未分類
25 12 月 2020

无法访问电信公网 ip 后的远程桌面和 ssh

无法访问电信公网 ip 后的远程桌面和 ssh

資深大佬 : Jamy 4

最近拉了一条电信宽带,顺便申请了下公网 ip,都很顺利.

然后立马在光猫上把家里的 win10 3389 和和 debian 22 端口都映射出去了,

问题来了,当要从公司访问家里的 3389 端口时,提示输入账号密码之后,卡在正在加密远程连接,后提示内部错误

用 ssh 连接的时候,卡在了

debug1: expecting SSH2_MSG_KEX_ECDH_REPLY

日志如下

debug1: kex: client->server aes192-ctr [email protected] none debug1: kex: [email protected] need=24 dh_need=24 debug1: kex: [email protected] need=24 dh_need=24 debug1: sending SSH2_MSG_KEX_ECDH_INIT debug1: expecting SSH2_MSG_KEX_ECDH_REPLY Connection closed by 117.30.58.140

实在时没办法了,在家里的 debian 上用 nc 开启一个 echo 服务器,在公司电脑里用 nc 连接上去,

第一次输入 qq 立即回显 qq,第二次输入 ww 的时候就收不到了.

tcpdump 抓包后用 wireshark 打开后日志如下:

无法访问电信公网 ip 后的远程桌面和 ssh

可以看到,在第 7 行,ack 的时,seq 被修改了.导致一直重传.

看起来就像是家里的服务器回复一条消息之后,后面消息被阻挡了.

目前不清楚是什么原因引起.

求各位大佬帮忙解答一下.

大佬有話說 (47)

  • 資深大佬 : Jamy

    图片无法显示,可右键复制图片地址,再在浏览器打开.

  • 資深大佬 : sasalemma

    建议你用手机比如 juiceSSH 、Termius 一类的 4G 、5G 网 ssh 回家一下。
    一说到公司,就不说深信服,这种加密类的访问,公司内部被 Kill 的可能性不是没有。

  • 資深大佬 : Jamy

    @sasalemma 跟公司应该没关系, 我用自己阿里云的一台服务器试过了 一样的问题

  • 資深大佬 : boris93

    其实 RDP 和 SSH 不建议暴露到公网
    你在路由上开个 L2TP 服务器,用的时候连到内网再登陆

  • 資深大佬 : hanxiV2EX

    3389 映射成 13389
    22 映射成 11022

  • 資深大佬 : hanxiV2EX

    1024 以下的端口都被禁止了的

  • 資深大佬 : Jamy

    @hanxiV2EX 抱歉,忘说了,我是把 3389 映射到 19833,把 22 隐身到 19822

  • 資深大佬 : ik

    北京联通可以直接用公网 22 端口。

    在你的内网试试 ssh 公网 -p 端口 呢?

  • 資深大佬 : Jamy

    @ik 内网是可以的

  • 資深大佬 : Jamy

    @Jamy 对不起看错了 内网用公网的 ip 是连不上的.

  • 資深大佬 : hanxiV2EX

    难道现在是按协议来屏蔽了

  • 資深大佬 : ik

    @Jamy 那恐怕是你网络的问题哦

  • 資深大佬 : Jamy

    @ik 具体日志
    “`
    OpenSSH_6.7p1 Debian-5+deb8u4, OpenSSL 1.0.1t 3 May 2016
    debug1: Reading configuration data /etc/ssh/ssh_config
    debug1: /etc/ssh/ssh_config line 19: Applying options for *
    debug1: Connecting to 117.30.58.140 [117.30.58.140] port 19822.
    debug1: connect to address 117.30.58.140 port 19822: Connection refused
    ssh: connect to host 117.30.58.140 port 19822: Connection refused
    “`

  • 資深大佬 : ik

    @Jamy 你的 ip 暴露了

    Connection refused 连接被重置了。 具体原因得你自己排查了

  • 資深大佬 : Jamy

    @ik 没关系, 我重启路由器了, ip 又换了
    但是我在外网是可以连接上去的,不明白内网用公网 ip 为啥不行.

  • 資深大佬 : ik

    另外公网 ip 在运营商提供的设备上的话,也还是不排除运营商的问题…

  • 資深大佬 : levenwindy

    先在家弄好
    手机安卓下载官方 RD Client 用 4g 连接看看
    成功之后再回公司看看
    1.确保 win10 服务完全开启远程服务
    2.核对远程登录账号和密码是否启用和正确,有详细教程的。
    3.路由器端口弄回 3389,并用扫描端口是否启用
    4. 手机端设置 4g/本地 WiFi 连接看看
    不成功肯定是有哪一步弄错,多看几个教程,有些教程有缺失的

  • 資深大佬 : sasalemma

    @Jamy

    个人觉得是光猫问题,大多时候,一般网关的路由,如果是内网连外网的 ip,而外网 ip 是 wan 口,都是内循环,实际上并没有出家门,就被本地路由了。所以换个路由拨号试试?

  • 資深大佬 : ericbize

    你用电脑不经路由器直接拨号,试试 3389 通不通

  • 資深大佬 : jasonyang9

    如果说的是在内网无法通过外网地址访问经过 DNAT 映射到外网的服务,则需要考虑端口回流,也就是需要路由器对这种数据包进行一次 SNAT,用自己的内网地址作为源地址向内网服务请求,收到响应后反向做 SNAT 和 DNAT,最后返回给内网请求的主机

  • 資深大佬 : zzw1998

    有考虑过防火墙的问题吗,光猫 /路由器 /电脑上的?

  • 資深大佬 : Jamy

    @levenwindy 不只是 3389 端口, 我自己用 nc 搭建 echo 服务器都有会问题.

  • 資深大佬 : Jamy

    @sasalemma 用的是电信的天翼光猫自动拨号的, 我没输入过宽带的账号密码,光猫自带的 wifi 可直接上网, 我的电脑通过网线连接到 tplink 路由器, tplink 路由器又是无线桥接到光猫, 如果要自己拨号的话, 光猫的自带 wifi 就要停掉了

  • 資深大佬 : Jamy

    @ericbize 现在是通过光猫直接获取 ip 的,不需要拨号

  • 資深大佬 : Jamy

    @zzw1998 windows 的防火墙都关掉了, linux 的没开启防火墙.
    针对在 linux 上 echo 服务器的测试情况是, 能正常连接上, 第一次输入能正常返回,第二次偶尔能正常接收到,第三之后的收不到了,而这个 echo 服务器,在内网测试都时正常的.

  • 資深大佬 : laminux29

    1.内网准备两台 Windows 电脑,相互测试远程桌面,看看行不行。

    2.内网两台 Windows 电脑,都打开远程桌面功能,都映射端口到公网,看看行不行。

    3.家里的路由器和猫,路由器换成 TPLink300 元以上最新款,猫换成电信运营商推荐的。

    ps.

    mstsc 端口映射,高版本 windows 需要同时映射 tcp 与 udp,还要在 Windows 里的防火墙,允许远程桌面服务。建议这两个位置,都截个图来看看。

    另外,很多年前,我在思科交换机上遇到过一个 bug,tcp 连接发送特定的 104 字节的数据,会被断开。

  • 資深大佬 : Jamy

    @jasonyang9 多谢提醒, 我找个时间测试一下

  • 資深大佬 : Jamy

    @laminux29 远程桌面时没问题的, 内网都两台 window 都相互连接过, 并且我通过 frp 把远程桌面穿透到公司内网 也都能正常访问.问题时 ssh 端口,自己搭建服务器开的端口都出现同样的问题,可以肯定不是远程桌面设置的问题.

    给我感觉是,
    内网主动发出的连接外网的都没问题,
    由外网主动发起连接到内网的请求都会有问题.

  • 資深大佬 : Xusually

    L2TP vpn 回家,用内网 ip 吧。

  • 資深大佬 : icegaze

    运营商的防火墙封锁了 tcp 进入。
    这个最简单,效率最高。
    封锁什么特定端口,特定协议,,,那都弱爆了… 直接阻断 new 连接就行了。

  • 資深大佬 : Tumblr

    我一直是把内网端口映射出去,然后通过公网 IP 连接回来的,没有出过问题。
    主应该是厦门的吧?也不应该有什么端口屏蔽(除了 80 和 443 )。

    @hanxiV2EX #6 不存在你说的情况,我映射出去的都是低位端口( 1024 以下)。

  • 資深大佬 : sasalemma

    @Jamy

    无线桥,查下这里了。tPlink 是用无线 WDS 桥接还是 WIPS 桥接?哪怕是 openwrt 系都有些问题,有些包过不过去。

  • 資深大佬 : laminux29

    @Jamy 路由器与猫的具体品牌+型号?建议换个 TPLink 试试。

  • 資深大佬 : Jamy

    @sasalemma 今天把 linux 直接连接光猫了,不走 tplink 路由器了, 还是一样问题.

  • 資深大佬 : tankren

    胆子真大

  • 資深大佬 : Jamy

    @laminux29
    光猫是天翼-c9a0
    路由器是 tplink TL-WDR7661 千兆易展版

  • 資深大佬 : Jamy

    @tankren 何来胆子大一说?

  • 資深大佬 : tankren

    @Jamy 当心被爆

  • 資深大佬 : wm5d8b

    运营商限制,电信公网 IP 开了端口,VPS 、电信 4G 、移动 4G 能访问,联通 4G 、移动宽带不能访问

  • 資深大佬 : wm5d8b

    奇怪的是,群晖账号实名认证后,5001 从哪都能访问

  • 資深大佬 : LockeyQQ

    映射端口改成其他的,3389 22 这些随缘封。

  • 資深大佬 : laminux29

    @Jamy 给你一个巧办法试试,你在家里电脑装个向日葵,4 节点是免费的。

    然后,从公司远程桌面到家里,有问题时,先用向日葵登录到桌面里。向日葵成功登录后,你再用公司的电脑的 windows 远程桌面,来进行远程试试。很久以前我遇到过一个类似的问题,就是这样解决的。

    如果还不行,你只能换换路由器,测试一下,不行就换个猫,测试一下。如果还不行,电信找客服报工单,问问管技术的师傅。

  • 資深大佬 : Jamy

    @laminux29 多谢,方法不错

  • 資深大佬 : dreamage

    都抓包看到了,运营商的问题呗

  • 資深大佬 : anaf

    进入光猫超级管理员账号 把光猫拨号去掉换成桥接 用路由器拨号

  • 資深大佬 : Jamy

    @anaf 多谢建议, 我试试看

  • 資深大佬 : Jamy

    @anaf 果然是光猫拨号的问题, 换成路由器拨号 问题完美解决!