Skip to main content

Nyt on suuria ongelmia ja hyvät ja kohtalaiset neuvot ovat kultaakin kaallimpia. - Kiitos.

 

Itselläni on palvelin korvaamassa elisan tietoisesti murhaaman kotisivuni tilalle. Sain Apache2 ja nextcloudin toimimaan, Olin iloinen. Päätin että tottakai muinullakin pitäää olla Wordpress. Sen jälkeen alkoikin murheet. Nextcloud kuoli.


No ei muuta kuin palvelin uusiksi (Ubuntu 22.04) .  Se on kytketty inteno porttiin 4 eli siltaavaan porttiin. Kyllä palvelimesta saadaan pingattua kaiken näköistä kuten www.yle.fi ja muita. Infenon NAT porttiin (ei-siltavaan portti 1:een) olen kytkenyt oman NAT palvelimen pelvelemassa paikallisverkkoa (192.168.0.x ) Tähän NAT palvelimeen olen asentanut maailman pahaimman ja selkeimmän palomuurin vuurmuurin (tänään jo vanhentuntu), asensin samban, nfs:n ja muita killkeitä. Ovat toimineet kuten kardaanisisogeeni jo runsaat 10 vuotta. Tämä ei siis ole ongelma. Ongelma on vain tämä siltaava portti 4.


Vielä noin pariviikkoa sitten sain muvasti pingattua, ja käytettyä ssh:ta, webbipalveluita (Apache2) , nextcloudia jne. En enään. Paikallisverkosta pääsin mukavasti kytkeytymään palvelimeeni  (siis siihen joka oli portissa 4 kiinni). Vaalien aatton aasensin palvelinohjelmat uusiksi (vieläpä montakertaan). Ping:llä ja ssh:lla en pystynyt kytkeytymään enään . Ping vastasi Destination host unreachable, ssh taasen no route to host.  Entä sitten komento

sudo nmap --traceroute -Pn xxx.yyy.aaa.bbb

johan tuli monirivinen vastaus:

Starting Nmap 7.80 ( https://nmap.org ) at 2023-04-04 15:26 EEST
Nmap scan report for xxx-yyy-aaa-bbb.elisa-laajakaista.fi (xxx.yyy.aaa.bbb)
Host is up (2.8s latency).
All 1000 scanned ports on xxx-yyy-aaa-bbb.elisa-laajakaista.fi (xxx.yyy.aaa.bbb) are filtered

TRACEROUTE (using proto 1/icmp)
HOP RTT       ADDRESS
1   0.92 ms   _gateway (192.168.0.1)

2   1.29 ms   192.168.10.1
3   983.19 ms xxx-yyy-aaa-bbb.elisa-laajakaista.fi (xxx.yyy.aaa.bbb)
4   ... 10
11  973.10 ms xxx-yyy-aaa-bbb.elisa-laajakaista.fi (xxx.yyy.aaa.bbb)
12  973.07 ms xxx-yyy-aaa-bbb.elisa-laajakaista.fi (xxx.yyy.aaa.bbb)
13  ... 19
20  959.56 ms xxx-yyy-aaa-bbb.elisa-laajakaista.fi (xxx.yyy.aaa.bbb)
21  959.56 ms xxx-yyy-aaa-bbb.elisa-laajakaista.fi (xxx.yyy.aaa.bbb)
22  959.55 ms xxx-yyy-aaa-bbb.elisa-laajakaista.fi (xxx.yyy.aaa.bbb)
23  ... 27
28  950.01 ms xxx-yyy-aaa-bbb.elisa-laajakaista.fi (xxx.yyy.aaa.bbb)
29  929.77 ms xxx-yyy-aaa-bbb.elisa-laajakaista.fi (xxx.yyy.aaa.bbb)
30  929.74 ms xxx-yyy-aaa-bbb.elisa-laajakaista.fi (xxx.yyy.aaa.bbb)

Nmap done: 1 IP address (1 host up) scanned in 176.21 seconds

No siinähän elisa pompottaa pakettiani kuin kiinalainen posti näiden kuitenkaan pääsmättä kukaties perille. Vieläpä väittää palvelimeni porttien olevan filttröityjä Vaikka satavarmasti ovat auki. Vastaus ei ole mitenkään tavaton kuten voimme netistä lukea.

 

Kirosin, itkin ja manasin. Kävin kytkemässä intenosta virrat pois ja päälle, painoin tehdasasetusnappia paperiklipsillä kuten Intenon manuaaleissa kehoitetiin. Mikään ei auttanut. En voi syyttää venäläisiä tai kiinalaisia, ukrainan sotaa tai huonoja vaalituloksia. Mutta sen sijaan voisin - jos vain osaisin - syyttää Elisaa, kun vain epäilen heidän tehneen tässä viikonloppuna jotain salaiseksi jäänneitä toimenpiteitä valokuidulle. Ehkäpä?

Onko siis kyse paikallisverkostani (epäilen sitä suuresti kun olen - kenties - tarkistanut kaken. Vaiko Intenosta - kenties rikki? Vaikko verkosta intenosta internettiin päin ja ainakin ziljoonasta elisan reitittimestä?

No hyvä tässä ahdistuksessani ja tuskissani käynnistin Inteno FG 500 hallintapaneelin (osoitteessa 192.168.10.1). Hienosti tuli webbisivut esille. Tuumasin, että syslogin tutkiminen voisi auttaa. Mutta inteno heittätyi nenäkkääksi ja vastasi pyyntöihin The connection to the server was reset while the page was loading. Mikä tähänkin auttaisi.

Nyt olen hukassa ja neuvoton, suorastaan ihan alaston ja jäätynyt.

 

 

EDIT 5.4.2023 // siistitty hieman otsikkoa -draakki

 

Vielä lisävalaistusta kun teen nmap kyselyn serverilleni jonka osoitteksi “ip a” ilmoitti xx.yy.54.151

sudo nmap --traceroute -Pn 88.115.55.151

niin vastauksesksi tracetroute määrite antoi 30  kertaa xx-yy-54-252.elisa.laajakaista.fi (xx.yy.54.252).Paketiti pomppivat ilman kohdetta 30 kertaa. ja ilmoitti kaikkien porttein olevan filtteröityjä.

 

Jollain salaperäisellä tavalla ip osoite olikin vaihtunut xx.yy.54.252:ksi siis jota oma serverini ei ole.  Sen sijaan ei-siltaavaan porttiin kytkeytnyt verkkoni on xx.yy.54.252 (what is my ip  google kyselyn tuloksena) antoi kysely seuraavan vastauksen


Starting Nmap 7.80 ( https://nmap.org ) at 2023-04-04 19:39 EEST
Nmap scan report for xx-yy-54-252.elisa-laajakaista.fi (xx.yy.54.252)
Host is up (0.0016s latency).
Not shown: 992 filtered ports
PORT     STATE  SERVICE
21/tcp   open   ftp
22/tcp   open   ssh
23/tcp   open   telnet
53/tcp   closed domain
80/tcp   open   http
81/tcp   closed hosts2-ns
443/tcp  closed https
3306/tcp closed mysql

TRACEROUTE (using port 443/tcp)
HOP RTT     ADDRESS
1   1.19 ms _gateway (192.168.0.1)
2   2.18 ms xx-yy-54-252.elisa-laajakaista.fi (xx.yy.54.252)

Nmap done: 1 IP address (1 host up) scanned in 4.76 seconds
 

eli nämä kaksi verkkoa ovat menneet Elisan reitittimellä tai Intenossa sekaisin. Siis siltaavasta liittimestä ja ei-siltaavasta liittimestä tehdyt kyselyt ovat sekaisin.

 

Onko nyt niin ettei elisa tuekkaan enää julkisia osoitteita (mitenköhän käy turvakameroille yms kilkkeille).

Rautalankaa kiitos.


Toimiiko yhteys tuohon palvelimelle muualta kuin intenon nat portin takaa Esim. kännykällä mobiiliverkon yli?

 

Tulee mieleen, että tuossa on jonkin sorttinen reititysogelma. Palvelin on mahdollisesti saanut IP-osoitteen eri aliverkosta, kuin intenon NAT-portti ja reititys ei jostain syystä toimi. Jos yhteys toimii kuitenkin muualta, niin ratkaisisin tuon ongelman laittamalla palvelimelle toisen verkkokortin ja liittämällä sen sisäverkkoon. Luonnollisesti palomuurissa kannattaa yhteydet sallia vain sisäverkosta palvelimen suuntaan, mikäli jos palvelin korkataan ei sen kautta pääse silloin sisäverkkoon.


Reititysongelma siinä olikin. en oikein ehtinyt kokeilla kännykällä. sen sijaan leikin intenossa hieman. Kun toi viimeinen viesti antoi osviittaa jollain tavalla: Eli ilmeisesti portti 1 ja 4 kytkeytyivät yhteen eli näille tuli 88 alkuiset osoitteet. Kun taasen silloin kun tämä minun ultrahieno nexcloud wordpress palvelin toimi niin julkiset osoitteet olivat 91alkuisia. Leikin hieman infenon interface grouping osiolla  ja kas sainkin aikaiseksi 91 alkuisen ip osoitteen. Täytyy vielä kokeilla sen toimivuutta.

 

Palomuurissa onkin vain sisäverkko yhteydet. Tuon telnetin poistan pikapikaa. Sisältä ulos saa olla telnet muttei päinvastoin. Kenties julkistan testien tulokset täällä (kun varmaan joku muukin elisan asiakas pähkäilee tuskastumisen partaalla samoista asioissa).

 

 

 


Todennäköinen syy ilmiölle on, ettei Elisalla toimi reititys kahden Elisan ip-osoitteen välillä. Ei muuta kuin vikailmoitusta perään.

Tai laita palvelimeen kaksi verkkokorttia ja pidä toisesta sovittimesta yhteys sisäverkkoosi niin, ettei se kierrä Elisan kautta.


Kiitos Irritus ja helento1 antoisasta keskutelusta. Oli tosi paljon iloa.

 

Itse asiassa tässä omassa NAT-, palomuuri -tidostopalvelimessa on kaksi verkkokorttia toinen palvelee omaa sisäverkkoa sekä piuhallista että WLAN- verkkoa. ja toinen on suoraan infenoon yhteydessä. Se että minulla on eriksen inteno ja erillinen NAT kone (ja sen perässä kytkin) on syynä historiallinen. Valokuitu päätelaite (Inteno) on vintin varastossa korvaamassa vanhaa ADSL modemia. Tähän modemiin oli aikoinaan kytketty tämä kaksikorttinen  NAT kone, mutta kuten monet muistavat 10 - 15 vuotta sitten PC:t pitivät turkasen kovaa meteliä (siinä sivussa toimivat hyvänä varaston lämmittimenä). Tätä meteliä ei olohuoneessa sietänyt erkkikään. 

 

Nykyiset PC.t eivä juurikaan metelöi. Sinänsä Inteno on hieno laite, johon voi kytkeä suoraan mediapalvelimen, palomuurin, tiedostopalvelimen ja monta muutakin. Toimii NAT palvelimena jne. Sen konfaaminen on hieman tuskallista. Mutta onnistuu jos jaksaa lukea manuaaleja (kuka näitä viitsii lukea).

Halusin pitää johdotukset minimaalisena. Vuosikausia meni vintin varastoon LAN verkosta vain yksi johto. Nyt kaksi (LAN + julkisen osoitteen perässä oleva uusi web, wordpress, nextcloud palvelin). Lisä bonuksena sain myös hyvin intiutiivisen ja selkeän vuurmuur palomuurin työhuone/olohuone NAT palvelimessa.  Sääli, että sen tuki loppui lähes 10 vuotta sitten (toimii vielä debian 7:ssä, jonka asentaminen onkin sitten nykyään hieman kinkkistä).

 

Mitä taaen tulee tulee tähän reklamaatioon, niin itselleni on muodostunut käsitys että silloin tällöin tämän palstan vastauksia lukiessa vaikuttaisi, että Elisan ylläpito toisinaan lukee myös tätä. Sillä että palvelimeni toimii nyt halutulla tavalla en ehkä voi ottaa gloriaa itselleni (leikimisessä Intenon asetuksissa) vaan voi olla myös mahdollista, että ylläpito on laitanut asiat kuntoon.

 

Ei muuta kun toivotaan hyvää kevättä ja pääsiaista.

  1. nimimerkki

tuska_ja_vaiva