V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Jamy
V2EX  ›  宽带症候群

无法访问电信公网 ip 后的远程桌面和 ssh

  •  
  •   Jamy · 2021-01-05 17:18:48 +08:00 · 5730 次点击
    这是一个创建于 1447 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近拉了一条电信宽带,顺便申请了下公网 ip,都很顺利.

    然后立马在光猫上把家里的 win10 3389 和和 debian 22 端口都映射出去了,

    问题来了,当要从公司访问家里的 3389 端口时,提示输入账号密码之后,卡在正在加密远程连接,后提示内部错误

    用 ssh 连接的时候,卡在了

    debug1: expecting SSH2_MSG_KEX_ECDH_REPLY

    日志如下

    debug1: kex: client->server aes192-ctr [email protected] none
    debug1: kex: [email protected] need=24 dh_need=24
    debug1: kex: [email protected] need=24 dh_need=24
    debug1: sending SSH2_MSG_KEX_ECDH_INIT
    debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
    Connection closed by 117.30.58.140
    

    实在时没办法了,在家里的 debian 上用 nc 开启一个 echo 服务器,在公司电脑里用 nc 连接上去,

    第一次输入 qq 立即回显 qq,第二次输入 ww 的时候就收不到了.

    tcpdump 抓包后用 wireshark 打开后日志如下:

    skDVBj.md.png

    可以看到,在第 7 行,ack 的时,seq 被修改了.导致一直重传.

    看起来就像是家里的服务器回复一条消息之后,后面消息被阻挡了.

    目前不清楚是什么原因引起.

    求各位大佬帮忙解答一下.

    47 条回复    2021-01-07 09:06:15 +08:00
    Jamy
        1
    Jamy  
    OP
       2021-01-05 17:19:56 +08:00
    图片无法显示,可右键复制图片地址,再在浏览器打开.
    sasalemma
        2
    sasalemma  
       2021-01-05 17:27:53 +08:00
    建议你用手机比如 juiceSSH 、Termius 一类的 4G 、5G 网 ssh 回家一下。
    一说到公司,就不说深信服,这种加密类的访问,公司内部被 Kill 的可能性不是没有。
    Jamy
        3
    Jamy  
    OP
       2021-01-05 17:31:31 +08:00
    @sasalemma 跟公司应该没关系, 我用自己阿里云的一台服务器试过了 一样的问题
    boris93
        4
    boris93  
       2021-01-05 17:33:56 +08:00 via Android
    其实 RDP 和 SSH 不建议暴露到公网
    你在路由上开个 L2TP 服务器,用的时候连到内网再登陆
    hanxiV2EX
        5
    hanxiV2EX  
       2021-01-05 17:50:18 +08:00
    3389 映射成 13389
    22 映射成 11022
    hanxiV2EX
        6
    hanxiV2EX  
       2021-01-05 17:50:42 +08:00
    1024 以下的端口都被禁止了的
    Jamy
        7
    Jamy  
    OP
       2021-01-05 17:54:58 +08:00
    @hanxiV2EX 抱歉,忘说了,我是把 3389 映射到 19833,把 22 隐身到 19822
    ik
        8
    ik  
       2021-01-05 18:04:16 +08:00 via iPhone
    北京联通可以直接用公网 22 端口。

    在你的内网试试 ssh 公网 -p 端口 呢?
    Jamy
        9
    Jamy  
    OP
       2021-01-05 18:44:06 +08:00
    @ik 内网是可以的
    Jamy
        10
    Jamy  
    OP
       2021-01-05 18:44:40 +08:00
    @Jamy 对不起看错了 内网用公网的 ip 是连不上的.
    hanxiV2EX
        11
    hanxiV2EX  
       2021-01-05 18:47:46 +08:00 via Android
    难道现在是按协议来屏蔽了
    ik
        12
    ik  
       2021-01-05 18:48:07 +08:00 via iPhone
    @Jamy 那恐怕是你网络的问题哦
    Jamy
        13
    Jamy  
    OP
       2021-01-05 18:49:57 +08:00
    @ik 具体日志
    ```
    OpenSSH_6.7p1 Debian-5+deb8u4, OpenSSL 1.0.1t 3 May 2016
    debug1: Reading configuration data /etc/ssh/ssh_config
    debug1: /etc/ssh/ssh_config line 19: Applying options for *
    debug1: Connecting to 117.30.58.140 [117.30.58.140] port 19822.
    debug1: connect to address 117.30.58.140 port 19822: Connection refused
    ssh: connect to host 117.30.58.140 port 19822: Connection refused
    ```
    ik
        14
    ik  
       2021-01-05 19:40:38 +08:00 via iPhone
    @Jamy 你的 ip 暴露了

    Connection refused 连接被重置了。 具体原因得你自己排查了
    Jamy
        15
    Jamy  
    OP
       2021-01-05 19:52:14 +08:00
    @ik 没关系, 我重启路由器了, ip 又换了
    但是我在外网是可以连接上去的,不明白内网用公网 ip 为啥不行.
    ik
        16
    ik  
       2021-01-05 19:52:46 +08:00 via iPhone
    另外公网 ip 在运营商提供的设备上的话,也还是不排除运营商的问题…
    levenwindy
        17
    levenwindy  
       2021-01-05 19:58:00 +08:00 via Android
    先在家弄好
    手机安卓下载官方 RD Client 用 4g 连接看看
    成功之后再回公司看看
    1.确保 win10 服务完全开启远程服务
    2.核对远程登录账号和密码是否启用和正确,有详细教程的。
    3.路由器端口弄回 3389,并用扫描端口是否启用
    4. 手机端设置 4g/本地 WiFi 连接看看
    不成功肯定是有哪一步弄错,多看几个教程,有些教程有缺失的
    sasalemma
        18
    sasalemma  
       2021-01-05 20:03:02 +08:00
    @Jamy

    个人觉得是光猫问题,大多时候,一般网关的路由,如果是内网连外网的 ip,而外网 ip 是 wan 口,都是内循环,实际上并没有出家门,就被本地路由了。所以换个路由拨号试试?
    ericbize
        19
    ericbize  
       2021-01-05 20:07:04 +08:00
    你用电脑不经路由器直接拨号,试试 3389 通不通
    jasonyang9
        20
    jasonyang9  
       2021-01-05 20:12:08 +08:00
    如果说的是在内网无法通过外网地址访问经过 DNAT 映射到外网的服务,则需要考虑端口回流,也就是需要路由器对这种数据包进行一次 SNAT,用自己的内网地址作为源地址向内网服务请求,收到响应后反向做 SNAT 和 DNAT,最后返回给内网请求的主机
    zzw1998
        21
    zzw1998  
       2021-01-05 20:22:13 +08:00
    有考虑过防火墙的问题吗,光猫 /路由器 /电脑上的?
    Jamy
        22
    Jamy  
    OP
       2021-01-05 20:35:11 +08:00
    @levenwindy 不只是 3389 端口, 我自己用 nc 搭建 echo 服务器都有会问题.
    Jamy
        23
    Jamy  
    OP
       2021-01-05 20:42:15 +08:00
    @sasalemma 用的是电信的天翼光猫自动拨号的, 我没输入过宽带的账号密码,光猫自带的 wifi 可直接上网, 我的电脑通过网线连接到 tplink 路由器, tplink 路由器又是无线桥接到光猫, 如果要自己拨号的话, 光猫的自带 wifi 就要停掉了
    Jamy
        24
    Jamy  
    OP
       2021-01-05 20:43:55 +08:00
    @ericbize 现在是通过光猫直接获取 ip 的,不需要拨号
    Jamy
        25
    Jamy  
    OP
       2021-01-05 20:48:35 +08:00
    @zzw1998 windows 的防火墙都关掉了, linux 的没开启防火墙.
    针对在 linux 上 echo 服务器的测试情况是, 能正常连接上, 第一次输入能正常返回,第二次偶尔能正常接收到,第三之后的收不到了,而这个 echo 服务器,在内网测试都时正常的.
    laminux29
        26
    laminux29  
       2021-01-05 20:49:47 +08:00
    1.内网准备两台 Windows 电脑,相互测试远程桌面,看看行不行。

    2.内网两台 Windows 电脑,都打开远程桌面功能,都映射端口到公网,看看行不行。

    3.家里的路由器和猫,路由器换成 TPLink300 元以上最新款,猫换成电信运营商推荐的。

    ps.

    mstsc 端口映射,高版本 windows 需要同时映射 tcp 与 udp,还要在 Windows 里的防火墙,允许远程桌面服务。建议这两个位置,都截个图来看看。

    另外,很多年前,我在思科交换机上遇到过一个 bug,tcp 连接发送特定的 104 字节的数据,会被断开。
    Jamy
        27
    Jamy  
    OP
       2021-01-05 20:50:58 +08:00
    @jasonyang9 多谢提醒, 我找个时间测试一下
    Jamy
        28
    Jamy  
    OP
       2021-01-05 20:58:01 +08:00
    @laminux29 远程桌面时没问题的, 内网都两台 window 都相互连接过, 并且我通过 frp 把远程桌面穿透到公司内网 也都能正常访问.问题时 ssh 端口,自己搭建服务器开的端口都出现同样的问题,可以肯定不是远程桌面设置的问题.

    给我感觉是,
    内网主动发出的连接外网的都没问题,
    由外网主动发起连接到内网的请求都会有问题.
    Xusually
        29
    Xusually  
       2021-01-05 21:01:14 +08:00
    L2TP vpn 回家,用内网 ip 吧。
    icegaze
        30
    icegaze  
       2021-01-05 21:13:22 +08:00 via Android
    运营商的防火墙封锁了 tcp 进入。
    这个最简单,效率最高。
    封锁什么特定端口,特定协议,,,那都弱爆了… 直接阻断 new 连接就行了。
    Tumblr
        31
    Tumblr  
       2021-01-05 21:13:27 +08:00
    我一直是把内网端口映射出去,然后通过公网 IP 连接回来的,没有出过问题。
    楼主应该是厦门的吧?也不应该有什么端口屏蔽(除了 80 和 443 )。

    @hanxiV2EX #6 不存在你说的情况,我映射出去的都是低位端口( 1024 以下)。
    sasalemma
        32
    sasalemma  
       2021-01-05 21:18:40 +08:00
    @Jamy

    无线桥,查下这里了。tPlink 是用无线 WDS 桥接还是 WIPS 桥接?哪怕是 openwrt 系都有些问题,有些包过不过去。
    laminux29
        33
    laminux29  
       2021-01-05 23:42:14 +08:00
    @Jamy 路由器与猫的具体品牌+型号?建议换个 TPLink 试试。
    Jamy
        34
    Jamy  
    OP
       2021-01-06 09:05:25 +08:00
    @sasalemma 今天把 linux 直接连接光猫了,不走 tplink 路由器了, 还是一样问题.
    tankren
        35
    tankren  
       2021-01-06 09:08:21 +08:00
    胆子真大
    Jamy
        36
    Jamy  
    OP
       2021-01-06 09:08:41 +08:00
    @laminux29
    光猫是天翼-c9a0
    路由器是 tplink TL-WDR7661 千兆易展版
    Jamy
        37
    Jamy  
    OP
       2021-01-06 09:09:13 +08:00
    @tankren 何来胆子大一说?
    tankren
        38
    tankren  
       2021-01-06 09:55:48 +08:00
    @Jamy 当心被爆
    wm5d8b
        39
    wm5d8b  
       2021-01-06 09:57:18 +08:00 via Android
    运营商限制,电信公网 IP 开了端口,VPS 、电信 4G 、移动 4G 能访问,联通 4G 、移动宽带不能访问
    wm5d8b
        40
    wm5d8b  
       2021-01-06 09:58:28 +08:00 via Android
    奇怪的是,群晖账号实名认证后,5001 从哪都能访问
    LockeyQQ
        41
    LockeyQQ  
       2021-01-06 11:26:22 +08:00
    映射端口改成其他的,3389 22 这些随缘封。
    laminux29
        42
    laminux29  
       2021-01-06 11:58:41 +08:00
    @Jamy 给你一个巧办法试试,你在家里电脑装个向日葵,4 节点是免费的。

    然后,从公司远程桌面到家里,有问题时,先用向日葵登录到桌面里。向日葵成功登录后,你再用公司的电脑的 windows 远程桌面,来进行远程试试。很久以前我遇到过一个类似的问题,就是这样解决的。

    如果还不行,你只能换换路由器,测试一下,不行就换个猫,测试一下。如果还不行,电信找客服报工单,问问管技术的师傅。
    Jamy
        43
    Jamy  
    OP
       2021-01-06 13:35:39 +08:00
    @laminux29 多谢,方法不错
    dreamage
        44
    dreamage  
       2021-01-06 17:06:56 +08:00
    都抓包看到了,运营商的问题呗
    anaf
        45
    anaf  
       2021-01-06 17:14:40 +08:00
    进入光猫超级管理员账号 把光猫拨号去掉换成桥接 用路由器拨号
    Jamy
        46
    Jamy  
    OP
       2021-01-06 17:36:11 +08:00
    @anaf 多谢建议, 我试试看
    Jamy
        47
    Jamy  
    OP
       2021-01-07 09:06:15 +08:00
    @anaf 果然是光猫拨号的问题, 换成路由器拨号 问题完美解决!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5477 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 80ms · UTC 08:57 · PVG 16:57 · LAX 00:57 · JFK 03:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.