Не могу подключиться по ssh

0

1

Привет, народ.

Локалка 192.168.77.0/24. В ней nas на убунте 20.04 с адресом 192.168.77.13 и rpi4 192.168.77.21. На роутере, который держит 192.168.77.0/24 стоит впн сервер 10.70.72.0/24. Nas является клиентом впн на впс 10.70.71.0/24 с адресом 10.70.71.2.

На nas НЕТ включенных фаерволов (специально обнулен nftables flush ruleset, проверял по nftables list ruleset, iptables -L, других фаеров нет (ufw/firewalld)).

С удаленного пэка, который является клиентом впн на роутере 10.70.72.3, пробую ssh к малинке - ssh 192.168.77.21 - соединение проходит.

С удаленного пэка, который является клиентом впн на впс 10.70.71.3, пробую ssh к nas - ssh 10.70.71.2 - соединение проходит.

С удаленного пэка, который является клиентом впн на роутере 10.70.72.3, пробую сначала ssh на малину - ssh 192.168.77.21, а с малины на nas - ssh 192.168.77.13 - соединение НЕ проходит.

С удаленного пэка, который является клиентом впн на роутере 10.70.72.3, пробую ssh к nas - ssh 192.168.77.13 - соединение НЕ проходит.

Лог последнего соединения:

debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 21: include /etc/ssh/ssh_config.d/* matched no files
debug1: /etc/ssh/ssh_config line 54: Applying options for *
debug2: resolve_canonicalize: hostname 192.168.77.13 is address
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts' -> '/Users/user/.ssh/known_hosts'
debug3: expanded UserKnownHostsFile '~/.ssh/known_hosts2' -> '/Users/user/.ssh/known_hosts2'
debug1: Authenticator provider $SSH_SK_PROVIDER did not resolve; disabling
debug3: ssh_connect_direct: entering
debug1: Connecting to 192.168.77.13 [192.168.77.13] port 22.
debug3: set_sock_tos: set socket 3 IP_TOS 0x48

При этом, если удаленный пэка оказывается непосредственно в сети 192.168.77.0/24, то он успешно коннектится к nas. Точно такие же симптомы с веб сервером и самбой на этом же nas.

На роутере никаких ограничений нет (к малинке подключается, к другим ресурсам локалки доступ тоже есть). В dmesg на nas записи при отключенном фаерволле не идут. Если включить nftables, предварительно разрешив коннект к ssh, то показывает такое:

[652574.783481] SSH: IN=wg0 OUT= MAC= SRC=10.70.71.3 DST=10.70.71.2 LEN=64 TOS=0x08 PREC=0x40 TTL=63 ID=0 DF PROTO=TCP SPT=50057 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
[652639.216694] SSH: IN=eno1 OUT= MAC=18:СКРЫТО SRC=10.70.72.3 DST=192.168.77.13 LEN=64 TOS=0x08 PREC=0x40 TTL=63 ID=0 DF PROTO=TCP SPT=50082 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
[652706.921377] SSH: IN=wg0 OUT= MAC= SRC=10.70.71.3 DST=10.70.71.2 LEN=64 TOS=0x08 PREC=0x40 TTL=63 ID=0 DF PROTO=TCP SPT=50163 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

Первая и третья запись - коннект к nas с удаленного пэка через впн на впс. Вторая запись - попытка коннекта к nas через внп на роутере. Все маршруты есть, они в порядке, ведь к rpi, которая в той же локалке, я успешно подключаюсь, а к nas почему-то нет. Второй день ломаю голову. Пинги и трасса, кстати, тоже не проходят. И именно до nas. Все остальные ресурсы локалки доступны. В чем причина может быть?

Ссылка

←	Не могу сбросить root пароль. Что делать с ноутом?

Вычислить адрес файла в исполняемом файле Линукс

→

Проверяй роутинг, скорее всего обратно ничего не проходит.

~~AVL2~~ ★★★★★
(16.02.22 16:27:03 MSK)

Ответ на: комментарий от AVL2 16.02.22 16:27:03 MSK

По tcpdump когда пытаюсь коннектиться по ssh пакеты до nas доходят. Ответы действительно не уходят. Маршруты nas:

default via 192.168.77.1 dev eno1 proto dhcp src 192.168.77.13 metric 100 
10.70.71.0/24 dev wg0 proto kernel scope link src 10.70.71.2 
192.168.77.0/24 dev eno1 proto kernel scope link src 192.168.77.13 
192.168.77.1 dev eno1 proto dhcp scope link src 192.168.77.13 metric 100

Для примера маршруты rpi, с которой нет такой проблемы

default via 192.168.77.1 dev eth0 proto dhcp src 192.168.77.21 metric 202 
192.168.77.0/24 dev eth0 proto dhcp scope link src 192.168.77.21 metric 202

Entmatix ★
(16.02.22 17:41:40 MSK) автор топика

Ответ на: комментарий от Entmatix 16.02.22 17:41:40 MSK

ну вот залезай на nas на интерфесе eno1 и далее на шлюз и смотри на интерфейсе с адресом 192.168.77.1 , есть там ответ или нет.

Вообще говоря, скорее всего проблема на 192.168.77.1

В роутинге nas одна запись явно лишняя

вот эта:

192.168.77.1 dev eno1 proto dhcp scope link src 192.168.77.13 metric 100

~~AVL2~~ ★★★★★
(16.02.22 19:50:11 MSK)
Последнее исправление: AVL2 16.02.22 19:52:20 MSK (всего исправлений: 1)

Ответ на: комментарий от AVL2 16.02.22 19:50:11 MSK

Спасибо, направление ты подсказал правильно, но проблема не со шлюзом. Как оказалось, если отключить интерфейс ваергарда, который соединяет nas с сервером на vps, то все работает так же, как на rpi. А при подключенном ваергарде нужно вручную добавить путь