienes un problema de permisos o de resolución de nombres.
¡De nada! Para eso estamos... ¡Así hacemos comunidad!
Saludos,
Josep Pujadas
-
Hola bellera, gracias por tu pronta respuesta , pero soy incapaz de hacer que el servidor en opt1 , 192.168.2.10(alias www) como cliente ssh se conecte al servidor en La LAN 192.168.1.110 que tiene el servico ssh en el port 9998
esto es lo que he añadido como rules en opt1 , se me escapa algo?
muchas gracias
-
La regla es correcta. Ponla, por si acaso, en primer lugar. Sólo hace falta TCP para SSH.
¿Y qué comando/utilidad empleas para hacer ssh desde 192.168.2.10 para ir a 192.168.1.110?
¿No tendrás activada la casilla Block private networks en la interfase LAN?
¿Cortafuegos en el 192.168.1.110 (en la propia máquina)? ¿Configuración del servicio SSH, admite conexión desde cualquier red?
Lo que quieres hacer es de lo más sencillo. Algo no cuadra.
-
muchas gracias por la ayuda pero sigue sin funcionar
La regla es correcta. Ponla, por si acaso, en primer lugar. Sólo hace falta TCP para SSH.
hecho:
¿Y qué comando/utilidad empleas para hacer ssh desde 192.168.2.10 para ir a 192.168.1.110?
utilizo:
ssh -p 9998 192.168.1.110 desde el shell abierto en el linux slackware box 192.168.2.10¿No tendrás activada la casilla Block private networks en la interfase LAN?
pues esta de la forma:
¿Cortafuegos en el 192.168.1.110 (en la propia máquina)? ¿Configuración del servicio SSH, admite conexión desde cualquier red? No hay un cortafuegos , es un slackware box que funciona toda la vida , incluso en otros equipos de la LAN puedes hace ssh al ordenador 192.168.1.110 en el puerto 9998 con maquinas windows y con maquinas linux
Lo que quieres hacer es de lo más sencillo. Algo no cuadra.
pues si pero no me va…muchas gracias!
-
En otros equipos de la LAN puedes hacer ssh al ordenador 192.168.1.110 en el puerto 9998 con máquinas windows y con máquinas linux.
Ok, pero igual tu servidor SSH tiene limitado el acceso a su propia subred. ¿Comprobaste sshd.conf?
Comprueba también que no hayas puesto una gateway en la configuración de la interfase OPT1. Es una LAN (no una WAN) de tu pfSense y no tiene que haber gateway.
También que no tengas algo que interfiera en los NAT.
-
Ok, pero igual tu servidor SSH tiene limitado el acceso a su propia subred. ¿Comprobaste sshd.conf?
Con el antiguo firewall distro Ipcop (solo cambiando a pfsense) si que funcionaba, no veo razones para que funcione con pf sense
no obstante el sshd.config es:root@server:/etc/ssh# less ssh_config
$OpenBSD: ssh_config,v 1.23 2007/06/08 04:40:40 pvalchev Exp $
This is the ssh client system-wide configuration file. See
ssh_config(5) for more information. This file provides defaults for
users, and the values can be changed in per-user configuration files
or on the command line.
Configuration data is parsed as follows:
1. command line options
2. user-specific file
3. system-wide file
Any configuration value is only changed the first time it is set.
Thus, host-specific definitions should be at the beginning of the
configuration file, and defaults at the end.
Site-wide defaults for some commonly used options. For a comprehensive
list of available options, their meanings and defaults, please see the
ssh_config(5) man page.
Host *
ForwardAgent no
ForwardX11 no
RhostsRSAAuthentication no
RSAAuthentication yes
PasswordAuthentication yes
HostbasedAuthentication no
GSSAPIAuthentication no
GSSAPIDelegateCredentials no
BatchMode no
CheckHostIP yes
AddressFamily any
ConnectTimeout 0
StrictHostKeyChecking ask
IdentityFile ~/.ssh/identity
IdentityFile ~/.ssh/id_rsa
IdentityFile ~/.ssh/id_dsa
Port 22
Protocol 2,1
Cipher 3des
Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc
MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
EscapeChar ~
Tunnel no
TunnelDevice any:any
PermitLocalCommand no
~
~Comprueba también que no hayas puesto una gateway en la configuración de la interfase OPT1. Es una LAN (no una WAN) de tu pfSense y no tiene que haber gateway.
abajo pongo la foto Josep
raro en el nat?
aqui esta lo que tengo puesto
-
Lo que mostraste es la configuración del SSH para los clientes no la del servidor sshd o sshd2 (daemon).
De todas maneras el problema es el NAT en LAN. No tiene que estar. El acceso a equipos entre las LAN de pfSense va sin NAT Port Forward.
Me llama la atención que no tengas creada la regla asociada a cada NAT. Te recomiendo editar el NAT introduciendo una Description y a continuación crear la regla asociada. Esto es nuevo en la 2.0 y, francamente, mejor. Así uno ve mejor que el NAT tiene que ir acompañado de su regla.
-
Lo que mostraste es la configuración del SSH para los clientes no la del servidor sshd o sshd2 (daemon).
perdon , es verdad la configuracion es.
root@salvador:/etc/ssh# less sshd_config
Set this to 'yes' to enable PAM authentication, account processing,
and session processing. If this is enabled, PAM authentication will
be allowed through the ChallengeResponseAuthentication and
PasswordAuthentication. Depending on your PAM configuration,
PAM authentication via ChallengeResponseAuthentication may bypass
the setting of "PermitRootLogin without-password".
If you just want the PAM account and session checks to run without
PAM authentication, then enable this but set PasswordAuthentication
and ChallengeResponseAuthentication to 'no'.
#UsePAM no
#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
#ChrootDirectory noneno default banner path
#Banner none
override default of no subsystems
Subsystem sftp /usr/libexec/sftp-server
Example of overriding settings on a per-user basis
#Match User anoncvs
X11Forwarding no
AllowTcpForwarding no
ForceCommand cvs server
De todas maneras el problema es el NAT en LAN. No tiene que estar.
borrado:
El acceso a equipos entre las LAN de pfSense va sin NAT Port Forward.
esto no lo entiendo sera entre los equipos de dentro de la LAN , yo solo tengo una LAN…no LANS
Me llama la atención que no tengas creada la regla asociada a cada NAT. Te recomiendo editar el NAT introduciendo una Description y a continuación crear la regla asociada. Esto es nuevo en la 2.0 y, francamente, mejor. Así uno ve mejor que el NAT tiene que ir acompañado de su regla.
pues no se Josep , cree los alias wwwports par los puertos 80 , 110 etc , y el alias www para la ip 192.168.2.10
aunque despues de todo esto , creo que voy a desistir , y eso que ya tenia un captive portal configura y funcionando….........
:(
-
perdon , es verdad la configuracion es.
root@salvador:/etc/ssh# less sshd_config
No veo restricciones.
yo solo tengo una LAN…no LANS
Tu sistema es multiLAN (LAN, OPT1) con una sola WAN (WAN).
Quote
Me llama la atención que no tengas creada la regla asociada a cada NAT. Te recomiendo editar el NAT introduciendo una Description y a continuación crear la regla asociada. Esto es nuevo en la 2.0 y, francamente, mejor. Así uno ve mejor que el NAT tiene que ir acompañado de su regla.pues no se Josep , cree los alias wwwports par los puertos 80 , 110 etc , y el alias www para la ip 192.168.2.10
Sólo era una recomendación… Si el NAT que te queda (más la regla en WAN) funcionan... asunto cerrado.
aunque despues de todo esto , creo que voy a desistir , y eso que ya tenia un captive portal configurado y funcionando…
¿En qué interfase el portal cautivo? Primera noticia…
Cuestión importante y creo que no hablada -> ¿Qué puerta de enlace tiene el servidor SSH? Tiene que tener puesta la LAN de pfSense como puerta de enlace, para las idas y venidas. Creo que esto se nos pasó.
Si quieres, puedes enviarme en privado tu config.xml y miro si hay algo que no cuadre. A jpujades en gmail punto com.
Saludos
Josep Pujadas
-
Tu sistema es multiLAN (LAN, OPT1) con una sola WAN (WAN).
I,m sorry.
como siempre tienes razon JosepSólo era una recomendación… Si el NAT que te queda (más la regla en WAN) funcionan... asunto cerrado.
de acuerdo
¿En qué interfase el portal cautivo? Primera noticia…
Cuestión importante y creo que no hablada -> ¿Qué puerta de enlace tiene el servidor SSH? Tiene que tener puesta la LAN de pfSense como puerta de enlace, para las idas y venidas. Creo que esto se nos pasó.
Si quieres, puedes enviarme en privado tu config.xml y miro si hay algo que no cuadre. A jpujades en gmail punto com.
Que razon tenias y que burro que soy mamamia!
el portal cautivo esta en la LAN , pinchado un router inalambrico y la verdad es que va de fabula.
¿sabes cual es la noticia?al desactivar el portal cautivo en la LAN YA FUNIONA EL SSH !!!!!!!
mira:
**root@server:~# ssh -p 9998 192.168.1.110
Last login: Tue Jan 31 16:58:59 2012 from 192.168.2.10
Linux 2.6.37.6-smp.From the moment I picked your book up until I put it down I was
convulsed with laughter. Some day I intend reading it.
– Groucho Marxroot@salvador:~#**
siendo "server" el slackware en OPT1 y "salvador" el backup windows samba server y chico para todo.
Ahora ya cuadra todo , aunque no sabia que no se podia poner el captive portal en la LAN
¿tengo que poner otra ethernet ???Enfin asunto zanjado , y como no podia ser de otra forma un agradecimiento sin limites al Sr JOSEP! eres grande.
-
No sabía que no se podía poner el captive portal en la LAN ¿Tengo que poner otra ethernet?
Puedes poner el Captive Portal en la LAN que quieras. Sólo tienes que pensar en que el equipo que cuelga de él no comunicará nunca con otros (sólo tomará su dirección IP por DHCP) hasta que se loguee en el Captive Portal.
Si tienes excepciones (entiendo que esta sería una) usa Services - Captive Portal - Pass-through MAC o Services - Captive Portal - Allowed IP addresses para saltarte el portal.
¡Me alegro que ya funciones!
Saludos,
Josep Pujadas