Raspberry widzi sieć, router nie widzi Raspberry

[atlantis86]

Mam do czynienia z dość dziwną sytuacją, powoli kończą mi się pomysły. Może ktoś inny będzie w stanie pomóc.

Wszystko zaczęło się od tego, gdy wykonałem następujące czynności:

1. Podniesienie Raspbiana z wersji Jessie do Stretch

2. Wymiana Maliny w wersji 3B na 3B+. Kartę ze zaktualizowanym systemem po prostu przełożyłem do nowego komputera.

Dzisiaj okazało się, że spoza mojej sieci nie mogę dostać się do RasPi przez SSH (mam ustawione przekierowanie na routerze). Wewnątrz sieci wszystko jest ok, o ile tylko użyję adresu IP Raspberry, który jest ustawiony statyczne. Pomyślałem, że może zmiana adresu MAC może mieć coś do rzeczy i będę musiał coś poprawić w konfiguracji routera. A tutaj niespodzianka - router zdaje się w ogóle nie widzieć RasPi, a przynajmniej nie pojawia się ono na liście aktualnie podłączonych urządzeń. Podejrzewam, że z tego samego powodu nie działa przekierowanie portu i nie jestem w stanie dostać się do niego z zewnątrz. Ktoś wie o co może chodzić?

[deshipu]

Jeżeli adres IP jest ustawiony statycznie, to znaczy, że malinka nie wysyła do routera nawet zapytania DHCP. W jaki sposób więc router miałby dowiedzieć się o jej istnieniu?

[atlantis86]

Dobre pytanie. Mam jednak wrażenie, że wcześniej było ją widać na tej liście. Poza tym są na niej widoczne m.in. kamery IP, które również mają statycznie ustawione IP...

No i dochodzi do tego fakt, że brak dostępności ssh z zewnątrz zbiegł się w czasie z tą obserwacją.

[deshipu]

A mógłbyś na tej malince wpisać polecenia "ip a" oraz "ip r" i wkleić tutaj co wypisały?

[Polecacz 101]

Produkcja i montaż PCB - wybierz sprawdzone PCBWay!
   • Darmowe płytki dla studentów i projektów non-profit
   • Tylko 5$ za 10 prototypów PCB w 24 godziny
   • Usługa projektowania PCB na zlecenie
   • Montaż PCB od 30$ + bezpłatna dostawa i szablony
   • Darmowe narzędzie do podglądu plików Gerber
Zobacz również » Film z fabryki PCBWay

[atlantis86]

15 minut temu, deshipu napisał:

A mógłbyś na tej malince wpisać polecenia "ip a" oraz "ip r" i wkleić tutaj co wypisały?

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether b8:27:eb:bc:01:61 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.95/24 brd 192.168.1.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::5d67:9640:671e:a6ed/64 scope link 
       valid_lft forever preferred_lft forever
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether b8:27:eb:e9:54:34 brd ff:ff:ff:ff:ff:ff

default via 192.168.1.1 dev eth0 src 192.168.1.95 metric 202 
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.95 metric 202

 

[Belferek]

przecież pisze wlan0 state DOWN - to karta WiFi, a RPi masz połączone ethernetem?

Pokaż co odpowie ping 192.168.1.1

Edytowano Styczeń 11, 2019 przez Belferek

[atlantis86]

Przed chwilą, Belferek napisał:

przecież pisze wlan0 state DOWN

Oczywiście, bo łączę się przez Ethernet. 😉

[deshipu]

A mógłbyś spróbować połączyć się z tego pi na zewnątrz z czymkolwiek i zobaczyć czy po tym router go widzi?

[atlantis86]

Hmm... Wychodzi na to, że jestem w stanie pingować Pi wewnątrz sieci, ale z niego nie jestem w stanie spingować żadnej strony internetowej...

UPDATE: Ok, mam możliwą wskazówkę. Na wspomnianym RasPi od dawna miałem zainstalowany fail2ban oraz skonfigurowane iptables. Podczas aktualizacji z Jessie na Stretch wyświetlił się warning związany z fail2ban, więc tymczasowo usunąłem ten program. Prawdopodobnie tu może leżeć przyczyna. Ktoś może mi podpowiedzieć czego szukać? Co zmodyfikować w iptables?

Edytowano Styczeń 11, 2019 przez atlantis86

[ethanak]

Przede wszystkim: postaw SSH na jakim wyższym (nietypowym) porcie i zapomnij o fail2ban i podobnych.

Poza tym: skąd mamy wiedzieć co trzeba w iptables zmodyfikować, jeśli nie wiemy co tam masz? Prawdopodobnie w ogóle wyczyścić wszystkie tablice...

Tak przy okazji: aktualizacja Jessie do Stretcha nie zawsze wychodzi.

[deshipu]

Możesz tu wkleić efekt wykonania polecenia "iptables -L" w takim razie?

[atlantis86]

9 godzin temu, deshipu napisał:

Możesz tu wkleić efekt wykonania polecenia "iptables -L" w takim razie?

Chain INPUT (policy DROP)
target     prot opt source               destination         
fail2ban-ssh  tcp  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:cfinger
fail2ban-ssh  tcp  --  anywhere             anywhere            
fail2ban-ssh  tcp  --  anywhere             anywhere            
fail2ban-ssh  tcp  --  anywhere             anywhere            
fail2ban-ssh  tcp  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:<niestandardowy numer portu> state NEW
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     udp  --  anywhere             anywhere             udp dpt:<niestandardowy numer portu>
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http state NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https state NEW
ACCEPT     udp  --  anywhere             anywhere             udp dpt:mdns

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain fail2ban-ssh (5 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            
RETURN     all  --  anywhere             anywhere            
RETURN     all  --  anywhere             anywhere            
RETURN     all  --  anywhere             anywhere            
RETURN     all  --  anywhere             anywhere  

 

[deshipu]

No dobra, masz tam jakiś syf pozostawiony, ale przecież to nie ma wpływu na wyjście z malinki. Więc to raczej nie to.

Jesteś pewien, że adres bramy i maska sieci są właśnie takie na twoim routerze? Zazwyczaj właśnie takie wartości się ustawia, ale u ciebie może być inaczej.

Co mówi traceroute?

A może ten fizyczny port w routerze ma ustawione jakieś ograniczenia? Czy poprzednio malinka była podłączona do tego samego portu?