Как удаленно подключиться от одной гостевой Astra Linux к другой гостевой Astra Linux на VirtualBox с помощью Remmina?

Сообщения
765
#1
Делал по статье https://entnet.ru/client/soft/petite/client-part/programs/lan-programs/xpdp.html Не могу подключиться. В обоих гостевых включен сетевой экран gufw, возможно где то отключена трассировка ptrace. Как настроить сеть в Virtualbox для взаимодействия между гостевыми Astra Linux не знаю. В одной гостевой ip адрес 192.168.1.1 а в другой 10.0.2.15. Зачем это делаю? Хочу проверить это на практике. Что делать чтобы подключение удалось?
 

oko

New member
Сообщения
1 257
#2
to Iskatel_znaniy
Для начала:
  • погуглить, что такое коммутация и маршрутизация сетевого трафика, и понять, что в рамках одного широковещательного домена (в общем случае, единая подсеть для нужных хостов) сетевое взаимодействие происходит без участия промежуточных маршрутизаторов, а в случае разных подсетей - маршрутизатор обязан быть (поэтому 192.168.1.1 и 10.0.2.15 между собой по умолчанию взаимодействовать не будут);
  • погуглить, какие типы эмуляции сетевых интерфейсов предоставляет гипервизор VirtualBox, и понять, что для целей подключения из одного гостя к другому в общем случае подходят два: "сетевой мост" (как правило, ip назначаются из подсети гипервизора) и "внутренняя сеть" (любая одинаковая ip-подсеть);
  • погуглить, зачем нужен межсетевой экран, какие у него опции, как определить, что он что-то блокирует;
  • понять, что хоть Remmina и поддерживает RDP-протокол, но он (протокол) во-первых не нативный для Linux-систем, а во-вторых требует корректной настройки "приемной" (сервисной) стороны на том хосте, к которому необходимо обеспечить подключение;
  • погуглить и разобраться с xrdp-сервисом на стороне хоста, к которому необходимо обеспечить подключение (возможно, проблема на этой стороне), в том числе проверить наличие открытого порта на нем (3389), например, через sudo netstat -tpl;
  • понять, какие настройки должны быть в используемом межсетевом экране, чтобы пропустить (pass, accept) подобное подключение - а лучше временно его отключить вообще;
  • погуглить про ptrace и понять, что он к данной задаче не имеет никакого отношения;
  • погуглить, как и куда собирать лог-файлы xrdp, Remmina (вернее, freerdp-x11) и других используемых в данной задаче сервисов и утилит, - почитать их и разобраться, кто же косячит.
И, вероятно, не читать подобные статьи, которые предлагают нажать-тут-и-тут-и-сделать-хорошо, а разобраться с вышесказанным самостоятельно, не концентрируясь именно на AstraLinux (для Debian куда больше мануалов и примеров), но в рамках выбранных задачи и концепции...
 
Сообщения
765
#3
Удалось подключиться с адреса 192.168.1.1 на адрес 192.168.0.13 а вот со второго на первый не удалось. В настройках сети virtualbox выставил
1 Тип подключения: Сетевой мост
2 Тип адаптера PCnet-FAST III (Am...)
3 Неразборчивый режим: Разрешить ВМ.
Дисплей > Удаленный доступ > Включить сервер удаленного доступа > Порт 3389
Метод аунтификации: Гостевая ОС
Сетевой экран на обоих гостевых я выключил.
На Remmina открыл "Создать новый профиль соединения" (в левом верхнем углу)
Дополнительные > Безопасность > RDP и затем нажать "Сохранить и подключиться"
После этого экран ввода логина и пароля появился.
Не знаю почему со второго на первый войти не получается.
 

oko

New member
Сообщения
1 257
#4
to Iskatel_znaniy
Primo, если обеим вирт.машинам (192.168.1.1 и 192.168.0.13) назначены "Сетевой мост" и они "видят" друг друга, значит, они внутри одного широковещательного диапазона (читай, сетевая маска у них минимум /23 - 255.255.254.0)...
Secundo, если это так, то проблема, очевидно, не в сети - скорее всего в том, что сервис xrdp не работает на той машине, к которой отсутствует подключение из Remmina по RDP...
Tertio, настоятельно рекомендую перечитать мое прошлое сообщение и погуглить и разобраться со всем там описанным. А то у вас больше "метод научного тыка", а тут надо все-таки понимать, что и где происходит...
 
Сообщения
68
#5
Удалось подключиться с адреса 192.168.1.1 на адрес 192.168.0.13 а вот со второго на первый не удалось. В настройках сети virtualbox выставил
1 Тип подключения: Сетевой мост
2 Тип адаптера PCnet-FAST III (Am...)
3 Неразборчивый режим: Разрешить ВМ.
Дисплей > Удаленный доступ > Включить сервер удаленного доступа > Порт 3389
Метод аунтификации: Гостевая ОС
Сетевой экран на обоих гостевых я выключил.
На Remmina открыл "Создать новый профиль соединения" (в левом верхнем углу)
Дополнительные > Безопасность > RDP и затем нажать "Сохранить и подключиться"
После этого экран ввода логина и пароля появился.
Не знаю почему со второго на первый войти не получается.
Напишите про каждую машину: IP адрес, маску, шлюз. Без этого не понятно что у вас происходит. Может быть у машины с IP адресом 192.168.1.1 маска выставлена с более широким диапазоном чем у машины с IP адресом 192.168.0.13. Пинг то пробовали от одной машины к другой и наоборот?
 
Сообщения
765
#6
Напишите про каждую машину: IP адрес, маску, шлюз. Без этого не понятно что у вас происходит. Может быть у машины с IP адресом 192.168.1.1 маска выставлена с более широким диапазоном чем у машины с IP адресом 192.168.0.13. Пинг то пробовали от одной машины к другой и наоборот?
Адрес вместо 192.168.0.13 заменился на 192.168.0.12 но я это учел и делаю по нему. Не получается пропинговать 192.168.1.1 а другой получается.
 

Вложения

oko

New member
Сообщения
1 257
#7
to Iskatel_znaniy
Короткий ликбез. Адрес из подсети 192.168.1.0/24 (/255.255.255.0) по умолчанию не сумеет увидеть адрес из подсети 192.168.0.0/24. Для связи между подобными подсетями и узлами:
  • либо увеличивается сетевая маска до, минимум, /23 (255.255.254.0). Это при условии, что все они подключены к единому коммутатору (реальному, виртуальному) или, как в вашем случае, коммутатор эмулируется машиной-гипервизором, на которой запущен VirtualBox. Тут работает таблица коммутации соединений (канальный уровень модели TCP/IP).
  • либо добавляется промежуточный маршрутизатор, который знает о наличии и как передать трафик из одной подсети в другую (например, имеет два адреса из обеих подсетей). Тут работает дополнительно таблица маршрутизации соединений (сетевой уровень модели TCP/IP).
А дальше модуль экстрасенсорики подсказывает, что раз от 192.168.1.1/24 (=вирт.машина №1) к 192.168.0.12/24 (=вирт.машина №2) icmp-трафик проходит, а в обратку нет, межсетевые экраны на вирт.машинах отключены и, очевидно, 192.168.0.1 - это машина-гипервизор (слава экстрасенсорике!), то:
  • на машине-гипервизоре (192.168.0.1) сетевая маска как минимум /23 (+1 тов. vladimirk1211);
  • подсети друг в друга маршрутизируются через машину-гипервизор (ибо ICMP-трафик должен проходить в обе стороны, чтобы было как на скриншоте с успешным пингом);
  • указывать для 192.168.1.1/24 в качестве шлюза 192.168.0.1 - не лучшее решение (шлюз виден этой машиной не будет);
  • на машине-гипервизоре инициализация соединений из 192.168.0.0/24 транзитом в 192.168.1.0/24 блокируется каким-нибудь межсетевым экраном (тем же ufw), а из 192.168.1.0/24 в 192.168.0.0/24 не блокируется.
Иных мыслей пока нет. К сожалению, модуль экстрасенсорики несовершенен, да и ваши описания, мягко говоря, не отличаются полнотой. Так что копайте по указанному направлению самостоятельно и, общей пользы для, учитесь оформлять описание задачи полностью...
 
Сообщения
68
#8
Адрес вместо 192.168.0.13 заменился на 192.168.0.12 но я это учел и делаю по нему. Не получается пропинговать 192.168.1.1 а другой получается.
У машины с IP 192.168.1.1 установите такие параметры:
IP адрес: 192.168.1.1
Широковещательный адрес: 192.168.1.255
Маска подсети: 255.255.254.0
Шлюз по умолчанию: 192.168.0.1

У машины с IP 192.168.0.12 установите такие параметры:
IP адрес: 192.168.0.12
Широковещательный адрес: 192.168.1.255
Маска подсети: 255.255.254.0
Шлюз по умолчанию: 192.168.0.1

Затем попробуйте пинг между машинами.

Также может потребоваться изменить насройки шлюза (машина 192.168.0.1), должны быть такие параметры:
IP адрес: 192.168.0.1
Широковещательный адрес: 192.168.1.255
Маска подсети: 255.255.254.0
 
Сообщения
765
#9
У машины с IP 192.168.1.1 установите такие параметры:
IP адрес: 192.168.1.1
Широковещательный адрес: 192.168.1.255
Маска подсети: 255.255.254.0
Шлюз по умолчанию: 192.168.0.1

У машины с IP 192.168.0.12 установите такие параметры:
IP адрес: 192.168.0.12
Широковещательный адрес: 192.168.1.255
Маска подсети: 255.255.254.0
Шлюз по умолчанию: 192.168.0.1

Затем попробуйте пинг между машинами.

Также может потребоваться изменить насройки шлюза (машина 192.168.0.1), должны быть такие параметры:
IP адрес: 192.168.0.1
Широковещательный адрес: 192.168.1.255
Маска подсети: 255.255.254.0
А как изменить широковещательный адрес? (что то в настройках не вижу как это делается) А настройки шлюза это настройки основной системы (не гостевой)? И можно ли это сделать при сетевом мосте, ведь он как я понимаю обеспечивает связь только между гостевыми системами?
 

oko

New member
Сообщения
1 257
#10
to Iskatel_znaniy
Primo, широковещательный адрес - это показатель, он сам по себе не меняется, но определяется заданным вами IP-адресом хоста и сетевой маской. Маска 255.255.255.0 (она же /24) - это 254 "доступных" IP в указанной подсети, т.е. для хоста 192.168.0.1 маска /24 будет означать "видимость" адресов в диапазоне 192.168.0.1-192.168.0.254. По тому же принципу маска 255.255.255.254 (она же /31) для 192.168.0.1 будет означать "видимость" всего двух IP-адресов - 192.168.0.1-192.168.0.2. Все эти диапазоны и записи разбираются в 16-ричном формате (системе счисления). Откройте любой калькулятор сетевой маски и поиграйтесь с ним для полного понимания. А заодно почитайте теорию...
Secundo, это у вас надо спрашивать, кто такой 192.168.0.1, выставленный вами в качестве шлюза в настройках сетевых интерфейсов каждой вирт.машины. Подозреваю, что это либо IP-адрес хоста-гипервизора, либо какого-то маршрутизатора в вашей сети (через который гипервизор имеет выход во внешние сети, например)...
Tertio, вы так и не разобрались с понятием "Сетевой мост". Коротко, это эмуляция сетевого адаптера для вирт.машины, позволяющая вирт.машине "видеть" подсеть, к которой подключен сам гипервизор и иные физические устройства, с установлением IP-адреса из именно этой подсети, а не какой-либо другой. "Сетевой мост" применяется в случае, если вирт.машина должна "выходить" во внешние связи аналогично гипервизору + другие физ.устройства (не только другие вирт.машины) должны "видеть" эту вирт.машину. Упрощенный пример: у вас есть физический коммутатор, к которому подключены машина-гипервизор (с запущенным VirtualBox) и еще несколько физических машины. И вам надо, чтобы эти физ.машины "видели" вирт.машины, запущенные на гипервизоре, а вирт.машины "видели" эти физ.машины. В таком случае в конфигурациях VirtualBox для вирт.машин устанавливается тип интерфейса "Сетевой мост" с разрешением сетевого обмена + вирт.машинам настраивается IP-адресация из диапазона (подсети) физических машин. Под "видимостью" в данном случае понимается обмен любым сетевым трафиком (не только ICMP, т.е. ping)...
Last, для связи исключительно вирт.машин (гостевых систем) между собой лучше применять тип интерфейса "внутренняя сеть". Тогда вирт.машины (при условии назначения им IP-адресации из единой подсети) будут "видеть" только друг друга, но не "увидят" гипервизор и иные физ.машины вашей физ.сети. Опять-таки, почитайте теорию...
 
Сообщения
765
#11
to Iskatel_znaniy
Primo, широковещательный адрес - это показатель, он сам по себе не меняется, но определяется заданным вами IP-адресом хоста и сетевой маской. Маска 255.255.255.0 (она же /24) - это 254 "доступных" IP в указанной подсети, т.е. для хоста 192.168.0.1 маска /24 будет означать "видимость" адресов в диапазоне 192.168.0.1-192.168.0.254. По тому же принципу маска 255.255.255.254 (она же /31) для 192.168.0.1 будет означать "видимость" всего двух IP-адресов - 192.168.0.1-192.168.0.2. Все эти диапазоны и записи разбираются в 16-ричном формате (системе счисления). Откройте любой калькулятор сетевой маски и поиграйтесь с ним для полного понимания. А заодно почитайте теорию...
Secundo, это у вас надо спрашивать, кто такой 192.168.0.1, выставленный вами в качестве шлюза в настройках сетевых интерфейсов каждой вирт.машины. Подозреваю, что это либо IP-адрес хоста-гипервизора, либо какого-то маршрутизатора в вашей сети (через который гипервизор имеет выход во внешние сети, например)...
Tertio, вы так и не разобрались с понятием "Сетевой мост". Коротко, это эмуляция сетевого адаптера для вирт.машины, позволяющая вирт.машине "видеть" подсеть, к которой подключен сам гипервизор и иные физические устройства, с установлением IP-адреса из именно этой подсети, а не какой-либо другой. "Сетевой мост" применяется в случае, если вирт.машина должна "выходить" во внешние связи аналогично гипервизору + другие физ.устройства (не только другие вирт.машины) должны "видеть" эту вирт.машину. Упрощенный пример: у вас есть физический коммутатор, к которому подключены машина-гипервизор (с запущенным VirtualBox) и еще несколько физических машины. И вам надо, чтобы эти физ.машины "видели" вирт.машины, запущенные на гипервизоре, а вирт.машины "видели" эти физ.машины. В таком случае в конфигурациях VirtualBox для вирт.машин устанавливается тип интерфейса "Сетевой мост" с разрешением сетевого обмена + вирт.машинам настраивается IP-адресация из диапазона (подсети) физических машин. Под "видимостью" в данном случае понимается обмен любым сетевым трафиком (не только ICMP, т.е. ping)...
Last, для связи исключительно вирт.машин (гостевых систем) между собой лучше применять тип интерфейса "внутренняя сеть". Тогда вирт.машины (при условии назначения им IP-адресации из единой подсети) будут "видеть" только друг друга, но не "увидят" гипервизор и иные физ.машины вашей физ.сети. Опять-таки, почитайте теорию...
Большое Вам спасибо! Вот еще такой вопрос: Как назначить новое созданное мной соединение основным по умолчанию? И еще: Создал второе соединение но как сделать чтобы через него был выход в интернет? Что я сделал тут не так?
 

Вложения

Последнее редактирование:

oko

New member
Сообщения
1 257
#12
to Iskatel_znaniy
Как назначить новое созданное мной соединение основным по умолчанию
Без понятия. Кривой NetworkManager и его подсистема в AstraLinux - не по мою душу...
Создал второе соединение но как сделать чтобы через него был выход в интернет? Что я сделал тут не так?
Очевидно, опять формулируете вопрос неверно, т.е. не указываете необходимые данные для анализа. Так-то никто кроме вас не в курсе, при каких настройках сетевых интерфейсах у вас должен быть доступ во внешние сети связи (тот же Интернет). НО! Модуль аналитики предупреждает, что указывать метод динамического получения IP, маски и шлюза (читай, "DHCP") и одновременно с этим назначать статические данные для сетевого интерфейса (IP, маску и шлюз) - не лучший способ достичь положительного результата...
 
Сообщения
765
#13
to Iskatel_znaniy

Без понятия. Кривой NetworkManager и его подсистема в AstraLinux - не по мою душу...

Очевидно, опять формулируете вопрос неверно, т.е. не указываете необходимые данные для анализа. Так-то никто кроме вас не в курсе, при каких настройках сетевых интерфейсах у вас должен быть доступ во внешние сети связи (тот же Интернет). НО! Модуль аналитики предупреждает, что указывать метод динамического получения IP, маски и шлюза (читай, "DHCP") и одновременно с этим назначать статические данные для сетевого интерфейса (IP, маску и шлюз) - не лучший способ достичь положительного результата...
С выходом в интернет решил вопрос так: Метод: Вручную , набрал адрес 192.168.0.2 , маска 24 , шлюз 192.168.0.1 , сервер DNS 77.88.8.88 . Но главное удалил первое соединение (после этого второе заработало). Думал что работать не будет и сделал предварительно снимок. Но работает. Значит где то здесь нужно копать.
 
Последнее редактирование:
Сообщения
765
#14
Причину кажется нашел. Нужно было разрешить удаленные подключения на обеих машинах. Однако все равно проблему не решил. Пинговал обе системы но ответ отрицательный. Тогда в сети VirtualBox тип подключения вместо NAT сделал Сетевой мост. Пинг при этом идет нормально но подключение так и не состоялось. Ip адрес поменял на нужный. Кстати чтобы его поменять надо выключить после всех настроек (на втором снимке) сеть убрав галочку (третий снимок) и снова включить (Включить поддержку сети) поставив галочку (на 3 снимке). Все равно не получается.
 

Вложения

Последнее редактирование:
Сообщения
765
#15
Проблема не решена. Минутку. Remmina почему то не видна на одной из гостевой машине. Перезагрузился. Все видно. Проблема не решена. Ага! Нашел причину! Нужно было отключить Межсетевой экран ufw командой sudo ufw disable (включить нужно естественно командой sudo ufw enable) на той системе к которой нужно подключиться! Теперь конечно хочется как то прописать в фаервол remmina чтобы при включенном сетевом экране подключение было без проблем.
 
Последнее редактирование:

countmein

New member
Сообщения
328
#16
Можно создать правило и прописать в нём адрес, с которого разрешено входящее подключение на такой-то порт. А программу там не прописать.
 
Сообщения
765
#17
Можно создать правило и прописать в нём адрес, с которого разрешено входящее подключение на такой-то порт. А программу там не прописать.
Не знаю пока как это сделать. Подскажите пожалуйста.
 
Сообщения
765
#19
Единственное что мне пока удалось при включенном фаерволе это разрешить доступ командой sudo ufw allow 3389/tcp . И еще я понял что перепутал протокол RDP с UDP. Еще странная вещь была. Когда я заново на другой гостевой все настроил то при вводе имени и пароля в Remmina у меня была только русская раскладка а как известно и имя и пароль должны быть в английской и сколько я ни переключал была только русская. При чем в Remmina там где нужно набирать ip адрес машины переключение раскладки работало а в окне ввода имени и пароля сервера гостевой нет. Проблема решилась после перезагрузки гостевой системы.
 
Последнее редактирование:
Сообщения
765
#20
Нашел способ разрешить доступ конкретному IP-адресу через firewall через конкретный порт. Нужно набрать команду sudo ufw allow from 192.168.0.2 to any port 22 где 192.168.0.2 IP-адрес которому разрешено подключаться через порт 22. Чтобы отменить это разрешение нужно в графическом firewall удалить это правило. Вообще в графике Астры многое недоработано и поэтому приходиться через терминал но все таки можно.
 

Вложения

Последнее редактирование: