1 Temat przez Qwinto

  • Qwinto
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-06-20
  • Posty: 22

Temat: DDNS i zdalny dostęp

Problemy z konfiguracją DDNS i zdalnym dostępem ssh

Pacjent to TP-Link TL-WR1043N/ND v3 z oprogramowaniem OpenWrt Chaos Calmer 15.05.1 r49389.

Próbuję skonfigurować DDNS dla noip.com. Mam wgrane wymagane pakiety:
ddns-scripts     2.4.3-2
ddns-scripts_no-ip_com     2.4.3-2

Plik konfiguracyjny wygląda następująco:

root@OpenWrt:~# cat /etc/config/ddns
config ddns "global"
        option date_format "%F %R"
        option log_lines "250"
        option allow_local_ip "0"
config service "myddns_ipv4"
        option service_name     "noip.com"
        option domain           "host.no-ip.org"
        option username         "user"
        option password         "password"
        option interface        "wwan"
        option ip_source        "network"
        option ip_network       "wwan"

Jednak adres się nie uaktualnia. W logach mam:

 213422       : verbose mode  : 0 - run normal, NO console output
 213422  WARN : Service section disabled! - TERMINATE
 213422  WARN : PID '14444' exit WITH ERROR '1' at 2017-01-02 21:34

konfigi opieram o :
https://wiki.openwrt.org/doc/howto/ddns.client
http://eko.one.pl/?p=openwrt-ddns
Do rutera internet przychodzi za pomocą WiFi  (UPC Wi-Free)

Drugi problem to dostęp zdalny via ssh. Na maszynie wirtualnej udało mi się to zrobić bezproblemowo. Natomiast na routerze to nie chce zadziałać. Config /etc/config/firewall wygląda tak:

config rule
        option name 'ssh'
        option src 'wwan'
        option target 'ACCEPT'
        option proto 'tcp'
        option dest_port '222'

Konfiguracja dropbeara wygląda tak:

root@OpenWrt:~# cat /etc/config/dropbear

config dropbear
        option PasswordAuth 'on'
        option Port '22'
        option Interface 'lan'

config dropbear
        option PasswordAuth 'on'
        option Port '222'
        option Interface 'wwan'
        option GatewayPorts 'on'

Ktoś pomoże?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,060

Odp: DDNS i zdalny dostęp

1.

option enabled '1' nie masz.


2.

Wywal ten option Interface 'wwan' bo dropbear nie wstanie jeżeli nie będzie wwan przed jego uruchomieniem. Następne - na pewno masz sekcję wwan a nie wan? Po trzecie - kto jest dostawcą? Jeżeli to modem komórkowy to wykupiłeś odpowiednią usługę?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez Qwinto (edytowany przez Qwinto 2017-01-02 23:18:20)

  • Qwinto
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-06-20
  • Posty: 22

Odp: DDNS i zdalny dostęp

1. option enabled '1' nie masz.

EDIT: Działa

2. Wywal ten option Interface 'wwan' bo dropbear nie wstanie jeżeli nie będzie wwan przed jego uruchomieniem. Następne - na pewno masz sekcję wwan a nie wan? Po trzecie - kto jest dostawcą?

Do rutera internet przychodzi za pomocą WiFi  (UPC Wi-Free)

AP TL-WR1043ND robi za klienta, mam stałe zewnętrzne IP:

Type: dhcp
Address: 89.64.189.xx
Netmask: 255.255.255.128
Gateway: 89.64.189.1
DNS 1: 62.179.1.60
DNS 2: 62.179.1.61
Wireless
Generic 802.11bgn Wireless Controller (radio0)    
[Signal: -54 dBm / Noise: -95 dBm]
80%    SSID: UPC Wi-Free
Mode: Client
Channel: 9 (2.452 GHz)
Bitrate: 144.4 Mbit/s
BSSID: 06:7C:34:
Encryption: None
Associated Stations
MAC-Address    06:7C:34:
Network        Client "UPC Wi-Free"
Signal        -54 dBm
Noise        -94 dBm
RX Rate        144.4 Mbit/s, MCS 15, 20MHz
TX Rate        144.4 Mbit/s, MCS 15, 20MHz

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,060

Odp: DDNS i zdalny dostęp

To jeszcze na tym zewnętrznym routerze który daje wifi dla 1043 musisz przekierowania portów zrobić (lub dmz).

Ten adres to adres IP na modemie UPC, tak?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez Qwinto

  • Qwinto
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-06-20
  • Posty: 22

Odp: DDNS i zdalny dostęp

To nie do końca tak jest. Sieć "UPC Wi-Free" jest dla routera UPC transparentna, działa jakby na jego WANie. Tzn abonent ma swój adres IP, potem jest NAT, potem LAN i wewnętrzna sieć WiFi klienta.
Przy "UPC Wi-Free" loguje się przez dane dostępowe (WPA2-EAP) bezpośrednio do struktury UPC i dostaję oddzielny adres IP. W tym przypadku router z WiFi od UPC służy jedynie jako AP. Mój 1043 odbiera ten sygnał i u siebie robi NATa. Więc to tutaj się konfiguruje przekierowania portów.

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,060

Odp: DDNS i zdalny dostęp

Ok, więc jedyna zamiana jaką powinieneś zrobić to na 1043 otworzenie określonych portów dla wwan - o ile tak faktycznie nadałeś nazwę.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez Qwinto

  • Qwinto
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-06-20
  • Posty: 22

Odp: DDNS i zdalny dostęp

Ustawiałem firewall, ale chyba czegoś brakuje, bo to nie działa:

root@OpenWrt:~# cat /etc/config/firewall
config rule
        option name 'ssh'
        option src 'wwan'
        option target 'ACCEPT'
        option proto 'tcp'
        option dest_port '222'

Mogę wkleić całego /etc/config/firewall

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,060

Odp: DDNS i zdalny dostęp

Pokaż
uci show network
uci show wireless

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez Qwinto

  • Qwinto
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-06-20
  • Posty: 22

Odp: DDNS i zdalny dostęp

uci show network

network.loopback=interface
network.loopback.ifname='lo'
network.loopback.proto='static'
network.loopback.ipaddr='127.0.0.1'
network.loopback.netmask='255.0.0.0'
network.globals=globals
network.globals.ula_prefix='fd3c:5f17:40c2::/48'
network.lan=interface
network.lan.ifname='eth1'
network.lan.force_link='1'
network.lan.type='bridge'
network.lan.proto='static'
network.lan.netmask='255.255.255.0'
network.lan.ip6assign='60'
network.lan.ipaddr='10.4.4.2'
network.wan=interface
network.wan.ifname='eth0'
network.wan.proto='dhcp'
network.wan6=interface
network.wan6.ifname='eth0'
network.wan6.proto='dhcpv6'
network.@switch[0]=switch
network.@switch[0].name='switch0'
network.@switch[0].reset='1'
network.@switch[0].enable_vlan='1'
network.@switch_vlan[0]=switch_vlan
network.@switch_vlan[0].device='switch0'
network.@switch_vlan[0].vlan='1'
network.@switch_vlan[0].ports='0 1 2 3 4'
network.@switch_vlan[1]=switch_vlan
network.@switch_vlan[1].device='switch0'
network.@switch_vlan[1].vlan='2'
network.@switch_vlan[1].ports='5 6'
network.wwan=interface
network.wwan.proto='dhcp'

uci show wireless

wireless.radio0=wifi-device
wireless.radio0.type='mac80211'
wireless.radio0.hwmode='11g'
wireless.radio0.path='platform/qca955x_wmac'
wireless.radio0.htmode='HT20'
wireless.radio0.txpower='25'
wireless.radio0.country='US'
wireless.radio0.channel='11'
wireless.@wifi-iface[0]=wifi-iface
wireless.@wifi-iface[0].network='wwan'
wireless.@wifi-iface[0].ssid='UPC Wi-Free'
wireless.@wifi-iface[0].device='radio0'
wireless.@wifi-iface[0].mode='sta'
wireless.@wifi-iface[0].encryption='wpa2'
wireless.@wifi-iface[0].eap_type='peap'
wireless.@wifi-iface[0].auth='MSCHAPV2'
wireless.@wifi-iface[0].identity='login'
wireless.@wifi-iface[0].password='password'
wireless.@wifi-iface[0].bssid='06:7C:34:'

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,060

Odp: DDNS i zdalny dostęp

Zrestartuj dropbear /etc/init.d/dropbear i zobacz czy działa. Bez restartu routera.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez Qwinto

  • Qwinto
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-06-20
  • Posty: 22

Odp: DDNS i zdalny dostęp

root@OpenWrt:~# /etc/init.d/dropbear restart
interface wwan has no physdev or physdev has no suitable ip

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,060

Odp: DDNS i zdalny dostęp

Właśnie. Zostaw sekcję dropbear domyślne, niech nasłuchuje na wszystkim na porcie 22. I otwórz sobie port 22 zamiast 222.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez Qwinto

  • Qwinto
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-06-20
  • Posty: 22

Odp: DDNS i zdalny dostęp

Ale przy takiej konfiguracji:

root@OpenWrt:~# cat /etc/config/dropbear

config dropbear
        option PasswordAuth 'on'
        option Port '22'
        option Interface 'lan'

udostępnianie nic nie daje. Dopisanie wwan do option Interface powoduje tylko komunikat przy restarcie:

interface lan wwan has no physdev or physdev has no suitable ip

Firewall ma tak:

config rule
        option name 'ssh'
        option src 'wwan'
        option target 'ACCEPT'
        option proto 'tcp'
        option dest_port '22'

Sprawdzając np poprzez Aero2 dostaje odpowiedź na pinga, ale ssh jest odrzucone.

14 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,060

Odp: DDNS i zdalny dostęp

Bez  option Interface 'lan'. Niech słucha na wszystkim.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

15 Odpowiedź przez Qwinto

  • Qwinto
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-06-20
  • Posty: 22

Odp: DDNS i zdalny dostęp

Już to właśnie ćwiczyłem. Nie działa. Może jeszcze coś na firewallu blokuje?

16 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,060

Odp: DDNS i zdalny dostęp

W ogóle cokolwiek wystawione działa? WWW czy inna usługa?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

17 Odpowiedź przez Qwinto

  • Qwinto
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-06-20
  • Posty: 22

Odp: DDNS i zdalny dostęp

Nic nie działa. Wydaje mi się że to przez to że defaultowa konfiguracja firewalla jest na wan, a u mnie jest interfejs wwan (wireless wan).

18 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,060

Odp: DDNS i zdalny dostęp

Dodaj sobie wwan do sekcji wan firewalla.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

19 Odpowiedź przez Qwinto

  • Qwinto
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-06-20
  • Posty: 22

Odp: DDNS i zdalny dostęp

Którą sekcję masz na myśli?

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option network 'lan'

config zone
        option name 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        option network 'wan wan6 wwan'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fe80::/10'
        option src_port '547'
        option dest_ip 'fe80::/10'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config rule
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config rule
        option scr 'wwan'
        option name 'ssh'
        option target 'ACCEPT'
        option proto 'tcp'
        option dest_port '22'

20 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,060

Odp: DDNS i zdalny dostęp

name "wan" oczywiście. I masz dodany wwan już tam.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

21 Odpowiedź przez Qwinto

  • Qwinto
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-06-20
  • Posty: 22

Odp: DDNS i zdalny dostęp

Do się jeszcze coś skonfigurować w firewallu?
Chciałem dzisiaj porobić jeszcze testy, ale użytkownik routera chyba oszczędza na prądzie bo wyłączył router.

Dodatkowe pytanie. Ogarnąłem wysyłanie emaila przez msmtp. Jaki skrypt jest uruchamiany podczas logowania? Chodzi o to żeby automatycznie wysłać emaila o zalogowaniu na konto.

22 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,060

Odp: DDNS i zdalny dostęp

/etc/profile

Nie, na firewallu nic więcej poza otworzeniem portu nie robisz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

23 Odpowiedź przez Qwinto

  • Qwinto
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2016-06-20
  • Posty: 22

Odp: DDNS i zdalny dostęp

Dzięki za pomoc.
A łącze aktualnie wygląda tak:

PunBB bbcode test

24 Odpowiedź przez khain (edytowany przez khain 2017-01-05 08:14:10)

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: DDNS i zdalny dostęp

@Qwinto: może to pomoże: Używam Openwrt CC z Luci od Cezarego na WDR3600, jeśli zrobię reboot router to ssh jest niedostępne od  strony WAN. Dopiero jak zrobię Save & Apply w System -> Administration (nie trzeba wprowadzać żadnych zamian) wtedy ssh od strony WAN jest dostępne. Po ponownym reboocie routera znowu ssh od strony WAN jest niedostępne (z LANu można się połączyć).
@Cezary: Jak włączyć dostęp do ssh od strony WAN na stałe?

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

25 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,060

Odp: DDNS i zdalny dostęp

@khain:
uci show dropbear
uci show network

pokaż. Bo zaraz się okaże że specjalnie ustawiłeś żeby dropbear słuchał na wanie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona