TCOM ZTE Speedport Pooe PassThrough hogyan?

Hálózati eszközök

Sziasztok! Kint vagyok egy cégnél egy elszigetelt telephelyen, városon kívül. Kizárólag TCOM ADSL kapcsolat van, de ennek is örülni kell. Van itt egy csoda-modem, ZTE SpeedPort Entry 2i névre hallgat. Emögé szeretnék betenni egy MikroTik router-t úgy, hogy távolról tudjam kezelni. Ha a ZTE modemen DMZ-e teszem a MikroTik Router-t, akkor minden jól működik, kivéve hogy az ssh loginok blacklist-je nem fog menni, mert minden bejövő kapcsolatot ugyan arról az IP-ről fog látni. Szóval arra gondoltam, hogy PPPoE pass through módba teszem ezt a csoda modemet, és akkor mindenki örülni fog. Az internet/WAN/WAN Connection menüben be is állítottam hogy PPPoE pass-through=on, lementettem és újra is indítottam. Ennek ellenére még mindig azt csinálja, hogy följelentkezik PPPoE-vel és NAT-ol. Mit lehet ezzel csinálni, valaki találkozott már ilyennel?

Egyéb infó: ezen a modemen van még 2 telefon vonal és egy mobil cella is. Szóval a WAN részét nem tudom kikapcsolni, és az sem megoldás hogy cseréljem le a modemet. (Mert akkor nem lesz telefon...) Az egyetlen megoldásnak a PPPoE pass through látszik.

  • 2648 megtekintés

( answ | 2019. 07. 06., szo – 10:11 )

"Ha a ZTE modemen DMZ-e teszem a MikroTik Router-t, akkor minden jól működik, kivéve hogy az ssh loginok blacklist-je nem fog menni, mert minden bejövő kapcsolatot ugyan arról az IP-ről fog látni."

Ez nem igaz.

Szerintem nem olvastad el rendesen a kérdést. A ZTE-ben jelenleg nem sima port forward van beállítva hanem DMZ-ne van téve a MikroTik. De az alap probléma ettől teljesen független. Akár port forward akár DMZ, a blacklist-be ugyan úgy a ZTE belső IP címe fog bekerülni.

Lehet hogy te arra gondoltál, hogy a ZTE modemben van valami blacklist? De ez nyilván nem lehet, hiszen az SSH login sikerességét csak a MikroTik tudja ellenőrizni, ezért blacklist-re is csak ő tudja tenni az IP-ket.

Se a port forwardnál, se a DMZ-nél (amely mellesleg DMZ host consumer eszközök esetén és nem valódi DMZ) nem cserélődik ki WAN irányból a forrás IP címe. Ez alól kivétel, ha belülről próbálod elérni a WAN IP címén, akkor hairpin NAT miatt cserélheti a forrás IP címet a router (címfordító) IP címére.

Javaslom ellenőrizd a beállításaidat és nézz meg egy Wireshark trace-t!

A routerekben a portforward annyit tesz, hogy adott külső port-ot (port range-et) forwardol adott belső IPcím:port (:portrange) -ra.
Adott protokollon (TCP és/vagy UDP)

A DMZ annyit tesz, hogy MINDEN portot, amire nincsen egyéb portfwd szabály, a DMZ-ben megjelölt belső címre továbbítja.

Ehhez annyit tennék még hozzá, hogy - implementációtól függően - egyéb protokollokat is a megfelelő belső hostra szokott irányítani a DMZ. Tehát nem csak az UDP/TCP párost, amit port forward-al is lehet, hanem például GRE-t is (47-es IP protokoll), ami így NAT helper nélkül is megy.

De igaz. Kipróbáltam. Szerintem nem ugyan arra gondoltunk.

Így állítottam be a brute force elleni védelmet:

https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

A MikroTik jelenleg DMZ-ben van (mert nem megy a PPPoE pass through). Ha valaki sokszor sikertelenül próbál bejelentkezni a MikroTik router-re, akkor blacklist-re kerül. A blacklist-be nem a távoli valódi címe kerül be, hanem a ZTE model belső LAN-os címe. Mivel a ZTE modem NAT-ol. Tehát ha BÁRKI próbálkozni fog sokszor SSH-val, akkor a MikroTik le fogja tiltani a ZTE címét és onnantól kezdve senki nem tud bemenni SSH-val (én sem).

Kipróbáltam, így működik. Ez tény.

( djpety v | 2019. 07. 06., szo – 20:54 )

A PPPoE passthrough nem azt jelenti, hogy Ő nem fog tudni PPPoE-zni attól még. Tehát amit tenned kell, hogy átírod a PPPoE bejelentkezési adatokat a ZTE routeren, az alapra állítod (elvileg volt valami 3play-el kezdődő default cím, ami a VOIP-hoz elég). És ezután már fogod tudni használni a Mikrotiken a logint. Kitudod probálni úgyis, hogy simán egyelőre csak kitörlöd a belépési adatokat a ZTE-n.

Szerk.:
Megtaláltam neked a default logint:

Username: 3play_cpe@telekom.hu
Password: Gei7eike

Köszönöm! Most hogy megoldódott az ssh blacklist probléma, gondolkozom rajta hogy visszamenjek-e a céghez hogy ezt átállítsam. Mert így is működik, DMZ-vel. Ha most megpróbálnám beállítani úgy ahogy Te írtad, akkor az utazgatással együtt fél nap, és nem is biztos hogy sikerülne.

A másik ami eszembe jutott, hogy ha bármi probléma lesz a modemmel vagy a hálózattal és reklamálok a T-Systems-nek, akkor a level 1 ügyfélszolgálatos nem fog továbbengedni addig, amíg le nem reset-elem a modemet. (Sőt még az sem lehetetlen hogy távolról reset-elik nekem.) Ha ez pont akkor történik amikor szabadságon vagyok, akkor annál a cégnél egyáltalán nem lesz net. A mostani verzióban egy modem hard reset után is elérhető lesz az internet, és egy kis segítséggel távolról újra tudom éleszteni.

( quash | 2019. 07. 08., h – 11:29 )

Nem olvastam végig a teljes thread-et.
ZTE modemmel működik passthrough, de az a tapasztalat hogy te nem fogod tudni beállítani.
2x is jártunk már úgy hogy a modemben be volt kapcsolva passthrough, de nem ment. Dump-oltuk a forgalmat nem PPPOE csomagok nem is jutottak el a mögötte lévő eszközhöz.

Az első esetben 2 telefonálás után a supportos hajlandó volt belenézni távolról a modembe, ő más módon bekapcsolta, és láss csodát ment!
A második esetben a supportos azt kommunikálta hogy ez a modem nem is tud passthrough, más eszközt nem lehet mögé rakni, ez a T gyakorlat. 2-3 újratelefonálás után másik supportossal sikerült végül is átkapcsoltatni, és azóta ott is megy.

( mizu v | 2020. 12. 13., v – 18:20 )

Annak, akinek ilyen problémája van, az imént sikerült megoldanom (ahogy quash kolléga leírta), mert hiába a PPPoe pass-through opció a WAN config alatt, akkor sem működik, ha átkapcsolod (nekem a fenti 3play user-es megoldással sem ment). Teendők:

  • felhívod az ügyfélszolgálatot
  • hard-resetelteti veled a HGW-t (tollal benyomod a táp melletti gombot kb. 10 másodpercig, majd újraindul a cucc)
  • 1-2 perc, míg feljön (az ACCESS led stabilan világít), ezután távolról átállítja a HGW-n a PPPoE pass-through-t, és működik
  • ha esetleg lakossági CGN-es NAT címed van, itt gyorsan mondd be, hogy tegyék át publikusra (szó nélkül megcsinálják), egy DDNS és már működik is a távelérés