Šta je novo?
Od:
Filteri

Koje dolazeće portove i koje tipove saobraćaja blokira Orion na optičkom linku u Jurija Gagarina?

Menadžment nedodirljiv. Ja ću najverovatnije da menjam provajdera. Jel može neko da preporuči neki gde sigurno radi port forwarding?
 
Da li možeš da probaš sledeće:

  • da povežeš računar na kom imaš TCP server direktno na Orion-ov ONT u bridge modu,
  • da na tom računaru kompletno isključiš bilo kakav firewall,
  • da proveriš da li na tom računaru imaš javnu IP adresu (da nije iz opsega 192.168.0.0/16, 172.16.0.0/20, 10.0.0.0/8 ili 100.64.0.0/10)
  • da pokušaš sa VPS-a ping do te IP adrese koja ti je dodeljena na računaru: prvo sa malim paketima a onda sa većim da bi video da nije neki MTU problem
  • da pokušaš sa VPS-a da se povežeš na tu IP adresu koju si dobio na računaru i taj port na kom sluša TCP server
  • da upališ tcpdump ili wireshark na tom računaru - da vidiš da li dolazni TCP SYN paketi stižu sa VPS-a

Ako ne radi, onda je Orion (njihov ONT ili neki ruter kod njih) taj koji blokira dolazne konekcije.

A što se tvog pitanja tiče, ne znam za druge, ali:
  • na mts optici radi bez problema ako nisi na CGNAT: ako njihov ruter nije u bridge modu, može samo MTU od 1492, a ako jeste može da se podesi i 1500 (uz malo komplikacija), mada i 1492 radi bez problema jer PMTU discovery radi - ICMP uopšte nije filtriran nigde - što je dobro
  • na supernova (mts) optici ili coax ako zakupiš statičku adresu takođe sigurno radi - MTU je 1500
 
Poslušao sam savet odavde i od Orion tehničke službe, kupio Xiaomi F241 ruter koji dobija javnu ip adresu, na kome sam napravio forwarding ka mašini na lokalnoj mreži. Sav odlazni saobraćaj radi. Napravio FTP i "nc -l xxxx" server na lokalnoj mašini. Konektovanje na servere radi u lokalu. Wireshark instalirao i filtrirao pakete sa ip.src = x.x.x.x (gde je to javna ip adresa mog VPS-a). Sa VPS-a pokušavam komandu "nc -v moj_javni_orion_ip". Pokusavam "ftp -P xxxxx moj_javni_orion_ip", nema kačenja ni sa jednim ni sa drugim. Wireshark ne prikazuje da bilo kakvi paketi dolaze sa javne adrese mog VPS-a. Jedino ping radi. Pokušavao sam ovo sa raznim portovima, raznim masinama sa Linuxom, Windowsom i MacOS-om na lokalnoj mrezi uključujući i Android telefon. Nemam nigde instaliran firewall. Da napomenem još da sa mog VPS-a mogu da se nakačim bilo gde, na bilo koji portu, probao sam.

Ja vam garantujem da neko u Orionu ne zna svoj posao i to želi da sakrije. Preklinjem ih da dođu sa svojim laptopom, pokažu mi da radi i otkače me - nema šanse. Menadžment apsolutno nedodirljiv, zid na šalteru, zid na telefonskoj tehničkoj podršci. CEO kompanije je Slobodan Đinović, nemoguće je pronaći direktan kontakt za dotičnog.

Hvala za informacije u vezi MTS-a, jel možeš samo da mi kažeš šta je to Supernova MTS, da li sto neke dve različite usluge na optici koje pruža MTS?
 
Poslednja izmena:
Supernova je brend / vrsta usluge koju mts nudi za korisnike kod provajdera koje su kupili od 2018. Ima dve vrste: PON optika i DOCSIS koalsijalna. Povezivanje je potpuno drugačije od standardne mts mreže:

Koristi se DHCP umesto PPPoE za dodeljivanje adresa. Za TV je koaksijalni kabl DVB-C umesto multicast IPTV. Svi korisnici su iza CGNAT osim ako zakupe stazičku IP adresu.
 
Hvala puno za informacije o Supernovi, mislim da je to to, samo još da vidim da li je ta usluga moguća na mojoj lokaciji...
 
Ako ti je VPS na Linuxu možeš da uradiš tzv. reverse SSH. Staviš ovo:
# prevent TCP ports from being forwarded over SSH tunnels
# please be aware that disabling TCP forwarding does not prevent port forwarding
# any user with an interactive login shell can spin up his/her own instance of sshd
AllowTcpForwarding yes

# prevent StreamLocal (Unix-domain socket) forwarding
AllowStreamLocalForwarding yes

# Disables all forwarding features, including X11, ssh-agent(1), TCP and StreamLocal.
# This option overrides all other forwarding-related options and may simplify restricted configurations.
DisableForwarding no

# Specifies whether remote hosts are allowed to connect to ports forwarded for the client.
# i.e. forwarded ports are forced to bind to 127.0.0.1 instead of 0.0.0.0
GatewayPorts yes
Kliknite za proširenje...
u /etc/ssh/sshd_config i posle sudo systemctl restart sshd

Nakon toga, sa klijent računara, uradiš:
ssh -R $server_port:$lokalni_lan_ip:$lokalni_port ...
Kliknite za proširenje...
zameniš $server_port i ove druge dve varijable, a nakon toga idu ssh parameteri za login koje koristiš...

Tako sam hostovao websocket+http server iza CG-NAT-a, koji su bili pristupačni iza adrese servera (no ja sam dodatno radio dodatni reverse proxy sa GatewayPorts no)
 
Znam da to mogu, ali ne bih taj VPS da koristim kao takav proxy...
 
Binduješ port na 127.0.0.1 i tako odradiš ftp komandu, to ti ne odgovara?
 
Ne odgovara mi zato što onda sav taj saobraćaj ide preko VPS-a. Meni treba direkt.
 
trancephorm je napisao(la):
Ako neko ima "vezu" u Orionu, bio bih zahvalan da me poveže sa što odgovornijim licem. Prebacili su svoj ruter u bridge mod, port forwarding i dalje ne radi, a tehnička služba odbija da pošalje nekoga i da se sami uvere o čemu pričam. Hvala...
Kliknite za proširenje...
Pa vidi sa nmap jel filtered ili closed. Ako je filtered ona to firewall blokira... inace imas 64 k portova na raspolaganju...
zekica je napisao(la):
Supernova je brend / vrsta usluge koju mts nudi za korisnike kod provajdera koje su kupili od 2018. Ima dve vrste: PON optika i DOCSIS koalsijalna. Povezivanje je potpuno drugačije od standardne mts mreže:

Koristi se DHCP umesto PPPoE za dodeljivanje adresa. Za TV je koaksijalni kabl DVB-C umesto multicast IPTV. Svi korisnici su iza CGNAT osim ako zakupe stazičku IP adresu.
Kliknite za proširenje...
Jok supernova ima ipv6, imas bilion statickih javnih na raspolaganju za dz ČP
 
Host is up.
PORT STATE SERVICE VERSION
11121/tcp filtered unknown
 
Ja bi probao još jedno:

sa VPS-a pokreni tcptraceroute tvoja_ip_adresa tvoj_port da vidiš da li TCP SYN paket stize to tvog rutera ili se filtrira ranije.
 
Prvo je uspešan na nekoliko nodova, pa onda dobijam * * * u nedogled...
 
Poslednja izmena:
Koji je poslednji nod koji radi?

Evo kako radi na telekomu:
Kod: 
tcptraceroute moj.dyndns.net 8722

Selected device eth0, address 188.172.xxx.xxx, port 35523 for outgoing packets
Tracing the path to moj.dyndns.net (178.220.xxx.xxx) on TCP port 8722, 30 hops max
 1  188.172.xx.xx  0.448 ms  0.395 ms  0.445 ms
 2  94.16.25.90  0.776 ms  0.553 ms  0.341 ms
 3  ae0-0.bbr01.anx04.vie.at.anexia-it.net (144.208.208.128)  0.887 ms  0.941 ms  1.356 ms
 4  ae1-0.bbr01.anx03.vie.at.anexia-it.net (144.208.208.134)  1.153 ms  1.119 ms  0.859 ms
 5  193.203.0.188  18.855 ms  18.666 ms  18.683 ms
 6  212.200.5.35  32.595 ms  35.046 ms  32.704 ms
 7  212.200.7.81  36.898 ms  36.960 ms  37.218 ms
 8  * * *
 9  xxx-xxx-xxx-xxx.static.isp.telekom.rs (178.220.xxx.xxx) [open]  36.185 ms  36.182 ms  36.242 ms

A evo kako radi na supernova + static IP:
Kod: 
 1  188.172.xxx.xxx  0.395 ms  0.337 ms  0.324 ms
 2  94.16.25.90  1.788 ms  0.520 ms  0.516 ms
 3  ae0-0.bbr01.anx04.vie.at.anexia-it.net (144.208.208.128)  1.198 ms  0.967 ms  0.948 ms
 4  ae1-0.bbr01.anx03.vie.at.anexia-it.net (144.208.208.134)  0.936 ms  1.082 ms  1.004 ms
 5  vix.sox.rs (193.203.0.141)  9.588 ms  9.677 ms  9.623 ms
 6  radijus.sox.rs (185.1.27.28)  10.277 ms  10.407 ms  10.261 ms
 7  xx-he-m-1-vl2699.sn.co.rs (91.185.114.xxx)  15.285 ms  15.125 ms  15.066 ms
 8  static-xxx-xxx-xxx-xxx.cpe.sn.co.rs (109.198.xxx.xxx) [open] 17.847 ms  17.988 ms  17.975 ms
 
Meni dogura do 60 hopova sa * * * što je stvarno puno i onda ga prekinem...
 
A koliko ih je pre * * * i koji je poslednji pre * * *?
 
1 172.31.1.1 1.575ms 0.794ms 0.709ms
2 95.216.135.42 0.153ms 0.063ms 0.026ms
3 * * *
4 88.198.252.41 1.081ms 0.760ms 0.835ms
5 88.198.242.249 2.344ms 0.366ms 0.368ms
6 213.239.224.17 7.799ms 7.582ms 24.524ms
7 194.68.123.126 34.894ms 28.847ms 65.655ms
8 212.200.5.37 41.802ms 40.788ms 40.723ms
9 212.200.7.85 40.316ms 40.140ms 48.282ms
10 212.200.7.75 43.930ms 39.631ms 39.616ms
11 79.101.97.18 40.002ms 39.995ms 39.835ms
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *
31 * * *
32 * * *
33 * * *
34 * * *
35 * * *
36 * * *
37 * * *
38 * * *
39 * * *
40 * * *
41 * * *
42 * * *
43 * * *
44 * * *
45 * * *
46 * * *
47 * * *
48 * * *
49 * * *
50 * * *
51 * * *
52 * * *
53 * * *
54 * * *
55 * * *
56 * * *
57 * * *
58 * * *
59 * * *
60 * * *
61 * * *
62 * * *
63 * * *
64 * * *
 
Zanimljivo, ta poslednja IP adresa je adresa telekoma srbija. I kroz taj ruter je peering s Orion-om. U celoj orion mreži je blokiran ICMP TTL Exeeded. Deluje da si u pravu - problem je u Orion mreži. Jel radi ICMP Ping do tvoje jave IP adrese uopšte?
 
Upao je u rooting loop kada je pustio sa svog vps.

S obzirom da mu radi ostali saobracaj mislim da su sanse da Orion tu nesto reaguje minimalne sem ako stvarno ne dodjes do nekog ko bi to pogurao...

TTL Exceeded nije blokiran u celoj mrezi, blokiran, tacnije filtiriran je za outbound ICMP...
 
Za sve zainteresovane, saga se završila tako što se ispostavilo da su jednostavno neki portovi prohodni, a neki ne.
 
https://portchecker.co/checking sta ti kaze neki sajt za proveru otvorenih portova, meni su neki portovi blokirani (skoro svi nizi brojevi )ali vecina nije,
isto imam podignuto par servisa, nextcloud, jellybin, bitwarden... rade bez problema
 
Morate se prijaviti ili registrovati da odgovorite ovde.
Nazad
Vrh Dno