最近拉了一条电信宽带,顺便申请了下公网 ip,都很顺利.
然后立马在光猫上把家里的 win10 3389 和和 debian 22 端口都映射出去了,
问题来了,当要从公司访问家里的 3389 端口时,提示输入账号密码之后,卡在正在加密远程连接,后提示内部错误
用 ssh 连接的时候,卡在了
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
日志如下
debug1: kex: client->server aes192-ctr [email protected] none
debug1: kex: [email protected] need=24 dh_need=24
debug1: kex: [email protected] need=24 dh_need=24
debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
Connection closed by 117.30.58.140
实在时没办法了,在家里的 debian 上用 nc 开启一个 echo 服务器,在公司电脑里用 nc 连接上去,
第一次输入 qq 立即回显 qq,第二次输入 ww 的时候就收不到了.
tcpdump 抓包后用 wireshark 打开后日志如下:
可以看到,在第 7 行,ack 的时,seq 被修改了.导致一直重传.
看起来就像是家里的服务器回复一条消息之后,后面消息被阻挡了.
目前不清楚是什么原因引起.
求各位大佬帮忙解答一下.
1
Jamy OP 图片无法显示,可右键复制图片地址,再在浏览器打开.
|
2
sasalemma 2021-01-05 17:27:53 +08:00
建议你用手机比如 juiceSSH 、Termius 一类的 4G 、5G 网 ssh 回家一下。
一说到公司,就不说深信服,这种加密类的访问,公司内部被 Kill 的可能性不是没有。 |
4
boris93 2021-01-05 17:33:56 +08:00 via Android
其实 RDP 和 SSH 不建议暴露到公网
你在路由上开个 L2TP 服务器,用的时候连到内网再登陆 |
5
hanxiV2EX 2021-01-05 17:50:18 +08:00
3389 映射成 13389
22 映射成 11022 |
6
hanxiV2EX 2021-01-05 17:50:42 +08:00
1024 以下的端口都被禁止了的
|
8
ik 2021-01-05 18:04:16 +08:00 via iPhone
北京联通可以直接用公网 22 端口。
在你的内网试试 ssh 公网 -p 端口 呢? |
11
hanxiV2EX 2021-01-05 18:47:46 +08:00 via Android
难道现在是按协议来屏蔽了
|
13
Jamy OP @ik 具体日志
``` OpenSSH_6.7p1 Debian-5+deb8u4, OpenSSL 1.0.1t 3 May 2016 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: Applying options for * debug1: Connecting to 117.30.58.140 [117.30.58.140] port 19822. debug1: connect to address 117.30.58.140 port 19822: Connection refused ssh: connect to host 117.30.58.140 port 19822: Connection refused ``` |
16
ik 2021-01-05 19:52:46 +08:00 via iPhone
另外公网 ip 在运营商提供的设备上的话,也还是不排除运营商的问题…
|
17
levenwindy 2021-01-05 19:58:00 +08:00 via Android
先在家弄好
手机安卓下载官方 RD Client 用 4g 连接看看 成功之后再回公司看看 1.确保 win10 服务完全开启远程服务 2.核对远程登录账号和密码是否启用和正确,有详细教程的。 3.路由器端口弄回 3389,并用扫描端口是否启用 4. 手机端设置 4g/本地 WiFi 连接看看 不成功肯定是有哪一步弄错,多看几个教程,有些教程有缺失的 |
18
sasalemma 2021-01-05 20:03:02 +08:00
|
19
ericbize 2021-01-05 20:07:04 +08:00
你用电脑不经路由器直接拨号,试试 3389 通不通
|
20
jasonyang9 2021-01-05 20:12:08 +08:00
如果说的是在内网无法通过外网地址访问经过 DNAT 映射到外网的服务,则需要考虑端口回流,也就是需要路由器对这种数据包进行一次 SNAT,用自己的内网地址作为源地址向内网服务请求,收到响应后反向做 SNAT 和 DNAT,最后返回给内网请求的主机
|
21
zzw1998 2021-01-05 20:22:13 +08:00
有考虑过防火墙的问题吗,光猫 /路由器 /电脑上的?
|
22
Jamy OP @levenwindy 不只是 3389 端口, 我自己用 nc 搭建 echo 服务器都有会问题.
|
23
Jamy OP @sasalemma 用的是电信的天翼光猫自动拨号的, 我没输入过宽带的账号密码,光猫自带的 wifi 可直接上网, 我的电脑通过网线连接到 tplink 路由器, tplink 路由器又是无线桥接到光猫, 如果要自己拨号的话, 光猫的自带 wifi 就要停掉了
|
25
Jamy OP @zzw1998 windows 的防火墙都关掉了, linux 的没开启防火墙.
针对在 linux 上 echo 服务器的测试情况是, 能正常连接上, 第一次输入能正常返回,第二次偶尔能正常接收到,第三之后的收不到了,而这个 echo 服务器,在内网测试都时正常的. |
26
laminux29 2021-01-05 20:49:47 +08:00
1.内网准备两台 Windows 电脑,相互测试远程桌面,看看行不行。
2.内网两台 Windows 电脑,都打开远程桌面功能,都映射端口到公网,看看行不行。 3.家里的路由器和猫,路由器换成 TPLink300 元以上最新款,猫换成电信运营商推荐的。 ps. mstsc 端口映射,高版本 windows 需要同时映射 tcp 与 udp,还要在 Windows 里的防火墙,允许远程桌面服务。建议这两个位置,都截个图来看看。 另外,很多年前,我在思科交换机上遇到过一个 bug,tcp 连接发送特定的 104 字节的数据,会被断开。 |
27
Jamy OP @jasonyang9 多谢提醒, 我找个时间测试一下
|
28
Jamy OP @laminux29 远程桌面时没问题的, 内网都两台 window 都相互连接过, 并且我通过 frp 把远程桌面穿透到公司内网 也都能正常访问.问题时 ssh 端口,自己搭建服务器开的端口都出现同样的问题,可以肯定不是远程桌面设置的问题.
给我感觉是, 内网主动发出的连接外网的都没问题, 由外网主动发起连接到内网的请求都会有问题. |
29
Xusually 2021-01-05 21:01:14 +08:00
L2TP vpn 回家,用内网 ip 吧。
|
30
icegaze 2021-01-05 21:13:22 +08:00 via Android
运营商的防火墙封锁了 tcp 进入。
这个最简单,效率最高。 封锁什么特定端口,特定协议,,,那都弱爆了… 直接阻断 new 连接就行了。 |
31
Tumblr 2021-01-05 21:13:27 +08:00
我一直是把内网端口映射出去,然后通过公网 IP 连接回来的,没有出过问题。
楼主应该是厦门的吧?也不应该有什么端口屏蔽(除了 80 和 443 )。 @hanxiV2EX #6 不存在你说的情况,我映射出去的都是低位端口( 1024 以下)。 |
32
sasalemma 2021-01-05 21:18:40 +08:00
|
35
tankren 2021-01-06 09:08:21 +08:00
胆子真大
|
39
wm5d8b 2021-01-06 09:57:18 +08:00 via Android
运营商限制,电信公网 IP 开了端口,VPS 、电信 4G 、移动 4G 能访问,联通 4G 、移动宽带不能访问
|
40
wm5d8b 2021-01-06 09:58:28 +08:00 via Android
奇怪的是,群晖账号实名认证后,5001 从哪都能访问
|
41
LockeyQQ 2021-01-06 11:26:22 +08:00
映射端口改成其他的,3389 22 这些随缘封。
|
42
laminux29 2021-01-06 11:58:41 +08:00
@Jamy 给你一个巧办法试试,你在家里电脑装个向日葵,4 节点是免费的。
然后,从公司远程桌面到家里,有问题时,先用向日葵登录到桌面里。向日葵成功登录后,你再用公司的电脑的 windows 远程桌面,来进行远程试试。很久以前我遇到过一个类似的问题,就是这样解决的。 如果还不行,你只能换换路由器,测试一下,不行就换个猫,测试一下。如果还不行,电信找客服报工单,问问管技术的师傅。 |
44
dreamage 2021-01-06 17:06:56 +08:00
都抓包看到了,运营商的问题呗
|
45
anaf 2021-01-06 17:14:40 +08:00
进入光猫超级管理员账号 把光猫拨号去掉换成桥接 用路由器拨号
|