Rsync opt -lan port 9998

pulpito

Hola a todos
es mi primer post.
tengo un pfsense como firewall configurado con tres tarjetas ethernet
1.-WAN IP publica
2.-OPT1 DMZ . con un ordenador  servidor web y acceso ssh desde internet 192.168.2.10
3.-LAN con algunos ordenadores dentro 192.168.1.X usando dhcpd

he sido capaz de dejar funcionando todo, es decir accedo desde el exterior las paginas web y accedo tambien al servicion ssh en el lado OPT1
Los ordenadores de la Lan funciona correctamente en su labor de navegacion correo etc.
El equipo estable y va muy bien

La pregunta es :
dentro de la Lan tengo un servidor ssh 192.168.1.110 , abierto en el puerto 9998, que lo utilizo como backup.
Hay alguna forma de que funcione el abrir un cliente en el ordenador unico de opt1 192.168.2.10 y conseguir acceder al 192.168.1.110 port 9998 que es el que da el servicio?

Siento preguntar una cosa tal facil para vosotros , pero es la forma que yo tenia de hacer backups diarios de mi servidor web con un rsync a un ordenador dentro de la LAN
con el antiguo firewall  Ipcop

Muchas gracias

bellera

entro de la Lan tengo un servidor ssh 192.168.1.110 , abierto en el puerto 9998, que lo utilizo como backup.
Hay alguna forma de que funcione el abrir un cliente en el ordenador unico de opt1 192.168.2.10 y conseguir acceder al 192.168.1.110 port 9998 que es el que da el servicio?

Regla en OPT1 para TCP origen 192.168.2.10 (cualquier puerto) destino 192.168.1.110 puerto 9998. Nada más. Siempre y cuando…

en tu SSH tengas permitido el acceso desde otras redes que no sean 192.168.1.110. A veces uno tiene un cortafuegos o restricciones en el servidor y no piensa en ello.

También tienes que tener en cuenta si accedes por nombre o por IP. Prueba siempre primero por IP en tu cliente SSH. Así sabrás si tienes un problema de permisos o de resolución de nombres.

¡De nada! Para eso estamos... ¡Así hacemos comunidad!

Saludos,

Josep Pujadas

pulpito

Hola bellera, gracias por tu pronta respuesta , pero soy incapaz de hacer que el servidor en opt1 , 192.168.2.10(alias www) como cliente ssh  se conecte al servidor en La LAN 192.168.1.110 que tiene el servico ssh en el port 9998
esto es lo que he añadido como rules en opt1 , se me escapa algo?
muchas gracias

bellera

La regla es correcta. Ponla, por si acaso, en primer lugar. Sólo hace falta TCP para SSH.

¿Y qué comando/utilidad empleas para hacer ssh desde 192.168.2.10 para ir a 192.168.1.110?

¿No tendrás activada la casilla Block private networks en la interfase LAN?

¿Cortafuegos en el 192.168.1.110 (en la propia máquina)? ¿Configuración del servicio SSH, admite conexión desde cualquier red?

Lo que quieres hacer es de lo más sencillo. Algo no cuadra.

pulpito

muchas gracias por la ayuda pero sigue sin funcionar
La regla es correcta. Ponla, por si acaso, en primer lugar. Sólo hace falta TCP para SSH.
hecho:

¿Y qué comando/utilidad empleas para hacer ssh desde 192.168.2.10 para ir a 192.168.1.110?
utilizo:
ssh -p 9998 192.168.1.110 desde el shell abierto en el linux slackware box 192.168.2.10

¿No tendrás activada la casilla Block private networks en la interfase LAN?
pues esta de la forma:

¿Cortafuegos en el 192.168.1.110 (en la propia máquina)? ¿Configuración del servicio SSH, admite conexión desde cualquier red? No hay un cortafuegos , es un slackware box que funciona toda la vida , incluso en otros equipos de la LAN puedes hace ssh al ordenador 192.168.1.110 en el puerto 9998 con maquinas windows y con maquinas linux

Lo que quieres hacer es de lo más sencillo. Algo no cuadra.
pues si pero no me va…

muchas gracias!

bellera

En otros equipos de la LAN puedes hacer ssh al ordenador 192.168.1.110 en el puerto 9998 con máquinas windows y con máquinas linux.

Ok, pero igual tu servidor SSH tiene limitado el acceso a su propia subred. ¿Comprobaste sshd.conf?

Comprueba también que no hayas puesto una gateway en la configuración de la interfase OPT1. Es una LAN (no una WAN) de tu pfSense y no tiene que haber gateway.

También que no tengas algo que interfiera en los NAT.

pulpito

Ok, pero igual tu servidor SSH tiene limitado el acceso a su propia subred. ¿Comprobaste sshd.conf?

Con el antiguo firewall distro Ipcop (solo cambiando a pfsense) si que funcionaba, no veo razones para que  funcione con pf sense
no obstante el sshd.config es:

root@server:/etc/ssh# less ssh_config

$OpenBSD: ssh_config,v 1.23 2007/06/08 04:40:40 pvalchev Exp $

This is the ssh client system-wide configuration file.  See

ssh_config(5) for more information.  This file provides defaults for

users, and the values can be changed in per-user configuration files

or on the command line.

Configuration data is parsed as follows:

1. command line options

2. user-specific file

3. system-wide file

Any configuration value is only changed the first time it is set.

Thus, host-specific definitions should be at the beginning of the

configuration file, and defaults at the end.

Site-wide defaults for some commonly used options.  For a comprehensive

list of available options, their meanings and defaults, please see the

ssh_config(5) man page.

Host *

ForwardAgent no

ForwardX11 no

RhostsRSAAuthentication no

RSAAuthentication yes

PasswordAuthentication yes

HostbasedAuthentication no

GSSAPIAuthentication no

GSSAPIDelegateCredentials no

BatchMode no

CheckHostIP yes

AddressFamily any

ConnectTimeout 0

StrictHostKeyChecking ask

IdentityFile ~/.ssh/identity

IdentityFile ~/.ssh/id_rsa

IdentityFile ~/.ssh/id_dsa

Port 22

Protocol 2,1

Cipher 3des

Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc

MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160

EscapeChar ~

Tunnel no

TunnelDevice any:any

PermitLocalCommand no

~
~

Comprueba también que no hayas puesto una gateway en la configuración de la interfase OPT1. Es una LAN (no una WAN) de tu pfSense y no tiene que haber gateway.

abajo pongo la foto Josep

raro en el nat?

aqui esta lo que tengo puesto

bellera

Lo que mostraste es la configuración del SSH para los clientes no la del servidor sshd o sshd2 (daemon).

De todas maneras el problema es el NAT en LAN. No tiene que estar. El acceso a equipos entre las LAN de pfSense va sin NAT Port Forward.

Me llama la atención que no tengas creada la regla asociada a cada NAT. Te recomiendo editar el NAT introduciendo una Description y a continuación crear la regla asociada. Esto es nuevo en la 2.0 y, francamente, mejor. Así uno ve mejor que el NAT tiene que ir acompañado de su regla.

pulpito

Lo que mostraste es la configuración del SSH para los clientes no la del servidor sshd o sshd2 (daemon).

perdon , es verdad la configuracion es.

root@salvador:/etc/ssh# less sshd_config

Set this to 'yes' to enable PAM authentication, account processing,

and session processing. If this is enabled, PAM authentication will

be allowed through the ChallengeResponseAuthentication and

PasswordAuthentication.  Depending on your PAM configuration,

PAM authentication via ChallengeResponseAuthentication may bypass

the setting of "PermitRootLogin without-password".

If you just want the PAM account and session checks to run without

PAM authentication, then enable this but set PasswordAuthentication

and ChallengeResponseAuthentication to 'no'.

#UsePAM no

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
#ChrootDirectory none

no default banner path

#Banner none

override default of no subsystems

Subsystem       sftp    /usr/libexec/sftp-server

Example of overriding settings on a per-user basis

#Match User anoncvs

X11Forwarding no

AllowTcpForwarding no

ForceCommand cvs server

De todas maneras el problema es el NAT en LAN. No tiene que estar.

borrado:

El acceso a equipos entre las LAN de pfSense va sin NAT Port Forward.

esto no lo entiendo sera entre los equipos de dentro de la LAN , yo solo tengo una LAN…no LANS

Me llama la atención que no tengas creada la regla asociada a cada NAT. Te recomiendo editar el NAT introduciendo una Description y a continuación crear la regla asociada. Esto es nuevo en la 2.0 y, francamente, mejor. Así uno ve mejor que el NAT tiene que ir acompañado de su regla.

pues no se Josep , cree los alias wwwports par los puertos 80 , 110 etc , y el alias www para la ip 192.168.2.10

aunque despues de todo esto , creo que voy a desistir , y eso que ya tenia un captive portal configura y funcionando….........

:(

bellera

perdon , es verdad la configuracion es.

root@salvador:/etc/ssh# less sshd_config

No veo restricciones.

yo solo tengo una LAN…no LANS

Tu sistema es multiLAN (LAN, OPT1) con una sola WAN (WAN).

Quote
Me llama la atención que no tengas creada la regla asociada a cada NAT. Te recomiendo editar el NAT introduciendo una Description y a continuación crear la regla asociada. Esto es nuevo en la 2.0 y, francamente, mejor. Así uno ve mejor que el NAT tiene que ir acompañado de su regla.

pues no se Josep , cree los alias wwwports par los puertos 80 , 110 etc , y el alias www para la ip 192.168.2.10

Sólo era una recomendación… Si el NAT que te queda (más la regla en WAN) funcionan... asunto cerrado.

aunque despues de todo esto , creo que voy a desistir , y eso que ya tenia un captive portal configurado y funcionando…

¿En qué interfase el portal cautivo? Primera noticia…

Cuestión importante y creo que no hablada -> ¿Qué puerta de enlace tiene el servidor SSH? Tiene que tener puesta la LAN de pfSense como puerta de enlace, para las idas y venidas. Creo que esto se nos pasó.

Si quieres, puedes enviarme en privado tu config.xml y miro si hay algo que no cuadre. A jpujades en gmail punto com.

Saludos

Josep Pujadas

pulpito

Tu sistema es multiLAN (LAN, OPT1) con una sola WAN (WAN).

I,m  sorry.
como siempre tienes razon Josep

Sólo era una recomendación… Si el NAT que te queda (más la regla en WAN) funcionan... asunto cerrado.

de acuerdo

¿En qué interfase el portal cautivo? Primera noticia…

Cuestión importante y creo que no hablada -> ¿Qué puerta de enlace tiene el servidor SSH? Tiene que tener puesta la LAN de pfSense como puerta de enlace, para las idas y venidas. Creo que esto se nos pasó.

Si quieres, puedes enviarme en privado tu config.xml y miro si hay algo que no cuadre. A jpujades en gmail punto com.

Que razon tenias y que burro que soy mamamia!
el portal cautivo esta en la LAN , pinchado un router inalambrico y la verdad es que va de fabula.
¿sabes cual es la noticia?

al desactivar el portal cautivo en la LAN YA FUNIONA EL SSH !!!!!!!

mira:
**root@server:~# ssh -p 9998 192.168.1.110
Last login: Tue Jan 31 16:58:59 2012 from 192.168.2.10
Linux 2.6.37.6-smp.

From the moment I picked your book up until I put it down I was
convulsed with laughter.  Some day I intend reading it.
               – Groucho Marx

root@salvador:~#**

siendo "server" el slackware en OPT1 y "salvador" el backup windows samba server y chico para todo.

Ahora ya cuadra todo , aunque no sabia que no se podia poner el captive portal en la LAN
¿tengo que poner otra ethernet ???

Enfin asunto zanjado , y como no podia ser de otra forma un agradecimiento sin limites al Sr JOSEP! eres grande.

bellera

No sabía que no se podía poner el captive portal en la LAN ¿Tengo que poner otra ethernet?

Puedes poner el Captive Portal en la LAN que quieras. Sólo tienes que pensar en que el equipo que cuelga de él no comunicará nunca con otros (sólo tomará su dirección IP por DHCP) hasta que se loguee en el Captive Portal.

Si tienes excepciones (entiendo que esta sería una) usa Services - Captive Portal - Pass-through MAC o Services - Captive Portal - Allowed IP addresses para saltarte el portal.

¡Me alegro que ya funciones!

Saludos,

Josep Pujadas