znaczacy > comp.os.* > comp.os.linux.sieci

ein (21.05.2014, 14:12)
WOJO wrote:
> Nie zawracałem sobie głowy szukaniem haseł do modemu (a teraz by się
> przydały).


Jeżeli router został przekonfigurowany do tego prostego trybu to już nic
Ci po tych hasłach - Orange je najprawdopodobniej zmieniło, a na pewno
już tam się nie dostaniesz.
ein (21.05.2014, 14:21)
WOJO wrote:

> W drugiej problematycznej lokalizacji mam zakończenie światła mikrotikiem
> RB260GS z SwOS v1.7
> I tutaj dostawca się zaklina, że nie blokuje niczego, ale jakoś mu
> niedowierzam.


Próbowałeś może podglądać ruch i patrzeć czy na tym 53-cim porcie typu
UDP faktycznie coś przychodzi?

Nie znam SwOS, ale wiem, że RouterOS ma taką możliwość.
ein (21.05.2014, 14:22)
ein wrote:
> WOJO wrote:
> Próbowałeś może podglądać ruch i patrzeć czy na tym 53-cim porcie typu
> UDP faktycznie coś przychodzi?
> Nie znam SwOS, ale wiem, że RouterOS ma taką możliwość.


PS. Dążę do tego, że może być to problem konfiguracyjny Mietka.
WOJO (21.05.2014, 15:23)
>> Próbowałeś może podglądać ruch i patrzeć czy na tym 53-cim porcie typu
>> UDP faktycznie coś przychodzi?
>> Nie znam SwOS, ale wiem, że RouterOS ma taką możliwość.


> PS. Dążę do tego, że może być to problem konfiguracyjny Mietka.

MT nie jest mój, tylko dostawcy.
Po TCP idzie ruch w obu kierunkach.

[root ~]# tcptraceroute -n AAA.AAA.AAA.AAA 53
Selected device eth0, address XXX.XXX.XXX.XXX, port 56239 for outgoing
packets
Tracing the path to AAA.AAA.AAA.AAA on TCP port 53 (domain), 30 hops max
1 IP bramy 6.135 ms 0.638 ms 0.485 ms
....
8 AAA.AAA.AAA.AAA [open] 9.865 ms 10.168 ms 9.923 ms

[root ~]# tcptraceroute -n XXX.XXX.XXX.XXX
Selected device eth0, address AAA.AAA.AAA.AAA, port 36206 for outgoing
packets
Tracing the path to XXX.XXX.XXX.XXX on TCP port 53 (domain), 30 hops max
1 IP bramy 0.352 ms 0.210 ms 0.273 ms
....
8 XXX.XXX.XXX.XXX [open] 10.009 ms 9.870 ms 11.106 ms

A z UDP jest tak, jak pisałem w pierwszym poście...

[root ~]# nmap -sU -p53 AAA.AAA.AAA.AAA
Starting Nmap 6.46 ( ) at 2014-05-21 15:03 CEST
Nmap scan report for AAA.AAA.AAA.AAA
Host is up (0.011s latency).
PORT STATE SERVICE
53/udp open domain
Nmap done: 1 IP address (1 host up) scanned in 0.29 seconds

[root ~]# nmap -sU -p53 XXX.XXX.XXX.XXX
Starting Nmap 6.46 ( ) at 2014-05-21 15:02 CEST
Nmap scan report for XXX.XXX.XXX.XXX
Host is up (0.0098s latency).
PORT STATE SERVICE
53/udp open|filtered domain
Nmap done: 1 IP address (1 host up) scanned in 0.46 seconds

Wprowadźmy do zabawy tcpdumpa

Na docelowym (pakiet wysłany z klienta, widać ponowienie transmisji, brak
odpowiedzi)
[root ~]# tcpdump -n -v -i eth0 port 53
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535
bytes
15:10:05.112222 IP (tos 0x0, ttl 37, id 51431, offset 0, flags [none], proto
UDP (17), length 40)
AAA.AAA.AAA.AAA.56964 > XXX.XXX.XXX.XXX.53: 0 stat [0q] (12)
15:10:05.212168 IP (tos 0x0, ttl 35, id 40370, offset 0, flags [none], proto
UDP (17), length 40)
AAA.AAA.AAA.AAA.56965 > XXX.XXX.XXX.XXX.53: 0 stat [0q] (12)

Na kliencie (pakiet wysłany z docelowego, widać prawidłową odpowiedź)
[root ~]# tcpdump -n -v -i eth0 port 53
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535
bytes
15:12:34.602584 IP (tos 0x0, ttl 44, id 14916, offset 0, flags [none], proto
UDP (17), length 40)
XXX.XXX.XXX.XXX.33739 > AAA.AAA.AAA.AAA.53: 0 stat [0q] (12)
15:12:34.603141 IP (tos 0x0, ttl 64, id 30846, offset 0, flags [none], proto
UDP (17), length 40)
AAA.AAA.AAA.AAA.53 > XXX.XXX.XXX.XXX.33739: 0 stat NotImp- [0q] 0/0/0
(12)

Dla porównania dla prawidłowo działającego klienta.
Na docelowym (pakiet wysłany z klienta, widać prawidłową transmisję)
[root ~]# tcpdump -n -v -i eth0 port 53
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535
bytes
15:17:54.067309 IP (tos 0x0, ttl 44, id 56303, offset 0, flags [none], proto
UDP (17), length 40)
AAA.AAA.AAA.AAA.54743 > XXX.XXX.XXX.XXX.53: 0 stat [0q] (12)
15:17:54.068127 IP (tos 0x0, ttl 64, id 43916, offset 0, flags [none], proto
UDP (17), length 40)
XXX.XXX.XXX.XXX.53 > AAA.AAA.AAA.AAA.54743: 0 stat NotImp- [0q] 0/0/0
(12)

I tak możemy się bawić długo i namiętnie...
Pozdrawiam.
WOJO
Lukasz Olesiejuk (21.05.2014, 16:18)
Dnia 21.05.2014 ein <ein> napisal/a:
> ein wrote:
> PS. Daze do tego, ze moze byc to problem konfiguracyjny Mietka.

RB260GS to switch, nie mowie, ze sie nie da blokowac. Wszystko sie da... Ale watpie by tam cos blokowalo...
Olek (21.05.2014, 18:09)
On 21.05.2014 14:12, ein wrote:
> WOJO wrote:
>> Nie zawracałem sobie głowy szukaniem haseł do modemu (a teraz by się
>> przydały).

> Jeżeli router został przekonfigurowany do tego prostego trybu to już nic
> Ci po tych hasłach - Orange je najprawdopodobniej zmieniło, a na pewno
> już tam się nie dostaniesz.


Jeśli to jest InternetDSL, to czy sprawdzałeś jak jest ustawiony profil
firewalla konfigurowany poprzez panel konfiguracji usługi, na stronie WWW?
Nie chodzi o logowanie do rutera.
Oni tam mieli trzy opcje, w stylu:
- blokowanie wszystkiego przychodzącego
- blokowanie większości i przepuszczanie wybranych (przez nich) typowych
serwisów
- nieblokowanie niczego
Jeśli odziedziczyłeś działające, to może wcześniej ktoś to ustawił?
WOJO (21.05.2014, 20:55)
> Jeśli to jest InternetDSL, to czy sprawdzałeś jak jest ustawiony profil
> firewalla konfigurowany poprzez panel konfiguracji usługi, na stronie WWW?
> Nie chodzi o logowanie do rutera.
> Oni tam mieli trzy opcje, w stylu:
> - blokowanie wszystkiego przychodzącego
> - blokowanie większości i przepuszczanie wybranych (przez nich) typowych
> serwisów
> - nieblokowanie niczego
> Jeśli odziedziczyłeś działające, to może wcześniej ktoś to ustawił?


TO nie to.
Tam jest rzeczywiście Cellpipe 7130, jak sugerował Ein.
Ustawiony jest teraz w tryb prosty, a dzisiaj na blueline dowidziałem się,
że dostęp administracyjny ma jedynie operator, co mnie osobiście drażni.
Mogę teoretycznie oglądać z poziomu zwykłego użytkownika, ale domyślne dane
logowania użytkownika też nie działają.
Jak się tam kiedyś wybiorę osobiście, to pobawię się też w uzyskanie dostępu
administracyjnego i odcięcie dostępu dla operatora. :)
W Netii się da, to tutaj pewnie też.
Pozdrawiam.
WOJO
WOJO (21.05.2014, 21:04)
> RB260GS to switch, nie mowie, ze sie nie da blokowac. Wszystko sie da...
> Ale watpie by tam cos blokowalo...

To doskonale wiem.
Ale ten switch przez swiatelko polaczony jest pewnie z jakims drugim
switchem lub routerkiem, na którym juz sie da robic powazniejsze rzeczy...
Moze byc tez tak, ze ISP sam nie wie, ze cos jest po drodze blokowane, a on
nie blokuje.
Stad moje pytanie na temat mozliwosci sprawdzenia zablokowanej transmisji na
poszczególnych routerach posredniczacych w routingu.
Odpytywanie nmapem poszczególnych routerów posredniczacych nie ma sensu, bo
trafimy na "INPUT", a nie na "FORWARD".
Ponawiam zatem pytanie - jak zatem sprawdzic transmisje po UDP przez
poszczególne routery?
Pozdrawiam.
WOJO
jureq (21.05.2014, 21:12)
Dnia Wed, 21 May 2014 21:04:37 +0200, WOJO napisal(a):

> Ponawiam zatem pytanie - jak zatem sprawdzic transmisje po UDP przez
> poszczególne routery?


Moze wynik traceroute -U da jakies sensowne informacje
rePeter (22.05.2014, 00:13)
Wed, 21 May 2014 10:33:24 +0200
"WOJO" <sorry> napisal(a):

> > Dlaczego tylko podejrzewasz, sprawdzales reguly firewalla?

> Porty TCP i UDP 53 otwarte, tak na docelowym (XXX.XXX.XXX.XXX), jak i


A moze tcpwrapper?
WOJO (24.05.2014, 23:14)
> Moze wynik traceroute -U da jakies sensowne informacje
Wstyd sie przyznac, ale polecenia do tej pory nie bralem pod uwage, a
okazuje sie calkiem pomocne w tym przypadku.
Oto ciekawe wyniki:

Prawidlowy zachowujacy sie serwer:
[root ~]# traceroute -n -U -p53 XXX.XXX.XXX.XXX
traceroute to XXX.XXX.XXX.XXX (XXX.XXX.XXX.XXX), 30 hops max, 60 byte
packets
1 IP bramy 2.554 ms 2.735 ms 2.957 ms
2 80.49.0.249 3.883 ms 212.160.0.249 3.291 ms 80.49.0.249 4.251 ms
3 194.204.175.173 12.443 ms 12.675 ms 12.905 ms
4 193.251.255.201 29.552 ms 213.248.89.93 23.719 ms 23.957 ms
5 193.251.251.138 28.392 ms 213.155.135.80 24.032 ms 193.251.251.138
28.750 ms
6 213.155.135.136 32.743 ms 84.116.134.9 62.882 ms 63.404 ms
7 84.116.136.150 60.220 ms 62.115.138.71 32.886 ms 84.116.136.150 60.678
ms
8 213.46.179.61 30.975 ms 84.116.252.46 60.016 ms 213.46.179.193 27.541
ms
9 84.116.134.9 61.818 ms 31.179.250.218 59.663 ms 84.116.133.117 61.909
ms
10 86.63.128.212 58.902 ms 58.725 ms 58.668 ms
11 XXX.XXX.XXX.XXX 60.428 ms 60.147 ms 84.116.252.46 61.599 ms

Serwer z niepoprawnym zachowaniem:
[root ~]# traceroute -n -U -p53 XXX.XXX.XXX.XXX
traceroute to XXX.XXX.XXX.XXX (XXX.XXX.XXX.XXX), 30 hops max, 60 byte
packets
1 IP bramy 1.002 ms 1.703 ms 2.365 ms
2 213.25.2.109 26.771 ms 27.672 ms 32.333 ms
3 213.25.5.137 33.710 ms 34.031 ms 36.205 ms
4 194.204.175.73 38.875 ms 40.561 ms 42.240 ms
5 213.248.89.93 65.203 ms 66.986 ms 68.620 ms
6 213.155.135.82 68.950 ms 72.237 ms 73.877 ms
7 62.115.138.172 74.625 ms 213.155.135.142 56.220 ms 213.155.135.148
57.610 ms
8 62.115.138.79 54.554 ms 62.115.138.75 61.223 ms 62.115.138.71 60.293
ms
9 213.46.179.61 53.074 ms 52.222 ms 213.46.179.193 52.034 ms
10 84.116.133.117 90.359 ms 84.116.134.9 76.929 ms 84.116.133.98 77.253
ms
11 84.116.136.150 78.207 ms 78.868 ms 77.828 ms
12 84.116.252.46 105.263 ms 104.469 ms 98.745 ms
13 31.179.250.218 78.984 ms 78.684 ms 78.644 ms
14 86.63.128.212 78.471 ms 78.510 ms 79.312 ms
15 * * *
....
30 * * *

Drugi serwer z niepoprawnym zachowaniem:
[root traceroute]# traceroute -n -U -p53 XXX.XXX.XXX.XXX
traceroute to XXX.XXX.XXX.XXX (XXX.XXX.XXX.XXX), 30 hops max, 60 byte
packets
1 IP bramy 0.241 ms 0.206 ms 0.178 ms
2 91.212.9.11 6.630 ms 6.401 ms 6.449 ms
3 213.46.178.93 7.486 ms 7.444 ms 7.111 ms
4 84.116.137.98 7.600 ms 7.628 ms 7.566 ms
5 84.116.252.46 10.085 ms 9.953 ms 10.020 ms
6 31.179.250.218 10.003 ms 9.644 ms 9.666 ms
7 86.63.128.212 9.802 ms 9.572 ms 9.715 ms
8 * * *
....
30 * * *

O ile prawidlowo interpretuje wyniki, to na routerze dostawcy
(86.63.128.212), za którym znajduje sie juz lokalizacja docelowa, nastepuje
takie kierowanie ruchem, ze pakiety z klas DSL TP/orange na porcie 53
protokolu UDP, sa zwyczajnie dropowane, co skutkuje zaobserwowanymi
problemami.
Prosze o potwierdzenie, ze moje przypuszczenia sa sluszne.
Pozdrawiam.
WOJO
Dziki Facet (15.07.2015, 07:40)
W dniu .05.2014 o 20:55 WOJO <sorry> pisze:

>> Jesli to jest InternetDSL, ... ....

> Jak sie tam kiedys wybiore osobiscie, to pobawie sie tez w uzyskanie
> dostepu administracyjnego i odciecie dostepu dla operatora. :)
> W Netii sie da, to tutaj pewnie tez.

Dostep do panelu administracyjnego masz jako user/user (o ile pamiec mnie
nie zawodzi). Musisz polaczyc sie z 10.0.0.1. Dawniej faktycznie niewiele
tam mozna bylo skonfigurowac. Obecnie mozna troche wiecej, ale uprzedzam -
panel tego "super urzadzenia" to droga przez meke :)

Do panelu admina sie nie dostaniesz. Chyba ze jtag-iem...

Ot, taki kaprys Orange, które nie dosc, ze kasuje zaNeostrade 3x tyle, to
nie dopuszcza innych urzadzen, coby klient musial zadzwonic i zaplacic za
"profesjonalne" wsparcie z 801 ;) Poza tym, Ty jako IT jestes konkurencja
dla pomaranczy, bo oni dla malych firm oferuja tez takie wsparcie
informatyczne. Po to ta cala otoczka z niedopuszczaniem innych sprzetów i
gnebienie na sile klientów Cellpipem czy Comtrendem.

Podobne wątki