Zablokovaný Turris po přidání pravidla do firewallu

Dne 2016-11-29 15:35 Upraveno 2016-11-29 15:40

Zdravím.

Stala se mi taková nemilá věc. Turris (ta úplně první verze, tedy 1.0) mám na veřejné IP adrese a za ním na LAN domácí server, na který mám přesměrované vybrané porty. Vše jsem vždy konfiguroval přes webové rozhraní, přímo do konfiguračních souborů jsem nesahal.

Na tom serveru za Turrisem jsem chtěl nově rozjet IKEv2 VPN server. Udělal jsem tedy přesměrování UDP portů 4500 a 500 na lokální IP toho serveru a změny jsem uložil a aplikoval. Vše v pohodě. Následně jsem chtěl přidat ještě port 50 na protokolu ESP (popravdě o něm slyším poprvé), který ale v Turrisu není. Takže jsem zvolil Ostatní (nebo jak se ta poslední možnost u protokolu jmenuje) a port 50 na lokální IP serveru a dal jsem uložit a aplikovat a od té chvíle je Turris tuhý.

Já jsem bohužel služebně v zahraničí, takže se teď přesně nepodívám na nějakou hlubší diagnostiku, ale když přítelkyně byla router zkontrolovat, tak říkala, že svítí všechny LED diody. Tak jsem jí řekl, ať ho na chvíli vypne ze zásuvky a zase zapne, tak pak už Turris běžně blikal, ale stejně vůbec neodpovídá a stále je úplně mrtvý. Ani WiFi nejede - z popisu přítelkyně jen nemůžu 100% říct, jestli WiFi vůbec není vidět nebo jen na ní není internet, ale každopádně ani když zkusila zadat lokální IP routeru, tak se na něj nedostala. No a router není neposílá statistiky do portálu - je vidět výpadek v odesílání dat. Vypadá to tedy, že se něco docela dost pokazilo :smile:

A teď co s tím? Ano, když bude nejhůř, udělám reset do továrních nastavení, což by mělo pomoct. Bude s tím jen práce to zase nakonfigurovat. Ale existuje ještě něco jiného, co bych mohl zkusit, až se vrátím domů?

Ale ten primární důvod proč to sem píšu - skoro mi to přijde jako bug :smile:

Protože neumím si představit, proč by jedno přesměrování portů mělo udělat takovou strašnou neplechu, že ani nejde internet a Turris neposílá data do portálu. Navíc těch přesměrovaných portů už tam pár mám a všechny fungují, takže by neměl být ani problém v tom, že jsem to třeba někde nějak něco blbě nastavil. Všechny předchozí přesměrování mi fungovaly a jen tohle port 50 na protokolu Ostatní (nebo jak se jmenuje ta poslední volba) způsobí takový problém.

Od commar

Dne 2016-11-29 16:10

Není port 50 třeba vyhrazen pro nějakou jinou službu?

Zeptám se trochu drze a asi se oboříte že by to mělo fungovat a je to běžná věc,
ale co vás vede k tomu, dělat takové zásahy když nemáte fyzický přístup k tomu routeru?
Nedovedu si představit admina, který by dělal zásahy ze zahraničí, třeba na serveru a neměl to zálohovaný člověkem fyzicky
poblíž. U nás by ho asi někdo zabil. Asi majitel. Ve vašem případě přítelkyně. :grin:

Od lukasberan

Dne 2016-11-29 16:17 Upraveno 2016-11-29 16:22

Port 50 já určitě k ničemu nevyužívám, takže žádné jiné přesměrování na tom portu tam nemám. Jinak dle listu portů a služeb 50 TCP i UDP slouží pro Remote Mail Checking Protocol (netuším, k čemu se používá).

Jinak ano, byl to risk a byl jsem si toho vědom, ale doma bývám velmi málo, takže času na dělání těchto změn lokálně je velmi málo. Navíc tohle zrovna (VPN) konkrétně jsem dělal kvůli tomu, že to právě zrovna teď potřebuji :smile:

Až budu doma, tak už to nejspíš zase potřebovat nebudu. A doteď jsem to také ještě nepotřeboval.

Jinak nefunkčnost není zase až takový problém, prostě nejde internet, který ale stejně prakticky nikdo nevyužívá :smile:

Přítelkyně doma počítač prakticky nevyužívá a na mobilu má mobilní internet, takže si ani nevšimla, že od včerejšího odpoledne nejde internet :smile:

Až budu doma, tak to vyřeším a teď to není nijak nutné. Sem jsem napsal primárně kvůli tomu, abychom společně ověřili, jestli to není náhodou bug. Kdybych si byl jistý svou chybou, tak bych sem ani nepsal, ale tohle mi opravdu spíš přijde jako bug :smile:

Od commar

Dne 2016-11-29 22:35

Mě jen napadlo, že pokud použijete port 50, který je předurčen k něčemu jinému, asi nějaké vzdálené ovládání mail účtu nebo serveru, může to firewall vyhodnotit jako pokus o zásah a něco blokne.
Chápu že vás net nepálí, pokud vám tak neběží nějaké služby a přítelkyně má přístup přes mobilní data.
Budou vám jen naskakovat dny za neodeslané data na NIC.CZ
Čož je škoda. Ale nemyslím si že to je bug na Turrisu.
Standartně se doporučuje používat vyšší čísla portů, která nejsou
vyhrazena pro jiné služby.
Uvidíme, třeba nám to někdo zkušenější vysvětlí.

Od lukasberan

Dne 2016-11-30 08:49

S tím bohužel nic nenadělám. IKEv2 tento port vyžaduje a bez něj by nejspíš vůbec nefungovala. A používat jiný port asi nebude možné. Ani nevím, kdy bych ten port změnil jak na serveru tak i na klientovi. Takže to ani není jen moje vlastní rozhodnutí použít tento port, ale ta služba ho vyžaduje a asi s tím ani nic nenadělám. https://blogs.technet.microsoft.com/rrasblog/2006/06/14/which-ports-to-unblock-for-vpn-traffic-to-pass-through/

Od Ondřej Caletka (>>>)

Dne 2016-11-30 12:47 Hlasů 1

Problém se mi podařilo reprodukovat. Skutečně pokud použijete přesměrování a jako protokol zvolíte Ostatní…, ocitne se v konfiguraci firewallu pravidlo, které přesměrovává všechny protokoly, což v kombinaci s čísly portů nedává smysl, takže skript generující konfiguraci firewallu zhavaruje a nenastaví žádná pravidla do tabulky nat. Můj router nicméně zůstal dostupný z WAN strany po IPv4. Pokud ten váš ne, a nechcete procházet obnovením továrního nastavení, je potřeba připojit sériový kabel a v souboru /etc/config/firewall vymazat příslušné pravidlo config redirect, které bude mít option proto 'all'.

> IKEv2 tento port vyžaduje a bez něj by nejspíš vůbec nefungovala. A používat jiný port asi nebude možné. Ani nevím, kdy bych ten port změnil jak na serveru tak i na klientovi. Takže to ani není jen moje vlastní rozhodnutí použít tento port, ale ta služba ho vyžaduje a asi s tím ani nic nenadělám. https://blogs.technet.microsoft.com/rrasblog/2006/06/14/which-ports-to-unblock-for-vpn-traffic-to-pass-through/

Dávejte si pozor na názvosloví. Citovaný dokument požaduje:

> IP Protocol Type=ESP (value 50) <- Used by IPSec data path

Tedy protokol číslo 50, zvaný též ESP, nikoli port číslo 50. Porty jsou totiž definovány jen pro protokoly TCP, UDP, SCTP a DCCP, jak ostatně uvádí chyba, na které firewall skončil:

> Need TCP, UDP, SCTP or DCCP with port specification

Je tedy potřeba přesměrovat protokol číslo 50, což musíte v LuCI udělat tak, že nejprve definujete nějaké přesměrování, třeba protokolu UDP, nebudete uvádět žádné porty, jen cílovou adresu. Danou položku pak editujete a v roletce protokolu vyberete „-- custom --“ a do textového políčka na jeho místě napíšete buď esp nebo 50. A dělejte to samozřejmě v dosahu routeru, abyste to mohl případně opravit, když se něco nepovede.

Od commar

Dne 2016-11-30 13:03

Kdepak, pan Caletka je odborník na svém místě, ten nezklame...
Děkujeme...

Od lukasberan

Dne 2016-11-30 16:25

Díky moc! Nejsem zase tak zkušený síťař, takže s tím názvoslovím k protokolu se omlouvám za nepřesnost.

Zkusím ještě nějaké pokusy z LAN (přes počítač přítelkyně vzdáleně) a pokud se mi to nepodaří, tak udělám reset do továrních nastavení.

Jinak můj router nezůstal dostupný ani z WAN po IPv4, protože když zkusím SSH, což je jediná služba přímo na routeru dostupná z WAN (vedoucí do honeypotu), tak se nepřipojím, takže z toho soudím, že router ani po IPv4 z WAN dostupný není. Ale i kdyby byl, stejně by mi to nepomohlo, protože kromě toho SSH honeypotu tam nic jiného z WAN dostupné není :smile:

Pokud to ale tedy dobře chápu, tak to vypadá na bug, že?

Od Ondřej Caletka (>>>)

Dne 2016-11-30 21:36 Hlasů 1

Honeypot dostupný určitě nebude, protože ten je realizovaný pomocí NATu. Vlastně mě napadá, že SSH a webové rozhraní by mělo být dostupné i z LAN strany - to jsem netestoval.

Ano, jde o bug v LuCI, které umožňuje vybrat kombinaci, která nedává smysl – tedy všechny protokoly a zároveň čísla portů. Kdyby to někdo nahlásil vývojářům LuCi, bylo by to dobré.

Od lukasberan

Dne 2016-12-01 18:04

Až budu doma, tak vyzkouším, jestli bude nějaké síťové připojení k routeru fungovat. Bylo by to super, abych to nemusel resetovat.

Každopádně ještě jednou MOC díky za vyzkoušení a vysvětlení :wink:

Od lukasberan

Dne 2016-12-06 12:37

Tak vyzkoušeno. Z lokální sítě jsem se na Turris připojil, v administraci jsem pak smazal to vadné pravidlo a vše už zase funguje. Ještě jednou moc díky!