En saa yhteyttä koneeseen lähiverkossa, mutta ulkoa onnistuu


Jatkoa keskuteluun

eli kotona serverikone (IP 192...112), edessä reitittimenä ZTE MC801A-1, Elisan julkinen IP (84...) ja portinohjaus reitittimeltä serverille (SSH 22 sekä muita). Lisäksi julkiselle IP:lle 84… on olemassa dy.fi -domain/nimi.

Kaikki toimii ulkoa päin, eli kännykällä, kännykästä jaetulla wifillä tai toimiston verkosta pääsen SSH:lla sisään, domain toimii, ei minkäänlaista ongelmaa.

Kuitenkin läppärillä samassa wifi-verkossa kotona en saa serverikoneeseen mitään yhteyttä,

  • en domain-nimellä,
  • en julkisella IP:llä 84…,
  • enkä lähiverkon IP:llä 192...112

Tai siis, SSH timeouttaa, selaimen kautta en saa (avattuun porttiin http-serverille) yhteyttä, ping 192...112 vastaa “Reply from 89...70: Destination host unreachable” (en tunnista tuota 89-alkuista IP:tä). Julkisen IP:n pingaaminen toimii (reititin vastaa?), samoin domainin (reititin vastaa?).

 

Tämä setti on toiminut tässä vielä tällä viikolla hetken aikaa, ja lähiverkko-SSH on pelittänyt ennen julkisen IP:n tilaamistakin. Miten pitäisi lähteä debuggaamaan?

vreima 1 kuukausi sitten

Argh, tilanne muuttuu, ehkä. En ole tehnyt päivän aikana mitään radikaalia (mulla on tässä vielä Powershell auki, jossa nuo aamun epäonnistuneet pingit ja Unreachable host), mutta nyt

  • Lähiverkko-IP:n 192… pingaaminen onnistuu
  • ssh minä@192… toimii
  • ssh minä@domain.fi ei toimi (timeout)
  • ssh minä@julkinenIP ei toimi (timeout)

Mutta. Serverillä pyörii http-serveri portilla 80, jonne reitittimeltä on ohjattu portti 8080. Tämä pelittää esim. kännykällä (http://domain:8080/ tarjoilee oikeaa sivua, samoin http://julkinenIP:8080/) mobiilidatalla, mutta ei samassa wifissä olevilta läppäreiltä (testattu kahdella läppärillä), eikä kännykällä kun yhdistää wifiin.

 

Elikkä hetkinen, tilanne itseasiassa nyt niin, että saan kaikki yhteydet lähiverkko-IP:llä, mutta en julkisen IP:n (enkä domainin) kautta. Tämä taitaa liittyä nat loopbackin puutteeseen, josta oli aikaisemmassa ketjussa mainintaa. Hämmentää lähinnä, koska mielestäni eilen pelitti… mutta periaatteessa saan siis nyt yhteydet, vähän hankalasti, mutta kuitenkin.

Katso alkuperäinen viesti

10 kommenttia

Käyttäjätaso 7
Kunniamerkki +13

Mielenkiintoista. 🤔 Osaisiko yhteisöläiset auttaa tässä? Vaikka @irritus

Käyttäjätaso 5
Kunniamerkki +5

Olisiko vahingossa tullut laitetuksi ruksi ruutuun, jolla eristetään yhteys wifi-verkosta muihin lähiverkon laitteisiin?

Olisiko vahingossa tullut laitetuksi ruksi ruutuun, jolla eristetään yhteys wifi-verkosta muihin lähiverkon laitteisiin?

Kuulostaa aivan mahdolliselta, mutta raksi näyttäisi olevan tyhjänä.

 

 

Argh, tilanne muuttuu, ehkä. En ole tehnyt päivän aikana mitään radikaalia (mulla on tässä vielä Powershell auki, jossa nuo aamun epäonnistuneet pingit ja Unreachable host), mutta nyt

  • Lähiverkko-IP:n 192… pingaaminen onnistuu
  • ssh minä@192… toimii
  • ssh minä@domain.fi ei toimi (timeout)
  • ssh minä@julkinenIP ei toimi (timeout)

Mutta. Serverillä pyörii http-serveri portilla 80, jonne reitittimeltä on ohjattu portti 8080. Tämä pelittää esim. kännykällä (http://domain:8080/ tarjoilee oikeaa sivua, samoin http://julkinenIP:8080/) mobiilidatalla, mutta ei samassa wifissä olevilta läppäreiltä (testattu kahdella läppärillä), eikä kännykällä kun yhdistää wifiin.

 

Elikkä hetkinen, tilanne itseasiassa nyt niin, että saan kaikki yhteydet lähiverkko-IP:llä, mutta en julkisen IP:n (enkä domainin) kautta. Tämä taitaa liittyä nat loopbackin puutteeseen, josta oli aikaisemmassa ketjussa mainintaa. Hämmentää lähinnä, koska mielestäni eilen pelitti… mutta periaatteessa saan siis nyt yhteydet, vähän hankalasti, mutta kuitenkin.

Käyttäjätaso 6
Kunniamerkki +12

...

  • en domain-nimellä,
  • en julkisella IP:llä 84…,
  • enkä lähiverkon IP:llä 192...112

… cut

 

kahteen ensimmäiseen, kuulostaa sisäkierto ongelmalta. porttikäännöt toimii ulkopäin muttei sisäverkosta tulevilta pyynnöiltä. on joskus mahdollista että palomuuri toimii myös sisältä tuleviin pyyntöihin, mutta useimissa ei tueta. liittykö ipv6:een jotenkin, koska ipv6 numerot jaetaan eri tavalla, joten sisäkierto aiheuttaa ongelmia.

kolmas pitäisi toimi jos “client isolation” ei ole päällä. mutta olen joskus törmännyt että arp pyynnöt ei aina toimi halutusti, jolloin se tarkoittaa että lähiverkko ei toimi halutusti. tässä ei välttämättä ole kyse reitittimestä, vaan laitteiden asetuksista, reitityksestä tai palomuurista.

 

Käyttäjätaso 7
Kunniamerkki +18

olethan kokeillut sisäverkossa ilman 8080 porttia ?

Käyttäjätaso 7
Kunniamerkki +13

Onko tapahtunut muutosta tilanteessa @vreima ? 🤔

Ei edellisen päivityksen jälkeen. Eli ulkoa yhteys toimii http://domain:8080/, sisältä ei - mutta sitten taas http://lähiverkonIP:8080/ toimii. Haittaa käyttöä, optimaalistahan olisi päästä käsiksi resurssiin aina samaa osoitetta käyttäen riippumatta onko läppäri töissä vai kotiverkossa, mutta sinänsä nyt serverille kyllä pääsee kiinni kaikkialta.

Käyttäjätaso 5
Kunniamerkki +5

Jos käytössä on PiHole tai jokin muu lähiverkossa toimiva dns-palvelin, saa tuon ongelman kierrettyä laittamalla domainin viittaamaan lähiverkon ip-osoitteeseen. Sellainen rajoitus tässä tietysti on, että ulkoa tultaessa saat eri portit ohjattua eri laitteisiin lähiverkon puolella, mutta tässä toteutuksessa domain viittaa siihen yhteen ainoaan laitteeseen.

Käyttäjätaso 7
Kunniamerkki +22

Sellainen rajoitus tässä tietysti on, että ulkoa tultaessa saat eri portit ohjattua eri laitteisiin lähiverkon puolella, mutta tässä toteutuksessa domain viittaa siihen yhteen ainoaan laitteeseen.

Mikään ei estä ottamasta käyttöön jokaiselle sisäverkon laitteelle omaa verkkotunnusta.

Julkisessa nimipalvelujärjestelmässä voit yhdistää ylimääräiset verkkotunnukset vaikka CNAME-tietuteella siihen tunnukseen, joka päivittyy DDNS:llä.

Sisäverkon nimipalvelimeen asetat jokaiselle verkkotunnukselle oman sisäverkon osoitteen.

Toki, tämäkin toimii ainoastaan silloin, kun palvelut pyörivät sekä ulko- että sisäverkossa samoissa porttinumeroissa.

 

Raspberry PI voi käyttää myös täysverisenä reitittimenä, jolloin Zte:n puutteellisen NAT-toteutuksen saa kierrettyä. Sekään, että Raspberry Pi:ssa on vain yksi Ethernet-portti, ei estä reititystä.

Voit asettaa samalle portille useita ip-osoitteita eri aliverkoista. Näin saat sekä lähiverkkosi että yhteyden Zte:lle kulkemaan samaa piuhaa pitkin. DHCP-palvelin tulee tällöin kääntää Zte:stä pois päältä, muutoin osa laitteista ohittaa Rasberry Pi:n sattumanvaraisesti.

Jos taas tykkäät enemmän rautaratkaisuista, voit lisätä Ethernet-porttien määrää Raspberry Pi:ssa USB-Ethernet-sovittimilla tai hankkimalla hallittavan kytkimen, jossa on VLAN-tuki.

Osallistu keskusteluun