Ayuda Con varias interfaces sólo conecta por ethernet...

Imagen de N0mada
0 puntos

Hola a todos,

he instalado ubuntu porque quiero instalar un server VPN.
Pero me pasa lo siguiente:

A la VPN quiero acceder por una conexión GSM (un pincho HUAWEI de estos que hace de pata externa) y la pata interna que sea una ethernet. Por tanto necesito al menos 2 interfaces de red.

He instalado ssh, openvpn y hasta el vino-server y en todos me pasa lo mismo:

Si desde NetworkManager dejo sólo la conexión GSM perfecto, conecta con la IP externa sin problemas a la VPN, VNC para escritorio remoto, ssh ... todo.
Pero en cuanto conecto la red cableada, puff la conexión activa desde el exterior se cae, ssh ya no conecta, ni el vnc ni nada. Sin embargo funcionan perfectamente si ahora entro por la IP interna (la de ethernet)

Por qué le influye así el hecho de tener otro interfaz de red?

Gracias !!

Imagen de Scorpyo82
+1
0
-1

Tu problema es que cuando te conectas por ethernet todo funciona, pero cuando te conectas por wifi no...

Eso seguramente será porque el cortafuegos te cierra todo los puertos cuando te conectas por la interfaz no marcada como principal.

Lo puedes configurar con firestarter.

Por otro lado, si quieres asegurarte de como están iptables al momento de estar conectado haz lo siguiente.

Connecta solo por cable ethernet y ejecuta en una consola:

sudo iptables -S

Luego conecta por GSM y haz lo mismo.

sudo iptables -S

Y ya me dirás que sale en cada una.

Un saludo.

+1
0
-1

Si entro en Window$ estoy más tenso que en el bautizo de un gremlin.
Linux user: 545.017
Por favor, si solucionas el hilo añade [Solucionado] al título.

Imagen de N0mada
+1
0
-1

Vale,

las dos interfaces arriba.
No es exactamente WIFI sino un pincho de estos 3G, pero vamos que tengo:
eth0 y ppp0

entro con ssh por la IP de eth0 (por la de ppp0 no entra)
escribo:
sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

ahora tengo que bajar eth0 para poder conectar con ppp0
la bajo, conecta perfectamente por la ip externa

sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

y si ahora subo eth0 ... adiós conexión en ppp0 y volvemos al punto de partida.

+1
0
-1
Imagen de Scorpyo82
+1
0
-1

Problemas de iptables no es, que por cierto deberías mirar pues tienes todas las conexiones permitidas, y eso es un poco... no sé, has de revisarlo un poco.
Pero bueno ahora lo que toca es mirar que es lo que cambia cuando te conectas por eth0....

Caundo pierdes la conexión al subir eth0 es cuando tienes que mirar que es lo que cambia... mirate las iptables en ese momento a ver si cambia algo.

Pero aclárame una cosa...

Cuando levantas Eth0 pierdes línea por ppp0,
pero puedes conectar por Eth0 ¿no?

Es decir, la ip dominante en ese momento cambia a favor de la que te asigna Eth0 ¿no?

Voy a mirar a ver que puede ser, pero claro... yo creo que es un problema de red, ya que te te estás moviendo en el mismo ámbito de máscara de red... las dos te conectan a internet ¿no? tanto la ppp0 como la Eth0.... ¿o la Eth0 va conectada a un router?

Si pudieses especificar como tienes colocado todo el tinglado...

Un saludo.

+1
0
-1

Si entro en Window$ estoy más tenso que en el bautizo de un gremlin.
Linux user: 545.017
Por favor, si solucionas el hilo añade [Solucionado] al título.

Imagen de N0mada
+1
0
-1

Claro, te cuento:

De eth0 llego a un router que sale a internet.
De forma que la IP de eth0 es la típica 192.168.1.X

la de ppp0 es un 3G que da IP púbicas.

dentro de la red 1.X hay otras máquinas (una de las funciones de este ubuntu es hacer de server openvpn)

Para eso un cliente se conectaría con la IP externa púbica (la de 3G) y se le daría una IP del pool interno de la red 192.168.1.X
(cuando esto funcione ya nos ocuparemos de iptables y la seguridad)

Aunque el problema afecta a cualquier servicio, por coger como ejemplo sshd, no se porqué no escucha en esa interfaz si está también eth0
como bien dices si están ambas sí que escucha en eth0.

pero el listen 0.0.0.0 del conf de sshd en principio no restringe interfaces así que debería escuchar en ambas no ?
además que no es sólo de sshd pq afecta a vino, etc así que es a más bajo nivel, a nivel de red.

Estoy por probarlo en un CENTOS a ver que pasa...

Si necesitas más info dime .. yo estoy un poco perdido :(

+1
0
-1
Imagen de Scorpyo82
+1
0
-1

Claro, supongo que aun estando las dos interfaces activas ssh debería escuchar los puertos "22" en ambas interfaces...

Yo la verdad, es que tengo montado un tinglado parecido.

Tengo un servidor linux, que se conecta por wifi wlan0 a un router que lo conecta a internet.
Luego tiene una terjeta de red eth1 que ofrece servicio de resolucion DHCP a quien se conecta a ella, está conectado a un router neutro.

Al router neutro puedo conectar con cualquier cacharro y tengo acceso a internet porque el server está configurado para redirigir la info hacia wlan0.

El caso es que puedo conectar por ssh desde cualquier extremo.
Tanto desde internet (que estaría entrando por wlan0) hasta por la red local que genera el mismo servidor con su servicio de DHCP al conectarme al router neutro.

Así que no se exáctamente por qué te tira la conexión de una si tienes puesto la otra, es extraño...

Tal vez poniendo unas reglas en iptables puedas forzar a abrir los puertos en ambas interfaces.

Claro, yo no conozco como funciona una VPN pero te dejo el escript de iptables que hice para generar mis reglas al inicio para que veas como lo tengo puesto:
Nota: he puesto el puerto 22 para que se entienda cual es el de ssh, pero no tengo puesto ese y tu deves de cambiar puertos para que coincidan con tus características...

Comentan las lineas que no te valgan y cambia las que veas necesario, tal vez no te sirva mucho, pero te dará una idea de como puedes apañarlo.

Un saludo.

#!/bin/sh

# Borramos todas las reglas actuales de filtrado
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

# Por defecto tiramos todo los paquetes que entran al pc
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# Añadimos una regla para fail2ban-ssh
iptables -N fail2ban-ssh

# A tener en cuenta que el servidor se conecta por wlan0 a internet y
# por eth1 a la red local

# Regla de iptables para canalizar  lo que entra por eth1 (red) hacia wlan0 (internet) 
#iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
# Opción mejorable:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o wlan0 -j MASQUERADE

#Activación de ip_fordward
echo 1 > /proc/sys/net/ipv4/ip_forward

# Comenzamos a filtrar

# Permitimos todo el tráfico de loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Aceptamos todas las conexiones ya establecidas
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Filtramos las conexiones de SSH hacia fail2ban para que de el visto bueno
iptables -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN

# Permitimos acceso a HTTP y HTTPS (los puertos habituales para un servidor web)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Habilitamos conexiones al puerto 22 de SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Permito acceso desde la red interna
iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT

# Permito conexiones al puerto 53 (DNS) en la tarjeta que brinda internet o al 68 y 67 para dnsmasq
iptables -A INPUT -i eth1 -p udp --sport 68 --dport 67 -m state --state NEW -j ACCEPT
#iptables -A INPUT -i eth1 -s 0.0.0.0/0 -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -i eth1 -s 0.0.0.0/0 -p udp --dport 53 -j ACCEPT

# Permitimos que se haga ping al server
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT 

# Descomentar para permitir el tráfico HTTP y HTTPS para FORWARD
#iptables -A FORWARD -i eth1 -s 192.168.0.0/24 -p tcp --dport 80 -j  ACCEPT
#iptables -A FORWARD -i eth1 -s 192.168.0.0/24 -p tcp --dport 443 -j ACCEPT

# Descomentar para permitir tráfico para msn
#iptables -A FORWARD -i eth1 -s 192.168.0.0/24 -p tcp --dport 1864 -j  ACCEPT
#iptables -A FORWARD -i eth1 -s 192.168.0.0/24 -p tcp --dport 1863 -j  ACCEPT

+1
0
-1

Si entro en Window$ estoy más tenso que en el bautizo de un gremlin.
Linux user: 545.017
Por favor, si solucionas el hilo añade [Solucionado] al título.