Rsync opt -lan port 9998



  • Hola a todos
    es mi primer post.
    tengo un pfsense como firewall configurado con tres tarjetas ethernet
    1.-WAN IP publica
    2.-OPT1 DMZ . con un ordenador  servidor web y acceso ssh desde internet 192.168.2.10
    3.-LAN con algunos ordenadores dentro 192.168.1.X usando dhcpd

    he sido capaz de dejar funcionando todo, es decir accedo desde el exterior las paginas web y accedo tambien al servicion ssh en el lado OPT1
    Los ordenadores de la Lan funciona correctamente en su labor de navegacion correo etc.
    El equipo estable y va muy bien

    La pregunta es :
    dentro de la Lan tengo un servidor ssh 192.168.1.110 , abierto en el puerto 9998, que lo utilizo como backup.
    Hay alguna forma de que funcione el abrir un cliente en el ordenador unico de opt1 192.168.2.10 y conseguir acceder al 192.168.1.110 port 9998 que es el que da el servicio?

    Siento preguntar una cosa tal facil para vosotros , pero es la forma que yo tenia de hacer backups diarios de mi servidor web con un rsync a un ordenador dentro de la LAN
    con el antiguo firewall  Ipcop

    Muchas gracias



  • entro de la Lan tengo un servidor ssh 192.168.1.110 , abierto en el puerto 9998, que lo utilizo como backup.
    Hay alguna forma de que funcione el abrir un cliente en el ordenador unico de opt1 192.168.2.10 y conseguir acceder al 192.168.1.110 port 9998 que es el que da el servicio?

    Regla en OPT1 para TCP origen 192.168.2.10 (cualquier puerto) destino 192.168.1.110 puerto 9998. Nada más. Siempre y cuando…

    en tu SSH tengas permitido el acceso desde otras redes que no sean 192.168.1.110. A veces uno tiene un cortafuegos o restricciones en el servidor y no piensa en ello.

    También tienes que tener en cuenta si accedes por nombre o por IP. Prueba siempre primero por IP en tu cliente SSH. Así sabrás si tienes un problema de permisos o de resolución de nombres.

    ¡De nada! Para eso estamos... ¡Así hacemos comunidad!

    Saludos,

    Josep Pujadas



  • Hola bellera, gracias por tu pronta respuesta , pero soy incapaz de hacer que el servidor en opt1 , 192.168.2.10(alias www) como cliente ssh  se conecte al servidor en La LAN 192.168.1.110 que tiene el servico ssh en el port 9998
    esto es lo que he añadido como rules en opt1 , se me escapa algo?
    muchas gracias



  • La regla es correcta. Ponla, por si acaso, en primer lugar. Sólo hace falta TCP para SSH.

    ¿Y qué comando/utilidad empleas para hacer ssh desde 192.168.2.10 para ir a 192.168.1.110?

    ¿No tendrás activada la casilla Block private networks en la interfase LAN?

    ¿Cortafuegos en el 192.168.1.110 (en la propia máquina)? ¿Configuración del servicio SSH, admite conexión desde cualquier red?

    Lo que quieres hacer es de lo más sencillo. Algo no cuadra.



  • muchas gracias por la ayuda pero sigue sin funcionar
    La regla es correcta. Ponla, por si acaso, en primer lugar. Sólo hace falta TCP para SSH.
    hecho:

    ¿Y qué comando/utilidad empleas para hacer ssh desde 192.168.2.10 para ir a 192.168.1.110?
    utilizo:
    ssh -p 9998 192.168.1.110 desde el shell abierto en el linux slackware box 192.168.2.10

    ¿No tendrás activada la casilla Block private networks en la interfase LAN?
    pues esta de la forma:

    ¿Cortafuegos en el 192.168.1.110 (en la propia máquina)? ¿Configuración del servicio SSH, admite conexión desde cualquier red? No hay un cortafuegos , es un slackware box que funciona toda la vida , incluso en otros equipos de la LAN puedes hace ssh al ordenador 192.168.1.110 en el puerto 9998 con maquinas windows y con maquinas linux

    Lo que quieres hacer es de lo más sencillo. Algo no cuadra.
    pues si pero no me va…

    muchas gracias!



  • En otros equipos de la LAN puedes hacer ssh al ordenador 192.168.1.110 en el puerto 9998 con máquinas windows y con máquinas linux.

    Ok, pero igual tu servidor SSH tiene limitado el acceso a su propia subred. ¿Comprobaste sshd.conf?

    Comprueba también que no hayas puesto una gateway en la configuración de la interfase OPT1. Es una LAN (no una WAN) de tu pfSense y no tiene que haber gateway.

    También que no tengas algo que interfiera en los NAT.



  • Ok, pero igual tu servidor SSH tiene limitado el acceso a su propia subred. ¿Comprobaste sshd.conf?

    Con el antiguo firewall distro Ipcop (solo cambiando a pfsense) si que funcionaba, no veo razones para que  funcione con pf sense
    no obstante el sshd.config es:

    root@server:/etc/ssh# less ssh_config

    $OpenBSD: ssh_config,v 1.23 2007/06/08 04:40:40 pvalchev Exp $

    This is the ssh client system-wide configuration file.  See

    ssh_config(5) for more information.  This file provides defaults for

    users, and the values can be changed in per-user configuration files

    or on the command line.

    Configuration data is parsed as follows:

    1. command line options

    2. user-specific file

    3. system-wide file

    Any configuration value is only changed the first time it is set.

    Thus, host-specific definitions should be at the beginning of the

    configuration file, and defaults at the end.

    Site-wide defaults for some commonly used options.  For a comprehensive

    list of available options, their meanings and defaults, please see the

    ssh_config(5) man page.

    Host *

    ForwardAgent no

    ForwardX11 no

    RhostsRSAAuthentication no

    RSAAuthentication yes

    PasswordAuthentication yes

    HostbasedAuthentication no

    GSSAPIAuthentication no

    GSSAPIDelegateCredentials no

    BatchMode no

    CheckHostIP yes

    AddressFamily any

    ConnectTimeout 0

    StrictHostKeyChecking ask

    IdentityFile ~/.ssh/identity

    IdentityFile ~/.ssh/id_rsa

    IdentityFile ~/.ssh/id_dsa

    Port 22

    Protocol 2,1

    Cipher 3des

    Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc

    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160

    EscapeChar ~

    Tunnel no

    TunnelDevice any:any

    PermitLocalCommand no

    ~
    ~

    Comprueba también que no hayas puesto una gateway en la configuración de la interfase OPT1. Es una LAN (no una WAN) de tu pfSense y no tiene que haber gateway.

    abajo pongo la foto Josep

    raro en el nat?

    aqui esta lo que tengo puesto



  • Lo que mostraste es la configuración del SSH para los clientes no la del servidor sshd o sshd2 (daemon).

    De todas maneras el problema es el NAT en LAN. No tiene que estar. El acceso a equipos entre las LAN de pfSense va sin NAT Port Forward.

    Me llama la atención que no tengas creada la regla asociada a cada NAT. Te recomiendo editar el NAT introduciendo una Description y a continuación crear la regla asociada. Esto es nuevo en la 2.0 y, francamente, mejor. Así uno ve mejor que el NAT tiene que ir acompañado de su regla.



  • Lo que mostraste es la configuración del SSH para los clientes no la del servidor sshd o sshd2 (daemon).

    perdon , es verdad la configuracion es.

    root@salvador:/etc/ssh# less sshd_config

    Set this to 'yes' to enable PAM authentication, account processing,

    and session processing. If this is enabled, PAM authentication will

    be allowed through the ChallengeResponseAuthentication and

    PasswordAuthentication.  Depending on your PAM configuration,

    PAM authentication via ChallengeResponseAuthentication may bypass

    the setting of "PermitRootLogin without-password".

    If you just want the PAM account and session checks to run without

    PAM authentication, then enable this but set PasswordAuthentication

    and ChallengeResponseAuthentication to 'no'.

    #UsePAM no

    #AllowAgentForwarding yes
    #AllowTcpForwarding yes
    #GatewayPorts no
    #X11Forwarding no
    #X11DisplayOffset 10
    #X11UseLocalhost yes
    #PrintMotd yes
    #PrintLastLog yes
    #TCPKeepAlive yes
    #UseLogin no
    #UsePrivilegeSeparation yes
    #PermitUserEnvironment no
    #Compression delayed
    #ClientAliveInterval 0
    #ClientAliveCountMax 3
    #UseDNS yes
    #PidFile /var/run/sshd.pid
    #MaxStartups 10
    #PermitTunnel no
    #ChrootDirectory none

    no default banner path

    #Banner none

    override default of no subsystems

    Subsystem       sftp    /usr/libexec/sftp-server

    Example of overriding settings on a per-user basis

    #Match User anoncvs

    X11Forwarding no

    AllowTcpForwarding no

    ForceCommand cvs server

    De todas maneras el problema es el NAT en LAN. No tiene que estar.

    borrado:

    El acceso a equipos entre las LAN de pfSense va sin NAT Port Forward.

    esto no lo entiendo sera entre los equipos de dentro de la LAN , yo solo tengo una LAN…no LANS

    Me llama la atención que no tengas creada la regla asociada a cada NAT. Te recomiendo editar el NAT introduciendo una Description y a continuación crear la regla asociada. Esto es nuevo en la 2.0 y, francamente, mejor. Así uno ve mejor que el NAT tiene que ir acompañado de su regla.

    pues no se Josep , cree los alias wwwports par los puertos 80 , 110 etc , y el alias www para la ip 192.168.2.10

    aunque despues de todo esto , creo que voy a desistir , y eso que ya tenia un captive portal configura y funcionando….........

    :(



  • perdon , es verdad la configuracion es.

    root@salvador:/etc/ssh# less sshd_config

    No veo restricciones.

    yo solo tengo una LAN…no LANS

    Tu sistema es multiLAN (LAN, OPT1) con una sola WAN (WAN).

    Quote
    Me llama la atención que no tengas creada la regla asociada a cada NAT. Te recomiendo editar el NAT introduciendo una Description y a continuación crear la regla asociada. Esto es nuevo en la 2.0 y, francamente, mejor. Así uno ve mejor que el NAT tiene que ir acompañado de su regla.

    pues no se Josep , cree los alias wwwports par los puertos 80 , 110 etc , y el alias www para la ip 192.168.2.10

    Sólo era una recomendación… Si el NAT que te queda (más la regla en WAN) funcionan... asunto cerrado.

    aunque despues de todo esto , creo que voy a desistir , y eso que ya tenia un captive portal configurado y funcionando…

    ¿En qué interfase el portal cautivo? Primera noticia…

    Cuestión importante y creo que no hablada -> ¿Qué puerta de enlace tiene el servidor SSH? Tiene que tener puesta la LAN de pfSense como puerta de enlace, para las idas y venidas. Creo que esto se nos pasó.

    Si quieres, puedes enviarme en privado tu config.xml y miro si hay algo que no cuadre. A jpujades en gmail punto com.

    Saludos

    Josep Pujadas



  • Tu sistema es multiLAN (LAN, OPT1) con una sola WAN (WAN).

    I,m  sorry.
    como siempre tienes razon Josep

    Sólo era una recomendación… Si el NAT que te queda (más la regla en WAN) funcionan... asunto cerrado.

    de acuerdo

    ¿En qué interfase el portal cautivo? Primera noticia…

    Cuestión importante y creo que no hablada -> ¿Qué puerta de enlace tiene el servidor SSH? Tiene que tener puesta la LAN de pfSense como puerta de enlace, para las idas y venidas. Creo que esto se nos pasó.

    Si quieres, puedes enviarme en privado tu config.xml y miro si hay algo que no cuadre. A jpujades en gmail punto com.

    Que razon tenias y que burro que soy mamamia!
    el portal cautivo esta en la LAN , pinchado un router inalambrico y la verdad es que va de fabula.
    ¿sabes cual es la noticia?

    al desactivar el portal cautivo en la LAN YA FUNIONA EL SSH !!!!!!!

    mira:
    **root@server:~# ssh -p 9998 192.168.1.110
    Last login: Tue Jan 31 16:58:59 2012 from 192.168.2.10
    Linux 2.6.37.6-smp.

    From the moment I picked your book up until I put it down I was
    convulsed with laughter.  Some day I intend reading it.
                   – Groucho Marx

    root@salvador:~#**

    siendo "server" el slackware en OPT1 y "salvador" el backup windows samba server y chico para todo.

    Ahora ya cuadra todo , aunque no sabia que no se podia poner el captive portal en la LAN
    ¿tengo que poner otra ethernet ???

    Enfin asunto zanjado , y como no podia ser de otra forma un agradecimiento sin limites al Sr JOSEP! eres grande.



  • No sabía que no se podía poner el captive portal en la LAN ¿Tengo que poner otra ethernet?

    Puedes poner el Captive Portal en la LAN que quieras. Sólo tienes que pensar en que el equipo que cuelga de él no comunicará nunca con otros (sólo tomará su dirección IP por DHCP) hasta que se loguee en el Captive Portal.

    Si tienes excepciones (entiendo que esta sería una) usa Services - Captive Portal - Pass-through MAC o Services - Captive Portal - Allowed IP addresses para saltarte el portal.

    ¡Me alegro que ya funciones!

    Saludos,

    Josep Pujadas


Log in to reply