LINUX.ORG.RU
ФорумAdmin

Провайдер прикрывает порты, как бы доказать это?!?!

 ,


2

1

Оскомину набило уже, но еще раз. Програмист 1С уже не может накатывать обновления в рабочее время и попросил доступ из дома, чтоб вечером или в выходные. Не вопрос, поднимаю для него VPN, все работает неделю или чуть больше. Далее жалуется, связи нет, минут 20, потом заработало, но через какое то время совсем перестало пускать. Смотрю логов даже нету те попыток никаких стучусь телнетом и понимаю что порт прикрыт одним из провайдеров промплошадка но пров dom.ru порт экзотический для VPN? ну ладно перевешиваю на 1193 свободный, все опять работает но с одной плошадки до другой. У него с дома по прежнему не работает, залезает туда где работает и уже оттуда…

Как бы вычислить, вернее чего там вычислять, как доказать прову, что это их косяк, откорячки же будут мы ничего не прикрываем, но это не так. Достали эти провайдеры для физиков, все заботятся о них.

как можно выйти из положения? повесить на какой нибуть 80 порт на ум приходитне по феншую но….

★★★★

Последнее исправление: leave (всего исправлений: 2)
Ответ на: комментарий от Vlad-76

Ну покажет мне его белый ip с которого он вылезает, где гарантия что он не протухает раз в неделю? А где гарантия что за этим ip не сидит половина района за nat?

alex_sim ★★★★
() автор топика
Ответ на: комментарий от Vlad-76

Тут у нас есть секта перевешивания 22 порта на другой и секта уверяет что китайцев ломится меньше, мне было не жалко, пусть ломятся, нт ради спортивного перевесил 22 на 42222, правда мало стало ломиться. Обычному то пользователю мало надо портов 80 да 443.. все, даже почта наверно веб интерфейс.

alex_sim ★★★★
() автор топика
Ответ на: комментарий от Vlad-76

Оптатите это не ко мне, я за свой домашний белый плачу, но навязывать ему….

Да обойдемся и обойдем, не проблема

alex_sim ★★★★
() автор топика
Ответ на: комментарий от alex_sim

Я не могу тебя понять. Ну, предположим, найдёшь ты какой-то мегаинструмент, который покажет... что? Что с компа программиста коннекта нет? Так у тебя уже есть эти данные.

Повторяю.

1. Делаешь пинг с компа программиста, убеждаешься, что сам сервер доступен. Делаешь телнет с компа програмиста, ничего не работает, скриншотишь.

2. Делаешь телнет со своего домашнего компа, всё работает, скриншотишь.

3. Звонишь в провайдер программиста, называешь номер договора программиста, расказываешь про действия в пункте 1,2. Берёшь у них почту, высылаешь скриншоты.

Далее, уже зависит от вменяемости суппорта. Третий пункт можно повторять при необходимости. Если суппорт совсем тупой, требовать, чтобы соединили с техническим специалистом.

Другого пути нет. Если ты найдёшь какой-то мегаинструмент, тебе придётся делать всё то же самое, только вместо скриншотов с телнетом слать скриншоты мегаинструмента.

shell-script ★★★★★
()
Ответ на: комментарий от alex_sim

если у Вас VPN сервис на linux сервере, можно добавить в помощь к ssh сервису fail2ban и разрулите сложными паролями, руту доступ по ssh заблокируете. и все

вообще разрешите доступ по ssh только учетке 1C ника

может и на микротике есть аналог fail2ban

Vlad-76 ★★★★
()
Последнее исправление: Vlad-76 (всего исправлений: 3)
Ответ на: комментарий от alex_sim

поднять ssh вопрос пары минут, далее проверить некоторое время. будет и ssh отваливаться - ну тогда к провайдеру обращаться

Vlad-76 ★★★★
()
Ответ на: комментарий от alex_sim

он же Вам не за бесплатно обновы делает. Да и если у него проблемы с подключениями к Вашей 1С тогда, что Вы за него печетесь? Пусть сам свою проблему решает.

Vlad-76 ★★★★
()

Еще давно читал про то что VPN организовывали поверх http протокола (чтобы даже через прокси в локалке можно было туннели делать), данные с VPN гоняли через HTTP get,post запросы. только как софт называется не помню, может уже и бросили его.

Vlad-76 ★★★★
()

Вам в голову не приходила мысль, что сервак мог забанить вашего 1С-ника, по причине брутфорса с его внешнего ip? Если он за натом провайдерским, то за тем-же натом вся его деревня, и половина компов только тем и занята, что слушает чужой трафик и пытаются подобрать пароли к сервисам, которые видят.

anonymous
()
Ответ на: комментарий от menangen

МТС ща тоже стал блочить VPN. Ещё летом тот же наш vpn сервак с IPsec работал, но сейчас уже всё, хера с два.

На каком основании? Может у вас сервак в списках РКН ? Если нет можно и телегу накатать. Сейчас по случаю 1-го ноября проверил, один сервак офисный, второй на DO USA, оба варианта чистый ipsec и ipsec+l2tp робят через МТС.

anc ★★★★★
()
Ответ на: комментарий от Vlad-76

я так понимаю у Вас public IP есть, сделайте проброс RDP порта компа с 1С на к.л. внешний порт устройства с public IP.

Нет, нет и ещё раз нет. Вы очень плохой совет дали! Напоминаю про недавнюю дыру в RDP, а она не первая и не последняя.

anc ★★★★★
()
Ответ на: комментарий от alex_sim

хотелось бы tcp

Можно и то и то сделать. Два демона один на tcp другой на udp. Путь к сертам/ключам один и тот же прописываем. Сети делим что бы под одну общую маску попадали (ну это для удобства fw и так далее). У меня так робит. Использую как раз для вариантов временных подключений аля отели и так далее, где что-то да зарезано. Да и порты на самом сервере ovpn в конфиге не меняю, докинуто несколько вариантов dnat.

anc ★★★★★
()
Ответ на: комментарий от i-rinat

Как минимум, дом.ру так блокировал tcp/25, но позволял блокировку убрать.

Это серверный порт. Тут как раз скорее обыденность нежели что-то новое.

anc ★★★★★
()
Ответ на: комментарий от Vlad-76

Есть даже over dns и icmp но медленно...

anc ★★★★★
()
Ответ на: комментарий от Vlad-76

Можно ещё и knocking на роутере наколхозить, в варианте серый-белый. :) Но всё это большие костыли получиться.
В целом ТС выше уже все объяснили, там начиная от проблем прова, во что я слабо верю, с фига бы пров блокировал не серверные порты на выход и причем на оперделенный ip? До локальных глюков у самого «так называемого программиста», во что я верю больше.

anc ★★★★★
()

Борьба с VPN в разгаре и только начинается. И не только с VPN, но и со специалистами, которые их могут настраивать. Надо вешать на другие порты, желательно с пятизначными цифрами, и периодически менять. Возможно обфусцировать трафик.

ChAnton ★★
()
Ответ на: комментарий от anonymous

80 порт белонгс ту рут. Используй четырёхзначные и не выёживайся.

так и использую 6055 потом 1193

alex_sim ★★★★
() автор топика
Ответ на: комментарий от anc

До локальных глюков у самого «так называемого программиста», во что я верю больше.

По кругу ходим. Я же говорю сам видел своими глазами с офиса на промплощадку telnet ip port и тишина…. перевесил на 1193 с офиса работает у него нет по прежнему, допускаю что иногда и работает, кто виноват не знаю.

В свое время он написал програмулину которая и по сей день тянет ночами данные, так такие были чудеса…. кто то рулит чем то, шейперы или скрипты какие то, работает месяцами и вдруг начинаются затыки, казалось бы чего прову надо зачем мешать? а было такое.

Сам давным давно взял белый IP прописал его в фаере и лазил куда хотел на свои сетки, монтировал шары, и вдруг в один прекрасный день, перестало работать, ну я как тут и советовали звоню в саппорт и начинаю права качать, номер договора и тп… и им на меня класть с прибором, они прикрыли 137-139 и что там 445 вроде бы, они на страже балбесов. и как я не возмущался…. нет!

пришлось с микрота поднять два VPN один до офиса другой до завода. и как говорится никогда такого не было и вот опять.

alex_sim ★★★★
() автор топика
Ответ на: комментарий от anonymous

Вам в голову не приходила мысль, что сервак мог забанить вашего 1С-ника, по причине брутфорса с его внешнего ip? Если он за натом провайдерским, то за тем-же натом вся его деревня, и половина компов только тем и занята, что слушает чужой трафик и пытаются подобрать пароли к сервисам, которые видят.

Про какой сервак речь? про мой? в логах VPN я видел неудачные попытки прицепиться и его удачные с ip из пула is74.ru пока пару недель все работало, а потом вдруг логи перестали вообще обновляться.. те попыток даже нет ни легальных ни какерских.

Повторюсь в десятый раз, к офису он цепляется без проблем. конфиги отличаются только IP адресами. ну теперь и портом

alex_sim ★★★★
() автор топика
Ответ на: комментарий от shell-script

Другого пути нет. Если ты найдёшь какой-то мегаинструмент, тебе придётся делать всё то же самое, только вместо скриншотов с телнетом слать скриншоты мегаинструмента.

Ну хотелось бы знать на какого из домашних провов наезжать? Да наезжать то на них бесполезно ИМХО я уже писал как наезжал со 137 портом. Как их обьехать.

Сейчас я не знаю кто из них виноват, лично видел что порт 6055 не отвечал мне, значит виноват дом ру, перевесил на 1193 у меня заработало. а у него попрежнему нет, значит виновата Интерсвязь, или оба, конкурируют не ладят…. не знаю

одно и то же пишу по кругу.

alex_sim ★★★★
() автор топика

Провайдер может по нагрузке резать. А ещё, 1С обычно рожает по нескольку часов со своими выгрузками и просто не влазит в сессию. Т.к. сессия, как правило, обновляется раз в сутки.

P.S.: скажи чтобы маршрутизатор перезагружал перед выгрузкой и всё.

kostyarin_ ★★
()
Последнее исправление: kostyarin_ (всего исправлений: 1)
Ответ на: комментарий от shell-script

Выше ТС уже написал про айпи. А teamviewer… Паранойя должна быть паранойной. На сервер я бы его не ставил. )

Абсолютно согласен!

alex_sim ★★★★
() автор топика
Ответ на: комментарий от alex_sim

Вам уже приводили пример последовательности действий.

Вариант первый: Не работает не откуда. Пинаем тех под. прова «промплощадки», с приложением примеров, тут чем больше разных вариантов, тем лучше. В вашем варианте это получаеться минимум офис + домашний + домашний 1ц-ка + мобильный докиньте(если есть несколько обсосов даже лучше). Если тех. под. не пинается, отправляем официальное письмо, вида от ооо ромашка бла-бла-бла.

Вариант второй: Не работает только с определенного места. Все тоже самое только пинаем локальных провов, показывая вот оттуда работает(так же чем больше вариантов откуда работает, тем лучше), а от вас нет.

Отваливается переодически. Тут сложнее, но в целом почти так же собираем статистику и к прову.

А то что вы изначально пытаетесь выяснить на каком хопе дохнет, это бессмысленная затея. Межпровайдерские разборки уже дело самих провов. Вы пинаете того кто предоставляет услугу, а уж они по цепочке доходят до виновного.

anc ★★★★★
()
Ответ на: комментарий от alex_sim

и им на меня класть с прибором, они прикрыли 137-139 и что там 445 вроде бы, они на страже балбесов. и как я не возмущался…. нет!

Так у вас и так получалось костылестроение, надо смонтировать шару с srv1 прописываем dnat, надо с srv2 меняем dnat. Можно было бы не возмущаться, а тем же dnat на высоких портах всё и решить. Но это всё равно костыли, а vpn это кошерно, не надо лишних действий производить.

anc ★★★★★
()
Ответ на: комментарий от alex_sim

я уже писал как наезжал со 137 портом.

С этим вариантом вас действительно могут и послать. С точки зрения прова, вы что, собираетесь по всему инету лазить на виндовые шары? Вот с вариантами 25/tcp как писали выше я тоже сталкивался. Но тут тупая претензия, я мля «не от большой любви к искусству» вам за статик плачу, у меня почтарь здесь. Хватает такого наезда. :)

anc ★★★★★
()
Ответ на: комментарий от menangen

У меня ipsec не работает на двух разных симках и на двух девайсах.

Хм, я проверил так же, два разных телефона и две симки, личная и корп.

Наверное, из-за торрентов.

Совсем не понял причем тут торрент? Поясните пожалуйста.

anc ★★★★★
()
Ответ на: комментарий от alex_sim

про мой?

Да.

в логах VPN я видел неудачные попытки прицепиться и его удачные с ip из пула is74.ru

Вот и причина.

а потом вдруг логи перестали вообще обновляться..

Так и должно быть.

fail2ban-client status
firewall-cmd --direct --get-all-rules

anonymous
()
Ответ на: комментарий от anc

Сотовые операторы блочат торренты. Народ начинает заворачивать торрент траффик внутри VPN/UDP соединения - и опять нагружает вышку гигантским траффиком. Поэтому запрет VPN over UDP в интересах их бизнеса.

menangen ★★★★★
()
Ответ на: комментарий от menangen

Это отдельные проблемы. Не влияющие на возможность «телегу накатать». Мало ли кто/где «не те грибы собирает и кушает их». Меня интересует полноценное предоставление заявленных услуг, лично мне/компании. Добиться от этих «торговцев из Химок» конечно чего-то вразумительного тяжело. Тут согласен. Но если и не пробовать то можно «в маня мирке продолжать жить» «ой заблочили» «ну наверное так и надо» «ой ещё раз» «ну ничего переживем» и так далее.
Например если у меня с корп симки перестанет работать ipsec до офиса, я буду долго и нудно иметь тех. под. с вопросами wtf? Если не ответят или пошлют, накатаю официальное письмо от имени компании. Сомневаюсь, что после этого полетят отмазы.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)

Самое прикольное-айтишники провайдеров (их как много) сидят тут на ЛОРЕ и хихикают. Может даже каждый пятый из присутствующих. Только не признаются. Бояца… Боятся, что ТС узнает где они кучкуются.

:)

Bootmen ☆☆☆
()
Последнее исправление: Bootmen (всего исправлений: 1)
Ответ на: комментарий от Bootmen

Чур не я (минус минимум я) Я из провайдинга для человечков давно ушел. :)
ЗЫ Хотя вот интересно было, когда осилили провайдинг, узнал случайно что инет потребляет старая знакомая, так ей накинули н-миллионов на счет. Получился безлимит. :) Предупреждая вопросы, это согласованно со стороны владельца бизнеса.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 2)

Как доказать этим сучарам, что это их косяк

В цивилизованном обществе, как вариант, конфликты могут рассматриваться в судах. Но это - своя особая матрица, с законами, адвокатами, судебными издержками, апелляциями и так далее…

anonymous
()
Ответ на: комментарий от Bootmen

Да, ну, глупость. Так, кто-то не понятно зачем, не понятно почему «кукарекнул». К реальной жизни не имеет отношения.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Может не так выразился. Скорее за барду не будет отвечать например анс. А только неизвестный. Не в обиду.

Bootmen ☆☆☆
()
Ответ на: комментарий от Bootmen

В таком виде полностью согласен. Говорят есть такие личности, которые любят из под анонима написать «гадость». Зачем правда не понятно. Видимо это из тех кто у меня в лифтах слово их трех буковок пишет, и считает что это «круто».

PS «барду» это что за слово? Поймите правильно, реально не знаю, это что-то из «новодела»?

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.