Skip to main content

Hallo Experts,

 

Situatie is als volgt:

  • Ik heb een Odido glasfiber (Verbinding A) en mijn broer ook (Verbinding 😎. Beide 1gbit glasvezel.
  • Al jaren draai ik een backup via ssh/rsnapshot, dagelijks twee kanten uit (A->B, B->A)
  • Sinds een aantal dagen is ALLE connectivity van verbinding A naar B en omgekeerd onmogelijk. Dus geen SSH maar ook geen HTTPs.
  • Via KPN, 5G en andere internet verbindingen (noem deze even verbinding C) is verbinding mogelijk naar beide Odido aansluitingen (dus van C naar A of van C naar 😎. Dit betekend volgens mij dat de firewalls etc op A en B correct zijn (deze zijn ook niet gewijzigd).
  • Ik gebruik wel fail2ban maar alllen voor sshd. Fail2Ban rapporteerd niet de IPs in kwestie.

 

Vragen:

  1. Zijn er andere mensen met hetzelfde probleem?
  1. Is er iemand van het Odido tech team die kan uitzoeken of er iets actief geblokeerd wordt tussen A en B? B.v. door misschien traffic size/ type?

 

Misschien interresant om te vermelden dat verbinding A een Zyzel EX5601-T1 gebruikt en verbinding B een DrayTek Vigor2132F, beide van Odido.

 

Net een NAT forwarding gedaan op B naar port 2222 ipv 22, maakt niet uit.

 

Als ik een tcpdump doe op verbinding B en dan gewoon connect via ssh vanuit A naar B lijkt er wel wat verkeer binnen te komen:
 tcpdump -i any tcp port 22

10:36:08.792834 eth0  In  IP BBB-BBB-BBB-BBB.ftth.glasoperator.nl.47334 > 192.168.1.2.ssh: Flags , seq 119988956, win 64240, options imss 1456,sackOK,TS val 288131988 ecr 0,nop,wscale 7], length 0
10:36:08.793009 eth0  Out IP 192.168.1.2.ssh > BBB-BBB-BBB-BBB.ftth.glasoperator.nl.47334: Flags FS.], seq 2463605915, ack 119988957, win 65160, options tmss 1460,sackOK,TS val 4148224586 ecr 288131988,nop,wscale 7], length 0
10:36:09.798088 eth0  Out IP 192.168.1.2.ssh > BBB-BBB-BBB-BBB.ftth.glasoperator.nl.47334: Flags S.], seq 2463605915, ack 119988957, win 65160, options pmss 1460,sackOK,TS val 4148225592 ecr 288131988,nop,wscale 7], length 0
10:36:09.846186 eth0  In  IP BBB-BBB-BBB-BBB.ftth.glasoperator.nl.47334 > 192.168.1.2.ssh: Flags , seq 119988956, win 64240, options mss 1456,sackOK,TS val 288133042 ecr 0,nop,wscale 7], length 0

BBB-BBB-BBB-BBB is dan het IP van verbinding A.
192.168.1.2 is de machine die de tcpdump draait (waar de NAT rule voor port 22 naar wijst).

Ik kan alleen niet aan bovenstaande tcpdump zien wat er niet goed zou gaan. Het ssh -vvv command geeft uiteindelijk gewoon een timeout:
debug3: set_sock_tos: set socket 3 IP_TOS 0x48
debug1: connect to address AAA.AAA.AAA.AAA port 22: Connection timed out

 

 

Heb je SSH key’s uitgewisseld tussen beide locaties? Wellicht dat die verlopen zijn? En je ze even opnieuw moet aanmaken?

Bedankt voor je suggestie, heb geprobeerd de .ssh/known_hosts leeg te maken maar kom zelf niet zover dat er een key exchange plaatsvind.

 

Ik gebruik overigens nu gewoon aanmelding met username/password dus gebruik geen ssh keys (voor de test). Een key mismatch zou ook een foutmelding geven geen timeout.

Duidelijk! Je weet 100% zeker dat op 1 van de twee de firewall hem toch niet per ongeluk blokt?

Ik weet niks zeker helaas, vandaar de hulpvraag. Maar iptables op de servers tonen geen rules op basis van IPs (als ik fail2ban uitzet). De Odido routers hebben beide geen speciale rules, behalve NAT poort 22 van “any” naar 192.168.1.2, zoals dit al jaren in ingericht.

 

De Zyzel EX5601-T1 router firewall staat op medium (altijd zo geweest), alleen de router software laat verder niet zien wat dat wil zeggen. Maar tenzij dat random (hidden) rules zijn toevoegd (al dan automatisch, danwel via Odido), is daar ook niks mis mee (gezien het feit dat ik buiten Odido wel op de server kan komen). Probleem is dat firewall settings aardig zijn afgeschermd in de router dus kan daar niks nakijken.

 

Als ik test van buiten Odido (KPN glasvezel, 5G via telefoon) kan ik op beide server gewoon inloggen met ssh. Mijn conclusie zou dan zijn dat er geen firewall probleem is.

 

 

Je hebt het nog niet geprobeerd vanaf een andere Odido Thuis verbinding dan deze twee toch? 

Nee, heb alleen maar deze twee.

Staat die voor iedereen open die jouw IP Adres weet? Ik wil best kijken voor je of ik verbinding krijg vanuit Odido Thuis.

Goeie tip toch, bedacht me dat mijn vader (D) ook Odido heeft, dus daar even putty gestart via teamviewer (wat wel allemaal werkte) en kan wel connecten van D naar B maar niet van D naar A (A is mijn eigen connectie).

 

Ik denk toch dat Odido een blokkade op mijn aansluting (A) heeft gezet. Aangezien ik wel van KPN en 5G kan connecten, maar niet vanuit andere Odido klanten. Als dat zo is dan is dat wel heel ondoorzichtig uitgevoerd, ik weet van niks, heb ook geen andere dingen gedaan met mijn internet dan ik altijd al heb gedaan.

 

Ik zou deze week door 2e lijns gebeld worden, de normale helpdesk kon niets nakijken.

 

Ik zou deze week door 2e lijns gebeld worden, de normale helpdesk kon niets nakijken.

Dat is dan weer goed om te lezen. Je IP Adres is niet per ongeluk gewijzigd?

Nee IP is niet gewijzigd. Zou het graag willen wijzigen maar een release/ renew op het public IP doet dat niet. Misschien weet iemand hoe je dat kan doen?

Nee IP is niet gewijzigd. Zou het graag willen wijzigen maar een release/ renew op het public IP doet dat niet. Misschien weet iemand hoe je dat kan doen?

Dat lukt helaas niet met standaard apparatuur 😃 Ik kan dat wel met mijn Unifi apparatuur door het MAC Adres te clonen van een ander apparaat.

Nog niks gehoord van Odido…. :(

Nog niks gehoord van Odido…. :(

Dat is balen! 😞 hebben ze wel echt een ticket gemaakt?

Ja had er mail over gehad.

Vandaag hebben we contact gehad over je vraag. Ik heb de melding doorgezet naar onze technische dienst. Binnen 1 werkdag ontvang je van ons een reactie. Je referentienummer is: 73508XXX. We houden je op de hoogte van de voortgang.

Aantal dingen geprobeerd ondertussen:

 

Router Zyxel EX5601-T1 weer vervangen door Zyxel VMG8825-T50 die ik nog had (volledig gereset). Met de T50 ander public IP gekregen, maar probleem was er nog steeds. Teruggeswapped naar de T1, weer een ander public IP gekregen, maar probleem was er nog steeds.

 

Andere server met linux geprobeerd, daar de NAT mapping naar gemaakt. Maakt niet uit.

 

Vervolgens de helpdesk nog eens gebeld, de status opgevraagd van het ticket, blijkbaar afgewezen door 2e lijn. Er is mij verteld dat “hosting” niet gesupport wordt voor consumenten. Dus daarmee is het verhaal ten einde (ook fijn die terugkoppeling hierover).

 

Er wordt mij verwezen naar de community, daar zouden ook de techneuten moeten zitten, maar heb slechts 1 persoon die reageert.

 

Kortom een dead end op meedere fronten. Ik denk dus dat ik op zoek kan naar een andere internet provider. Jammer, was ondertussen al sinds 2018 klant.

Gisteren is er toch nog een follow up geweest vanuit een vriendelijke 1e lijns helpdeskmedewerker.

 

Nogmaals een verzoek ingeschoten bij de technische dienst en nog wat testen gedaan. Een daarvan was via een Ziggo verbinding, die gewoon werkte richting verbinding A.

 

Een andere suggestie was het activeren van de diagnostic startup in Windows 11 (via msconfig), na herstart kon ik niet meer inloggen op mijn PC en heb vandaag de hele dag gespendeerd om Windows 11 en de applicaties ervan te herinstalleren. Zou dat niet snel meer aan iemand vragen. Blijkbaar een bekend probleem als ik nu onderzoek op het internet.

 

Ik ga nog mijn Zyxel VMG8825-T50 een keer proberen op verbinding B, misschien dat dat nog met iets helpt.

Reageer


ForumvoorwaardenCookie instellingen