无法访问电信公网 ip 后的远程桌面和 ssh

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 1402 天前的主题，其中的信息可能已经有所发展或是发生改变。

最近拉了一条电信宽带,顺便申请了下公网 ip,都很顺利.

然后立马在光猫上把家里的 win10 3389 和和 debian 22 端口都映射出去了,

问题来了,当要从公司访问家里的 3389 端口时,提示输入账号密码之后,卡在正在加密远程连接,后提示内部错误

用 ssh 连接的时候,卡在了

debug1: expecting SSH2_MSG_KEX_ECDH_REPLY

日志如下

debug1: kex: client->server aes192-ctr [email protected] none
debug1: kex: [email protected] need=24 dh_need=24
debug1: kex: [email protected] need=24 dh_need=24
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
Connection closed by 117.30.58.140

实在时没办法了,在家里的 debian 上用 nc 开启一个 echo 服务器,在公司电脑里用 nc 连接上去,

第一次输入 qq 立即回显 qq,第二次输入 ww 的时候就收不到了.

tcpdump 抓包后用 wireshark 打开后日志如下:

可以看到,在第 7 行,ack 的时,seq 被修改了.导致一直重传.

看起来就像是家里的服务器回复一条消息之后,后面消息被阻挡了.

目前不清楚是什么原因引起.

求各位大佬帮忙解答一下.

47 条回复 • 2021-01-07 09:06:15 +08:00

Jamy

2021-01-05 17:19:56 +08:00

图片无法显示,可右键复制图片地址,再在浏览器打开.

sasalemma

2021-01-05 17:27:53 +08:00

建议你用手机比如 juiceSSH 、Termius 一类的 4G 、5G 网 ssh 回家一下。
一说到公司，就不说深信服，这种加密类的访问，公司内部被 Kill 的可能性不是没有。

Jamy

2021-01-05 17:31:31 +08:00

@sasalemma 跟公司应该没关系, 我用自己阿里云的一台服务器试过了一样的问题

boris93

2021-01-05 17:33:56 +08:00 via Android

其实 RDP 和 SSH 不建议暴露到公网
你在路由上开个 L2TP 服务器，用的时候连到内网再登陆

hanxiV2EX

2021-01-05 17:50:18 +08:00

3389 映射成 13389
22 映射成 11022

hanxiV2EX

2021-01-05 17:50:42 +08:00

1024 以下的端口都被禁止了的

Jamy

2021-01-05 17:54:58 +08:00

@hanxiV2EX 抱歉,忘说了,我是把 3389 映射到 19833,把 22 隐身到 19822

2021-01-05 18:04:16 +08:00 via iPhone

北京联通可以直接用公网 22 端口。

在你的内网试试 ssh 公网 -p 端口呢？

Jamy

2021-01-05 18:44:06 +08:00

@ik 内网是可以的

Jamy

2021-01-05 18:44:40 +08:00

@Jamy 对不起看错了内网用公网的 ip 是连不上的.

hanxiV2EX

2021-01-05 18:47:46 +08:00 via Android

难道现在是按协议来屏蔽了

2021-01-05 18:48:07 +08:00 via iPhone

@Jamy 那恐怕是你网络的问题哦

Jamy

2021-01-05 18:49:57 +08:00

@ik 具体日志
```
OpenSSH_6.7p1 Debian-5+deb8u4, OpenSSL 1.0.1t 3 May 2016
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to 117.30.58.140 [117.30.58.140] port 19822.
debug1: connect to address 117.30.58.140 port 19822: Connection refused
ssh: connect to host 117.30.58.140 port 19822: Connection refused
```

2021-01-05 19:40:38 +08:00 via iPhone

@Jamy 你的 ip 暴露了

Connection refused 连接被重置了。具体原因得你自己排查了

Jamy

2021-01-05 19:52:14 +08:00

@ik 没关系, 我重启路由器了, ip 又换了
但是我在外网是可以连接上去的,不明白内网用公网 ip 为啥不行.

2021-01-05 19:52:46 +08:00 via iPhone

另外公网 ip 在运营商提供的设备上的话，也还是不排除运营商的问题…

levenwindy

2021-01-05 19:58:00 +08:00 via Android

先在家弄好
手机安卓下载官方 RD Client 用 4g 连接看看
成功之后再回公司看看
1.确保 win10 服务完全开启远程服务
2.核对远程登录账号和密码是否启用和正确，有详细教程的。
3.路由器端口弄回 3389，并用扫描端口是否启用
4. 手机端设置 4g/本地 WiFi 连接看看
不成功肯定是有哪一步弄错，多看几个教程，有些教程有缺失的

sasalemma

2021-01-05 20:03:02 +08:00

@Jamy

个人觉得是光猫问题，大多时候，一般网关的路由，如果是内网连外网的 ip，而外网 ip 是 wan 口，都是内循环，实际上并没有出家门，就被本地路由了。所以换个路由拨号试试？

ericbize

2021-01-05 20:07:04 +08:00

你用电脑不经路由器直接拨号，试试 3389 通不通

jasonyang9

2021-01-05 20:12:08 +08:00

如果说的是在内网无法通过外网地址访问经过 DNAT 映射到外网的服务，则需要考虑端口回流，也就是需要路由器对这种数据包进行一次 SNAT，用自己的内网地址作为源地址向内网服务请求，收到响应后反向做 SNAT 和 DNAT，最后返回给内网请求的主机

zzw1998

2021-01-05 20:22:13 +08:00

有考虑过防火墙的问题吗，光猫 /路由器 /电脑上的？

Jamy

2021-01-05 20:35:11 +08:00

@levenwindy 不只是 3389 端口, 我自己用 nc 搭建 echo 服务器都有会问题.

Jamy

2021-01-05 20:42:15 +08:00

@sasalemma 用的是电信的天翼光猫自动拨号的, 我没输入过宽带的账号密码,光猫自带的 wifi 可直接上网, 我的电脑通过网线连接到 tplink 路由器, tplink 路由器又是无线桥接到光猫, 如果要自己拨号的话, 光猫的自带 wifi 就要停掉了

Jamy

2021-01-05 20:43:55 +08:00

@ericbize 现在是通过光猫直接获取 ip 的,不需要拨号

Jamy

2021-01-05 20:48:35 +08:00

@zzw1998 windows 的防火墙都关掉了, linux 的没开启防火墙.
针对在 linux 上 echo 服务器的测试情况是, 能正常连接上, 第一次输入能正常返回,第二次偶尔能正常接收到,第三之后的收不到了,而这个 echo 服务器,在内网测试都时正常的.

laminux29

2021-01-05 20:49:47 +08:00

1.内网准备两台 Windows 电脑，相互测试远程桌面，看看行不行。

2.内网两台 Windows 电脑，都打开远程桌面功能，都映射端口到公网，看看行不行。

3.家里的路由器和猫，路由器换成 TPLink300 元以上最新款，猫换成电信运营商推荐的。

ps.

mstsc 端口映射，高版本 windows 需要同时映射 tcp 与 udp，还要在 Windows 里的防火墙，允许远程桌面服务。建议这两个位置，都截个图来看看。

另外，很多年前，我在思科交换机上遇到过一个 bug，tcp 连接发送特定的 104 字节的数据，会被断开。

Jamy

2021-01-05 20:50:58 +08:00

@jasonyang9 多谢提醒, 我找个时间测试一下

Jamy

2021-01-05 20:58:01 +08:00

@laminux29 远程桌面时没问题的, 内网都两台 window 都相互连接过, 并且我通过 frp 把远程桌面穿透到公司内网也都能正常访问.问题时 ssh 端口,自己搭建服务器开的端口都出现同样的问题,可以肯定不是远程桌面设置的问题.

给我感觉是,
内网主动发出的连接外网的都没问题,
由外网主动发起连接到内网的请求都会有问题.

Xusually

2021-01-05 21:01:14 +08:00

L2TP vpn 回家，用内网 ip 吧。

icegaze

2021-01-05 21:13:22 +08:00 via Android

运营商的防火墙封锁了 tcp 进入。
这个最简单，效率最高。
封锁什么特定端口，特定协议，，，那都弱爆了… 直接阻断 new 连接就行了。

Tumblr

2021-01-05 21:13:27 +08:00

我一直是把内网端口映射出去，然后通过公网 IP 连接回来的，没有出过问题。
楼主应该是厦门的吧？也不应该有什么端口屏蔽（除了 80 和 443 ）。

@hanxiV2EX #6 不存在你说的情况，我映射出去的都是低位端口（ 1024 以下）。

sasalemma

2021-01-05 21:18:40 +08:00

@Jamy

无线桥，查下这里了。tPlink 是用无线 WDS 桥接还是 WIPS 桥接？哪怕是 openwrt 系都有些问题，有些包过不过去。

laminux29

2021-01-05 23:42:14 +08:00

@Jamy 路由器与猫的具体品牌+型号？建议换个 TPLink 试试。

Jamy

2021-01-06 09:05:25 +08:00

@sasalemma 今天把 linux 直接连接光猫了,不走 tplink 路由器了, 还是一样问题.

tankren

2021-01-06 09:08:21 +08:00

胆子真大

Jamy

2021-01-06 09:08:41 +08:00

@laminux29
光猫是天翼-c9a0
路由器是 tplink TL-WDR7661 千兆易展版

Jamy

2021-01-06 09:09:13 +08:00

@tankren 何来胆子大一说?

tankren

2021-01-06 09:55:48 +08:00

@Jamy 当心被爆

wm5d8b

2021-01-06 09:57:18 +08:00 via Android

运营商限制，电信公网 IP 开了端口，VPS 、电信 4G 、移动 4G 能访问，联通 4G 、移动宽带不能访问

wm5d8b

2021-01-06 09:58:28 +08:00 via Android

奇怪的是，群晖账号实名认证后，5001 从哪都能访问

LockeyQQ

2021-01-06 11:26:22 +08:00

映射端口改成其他的，3389 22 这些随缘封。

laminux29

2021-01-06 11:58:41 +08:00

@Jamy 给你一个巧办法试试，你在家里电脑装个向日葵，4 节点是免费的。

然后，从公司远程桌面到家里，有问题时，先用向日葵登录到桌面里。向日葵成功登录后，你再用公司的电脑的 windows 远程桌面，来进行远程试试。很久以前我遇到过一个类似的问题，就是这样解决的。

如果还不行，你只能换换路由器，测试一下，不行就换个猫，测试一下。如果还不行，电信找客服报工单，问问管技术的师傅。

Jamy

2021-01-06 13:35:39 +08:00

@laminux29 多谢,方法不错

dreamage

2021-01-06 17:06:56 +08:00

都抓包看到了，运营商的问题呗

anaf

2021-01-06 17:14:40 +08:00

进入光猫超级管理员账号把光猫拨号去掉换成桥接用路由器拨号

Jamy

2021-01-06 17:36:11 +08:00

@anaf 多谢建议, 我试试看

Jamy

2021-01-07 09:06:15 +08:00

@anaf 果然是光猫拨号的问题, 换成路由器拨号问题完美解决!