forum.opennet.ru - "Доступ в разные подсети за НАТом" (15)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Доступ в разные подсети за НАТом"

Форум Открытые системы на сервере (Маршрутизация, NAT / Другая система)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Доступ в разные подсети за НАТом"	+/–
Сообщение от tornado2k (ok) on 20-Сен-11, 15:46
Уважаемые коллеги, есть насущная проблема с которой, в процессе работы, я еще не сталкивался. Постараюсь более полно отобразить ситуацию. Итак: выше по вертикали подчинения существует роутер, который мне абсолютно недоступен для администрирования. Дальше от него пошли ветви подсеток в зоне 192.168... Все ветки пошли через NATы (тоже мне недоступные), одна из таких веток - моя. Таким образом, я получаюсь за НАТом и имею прямой доступ только к некоторым узлам "верхней" подсетки и то - только через таблицу route. Адрес моей подсети (в которой все мои компы) - 192.168.175.* с маской 255.255.255.0 и шлюзом, который фактически является dsl модемом с возможностями роутера. В его настройках следующее: DNS 192.168.75.1; IP внешний (который смотрит в верхнюю подсеть) - 192.168.75.2 (шлюз 192.168.75.1) и идет перенаправление в мою подсеть 192.168.175., тоже со шлюзом 192.168.75.1. В итоге маршрут пакета такой: 192.168.175.101 --> 192.168.75.2 --> 192.168.75.1 --> на верхний роутер. Какой у него IP не знаю. Делал tracert на mail.ru - резольвится глобальный домен провайдера уже. Может это он и есть, хотя тот кто выше меня, никакого отношения к провайдерству не имеет. Да оно наверное и не суть. Основная проблема: мне нужно попасть в другую ветку. Например, в зону 192.168.129.. Там стоит такой же модем и аналогично настроен, ДНС 192.168.29.1; IP, смотрящий на верхнего роутера 192.168.29.2 со шлюзом 192.168.29.1 и перенаправлением в 192.168.129.. Нужно вгонять в домен компы той ветки, нужен доступ радмина. Да, собственно нужен такой доступ, будто обе ветки в одной подсети. Скажу, что настройки роутеров в начале веток менять нельзя, можно только добавлять маршруты. На данный момент я пингую без проблем 192.168.29.1 и 192.168.29.2, но не видна под сеть 192.168.129. А вообще такая связь возможна? Получается кругаля - через верхний роутер, но дугих путей не вижу. Ну кроме, канеш, сервера с белым глобальным айпи и vpn в каждую сетку, но это не вариант.
Ответить \| Правка \| Cообщить модератору

Оглавление

Доступ в разные подсети за НАТом, reader, 16:13 , 20-Сен-11, (1)

Доступ в разные подсети за НАТом, tornado2k, 16:20 , 20-Сен-11, (2)

Доступ в разные подсети за НАТом, reader, 16:49 , 20-Сен-11, (3)

Доступ в разные подсети за НАТом, tornado2k, 07:07 , 21-Сен-11, (4)

Доступ в разные подсети за НАТом, reader, 10:54 , 21-Сен-11, (5) +1

Доступ в разные подсети за НАТом, tornado2k, 14:39 , 21-Сен-11, (6)

Доступ в разные подсети за НАТом, reader, 17:12 , 21-Сен-11, (7) +1

Доступ в разные подсети за НАТом, tornado2k, 17:53 , 21-Сен-11, (8)

Доступ в разные подсети за НАТом, reader, 20:49 , 21-Сен-11, (9) +1

Доступ в разные подсети за НАТом, tornado2k, 05:04 , 22-Сен-11, (10)

Доступ в разные подсети за НАТом, tornado2k, 11:08 , 23-Сен-11, (11)

Доступ в разные подсети за НАТом, reader, 11:34 , 23-Сен-11, (12)
Доступ в разные подсети за НАТом, tornado2k, 11:47 , 23-Сен-11, (13)
Доступ в разные подсети за НАТом, reader, 11:58 , 23-Сен-11, (14)
Доступ в разные подсети за НАТом, tornado2k, 13:06 , 23-Сен-11, (15)

Сообщения по теме [Сортировка по времени | RSS]

1. "Доступ в разные подсети за НАТом" +/–

Сообщение от reader (ok) on 20-Сен-11, 16:13

>[оверквотинг удален]
> смотрящий на верхнего роутера 192.168.29.2 со шлюзом 192.168.29.1 и перенаправлением в
> 192.168.129.*.
> Нужно вгонять в домен компы той ветки, нужен доступ радмина. Да, собственно
> нужен такой доступ, будто обе ветки в одной подсети. Скажу, что
> настройки роутеров в начале веток менять нельзя, можно только добавлять маршруты.
> На данный момент я пингую без проблем 192.168.29.1 и 192.168.29.2, но не
> видна под сеть 192.168.129.* А вообще такая связь возможна? Получается кругаля
> - через верхний роутер, но дугих путей не вижу. Ну кроме,
> канеш, сервера с белым глобальным айпи и vpn в каждую сетку,
> но это не вариант.
192.168.29.2 - это тоже модем? если да то сделайте на нем проброс порта

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Доступ в разные подсети за НАТом" +/–

Сообщение от tornado2k (ok) on 20-Сен-11, 16:20

> 192.168.29.2 - это тоже модем? если да то сделайте на нем проброс
> порта
да, это такой же модем, причем мне доступный. То есть на модеме моей подсетки ничего не надо? Только на удаленном?
А как это сделать правильно? В нем есть static routes а там поля удаленный IP, шлюз, маска и  метрика.. как логично их правильно заполнить?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Доступ в разные подсети за НАТом" +/–

Сообщение от reader (ok) on 20-Сен-11, 16:49

>> 192.168.29.2 - это тоже модем? если да то сделайте на нем проброс
>> порта
> да, это такой же модем, причем мне доступный. То есть на модеме
> моей подсетки ничего не надо? Только на удаленном?
> А как это сделать правильно? В нем есть static routes а там
> поля удаленный IP, шлюз, маска и  метрика.. как логично их
> правильно заполнить?
port forward или что-то похожее есть?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Доступ в разные подсети за НАТом" +/–

Сообщение от tornado2k (ok) on 21-Сен-11, 07:07

>>> 192.168.29.2 - это тоже модем? если да то сделайте на нем проброс
>>> порта
>> да, это такой же модем, причем мне доступный. То есть на модеме
>> моей подсетки ничего не надо? Только на удаленном?
>> А как это сделать правильно? В нем есть static routes а там
>> поля удаленный IP, шлюз, маска и  метрика.. как логично их
>> правильно заполнить?
> port forward или что-то похожее есть?
немного упрощу ситуацию: в той подсети маршрутизатор DSL-2500U c WAN адресом (доступным мне)
192.168.22.2, LAN у него (внутренняя их сетка) 192.168.122.0/24. На моей стороне акорповский Sprinter@ADSL LAN122 с WANом 192.168.75.2 и LANом 192.168.175.0/24.
В какой последовательности проводить настройки на этих двух модемах? Ну скажем для порта 5222 и радминовского 4899? или может можно сразу все открыть?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Доступ в разные подсети за НАТом" +1 +/–

Сообщение от reader (ok) on 21-Сен-11, 10:54

>[оверквотинг удален]
>>> А как это сделать правильно? В нем есть static routes а там
>>> поля удаленный IP, шлюз, маска и  метрика.. как логично их
>>> правильно заполнить?
>> port forward или что-то похожее есть?
> немного упрощу ситуацию: в той подсети маршрутизатор DSL-2500U c WAN адресом (доступным
> мне)
> 192.168.22.2, LAN у него (внутренняя их сетка) 192.168.122.0/24. На моей стороне акорповский
> Sprinter@ADSL LAN122 с WANом 192.168.75.2 и LANом 192.168.175.0/24.
> В какой последовательности проводить настройки на этих двух модемах? Ну скажем для
> порта 5222 и радминовского 4899? или может можно сразу все открыть?
если нужен доступ к малому количеству машин и портов, можно обойтись пробросом портов. если нужен полноценный доступ в локалку, то на одной из машин в локалке подымаете openvpn и делаете проброс порта на vpn-сервер, после поднятия vpn настаиваете маршрутизацию в сетях и работаете.
с указаными моделями не работал, но у делинков вроде у многих есть port forwarding, там и указываете какой порт пробросить на какой порт определенного ip_машины

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Доступ в разные подсети за НАТом" +/–

Сообщение от tornado2k (ok) on 21-Сен-11, 14:39

>[оверквотинг удален]
>> Sprinter@ADSL LAN122 с WANом 192.168.75.2 и LANом 192.168.175.0/24.
>> В какой последовательности проводить настройки на этих двух модемах? Ну скажем для
>> порта 5222 и радминовского 4899? или может можно сразу все открыть?
> если нужен доступ к малому количеству машин и портов, можно обойтись пробросом
> портов. если нужен полноценный доступ в локалку, то на одной из
> машин в локалке подымаете openvpn и делаете проброс порта на vpn-сервер,
> после поднятия vpn настаиваете маршрутизацию в сетях и работаете.
> с указаными моделями не работал, но у делинков вроде у многих есть
> port forwarding, там и указываете какой порт пробросить на какой порт
> определенного ip_машины
да, наверное так и сделаю - там есть свои виндосервера, поставлю вторую сетевую с айпи 192.168.22.3, и впн-сервер, а от своего сервера буду конектиться впн-клиентами... правда таких подсеток удаленных у меня 7. Как думаете, будет работать такая схема?
хотя вместо впн серверов можно обойтись натом...даже виндовым..но это несекурно, считаю..

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Доступ в разные подсети за НАТом" +1 +/–

Сообщение от reader (ok) on 21-Сен-11, 17:12

>[оверквотинг удален]
>> портов. если нужен полноценный доступ в локалку, то на одной из
>> машин в локалке подымаете openvpn и делаете проброс порта на vpn-сервер,
>> после поднятия vpn настаиваете маршрутизацию в сетях и работаете.
>> с указаными моделями не работал, но у делинков вроде у многих есть
>> port forwarding, там и указываете какой порт пробросить на какой порт
>> определенного ip_машины
> да, наверное так и сделаю - там есть свои виндосервера, поставлю вторую
> сетевую с айпи 192.168.22.3, и впн-сервер, а от своего сервера буду
> конектиться впн-клиентами... правда таких подсеток удаленных у меня 7. Как думаете,
> будет работать такая схема?
всмысле запускать 7 клиентов? может лучше наоборот, тут сервер.
про вторую сетевую не понял, к чему она.
> хотя вместо впн серверов можно обойтись натом...даже виндовым..но это несекурно, считаю..

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Доступ в разные подсети за НАТом" +/–

Сообщение от tornado2k (ok) on 21-Сен-11, 17:53

>[оверквотинг удален]
>>> с указаными моделями не работал, но у делинков вроде у многих есть
>>> port forwarding, там и указываете какой порт пробросить на какой порт
>>> определенного ip_машины
>> да, наверное так и сделаю - там есть свои виндосервера, поставлю вторую
>> сетевую с айпи 192.168.22.3, и впн-сервер, а от своего сервера буду
>> конектиться впн-клиентами... правда таких подсеток удаленных у меня 7. Как думаете,
>> будет работать такая схема?
> всмысле запускать 7 клиентов? может лучше наоборот, тут сервер.
> про вторую сетевую не понял, к чему она.
>> хотя вместо впн серверов можно обойтись натом...даже виндовым..но это несекурно, считаю..
щас попробую построить схему:
моя подсеть: 192.168.175.0/24;
мой рабочий комп 192.168.175.108;
мой роутер (Acorp): 192.168.175.200/24 (внутренний) и 192.168.175.75.2/24 (внешний);
роутер провайдера имеет пул адресов (мне недоступен для администрирования, все порты во все стороны открыты): 192.168.9.1 - 192.168.98.1/24. Из пула 192.168.75.1 - в мою подсеть.
одна из удаленных подсеток: 192.168.122.0/24
их роутер (DSL-2500U): 192.168.122.200/24 (внутренний) и 192.168.175.22.2/24 (внешний);
тот же самый роутер прова, для них с айпишником 192.168.22.1/24
маршрут пакета такой (пингабельно и трацертно): 192.168.175.108 --> 192.168.175.200 --> 192.168.75.2 --> [192.168.75.1 --> 192.168.22.1] --> 192.168.22.2 -/-> (stop ping).
Вот тут я и хотел пробросить маршрут на их модеме, например 4899 на их станцию 192.168.122.210. Но вы были правы, несколькими постами выше - там вроде компов и не много, около 20, но порты нужны всяческие - и 5222, и 4899,и 3389, и 4000 (для коннектора к моей ERP системе), и набор для портов для AD, да мало ли чего еще. Вот я и решил прислушаться к вашему совету и поднять свое подключение между нашими подсетками.
Дело в том, что в той подсетке стоит win2003, юзается просто для шары - указание моего начальства - сносить винду нельзя, не говоря об установке никсов с самбой. Но можно доставлять в винду свои вещи, если это не помешает шаре. Железо серваковое HP, две сетевые, юзается одна с адресом 192.168.122.222/24. Вот я и подумал активировать второй интерфейс, вывести айпи, скажем - 192.168.22.3/24 и он станет для меня пингабелен, по крайней мере - так убеждает пров. А дальше ставить на сервак клиента (как вы верно подметили в предыдущем посте) и коннектить его к аналогичному хьюлиту у меня, тоже со второй сетевухой 192.168.75.3.
Что-то мне подсказывает, что можно использовать одну сетевую и прописать route add на том хьюлите, если вы мне подскажите как - было бы здорово...
Клиенты и сервер ВПН думаю ставить стандартный виндовый...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Доступ в разные подсети за НАТом" +1 +/–

Сообщение от reader (ok) on 21-Сен-11, 20:49

>[оверквотинг удален]
> юзается одна с адресом 192.168.122.222/24. Вот я и подумал активировать второй
> интерфейс, вывести айпи, скажем - 192.168.22.3/24 и он станет для меня
> пингабелен, по крайней мере - так убеждает пров. А дальше ставить
> на сервак клиента (как вы верно подметили в предыдущем посте) и
> коннектить его к аналогичному хьюлиту у меня, тоже со второй сетевухой
> 192.168.75.3.
> Что-то мне подсказывает, что можно использовать одну сетевую и прописать route add
> на том хьюлите, если вы мне подскажите как - было бы
> здорово...
> Клиенты и сервер ВПН думаю ставить стандартный виндовый...
если пропускной способности имеющихся каналов не хватает и вы хотите пустить vpn по отдельному - можно задействовать вторые сетевые.
если же пропускной способности хватает то, на 192.168.122.222 шлюзом по умолчанию прописываете 192.168.122.200 и клиенту vpn указываете подключиться к 192.168.75.2(внешка вашего роутера).
на вашем роуторе делаете проброс порта на vpn-сервер, при этом шлюзом по умолчанию на vpn-сервер прописываете 192.168.175.200.
route add может понадобиться если на vpn сервере и клеенте шлюзом по умолчанию должны быть прописаны другие ip.
на всякий случай - openvpn и под винду есть.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Доступ в разные подсети за НАТом" +/–

Сообщение от tornado2k (ok) on 22-Сен-11, 05:04

>[оверквотинг удален]
>> Клиенты и сервер ВПН думаю ставить стандартный виндовый...
> если пропускной способности имеющихся каналов не хватает и вы хотите пустить vpn
> по отдельному - можно задействовать вторые сетевые.
> если же пропускной способности хватает то, на 192.168.122.222 шлюзом по умолчанию прописываете
> 192.168.122.200 и клиенту vpn указываете подключиться к 192.168.75.2(внешка вашего роутера).
> на вашем роуторе делаете проброс порта на vpn-сервер, при этом шлюзом по
> умолчанию на vpn-сервер прописываете 192.168.175.200.
> route add может понадобиться если на vpn сервере и клеенте шлюзом по
> умолчанию должны быть прописаны другие ip.
> на всякий случай - openvpn и под винду есть.
спасибо вам огромное, по истине опеннет - лучший форум в рунете... как опробую в практике - напишу...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Доступ в разные подсети за НАТом" +/–

Сообщение от tornado2k (ok) on 23-Сен-11, 11:08

>[оверквотинг удален]
>> по отдельному - можно задействовать вторые сетевые.
>> если же пропускной способности хватает то, на 192.168.122.222 шлюзом по умолчанию прописываете
>> 192.168.122.200 и клиенту vpn указываете подключиться к 192.168.75.2(внешка вашего роутера).
>> на вашем роуторе делаете проброс порта на vpn-сервер, при этом шлюзом по
>> умолчанию на vpn-сервер прописываете 192.168.175.200.
>> route add может понадобиться если на vpn сервере и клеенте шлюзом по
>> умолчанию должны быть прописаны другие ip.
>> на всякий случай - openvpn и под винду есть.
> спасибо вам огромное, по истине опеннет - лучший форум в рунете... как
> опробую в практике - напишу...
ездил сегодня в удаленную зону. Напомню, кое-какую исходную информацию:
1. 192.168.122.0/24 - их внутренняя сеть;
2. Внутренний их ип роутера - 192.168.122.200;
3. Внешний ип роутера - 192.168.22.2;
4. Роутер провайдера - 192.168.22.1;
5. Роутер провадера (он же для меня) - 192.168.75.1;
6. Мой роутер (внешний) - 192.168.75.2;
7. Мой роутер (внутренний) - Мой внешний роутер - 192.168.175.200;
8. Моя внутренняя сеть - 192.168.175.0/24;
9. Мой комп - 192.168.175.108.
У них есть свой сервер (хочу его задействовать в качестве впн клиента): ип - 192.168.122.100/24, шлюз - 192.168.122.200, днс - пусто.
Изначально не пинговалось с него 192.168.22.2 и 192.168.22.1 - отрицательно. Наверное это странно, ведь по идее роутер должен позволять видеть свои же айпишники. Или нет? Я просто по аналогии с рабочей станцией.
Прописал статический маршрут на этом сервере:
route -p add 192.168.22.0 mask 255.255.255.0 192.168.122.200
192.168.22.2 и 192.168.22.1 начали пинговаться.
на их роутере пробросил порт 3389 на сервер (192.168.122.100). Конекчусь от себя рдп клиентом на внешний ип роутера 192.168.22.2 - попадаю на рабочий стол сервера благополучно. Можно теперь удаленно возиться с сервером.
Теперь хочу сделать так, чтобы этот сервер был мне доступен напрямую для чего на эту же сетевую сервера прописал второй ип - 192.168.22.3/24, поотключал все файрволы. Но айпи 192.168.22.3 не пингуется. Думаю, (могу и ошибаться) нужно сделать связь как-то с роутера 192.168.22.2 на ип сервера 192.168.22.3.
Как это сделать правильно? То есть как мне сделать так, чтобы айпи 192.168.22.3 был доступен прямо?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Доступ в разные подсети за НАТом" +/–

Сообщение от reader (ok) on 23-Сен-11, 11:34

>[оверквотинг удален]
> 8. Моя внутренняя сеть - 192.168.175.0/24;
> 9. Мой комп - 192.168.175.108.
> У них есть свой сервер (хочу его задействовать в качестве впн клиента):
> ип - 192.168.122.100/24, шлюз - 192.168.122.200, днс - пусто.
> Изначально не пинговалось с него 192.168.22.2 и 192.168.22.1 - отрицательно. Наверное это
> странно, ведь по идее роутер должен позволять видеть свои же айпишники.
> Или нет? Я просто по аналогии с рабочей станцией.
> Прописал статический маршрут на этом сервере:
> route -p add 192.168.22.0 mask 255.255.255.0 192.168.122.200
> 192.168.22.2 и 192.168.22.1 начали пинговаться.
значит или шлюз по умолчанию не был всетаки прописан или маска сети на этой машине указана не /24
> на их роутере пробросил порт 3389 на сервер (192.168.122.100). Конекчусь от себя
> рдп клиентом на внешний ип роутера 192.168.22.2 - попадаю на рабочий
> стол сервера благополучно. Можно теперь удаленно возиться с сервером.
> Теперь хочу сделать так, чтобы этот сервер был мне доступен напрямую для
> чего на эту же сетевую сервера прописал второй ип - 192.168.22.3/24,
> поотключал все файрволы. Но айпи 192.168.22.3 не пингуется. Думаю, (могу и
> ошибаться) нужно сделать связь как-то с роутера 192.168.22.2 на ип сервера
> 192.168.22.3.
> Как это сделать правильно? То есть как мне сделать так, чтобы айпи
> 192.168.22.3 был доступен прямо?
192.168.22.3 вы не сами берете , а провайдер должен выдать, а потом еще и доставлять на какоето ваше подключение пакеты адресованные к 192.168.22.3

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Доступ в разные подсети за НАТом" +/–

Сообщение от tornado2k (ok) on 23-Сен-11, 11:47

> значит или шлюз по умолчанию не был всетаки прописан или маска сети
> на этой машине указана не /24
да нет, вроде все ок. Шлюз 192.168.122.200, маска /24
> 192.168.22.3 вы не сами берете , а провайдер должен выдать, а потом
> еще и доставлять на какоето ваше подключение пакеты адресованные к 192.168.22.3
ну да..тогда получается, что впновский порт надо будет пробрасывать на 22.3, а нафига, если с таким же успехом это можно сделать и на 192.168.122.100..

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Доступ в разные подсети за НАТом" +/–

Сообщение от reader (ok) on 23-Сен-11, 11:58

>> значит или шлюз по умолчанию не был всетаки прописан или маска сети
>> на этой машине указана не /24
> да нет, вроде все ок. Шлюз 192.168.122.200, маска /24
>> 192.168.22.3 вы не сами берете , а провайдер должен выдать, а потом
>> еще и доставлять на какоето ваше подключение пакеты адресованные к 192.168.22.3
> ну да..тогда получается, что впновский порт надо будет пробрасывать на 22.3, а
нет, с 22.3 прописанным в локалке у вас не получится или придется всю локалку в подсеть провайдера выставить %)
> нафига, если с таким же успехом это можно сделать и на
> 192.168.122.100..
если вы хотите использовать 22.3 и провайдер готов доставлять к нему пакеты через 22.1, то берете свич и в него втыкаете провод продайдера, роутер и вторую сетевую сервера и на второй сетевой прописываете 22.3

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Доступ в разные подсети за НАТом" +/–

Сообщение от tornado2k (ok) on 23-Сен-11, 13:06

>[оверквотинг удален]
>>> 192.168.22.3 вы не сами берете , а провайдер должен выдать, а потом
>>> еще и доставлять на какоето ваше подключение пакеты адресованные к 192.168.22.3
>> ну да..тогда получается, что впновский порт надо будет пробрасывать на 22.3, а
> нет, с 22.3 прописанным в локалке у вас не получится или придется
> всю локалку в подсеть провайдера выставить %)
>> нафига, если с таким же успехом это можно сделать и на
>> 192.168.122.100..
> если вы хотите использовать 22.3 и провайдер готов доставлять к нему пакеты
> через 22.1, то берете свич и в него втыкаете провод продайдера,
> роутер и вторую сетевую сервера и на второй сетевой прописываете 22.3
не получится ничего с провайдером:( тогда остается пробрасывать порт ВПН аналогично рдпишному просто? поднимать впн соединение и свободно работать со всеми компами во всех подсетках.. в теории - красиво.. погляжу что будет..

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Доступ в разные подсети за НАТом"	+/–
Сообщение от reader (ok) on 20-Сен-11, 16:13
>[оверквотинг удален] > смотрящий на верхнего роутера 192.168.29.2 со шлюзом 192.168.29.1 и перенаправлением в > 192.168.129.. > Нужно вгонять в домен компы той ветки, нужен доступ радмина. Да, собственно > нужен такой доступ, будто обе ветки в одной подсети. Скажу, что > настройки роутеров в начале веток менять нельзя, можно только добавлять маршруты. > На данный момент я пингую без проблем 192.168.29.1 и 192.168.29.2, но не > видна под сеть 192.168.129. А вообще такая связь возможна? Получается кругаля > - через верхний роутер, но дугих путей не вижу. Ну кроме, > канеш, сервера с белым глобальным айпи и vpn в каждую сетку, > но это не вариант. 192.168.29.2 - это тоже модем? если да то сделайте на нем проброс порта
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Доступ в разные подсети за НАТом"	+/–
	Сообщение от tornado2k (ok) on 20-Сен-11, 16:20
	> 192.168.29.2 - это тоже модем? если да то сделайте на нем проброс > порта да, это такой же модем, причем мне доступный. То есть на модеме моей подсетки ничего не надо? Только на удаленном? А как это сделать правильно? В нем есть static routes а там поля удаленный IP, шлюз, маска и метрика.. как логично их правильно заполнить?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Доступ в разные подсети за НАТом"	+/–
	Сообщение от reader (ok) on 20-Сен-11, 16:49
	>> 192.168.29.2 - это тоже модем? если да то сделайте на нем проброс >> порта > да, это такой же модем, причем мне доступный. То есть на модеме > моей подсетки ничего не надо? Только на удаленном? > А как это сделать правильно? В нем есть static routes а там > поля удаленный IP, шлюз, маска и метрика.. как логично их > правильно заполнить? port forward или что-то похожее есть?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Доступ в разные подсети за НАТом"	+/–
	Сообщение от tornado2k (ok) on 21-Сен-11, 07:07
	>>> 192.168.29.2 - это тоже модем? если да то сделайте на нем проброс >>> порта >> да, это такой же модем, причем мне доступный. То есть на модеме >> моей подсетки ничего не надо? Только на удаленном? >> А как это сделать правильно? В нем есть static routes а там >> поля удаленный IP, шлюз, маска и метрика.. как логично их >> правильно заполнить? > port forward или что-то похожее есть? немного упрощу ситуацию: в той подсети маршрутизатор DSL-2500U c WAN адресом (доступным мне) 192.168.22.2, LAN у него (внутренняя их сетка) 192.168.122.0/24. На моей стороне акорповский Sprinter@ADSL LAN122 с WANом 192.168.75.2 и LANом 192.168.175.0/24. В какой последовательности проводить настройки на этих двух модемах? Ну скажем для порта 5222 и радминовского 4899? или может можно сразу все открыть?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Доступ в разные подсети за НАТом"	+1 +/–
	Сообщение от reader (ok) on 21-Сен-11, 10:54
	>[оверквотинг удален] >>> А как это сделать правильно? В нем есть static routes а там >>> поля удаленный IP, шлюз, маска и метрика.. как логично их >>> правильно заполнить? >> port forward или что-то похожее есть? > немного упрощу ситуацию: в той подсети маршрутизатор DSL-2500U c WAN адресом (доступным > мне) > 192.168.22.2, LAN у него (внутренняя их сетка) 192.168.122.0/24. На моей стороне акорповский > Sprinter@ADSL LAN122 с WANом 192.168.75.2 и LANом 192.168.175.0/24. > В какой последовательности проводить настройки на этих двух модемах? Ну скажем для > порта 5222 и радминовского 4899? или может можно сразу все открыть? если нужен доступ к малому количеству машин и портов, можно обойтись пробросом портов. если нужен полноценный доступ в локалку, то на одной из машин в локалке подымаете openvpn и делаете проброс порта на vpn-сервер, после поднятия vpn настаиваете маршрутизацию в сетях и работаете. с указаными моделями не работал, но у делинков вроде у многих есть port forwarding, там и указываете какой порт пробросить на какой порт определенного ip_машины
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Доступ в разные подсети за НАТом"	+/–
	Сообщение от tornado2k (ok) on 21-Сен-11, 14:39
	>[оверквотинг удален] >> Sprinter@ADSL LAN122 с WANом 192.168.75.2 и LANом 192.168.175.0/24. >> В какой последовательности проводить настройки на этих двух модемах? Ну скажем для >> порта 5222 и радминовского 4899? или может можно сразу все открыть? > если нужен доступ к малому количеству машин и портов, можно обойтись пробросом > портов. если нужен полноценный доступ в локалку, то на одной из > машин в локалке подымаете openvpn и делаете проброс порта на vpn-сервер, > после поднятия vpn настаиваете маршрутизацию в сетях и работаете. > с указаными моделями не работал, но у делинков вроде у многих есть > port forwarding, там и указываете какой порт пробросить на какой порт > определенного ip_машины да, наверное так и сделаю - там есть свои виндосервера, поставлю вторую сетевую с айпи 192.168.22.3, и впн-сервер, а от своего сервера буду конектиться впн-клиентами... правда таких подсеток удаленных у меня 7. Как думаете, будет работать такая схема? хотя вместо впн серверов можно обойтись натом...даже виндовым..но это несекурно, считаю..
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Доступ в разные подсети за НАТом"	+1 +/–
	Сообщение от reader (ok) on 21-Сен-11, 17:12
	>[оверквотинг удален] >> портов. если нужен полноценный доступ в локалку, то на одной из >> машин в локалке подымаете openvpn и делаете проброс порта на vpn-сервер, >> после поднятия vpn настаиваете маршрутизацию в сетях и работаете. >> с указаными моделями не работал, но у делинков вроде у многих есть >> port forwarding, там и указываете какой порт пробросить на какой порт >> определенного ip_машины > да, наверное так и сделаю - там есть свои виндосервера, поставлю вторую > сетевую с айпи 192.168.22.3, и впн-сервер, а от своего сервера буду > конектиться впн-клиентами... правда таких подсеток удаленных у меня 7. Как думаете, > будет работать такая схема? всмысле запускать 7 клиентов? может лучше наоборот, тут сервер. про вторую сетевую не понял, к чему она. > хотя вместо впн серверов можно обойтись натом...даже виндовым..но это несекурно, считаю..
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Доступ в разные подсети за НАТом"	+/–
	Сообщение от tornado2k (ok) on 21-Сен-11, 17:53
	>[оверквотинг удален] >>> с указаными моделями не работал, но у делинков вроде у многих есть >>> port forwarding, там и указываете какой порт пробросить на какой порт >>> определенного ip_машины >> да, наверное так и сделаю - там есть свои виндосервера, поставлю вторую >> сетевую с айпи 192.168.22.3, и впн-сервер, а от своего сервера буду >> конектиться впн-клиентами... правда таких подсеток удаленных у меня 7. Как думаете, >> будет работать такая схема? > всмысле запускать 7 клиентов? может лучше наоборот, тут сервер. > про вторую сетевую не понял, к чему она. >> хотя вместо впн серверов можно обойтись натом...даже виндовым..но это несекурно, считаю.. щас попробую построить схему: моя подсеть: 192.168.175.0/24; мой рабочий комп 192.168.175.108; мой роутер (Acorp): 192.168.175.200/24 (внутренний) и 192.168.175.75.2/24 (внешний); роутер провайдера имеет пул адресов (мне недоступен для администрирования, все порты во все стороны открыты): 192.168.9.1 - 192.168.98.1/24. Из пула 192.168.75.1 - в мою подсеть. одна из удаленных подсеток: 192.168.122.0/24 их роутер (DSL-2500U): 192.168.122.200/24 (внутренний) и 192.168.175.22.2/24 (внешний); тот же самый роутер прова, для них с айпишником 192.168.22.1/24 маршрут пакета такой (пингабельно и трацертно): 192.168.175.108 --> 192.168.175.200 --> 192.168.75.2 --> [192.168.75.1 --> 192.168.22.1] --> 192.168.22.2 -/-> (stop ping). Вот тут я и хотел пробросить маршрут на их модеме, например 4899 на их станцию 192.168.122.210. Но вы были правы, несколькими постами выше - там вроде компов и не много, около 20, но порты нужны всяческие - и 5222, и 4899,и 3389, и 4000 (для коннектора к моей ERP системе), и набор для портов для AD, да мало ли чего еще. Вот я и решил прислушаться к вашему совету и поднять свое подключение между нашими подсетками. Дело в том, что в той подсетке стоит win2003, юзается просто для шары - указание моего начальства - сносить винду нельзя, не говоря об установке никсов с самбой. Но можно доставлять в винду свои вещи, если это не помешает шаре. Железо серваковое HP, две сетевые, юзается одна с адресом 192.168.122.222/24. Вот я и подумал активировать второй интерфейс, вывести айпи, скажем - 192.168.22.3/24 и он станет для меня пингабелен, по крайней мере - так убеждает пров. А дальше ставить на сервак клиента (как вы верно подметили в предыдущем посте) и коннектить его к аналогичному хьюлиту у меня, тоже со второй сетевухой 192.168.75.3. Что-то мне подсказывает, что можно использовать одну сетевую и прописать route add на том хьюлите, если вы мне подскажите как - было бы здорово... Клиенты и сервер ВПН думаю ставить стандартный виндовый...
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Доступ в разные подсети за НАТом"	+1 +/–
	Сообщение от reader (ok) on 21-Сен-11, 20:49
	>[оверквотинг удален] > юзается одна с адресом 192.168.122.222/24. Вот я и подумал активировать второй > интерфейс, вывести айпи, скажем - 192.168.22.3/24 и он станет для меня > пингабелен, по крайней мере - так убеждает пров. А дальше ставить > на сервак клиента (как вы верно подметили в предыдущем посте) и > коннектить его к аналогичному хьюлиту у меня, тоже со второй сетевухой > 192.168.75.3. > Что-то мне подсказывает, что можно использовать одну сетевую и прописать route add > на том хьюлите, если вы мне подскажите как - было бы > здорово... > Клиенты и сервер ВПН думаю ставить стандартный виндовый... если пропускной способности имеющихся каналов не хватает и вы хотите пустить vpn по отдельному - можно задействовать вторые сетевые. если же пропускной способности хватает то, на 192.168.122.222 шлюзом по умолчанию прописываете 192.168.122.200 и клиенту vpn указываете подключиться к 192.168.75.2(внешка вашего роутера). на вашем роуторе делаете проброс порта на vpn-сервер, при этом шлюзом по умолчанию на vpn-сервер прописываете 192.168.175.200. route add может понадобиться если на vpn сервере и клеенте шлюзом по умолчанию должны быть прописаны другие ip. на всякий случай - openvpn и под винду есть.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Доступ в разные подсети за НАТом"	+/–
	Сообщение от tornado2k (ok) on 22-Сен-11, 05:04
	>[оверквотинг удален] >> Клиенты и сервер ВПН думаю ставить стандартный виндовый... > если пропускной способности имеющихся каналов не хватает и вы хотите пустить vpn > по отдельному - можно задействовать вторые сетевые. > если же пропускной способности хватает то, на 192.168.122.222 шлюзом по умолчанию прописываете > 192.168.122.200 и клиенту vpn указываете подключиться к 192.168.75.2(внешка вашего роутера). > на вашем роуторе делаете проброс порта на vpn-сервер, при этом шлюзом по > умолчанию на vpn-сервер прописываете 192.168.175.200. > route add может понадобиться если на vpn сервере и клеенте шлюзом по > умолчанию должны быть прописаны другие ip. > на всякий случай - openvpn и под винду есть. спасибо вам огромное, по истине опеннет - лучший форум в рунете... как опробую в практике - напишу...
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Доступ в разные подсети за НАТом"	+/–
	Сообщение от tornado2k (ok) on 23-Сен-11, 11:08
	>[оверквотинг удален] >> по отдельному - можно задействовать вторые сетевые. >> если же пропускной способности хватает то, на 192.168.122.222 шлюзом по умолчанию прописываете >> 192.168.122.200 и клиенту vpn указываете подключиться к 192.168.75.2(внешка вашего роутера). >> на вашем роуторе делаете проброс порта на vpn-сервер, при этом шлюзом по >> умолчанию на vpn-сервер прописываете 192.168.175.200. >> route add может понадобиться если на vpn сервере и клеенте шлюзом по >> умолчанию должны быть прописаны другие ip. >> на всякий случай - openvpn и под винду есть. > спасибо вам огромное, по истине опеннет - лучший форум в рунете... как > опробую в практике - напишу... ездил сегодня в удаленную зону. Напомню, кое-какую исходную информацию: 1. 192.168.122.0/24 - их внутренняя сеть; 2. Внутренний их ип роутера - 192.168.122.200; 3. Внешний ип роутера - 192.168.22.2; 4. Роутер провайдера - 192.168.22.1; 5. Роутер провадера (он же для меня) - 192.168.75.1; 6. Мой роутер (внешний) - 192.168.75.2; 7. Мой роутер (внутренний) - Мой внешний роутер - 192.168.175.200; 8. Моя внутренняя сеть - 192.168.175.0/24; 9. Мой комп - 192.168.175.108. У них есть свой сервер (хочу его задействовать в качестве впн клиента): ип - 192.168.122.100/24, шлюз - 192.168.122.200, днс - пусто. Изначально не пинговалось с него 192.168.22.2 и 192.168.22.1 - отрицательно. Наверное это странно, ведь по идее роутер должен позволять видеть свои же айпишники. Или нет? Я просто по аналогии с рабочей станцией. Прописал статический маршрут на этом сервере: route -p add 192.168.22.0 mask 255.255.255.0 192.168.122.200 192.168.22.2 и 192.168.22.1 начали пинговаться. на их роутере пробросил порт 3389 на сервер (192.168.122.100). Конекчусь от себя рдп клиентом на внешний ип роутера 192.168.22.2 - попадаю на рабочий стол сервера благополучно. Можно теперь удаленно возиться с сервером. Теперь хочу сделать так, чтобы этот сервер был мне доступен напрямую для чего на эту же сетевую сервера прописал второй ип - 192.168.22.3/24, поотключал все файрволы. Но айпи 192.168.22.3 не пингуется. Думаю, (могу и ошибаться) нужно сделать связь как-то с роутера 192.168.22.2 на ип сервера 192.168.22.3. Как это сделать правильно? То есть как мне сделать так, чтобы айпи 192.168.22.3 был доступен прямо?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Доступ в разные подсети за НАТом"	+/–
	Сообщение от reader (ok) on 23-Сен-11, 11:34
	>[оверквотинг удален] > 8. Моя внутренняя сеть - 192.168.175.0/24; > 9. Мой комп - 192.168.175.108. > У них есть свой сервер (хочу его задействовать в качестве впн клиента): > ип - 192.168.122.100/24, шлюз - 192.168.122.200, днс - пусто. > Изначально не пинговалось с него 192.168.22.2 и 192.168.22.1 - отрицательно. Наверное это > странно, ведь по идее роутер должен позволять видеть свои же айпишники. > Или нет? Я просто по аналогии с рабочей станцией. > Прописал статический маршрут на этом сервере: > route -p add 192.168.22.0 mask 255.255.255.0 192.168.122.200 > 192.168.22.2 и 192.168.22.1 начали пинговаться. значит или шлюз по умолчанию не был всетаки прописан или маска сети на этой машине указана не /24 > на их роутере пробросил порт 3389 на сервер (192.168.122.100). Конекчусь от себя > рдп клиентом на внешний ип роутера 192.168.22.2 - попадаю на рабочий > стол сервера благополучно. Можно теперь удаленно возиться с сервером. > Теперь хочу сделать так, чтобы этот сервер был мне доступен напрямую для > чего на эту же сетевую сервера прописал второй ип - 192.168.22.3/24, > поотключал все файрволы. Но айпи 192.168.22.3 не пингуется. Думаю, (могу и > ошибаться) нужно сделать связь как-то с роутера 192.168.22.2 на ип сервера > 192.168.22.3. > Как это сделать правильно? То есть как мне сделать так, чтобы айпи > 192.168.22.3 был доступен прямо? 192.168.22.3 вы не сами берете , а провайдер должен выдать, а потом еще и доставлять на какоето ваше подключение пакеты адресованные к 192.168.22.3
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Доступ в разные подсети за НАТом"	+/–
	Сообщение от tornado2k (ok) on 23-Сен-11, 11:47
	> значит или шлюз по умолчанию не был всетаки прописан или маска сети > на этой машине указана не /24 да нет, вроде все ок. Шлюз 192.168.122.200, маска /24 > 192.168.22.3 вы не сами берете , а провайдер должен выдать, а потом > еще и доставлять на какоето ваше подключение пакеты адресованные к 192.168.22.3 ну да..тогда получается, что впновский порт надо будет пробрасывать на 22.3, а нафига, если с таким же успехом это можно сделать и на 192.168.122.100..
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Доступ в разные подсети за НАТом"	+/–
	Сообщение от reader (ok) on 23-Сен-11, 11:58
	>> значит или шлюз по умолчанию не был всетаки прописан или маска сети >> на этой машине указана не /24 > да нет, вроде все ок. Шлюз 192.168.122.200, маска /24 >> 192.168.22.3 вы не сами берете , а провайдер должен выдать, а потом >> еще и доставлять на какоето ваше подключение пакеты адресованные к 192.168.22.3 > ну да..тогда получается, что впновский порт надо будет пробрасывать на 22.3, а нет, с 22.3 прописанным в локалке у вас не получится или придется всю локалку в подсеть провайдера выставить %) > нафига, если с таким же успехом это можно сделать и на > 192.168.122.100.. если вы хотите использовать 22.3 и провайдер готов доставлять к нему пакеты через 22.1, то берете свич и в него втыкаете провод продайдера, роутер и вторую сетевую сервера и на второй сетевой прописываете 22.3
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Доступ в разные подсети за НАТом"	+/–
	Сообщение от tornado2k (ok) on 23-Сен-11, 13:06
	>[оверквотинг удален] >>> 192.168.22.3 вы не сами берете , а провайдер должен выдать, а потом >>> еще и доставлять на какоето ваше подключение пакеты адресованные к 192.168.22.3 >> ну да..тогда получается, что впновский порт надо будет пробрасывать на 22.3, а > нет, с 22.3 прописанным в локалке у вас не получится или придется > всю локалку в подсеть провайдера выставить %) >> нафига, если с таким же успехом это можно сделать и на >> 192.168.122.100.. > если вы хотите использовать 22.3 и провайдер готов доставлять к нему пакеты > через 22.1, то берете свич и в него втыкаете провод продайдера, > роутер и вторую сетевую сервера и на второй сетевой прописываете 22.3 не получится ничего с провайдером:( тогда остается пробрасывать порт ВПН аналогично рдпишному просто? поднимать впн соединение и свободно работать со всеми компами во всех подсетках.. в теории - красиво.. погляжу что будет..
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору