LINUX.ORG.RU
ФорумAdmin

x2go + mikrotik

 ,


0

2

Обычно при установке терминального сервера на базе x2go за nat достаточно бросить на сервер ssh порт и все замечательно работает, однако впервые столкнулся с ситуацией, где шлюзом работает роутер mikrotik. При пробросе одного лишь ssh порта соединение не устанавливается (ошибка звучит как «failed to start x2go agent session with id %username% ....»). по ssh к сервуру подключаюсь. Если добавить x2go сервер в dmz последним правилом во вкладке IP->NAT, то соединение по x2go устанавливается нормально, однако начинаются проблемы во всей сети с dns... Во вкладке IP->Filter Rules есть правило accept для forward-трафика к x2go серверу.. Никаких drop правил нет. Подскажите, возможно помимо ssh порта нужно пробросить что-то еще? или как-то можно ситуацию разрулить правилами на микротике? С микротами до этого не работал

настройка sftp сервера
Проблемы с авторизацией в icinga2
1 2
Ответ на: комментарий от pekmop1024

Роутер не мой, не вариант. Да и не кака, наверное, а просто готовить его не умею

Zigotha
() автор топика
Ответ на: комментарий от Zigotha

conntrack почистил? Крутите барабан сударь, а пока барабан крутится настройки фаервола в студию.

anonymous
()
Ответ на: комментарий от anonymous

0 ;;; defconf: accept ICMP chain=input action=accept protocol=icmp

1 ;;; defconf: accept established,related chain=input action=accept connection-state=established,related

2 chain=input action=accept protocol=tcp dst-port=8291 log=no

3 chain=input action=accept protocol=tcp dst-port=9999 log=no log-prefix=«»

4 chain=input action=accept protocol=tcp dst-port=22 log=no

5 XI ;;; defconf: drop all from WAN chain=input action=drop in-interface=ether1

6 XI ;;; defconf: fasttrack chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=«»

7 ;;; defconf: accept established,related chain=forward action=accept connection-state=established,related

8 XI ;;; defconf: drop invalid chain=forward action=drop connection-state=invalid

9 XI ;;; defconf: drop all from WAN not DSTNATed chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1

10 chain=forward action=accept src-address=192.168.0.0/24 dst-address=192.168.0.0/24 log=no

11 chain=forward action=accept src-address=192.168.0.123 log=no

12 chain=forward action=accept src-address=192.168.0.238 log=no

13 chain=forward action=accept src-address=192.168.0.237 log=no

14 ;;; redistratura REG-2 chain=forward action=accept src-address=192.168.0.103 log=no

15 chain=forward action=accept src-address=192.168.0.105 log=no

16 ;;; eeg, cab 20b, 3 floor chain=forward action=accept src-address=192.168.0.106 log=no log-prefix=«»

17 ;;; 17 kab chain=forward action=accept src-address=192.168.0.144 log=no log-prefix=«»

Настраивал не я, не пинайте. Выглядит странно. куча разрешающих правил, запрещающих нет

Как почистить fasttrack подскажите?

Zigotha
() автор топика
Ответ на: комментарий от Zigotha

Что любопытно, если установить соединение по x2go пока сервер находится в dmz, а потом из dmz его убрать, соединение не рвется и все нормально работает. Т.е. что-то мешает именно установить соединение

Zigotha
() автор топика
Ответ на: комментарий от anonymous

Это какой?

Зависит от бюджета, потребностей и скиллов заменяющего. От говнотуполинка с опенврт до какой-нибудь киски или джунипера с промежуточными остановками в районе убиквити.
Микротик - это совсем дно.

pekmop1024 ★★★★★
()

/ip firewall nat add chain=dstnat in-interface=[WAN_Interface] protocol=tcp dst-port=22 to-addresses=[сервак с x2go] action=dst-nat

Говорят что лучше указывать dst-address= вместо in-interface=, потому что как уже писали выше: микротик дно.

anonymous
()
Ответ на: комментарий от anonymous

add action=dst-nat chain=dstnat comment=«dmz» disabled=yes log-prefix=«» \ to-addresses=192.198.0.238

в данный момент отключено

Zigotha
() автор топика
Ответ на: комментарий от Zigotha

Отключи dmz, сделай проброс порта и попробуй подключиться. Убедись что по ssh подключен к нужному компу, потом попробуй подключиться к x2go. Если ошибка как в первом посте(failed to start x2go agent session with id %username% ....), смотри логи у x2go и попробуй подключиться из тоже подсетки минуя микротик. У тебя вообще не поймёшь на каком этапе проблема с пробросом или самой программой. В любой не понятной ситуации смотри логи.

anonymous
()
Ответ на: комментарий от anonymous

cat messages | grep x2go

/usr/bin/x2gostartagent: Failed to start X2Go Agent session with ID andrey-94-1535025649_stDMATE_dp32. X2Go Agent terminated unexpectedly. Aborting session startup.

из локальной сети подключается. по ссш подключается и с дмз и без дмз

Zigotha
() автор топика
Ответ на: комментарий от Zigotha

Не знаю как работает программа x2go, а настройки ната на микротике не показываешь. Из тех что были выложены ранее про 22 порт вообще нигде не упоминалось. Допустим порт проброшен, x2gostartagent только по одному порту работает? Попробуй подключиться по локальной сети где работает и посмотреть какие порты используются между этими двумя компами.

anonymous
()
Ответ на: комментарий от anonymous

Пробовал так:

add action=netmap chain=dstnat comment=«ssh Samson2» dst-port=9986 in-interface=ether1 log-prefix=«» \ protocol=tcp to-addresses=192.168.0.238 to-ports=22

add action=dst-nat chain=dstnat comment=«ssh Samson2» dst-port=9986 in-interface=ether1 log-prefix=«» \ protocol=tcp to-addresses=192.168.0.238 to-ports=22

add action=netmap chain=dstnat comment=«ssh Samson2» dst-address=[внешний ip микротика] dst-port=9986 in-interface=\ ether1 log-prefix=«» protocol=tcp to-addresses=192.168.0.238 to-ports=22

Пробовал убирать in-interface

Во всех случаях ssh работает, а x2go нет. Много раз ставил x2go Терминальные сервера и ничего кроме ssh никогда не пробрасывал. Чудеса какие-то

Zigotha
() автор топика
Ответ на: комментарий от Zigotha

Если добавить x2go сервер в dmz последним правилом во вкладке IP->NAT, то соединение по x2go устанавливается нормально, однако начинаются проблемы во всей сети с dns

вот это покажи скриншот как выглядит только всей вкладки ip-firewall-nat

anonymous
()
Ответ на: комментарий от Zigotha

не видно что внутри правила еще там покажите

anonymous
()
Ответ на: комментарий от anonymous

Попробуй запустить клиент и сервер с дебагом: x2goclient.debug.exe --debug и куда подключаетесь. Версия и ОС у клиентов с которых подключаетесь одинаковые?

anonymous
()
Ответ на: комментарий от anonymous

версии клиента и сервера одинаковые, да. Включил дебаг на сервере. Подскажите подробнее, как клиента запустить с дебагом? С дебагом на сервере такое в логах:

Aug 23 16:51:43 akron-2 /usr/bin/x2gostartagent: x2gostartagent called with options: 1680x1000 adsl 16m-jpeg-9 unix-kde-depth_32 ru auto 1 D MATE both

Aug 23 16:51:44 akron-2 /usr/bin/x2gosessionlimit[1059]: x2gosessionlimit has been called

Aug 23 16:51:44 akron-2 x2golistsessions: x2golistsessions has been called with options: --all-servers

Aug 23 16:51:45 akron-2 x2gocleansessions: andrey-50-1535032304_stDMATE_dp32: state file for this session does not exist: /tmp/.x2go-andrey/C-andrey-50-1535032304_stDMATE_dp32/state (this can be ignored during session startups)

Aug 23 16:51:46 akron-2 /usr/bin/x2gofeature: x2gofeature called with options: X2GO_RUN_EXTENSIONS

Aug 23 16:51:46 akron-2 /usr/share/x2go/x2gofeature.d/x2goserver-extensions.features: x2goserver-extensions.features called with options: X2GO_RUN_EXTENSIONS

Aug 23 16:51:46 akron-2 /usr/bin/x2goserver-run-extensions: x2goserver-run-extensions called with options: andrey-50-1535032304_stDMATE_dp32 pre-start

Aug 23 16:51:46 akron-2 /usr/bin/x2gostartagent: creating new session: andrey-50-1535032304_stDMATE_dp32 b8b1ea8bca63ed0429e02d27eeceedf1 1187 [мой Ip] 60422 60423 60424 -1 -1

Aug 23 16:51:47 akron-2 /usr/bin/x2gostartagent: Failed to start X2Go Agent session with ID andrey-50-1535032304_stDMATE_dp32. X2Go Agent terminated unexpectedly. Aborting session startup.

Aug 23 16:51:47 akron-2 /usr/bin/x2gofeature: x2gofeature called with options: X2GO_RUN_EXTENSIONS

Aug 23 16:51:47 akron-2 /usr/share/x2go/x2gofeature.d/x2goserver-extensions.features: x2goserver-extensions.features called with options: X2GO_RUN_EXTENSIONS

Aug 23 16:51:47 akron-2 /usr/bin/x2goserver-run-extensions: x2goserver-run-extensions called with options: andrey-50-1535032304_stDMATE_dp32 fail-start

Zigotha
() автор топика

Проброшены и tcp и udp ?

Deleted
()
Ответ на: комментарий от Zigotha

Последнее правило. в данный момент отключено чтобы люди могли работать

покажи что внутри правила

anonymous
()
Ответ на: комментарий от pekmop1024

можно обоснование?!

за openwrt не скажу, а вот тп-линк??? серьёзно??? это вообще что-то на уровне фонарика китайского же...

убиквити, имхо тот же переделанный линукс внтури - минут винбокс :) но радио у них хорошие решения.

Den0k
()
Ответ на: комментарий от pekmop1024

Дно - это долбодятлы которые не могут 3 правила фаервола настроить. У меня микротик и x2go через nat прекрасно работает.

Turbid ★★★★★
()
Ответ на: комментарий от Zigotha

Какая версия mikrotik? Пальцем в небо, попробуй с mtu поиграться /ip firewall mangle add action=change-mss chain=forward connection-state=«» new-mss=1300 passthrough=yes protocol=tcp tcp-flags=syn

anonymous
()
Ответ на: комментарий от Zigotha

Ничего кроме того, что правильно настроил фаервол еще пять лет назад, вдумчиво вписывая каждое правило, а не занимаясь копипастом из интернетов.

Turbid ★★★★★
()
Ответ на: комментарий от Turbid 
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=\
    established,related
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=9999 log-prefix="" protocol=tcp
add action=accept chain=input dst-port=22 protocol=tcp
add action=drop chain=input comment="defconf: drop all from WAN" disabled=yes in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
    established,related disabled=yes log-prefix=""
add action=accept chain=forward comment="defconf: accept established,related" connection-state=\
    established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new disabled=yes in-interface=ether1
add action=accept chain=forward dst-address=192.168.0.0/24 src-address=192.168.0.0/24
add action=accept chain=forward src-address=192.168.0.123
add action=accept chain=forward disabled=yes log-prefix="" src-address=192.168.0.238
add action=accept chain=forward src-address=192.168.0.237
add action=accept chain=forward comment="redistratura REG-2" src-address=192.168.0.103
add action=accept chain=forward src-address=192.168.0.105
add action=accept chain=forward comment="eeg, cab 20b, 3 floor" log-prefix="" src-address=192.168.0.106
add action=accept chain=forward comment="17 kab" log-prefix="" src-address=192.168.0.144
add action=accept chain=forward log-prefix="" src-address=192.168.0.145
add action=accept chain=forward comment=starsiyAdmin src-address=192.168.0.115
add action=accept chain=forward src-address-list=allintenet
add action=accept chain=forward comment="IT GIAP" src-address=192.168.0.107
add action=accept chain=forward src-address=192.168.0.125
add action=accept chain=forward comment="ordinatori, podval" log-prefix="" src-address=192.168.0.104
add action=accept chain=forward comment=Endokrenolog dst-address-list=acronmed src-address=192.168.0.110
add action=accept chain=forward comment=PlatnieUslugi_elena_vladimirovna src-address=192.168.0.186
add action=accept chain=forward log-prefix="" src-address=192.168.0.109
add action=accept chain=forward comment=3cab src-address=192.168.0.159
add action=accept chain=forward src-address=192.168.0.153
add action=accept chain=forward comment=Cassa src-address=192.168.0.105
add action=drop chain=forward disabled=yes src-address=192.168.0.0/24
add action=reject chain=forward disabled=yes dst-port=80 protocol=tcp reject-with=tcp-reset src-address=\
    192.168.0.0/24

add action=netmap chain=dstnat comment="ssh Samson2" dst-port=22 in-interface=ether1 log-prefix="" protocol=\
    tcp to-addresses=192.168.0.238 to-ports=22
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1
add action=netmap chain=dstnat comment=lpu53 dst-port=80 in-interface=ether1 log-prefix="" protocol=tcp \
    to-addresses=192.168.0.237 to-ports=80
add action=netmap chain=dstnat comment="ssh Samson1" dst-port=9985 in-interface=ether1 log-prefix="" \
    protocol=tcp to-addresses=192.168.0.237 to-ports=22
add action=netmap chain=dstnat comment="Probros na VideoRegistr" dst-port=37777 in-interface=ether1 protocol=\
    tcp to-addresses=192.168.0.200 to-ports=37777
add action=netmap chain=dstnat disabled=yes dst-port=37778 in-interface=ether1 protocol=tcp to-addresses=\
    192.168.0.200 to-ports=37778
add action=netmap chain=dstnat dst-port=81 in-interface=ether1 protocol=tcp to-addresses=192.168.0.200 \
    to-ports=80
add action=netmap chain=dstnat disabled=yes dst-port=554 in-interface=ether1 protocol=tcp to-addresses=\
    192.168.0.200 to-ports=554
add action=netmap chain=dstnat comment="rdp to .106" dst-port=9987 in-interface=ether1 log-prefix="" \
    protocol=tcp to-addresses=192.168.0.106 to-ports=3389
add action=netmap chain=dstnat comment=ip-atc-grandstream dst-port=8089 in-interface=ether1 log-prefix="" \
    protocol=tcp src-address=64.128.131.228 to-addresses=192.168.0.254 to-ports=8089
add action=netmap chain=dstnat dst-port=8088 in-interface=ether1 log-prefix="" protocol=tcp src-address=\
    64.128.131.228 to-addresses=192.168.0.253 to-ports=80
add action=dst-nat chain=dstnat comment="dmz for akron-2 srv (x2go doesn't work)" disabled=yes log-prefix="" \
    to-addresses=192.198.0.238
Zigotha
() автор топика
Ответ на: комментарий от Zigotha

заметил ошибку. вместо 192.168.0.238, у меня в дмз-правиле 192.198.0.238. Что любопытно, если сделать правильный ip и включить правило, соединение по x2go не устанавливается (the remote proxy closed the connection while negotiating the session)

Zigotha
() автор топика
Ответ на: комментарий от Zigotha

нашел ошибку

ты сообщения тоже похоже не все читаешь, добейся сейчас того чтобы у тебя работал ssh, как ты до этого писал и найди пост выше про MTU где тебе писали и сделай это

anonymous
()
Ответ на: комментарий от anonymous 
add action=change-mss chain=forward log-prefix="" new-mss=1300 passthrough=yes protocol=tcp tcp-flags=syn

не помогло

Zigotha
() автор топика

На работающем посмотри соединения x2go сервера c клиентом. Наверняка он еще что-то втихаря открывает. Добавь в правила выявленное.

libert0
()
Ответ на: комментарий от libert0

ничего он вроде не юзает кроме ssh. сто раз его ставил и везде только ssh пробрасывал)

COMMAND     PID   USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
chronyd     957 chrony    1u  IPv4   17881      0t0  UDP akron-2:323
chronyd     957 chrony    2u  IPv6   17882      0t0  UDP [::1]:323
sshd       1200   root    3u  IPv4   18215      0t0  TCP *:ssh (LISTEN)
sshd       1200   root    4u  IPv6   18217      0t0  TCP *:ssh (LISTEN)
nmbd       1202   root   15u  IPv4   18297      0t0  UDP *:netbios-ns
nmbd       1202   root   16u  IPv4   18298      0t0  UDP *:netbios-dgm
nmbd       1202   root   17u  IPv4   18307      0t0  UDP akron-2:netbios-ns
nmbd       1202   root   18u  IPv4   18308      0t0  UDP 192.168.0.255:netbios-ns
nmbd       1202   root   19u  IPv4   18309      0t0  UDP akron-2:netbios-dgm
nmbd       1202   root   20u  IPv4   18310      0t0  UDP 192.168.0.255:netbios-dgm
cupsd      1204   root   11u  IPv6   21812      0t0  TCP [::1]:ipp (LISTEN)
cupsd      1204   root   12u  IPv4   21813      0t0  TCP akron-2:ipp (LISTEN)
httpd      1233   root    4u  IPv6   20351      0t0  TCP *:http (LISTEN)
smbd       1237   root   34u  IPv6   20305      0t0  TCP *:microsoft-ds (LISTEN)
smbd       1237   root   35u  IPv6   20306      0t0  TCP *:netbios-ssn (LISTEN)
smbd       1237   root   36u  IPv4   20307      0t0  TCP *:microsoft-ds (LISTEN)
smbd       1237   root   37u  IPv4   20308      0t0  TCP *:netbios-ssn (LISTEN)
httpd      1468 apache    4u  IPv6   20351      0t0  TCP *:http (LISTEN)
httpd      1469 apache    4u  IPv6   20351      0t0  TCP *:http (LISTEN)
httpd      1470 apache    4u  IPv6   20351      0t0  TCP *:http (LISTEN)
httpd      1471 apache    4u  IPv6   20351      0t0  TCP *:http (LISTEN)
httpd      1472 apache    4u  IPv6   20351      0t0  TCP *:http (LISTEN)
mysqld     1482  mysql   29u  IPv6   21885      0t0  TCP *:mysql (LISTEN)
master     1555   root   13u  IPv4   21934      0t0  TCP akron-2:smtp (LISTEN)
sshd       6008   root    3u  IPv4 1083556      0t0  TCP akron-2:ssh->62.118.131.228:59277 (ESTABLISHED)
sshd       6050 andrey    3u  IPv4 1083556      0t0  TCP akron-2:ssh->62.118.131.228:59277 (ESTABLISHED)
sshd       6050 andrey    9u  IPv4 1083791      0t0  TCP akron-2:46856->akron-2:54101 (ESTABLISHED)
x2goagent  6284 andrey    8u  IPv4 1085806      0t0  TCP akron-2:54101->akron-2:46856 (ESTABLISHED)
sshd      12783   root    3u  IPv4  256646      0t0  TCP akron-2:ssh->64.218.131.228:52598 (ESTABLISHED)
sshd      12785 andrey    3u  IPv4  256646      0t0  TCP akron-2:ssh->64.218.131.228:52598 (ESTABLISHED)
sshd      13544   root    3u  IPv4  259270      0t0  TCP akron-2:ssh->64.218.131.228:58254 (ESTABLISHED)
sshd      13546 andrey    3u  IPv4  259270      0t0  TCP akron-2:ssh->64.218.131.228:58254 (ESTABLISHED)
Zigotha
() автор топика
Ответ на: комментарий от Turbid

Ну да. Без логов, что режет микротик не понять че ему не хватает. Может какой хитрый роутинг надо включить. Wireshark и сравнивать процессы установки связи.

libert0
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
настройка sftp сервера
Admin
Проблемы с авторизацией в icinga2