Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Info Coronavirus/Vaccinare vs Fake News

Lucrari publice din banii nostri ...

Huawei health

Recomandare Aparat de incalzit ae...
 Ford a inceput construirea celui ...

Unde sunt descarcarile de pe yout...

Camera supraveghere solara

Somaj Germania
 Trepidatii Fiat Ducato 2.3 JTD 120

Cum aflu numar de dosar de la jud...

Recomandare vin alb, Cramele Reca...

Lag/fps drop live twitch
 Cum a fost omorat Tudor Vladimire...

AV surround receiver. Noutați

Pornire/Oprire Centrala Manual

Este Devodep magazin serios? Ati ...
 

Probleme rute Orange <-> Digi

- - - - -
  • Please log in to reply
21 replies to this topic

#1
th3viper

th3viper

    Junior Member

  • Grup: Members
  • Posts: 29
  • Înscris: 03.01.2013
Salutare

Se da următoare configurație:
2xISP (FO DiGi si 4G Oro,  ambele routere puse în Bridge) - > UDM Pro (failover set up, ca alt ceva nu stie) - > Unraid Sever (4xNIC) - > Home Assistant VM (br1)  / diverse Docker (br4) / unraid ui(br0)
> acces la exterior prin revers proxy (Nginx)

Problema:
Nu pot accesa nici o resursa dacă conexiunea este inițiată din rețeaua Orange (am testat de pe 4 numere diferite în locații diferite)
Dacă conexiunea este inițiată din alt provider (digi, Vodafone, Azure VM in West EU) pot accesa fără probleme.

Detalii:
De curând am observat ca aplicația de HA nu se mai conectează la sever dacă ies din raza WiFi, cum nu is plecat prea des nu am băgat de seară ca porneam VPN-ul și totul era ok (culmea config pe conexiunea de Oro, Wireaguard în unraid)
Azi am avut ceva timp și am zis sa vad ce am stricat, ca mai am talente de genul. Însă surpriza după ce am învârtit setările de mi-a ieșit pe ochi am făcut cel mai simplu test.
Am expus server ul direct pe net și surpriza, îl pot accesa doar dacă nu sunt pe Orange.
Am testat și făcând Hotspot de pe un tel cu VDF.. Si a mers.. Trecut pe gsm.. A murit.

HA a fost singurul expus până acum, având nevoie de el asa pentru notificări, orice alte conexiuni le fac prin VPN.

Acum.. Ori am pus bine pe butuci config srv și UDMP... Ori Orange se tine de glume.

Ceva idei sau iau calea call-center și sper ca o sa dau la un moment dat de cineva care înțelege ce zic.

PS
- am verificat regulile de port fw
- am dat restart la tot ce se putea
- am învârtit cablurile in sw și am schimbat ip-uri
- am verificat și cert ssl..  Nu e expirat.. Nu merge treaba nici pe http simplu.

Edited by th3viper, 17 August 2022 - 23:16.


#2
DUALHD

DUALHD

    Member

  • Grup: Members
  • Posts: 833
  • Înscris: 01.10.2015
Ai un ip nerourabil in 4G oro :) probabil de acolo ți se trag multe probleme.
Orange te trimite altundeva când încerci să intrii în jucăria ta din rețeaua lor.
Părerea mea e ca nu e de la tine. Eventual vezi dacă răspunzi la ping, vezi ce spune un traceroute între inițierea de pe Orange și serviciul tău.

Edited by DUALHD, 17 August 2022 - 23:35.


#3
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,928
  • Înscris: 07.03.2006
@initiator
ce IP iti da Orange pe conexiunea 4G? As far as i am aware nu ofera IP publice pt PF.
daca ai oricare un IP din urmatoarele clase => nu o sa-ti mearga:
RFC1918: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
RFC6598: 100.64.0.0/10


@dualhd
orice ip e routabil, posibil sa fi vrut sa zici privat (RFC1918) sau CGN (RFC6598)

#4
th3viper

th3viper

    Junior Member

  • Grup: Members
  • Posts: 29
  • Înscris: 03.01.2013
Neața,
Pe back-upl 4g and ip public, prin el pot accesa rețeaua.
Am ceva cu 109, iar înainte se plătea pentru el.. Acum mai greu dar nu imposibil să primești.

Exemple exacte cu problema :
- Tel cu date Orange - > pornesc vpn (config pe local orange) - > totul merge
- Tel cu date orange - > pornesc vpn (config pe digi) nimic/ încerc să accesez orice public de pe server, nimic
- Acceasi tel conectat la Hotspot de pe tel cu Vodafone - > ambele vpn pornesc / pot accesa orice am public




#5
me_iauras

me_iauras

    Senior Member

  • Grup: Senior Members
  • Posts: 2,005
  • Înscris: 08.01.2009
Ce TTL are hostname-ul dinamic la care te conectezi (presupun ca nu folosesti IP-uri puse manual pt. router-ul de acasa) ; un nslookup pt. a confirma ca la failover IP-ul corespondent hostname-ului se schimba in realitate si ca DNS server-ul ISP-ului cu probleme returneaza IP-ul corect si ca nu-ti returneaza  o valoare din cache care nu mai e valida ?

Un trace facut de pe un laptop conectat la hotspot tel. cu Orange catre hostname-ul / IP-ul conexiunii RDS ce returneaza ; e totul ok sau e vreo bucla pentru vreo clasa a RDS-ului in reteaua Orange (ma gandesc ca ar trebui sa fie peering direct intre ei nu sa mai treaca prin 3rd party) ?

#6
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,928
  • Înscris: 07.03.2006
de pe orange, cand te conectezi la wireguard, folosind ip/ddns RDS, se conecteaza?
sau nu se conecteaza la serverul de wireguard ?
sau  se conecteaza dar nu ai internet/acces in local prin serverul de wireguard?

ce output ai la (din server):
sudo wg show

si pune si setarile clientului wireguard de pe care incerci sa te conectezi cu ip de orange.

#7
th3viper

th3viper

    Junior Member

  • Grup: Members
  • Posts: 29
  • Înscris: 03.01.2013

Vizualizare mesajme_iauras, pe 18 august 2022 - 08:54, a scris:

Ce TTL are hostname-ul dinamic la care te conectezi (presupun ca nu folosesti IP-uri puse manual pt. router-ul de acasa) ; un nslookup pt. a confirma ca la failover IP-ul corespondent hostname-ului se schimba in realitate si ca DNS server-ul ISP-ului cu probleme returneaza IP-ul corect si ca nu-ti returneaza  o valoare din cache care nu mai e valida ?

Un trace facut de pe un laptop conectat la hotspot tel. cu Orange catre hostname-ul / IP-ul conexiunii RDS ce returneaza ; e totul ok sau e vreo bucla pentru vreo clasa a RDS-ului in reteaua Orange (ma gandesc ca ar trebui sa fie peering direct intre ei nu sa mai treaca prin 3rd party) ?

ttl e 3600 si la RDS si Orange... insa nici cu IP direct nu merge.
Acum m-am uitat la nslookup .. si canci rezolvare pe Oro ...desi am IP fix si iei pe la ora asta m-am jucat in dns zone.
Attached File  2all.jpg   87.87K   15 downloads
Iar trace cu hotspot de pe oro not helpful..se duc in papusoi
Attached File  all.jpg   107.89K   18 downloads



Vizualizare mesajogo, pe 18 august 2022 - 09:17, a scris:

de pe orange, cand te conectezi la wireguard, folosind ip/ddns RDS, se conecteaza?
sau nu se conecteaza la serverul de wireguard ?
sau  se conecteaza dar nu ai internet/acces in local prin serverul de wireguard?

ce output ai la (din server):
sudo wg show

si pune si setarile clientului wireguard de pe care incerci sa te conectezi cu ip de orange.
tel oro - oro = ok
tel oro - digi = nimic (am incercat cu di DDNS de la ei si IP
tel ORO conectat la hotspot Vdf = ok si pe Digi si pe Oro

Attached File  vpn srv 1.jpg   48.03K   15 downloadsAttached File  vpn srv 2.jpg   49.51K   13 downloadsAttached File  vpn srv.jpg   78.22K   12 downloadsAttached File  Screenshot_20220818-114748_WireGuard.jpg   54.59K   7 downloadsAttached File  Screenshot_20220818-114801_WireGuard.jpg   90.87K   7 downloads

Pe tel, clientul de VPN nu da eroare la conectarea pe DiGi...da nu face nici un trafic...si nu am acces la net sau local.

La setari nu imi aduc aminte sa fi umblat..sau daca daca e sa fi facut ceva... nu la toate.

Ma mai gandesc si la vre`un update de la udmp sa strice, dar asta nu explica de ce nu merge ok din alte retele

#8
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,928
  • Înscris: 07.03.2006
1st of all: de ce ai 2 instante de wireguard?!

2: de ce ai acelasi ip local pe ambele interfete wireguard pt 2 peer-uri diferite: 10.100.100.2/32 ??????????????

3: 2 servere de wireguard => 2 subnet-uri diferite obligatoriu ca ai 2 tuneluri


/parerea mea
foloseste ca server de wireguard doar un ISP (chiar n-are rost sa folosesti datele mobile pt tunel atata timp cat ai o conexiune fixa de nX mai buna)

PS
seteaza si keep-alive pe clientii wireguard (15-25 sec).

greseala la 2
am citit prost

LE
ca fapt divers ORO(client)-RDS(server wireguard/ddns) merge "aici".
ORANGE (ip-uri mobil):
ipv4: RFC1918
ipv6: adresa publica.

Edited by Ravy, 18 August 2022 - 12:05.


#9
th3viper

th3viper

    Junior Member

  • Grup: Members
  • Posts: 29
  • Înscris: 03.01.2013
Le-am ieri ca nu mai intelegeam (si nici acum) ce se intampla.
Initial tin VPN doar pe oro..ca sigur nu pica...in zona am tot avut fibrele rupte ca sunt trase cu picioarele

VPN-ul e unu din scenariile care le pot invarti si sa mearga....pentru mine...dar buba mare e HomeAssistant .. care il foloseste si jumatatea... o mai pun sa isi porneasca vpn cand iese din casa..imi da cu toate in cap :)

Vizualizare mesajogo, pe 18 august 2022 - 11:24, a scris:


LE
ca fapt divers ORO(client)-RDS(server wireguard/ddns) merge "aici".
ORANGE (ip-uri mobil):
ipv4: RFC1918
ipv6: adresa publica.

nop..nu merge.doar oro-oro

#10
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,928
  • Înscris: 07.03.2006
in IOS (wireguard) poti pune automat sa se conecteze la VPN cand se deconecteaza de la reteaua wifi de acasa de ex si vice-versa.


eu as relua tot config-ul: stergi tot si o iei de la capat.
as folosi tutorialul oficial wireguard de aici:
https://github.com/W...(UDM,-UDR,-UXG)

#11
th3viper

th3viper

    Junior Member

  • Grup: Members
  • Posts: 29
  • Înscris: 03.01.2013
Da..frumos..pe android nu pare sa aiba posibilitatea asta.

Am mai facut ceva teste...si bine ca nu am inceput sa vb la orange ca bag de seama ca UDM-ul a luat`o pe pustiu.

Avem asa 3 tel (Oro,Digi,Vdf) si am pus pe toate 3 wireguard cu acceleasi 2 profile (fara nici o modificare adusa).

Pus jos eth8 (Digi) -> udm a trecut auto pe back-up (eth9 - Oro) = toate 3 tel s-au conectat la VPN (wg0-Oro) si au raspuns la ping
Ridicat eth8 si eth9 pus jos = toate 3 tel s-au connectat la VPN (wg1-Digi)

Ridicat si eth9...so ambele conexiuni up cu eth8 (Digi) ca primary..
Vdf = Digi ok / Oro nu
Digi = Digi ok / Oro nu
Oro = Digi nu / Oro da Posted image

Ai fi zis dupa primele 2 ca este expected, eth9/Oro fiind failover, da ce pisici are al 3lea scenariu diferit?

#12
me_iauras

me_iauras

    Senior Member

  • Grup: Senior Members
  • Posts: 2,005
  • Înscris: 08.01.2009
Cel mai probabil protocolul de rutare incearca sa raspunda traficului venit via eth8 RDS pe eth9 ORO pt. ca vede metrica mai scurta pe acolo catre clientul VPN (tel cu date ORO) insa acesta in mod normal respinge traficul pt. ca vine de la un endpoint necunoscut (nu ar trebui fiind vb de un config failover dar nu as fi asa sigur ca e atat de stric failover-ul in cazul asta particular ).
Ca sa confirmi ipoteza de ai sus ai avea nevoie de un SIM Vdf/DIGI cu IP public sa vezi daca poti replica comportamentul cu clienti telefoane mobile cu date identice cu conexiunea mobila a router-ului .
Sau ai putea clona traficul interfetei 4G a router-ului pe o alta interfata eth pe care sa ai o sesiune wireshark sa capteze ce pachete sunt in timpul conexiunii nefunctionale .

Edited by me_iauras, 18 August 2022 - 14:35.


#13
th3viper

th3viper

    Junior Member

  • Grup: Members
  • Posts: 29
  • Înscris: 03.01.2013
Tnx de info...
Din pacate nu am de unde sa mai fac rost de inca un sim...si cu wireshark nu am mai umblat din copilarie.

In config standard (tel date orange) -> ambele conexiuni up -> Am luat un tcpdump de pe ambele porturi si vad cand incearca se se conecteze la Digi, insa nici o alta miscare:
Attached File  tcpdump1.jpg   60.49K   8 downloads

Ce mi se pare dubios e pe eth9 (Oro). Multa galagie fara nici o conexiune up:
Attached File  tcpdump2.jpg   74.58K   9 downloads
Attached File  tcpdump3.jpg   315.14K   7 downloads

Edited by Ravy, 19 August 2022 - 09:20.


#14
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,928
  • Înscris: 07.03.2006
Tcpdump faci prima oara pe interfata wireguard (wgX) nu pe cea fizica (eth) sau logica (pppoe) ca sa vezi ce si daca trece ceva prin tunel.

#15
th3viper

th3viper

    Junior Member

  • Grup: Members
  • Posts: 29
  • Înscris: 03.01.2013

Vizualizare mesajogo, pe 19 august 2022 - 09:52, a scris:

Tcpdump faci prima oara pe interfata wireguard (wgX) nu pe cea fizica (eth) sau logica (pppoe) ca sa vezi ce si daca trece ceva prin tunel.
Tnx... am facut...daca incerc Oro -> Digi nu ajunge nimic, Oro->Oro sau Vdf -> Oro vad conexiuunile

Lasat tcp activ pe cea fizica am observat ca am un loop cand incerc Oro -> Digi
In orice alta varianta nu vad "migrarea", lucrurile raman pe interfata lor

# tcpdump -ni ppp0 port 51821 -vv
tcpdump: listening on ppp0, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes
12:27:59.952183 IP (tos 0x0, ttl 53, id 11846, offset 0, flags [DF], proto UDP (17), length 176)
109.166.130.0.13812 > 188.x.x.112.51821: [udp sum ok] UDP, length 148
12:28:04.992611 IP (tos 0x0, ttl 53, id 12491, offset 0, flags [DF], proto UDP (17), length 176)
109.166.130.0.13812 > 188.x.x..112.51821: [udp sum ok] UDP, length 148
12:28:10.012298 IP (tos 0x0, ttl 53, id 13257, offset 0, flags [DF], proto UDP (17), length 176)
109.166.130.0.13812 > 188.x.x..112.51821: [udp sum ok] UDP, length 148
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel
#


# tcpdump -ni eth9 port 51820 -vv
tcpdump: listening on eth9, link-type EN10MB (Ethernet), capture size 262144 bytes
12:27:53.941010 IP (tos 0x88, ttl 63, id 51181, offset 0, flags [none], proto UDP (17), length 176)
109.x.x.177.51820 > 109.166.130.0.17527: [udp sum ok] UDP, length 148
12:27:59.060944 IP (tos 0x88, ttl 63, id 51311, offset 0, flags [none], proto UDP (17), length 176)
109.x.x.177.51820 > 109.166.130.0.17527: [udp sum ok] UDP, length 148
12:28:04.692977 IP (tos 0x88, ttl 63, id 52702, offset 0, flags [none], proto UDP (17), length 176)
109.x.x.177.51820 > 109.166.130.0.17527: [udp sum ok] UDP, length 148
12:28:06.632772 IP (tos 0x0, ttl 63, id 54167, offset 0, flags [none], proto UDP (17), length 172)
109.x.x.177.51820 > 109.166.130.0.17527: [udp sum ok] UDP, length 144
12:28:09.470941 IP (tos 0x0, ttl 63, id 56031, offset 0, flags [none], proto UDP (17), length 860)
109.x.x.177.51820 > 109.166.130.0.17527: [udp sum ok] UDP, length 832
12:28:09.812973 IP (tos 0x88, ttl 63, id 56117, offset 0, flags [none], proto UDP (17), length 176)
109.x.x.177.51820 > 109.166.130.0.17527: [udp sum ok] UDP, length 148
^C
6 packets captured
6 packets received by filter
0 packets dropped by kernel
#


109.x.x.177 -> IP meu Oro
109.166.130.0. -> IP Tel Oro
188.x.x..112. -> IP meu Digi

Iar legat de metrice....toate sunt la fel:
# route
Kernel IP routing table
Destination	 Gateway		 Genmask		 Flags Metric Ref	Use Iface
10.0.0.1		*			   255.255.255.255 UH	0	  0		0 ppp0
10.100.9.0	  *			   255.255.255.240 U	 0	  0		0 br0
10.100.10.0	 *			   255.255.255.0   U	 0	  0		0 br10
10.100.20.0	 *			   255.255.255.0   U	 0	  0		0 br20
10.100.30.0	 *			   255.255.255.0   U	 0	  0		0 br30
10.200.0.0	  *			   255.255.0.0	 U	 30	 0		0 vti64
109.0.0.0	   *			   255.0.0.0	   U	 0	  0		0 eth9
203.0.113.0	 *			   255.255.255.0   U	 0	  0		0 dnsfilter
#


Edited by th3viper, 19 August 2022 - 11:36.


#16
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,928
  • Înscris: 07.03.2006
acolo nu iti apare nicio interfata wireguard.
ai un ipsec acolo: vti64 dar niciun wireguard.

incearca cu:
sudo ip route list


#17
th3viper

th3viper

    Junior Member

  • Grup: Members
  • Posts: 29
  • Înscris: 03.01.2013

Vizualizare mesajogo, pe 19 august 2022 - 13:20, a scris:

acolo nu iti apare nicio interfata wireguard.
ai un ipsec acolo: vti64 dar niciun wireguard.

incearca cu:
sudo ip route list
Pentru ca serverul de wireguard este dupa router, pe alta masina.

# sudo ip route list
10.0.0.1 dev ppp0 proto kernel scope link src 188.x.x.112
10.100.9.0/28 dev br0 proto kernel scope link src 10.100.9.1
10.100.10.0/24 dev br10 proto kernel scope link src 10.100.10.1
10.100.20.0/24 dev br20 proto kernel scope link src 10.100.20.1
10.100.30.0/24 dev br30 proto kernel scope link src 10.100.30.1
10.200.0.0/16 dev vti64 proto static scope link metric 30
109.0.0.0/8 dev eth9 proto kernel scope link src 109.x.x177
203.0.113.0/24 dev dnsfilter proto kernel scope link src 203.0.113.1
#


Sa sumarizes exact problema:
UDM (eth8/ppp0=Digi | eth9 = Oro) -> Server (port 6 / ip 10.100.9.10) unde am  wireguard + altele
  • Daca eth8 (ppp0) si eth9 sunt UP nu merge Tel Oro -> Tunel Digi
    • dar merge Tunel Oro
  • Daca eth8 (ppp0) si eth9 sunt UP merge Tel Digi -> Tunel Digi si Tel Vdf-> Tunel Digi
    • dar nu merge Tunel Oro
  • Daca eth8 (ppp0) UP si eth9 down merge Tel Oro -> Tunel Digi


#18
me_iauras

me_iauras

    Senior Member

  • Grup: Senior Members
  • Posts: 2,005
  • Înscris: 08.01.2009
Singura alta optiune de testare a ipotezei exprimate mai sus ar fi sa pui (temporar) in UDM interfata eth9 (ORO) ca primary/main in grupul de failover (invers fata de ce e configurat acum) si apoi sa vezi daca de pe tel cu SIM DIGI (sau mai bine tel conectat la Wifi-ul unui vecin tot cu Digi ca provider) intampini aceleasi probleme pe care le intampini acum in combo eth8 UP (DIGI main) + eth9 (ORO failover) + tel SIM ORO .

Anunturi

Chirurgia cranio-cerebrală minim invazivă Chirurgia cranio-cerebrală minim invazivă

Tehnicile minim invazive impun utilizarea unei tehnologii ultramoderne.

Endoscoapele operatorii de diverse tipuri, microscopul operator dedicat, neuronavigația, neuroelectrofiziologia, tehnicile avansate de anestezie, chirurgia cu pacientul treaz reprezintă armamentarium fără de care neurochirurgia prin "gaura cheii" nu ar fi posibilă. Folosind tehnicile de mai sus, tratăm un spectru larg de patologii cranio-cerebrale.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate