forum.lan.md

[Sis-Adm]

Доброго времени суток. Такая проблема. Настроил VPN + NAT


Есть сетка Модем вставлен в фаервол Wan ip a.b.c.d фаервол выдает в сетевую карту ip автоматом 192.168.5.33 на второй сетевой карте ip сетки 192.168.10.200


Есть 2 сетка Модем вставлен в фаервол Wan ip d.c.b.a. фаервол выдает в сетевую карту ip автоматом 192.168.4.34 на второй сетевой карте ip сетки 192.168.0.1

В обоих случаях на сетевухах работает NAT через ЮГ
Обе сетки завязаны VPN туннелем
Я вижу из одной сетки 192.168.10.201 комп 192.168.4.34
Я вижу из одной сетки 192.168.0.1 комп 192.168.5.33


Как мне сделать чтобы я видел сетки равноправно

Добавлено спустя 1 минуту 22 секунды:

ЮГ это Прокси ЮзерГет

[Alex]

3 раза прочитал - нифига не понял.
Дешевле нарисовать что у тя и как, а еще конфигу в студию.

[KirillTs]

+1 =)

[Igoras]

Схемку в студио... желательно рисованную в визио )

[Sis-Adm]

Топология

[FAST-NET]

dar nu e mai usor de le organizat pe toate intro singura retea si de facut intre ele un bridge

[Sis-Adm]

dar nu e mai usor de le organizat pe toate intro singura retea si de facut intre ele un bridge

Супер ответ.Как я понял мостом сделать две сет карты.Непойдет IP должны быть разные.Так как на сет картах NAT и вообще работать небудет ничего кроме сетки внутренней.

Добавлено спустя 26 минут 37 секунд:

VPN реализует аппаратный маршрутизатор.ZYXELL В схеме где написано ФАЕРВОЛ это он и есть.Меня просто интересует.Почему я немогу выйти в сеть внутреннею.Если я сижу за серв и я по тунелю вижу серв а дальше нет.Чтото надо сделать между 2 сеть карт на компах а что я не пойму чет никак.Чторбы я сидя в сети 192.168.1.33 видел сеть 192.168.0.1 ...2 ....3 .....4 и.т.д

[Alex]

Мдяяяя - визио тут и не пахнет...

А с сервера 192,168,1,33 пинги на сервер 192,168,2,34 и наоборот ходют?

а вообще - для поиска запоров используй команду tracert ххх.ххх.ххх.ххх (под виндой) - там сразу видно хде запор

[Sis-Adm]

Мдяяяя - визио тут и не пахнет...

А с сервера 192,168,1,33 пинги на сервер 192,168,2,34 и наоборот ходют?

а вообще - для поиска запоров используй команду tracert ххх.ххх.ххх.ххх (под виндой) - там сразу видно хде запор

Как раз таки проходят.Вот дальше с сервера 192,168,1,33 пинги на сервер через карту 192,168,2,34 на вторую карту и в сеть не проходят.

[Alex]

нат на 192,168,1,33
источник 192,168,0,0/24 назначение 192,168,10,0/24 направлять на интерфейс 192,168,10,200

нат на 192,168,2,34
источник 192,168,10,0/24 назначение 192,168,0,0/24 направлять на интерфейс 192,168,0,1


Как это делается в ЮГ - ненаю
В керио и линухе - сказать могу

Добавлено спустя 2 минуты 41 секунду:

А почему бы не сделать сервер-192,168,1,33 и серв 192,168,2,34 из одной подсети - 192,168,50,0/24 например?

[Sis-Adm]

Пробую еще один вариант все тоже самое только добавил еще по 1 карте в сервера.И между двумя мост.Если получиться опишу.Теоритически должно.

Добавлено спустя 1 минуту 47 секунд:

Все 3 будут задействованны.

Добавлено спустя 2 минуты:

А почему бы не сделать сервер-192,168,1,33 и серв 192,168,2,34 из одной подсети - 192,168,50,0/24 например?

VPN не пойдет.Хотя Х/З

[Alex]

ну тады и у FireWall/VPN тож IP тож должны быть какие-то - чет я их не увидел

[Igoras]

Alex,
я видел такие девайсы... с одной подсети сделать не получится... девайс, вернее связка из 2 девайсов работает как будто рутер между подсетями... но не бридж

тут же явная проблема в НАТе и рутинге через сервера с ЮГ... впн-гейты просто не знают что им делать с пакетами от исходных сетей (192.168.0.0 и 192.168.10.0).... а 192,168,4,0 и 192,168,5,0 это для впн-ртеров - подключенные сети, вот они и знают что с ними делать... а вот запросы в другие скорее всего в инет куда-то уходят как на дефолт гейт.... тресы бы неплохо посмотреть.. и кроме того, не факт что входящие пакеты в эти сети не режутся на входе ЮГ...

что делать? во-первых... я бы как-то поставил эти сети в исключения ЮГ (для ЮГ на сервере слева надо выставить сети 192,168,5,0 и 192,168,0,0, для ЮГ на сервере справа - 192,168,4,0 и 192,168,10,0), чтобы для них не делался НАТ.
Затем, на впн-фаерволлах (обоих) надо добавить статичный рутинг в 192,168,0,0 через 192,168,5,33 и в 192,168,10,0 через 192,168,4,34.

Так же можно сделать и проще, если на конечной точке не обяязательно видеть с какой конкретно станции шел запрос, можно оставить НАТ как есть, а только добавить статичные маршруты в защищенные сети как писал выше - в 192,168,0,0 через 192,168,5,33 и в 192,168,10,0 через 192,168,4,34.

И напоследок убедиться что в серверах включен рутинг через него (нат в ЮГ это не рутинг, это отдельно)....

Добавлено спустя 2 минуты 44 секунды:

Да, кстати вот нормальная картинка в визио...

[Alex]

Ну и страсти....

Ну мну такое настроено на linux+openVPN - работы в настройках - 5 мин - проблем - ну если только инет отвалится

[Igoras]

Alex,
Я согласен ставится сервак с впном с каждой стороны и все лучше всего микротик если в лом париться с настройкой

Кстати, в модеме тоже явно делается НАТ, иначе бы инет не работал...
ЮГ скорее всего для более удобного контроля за юзерами и за их скоростями (хз есть там такое или нет)...

ОпенВПН кстати и на винде можно поставить и выкинуть нафиг девайсы

[Alex]

Alex,
Я согласен ставится сервак с впном с каждой стороны и все лучше всего микротик если в лом париться с настройкой

Кстати, в модеме тоже явно делается НАТ, иначе бы инет не работал...

Ага, плюс подключение к прову через РРРоЕ небойсь...

[Sis-Adm]

Ага, плюс подключение к прову через РРРоЕ небойсь...

У моего провайдера настройки модема бридж

Добавлено спустя 2 часа 58 минут 54 секунды:

Скорей всего проблема в NAT.Он работает только в одну сторону. Откидывает адреса.

[Alex]

Sis-Adm,
Те ужо 2 человека сказали - "Используй трейсрут" - сразу увидишь что у тя и как!!!

[Sis-Adm]

Sis-Adm,
Те ужо 2 человека сказали - "Используй трейсрут" - сразу увидишь что у тя и как!!!

Знаю я эту команду TRACERT .У провайдера гдето теряеться пакет на внутр сетку.

[Alex]

ну если у тя пакеты теряются где-то у провайдера - значит твой VPN/FireWall не заворачивает их на на VPN и следовательно надо рыть в рутинге железяки VPN/FireWall

[Sis-Adm]

ну если у тя пакеты теряются где-то у провайдера - значит твой VPN/FireWall не заворачивает их на на VPN и следовательно надо рыть в рутинге железяки VPN/FireWall

Внешняя сетевуха пакеты проходят а вот на внутреннию пакеты не дохотят.

[Igoras]

Хм, а мой пост длинный кто-то читал?

[Sis-Adm]

И VPN туту не причем он работает.через NAT прохода нет.И не будет.Нат работает в одну сторону.И внутренней сетки запрос идет во внешнюю пакеты проходят а на оборот нет и не пройдут.Так как нет запроса.

Добавлено спустя 2 минуты 36 секунд:

Функционирование

Преобразование адресов методом NAT может производиться почти любым маршрутизирующим устройством — маршрутизатором, сервером доступа, межсетевым экраном. Суть механизма состоит в замене адреса источника (source) при прохождении пакета в одну сторону и обратной замене адреса назначения (destination) в ответном пакете. Наряду с адресами source/destination могут также заменяться номера портов source/destination.

Помимо source NAT (предоставления пользователям локальной сети с внутренними адресами доступа к Интернету) часто применяется также destination NAT, когда, например, обращения извне сетевым экраном транслируются на сервер в локальной сети, имеющий внутренний адрес и потому недоступный извне сети непосредственно (без NAT).

Существует 3 базовых концепции трансляции адресов: статическая (Static Network Address Translation), динамическая (Dynamic Address Translation), маскарадная (NAPT, PAT).

Механизм NAT определён в RFC 1631, RFC 3022.

[править]
Преимущества

NAT выполняет две важных функции.
Позволяет сэкономить IP-адреса, транслируя несколько внутренних IP-адресов в один внешний публичный IP-адрес (или в несколько, но меньшим количеством, чем внутренних).
Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.

[править]
Недостатки
Не все протоколы могут «преодолеть» NAT. Некоторые не в состоянии работать, если на пути между взаимодействующими хостами есть трансляция адресов. Некоторые межсетевые экраны, осуществляющие трансляцию IP-адресов, могут исправить этот недостаток, соответствующим образом заменяя IP-адреса не только в заголовках IP, но и на более высоких уровнях (например, в командах протоколов FTP или H.323). См. Application-level gateway.
Из-за трансляции адресов «много в один» появляются дополнительные сложности с идентификацией пользователей и необходимость хранить полные логи трансляций.
DoS со стороны узла, осуществляющего NAT — если NAT используется для подключения многих пользователей к одному и тому же сервису, это может вызвать иллюзию DoS атаки на сервис (множество успешных и неуспешных попыток). Например, избыточное количество пользователей ICQ за NAT’ом приводит к проблеме подключения некоторых пользователей из-за превышения допустимой скорости коннектов к серверу. Частичным решением проблемы является использование пула адресов (группы адресов), для которых осуществляется трансляция.

[Igoras]

Sis-Adm,

VPN - это ТУННЕЛЬ между 2 девайсами.... и выглядит это (как можно догадаться из названия) как внутренняя сеть.... следовательно, пакеты в ту сеть должны бросаться через виртуальный ВПН-интерфейс, а не на гейт провайдера и дальше в инет... понимаешь?? то что 2 девайса будут обмениваться пакетами с твоим инкапсулированным трафиком - этого ты не увидишь со своей стороны... для тебя это будет выглядеть как будто они соединены друг в друга и между ними нет никакого инета....

Теперь про НАТ... хорошо что нашел на википедии статейку... действительно, обычно под НАТом подразумевается соурс-нат (или даже маскарадинг) с подменой всех внутренних адресов на внешний адрес гейта... НО... пакеты с внешнего адреса на внутренний будут проброшены, если они придут... это известная техника "взлома" НАТа... надо всего лишь знать сеть которая защищена НАТом и доставить пакет для этой сети на внешний адрес рутера.

То что пакеты с первой сети не доходят до второй, а уходят в инет - это проблема рутинга, как я писал раньше, поэтому впиши рутинг, тебе уже 2 человека об этом говорят.... ты спросил совета, тебе сказали что не так.... попробуй его... а не спорь что так работать не будет....

[off]ник у тебя конечно вызывающий.... и обязывающий... к знаниям [/off]

[Alex]

Igoras,
Пора с этой бесмыслицей завязывать, а то опять получается что больше всего эта проблема волнует нас, а не автора ветки