Архив форумов ЦИТФорума

[eugene]

Помогите люди добрые. Есть локальная сеть с Win2k Server выход в Интернет через ISDN маршрутизатор (AT-AR140) есть статический IP допустим 195.64.20.20 внутри сети 192.168.1.1 255.255.255.0 .
Возможно ли увидеть сеть с компа подключенного к выделенке яки в офисе через подобный маршрутизатор. Сталкивался ли кто с подобной проблемкой.

[Dmitry.Karpov http://www.]

Ключеые слова: PPTP, IPSec, VPN, туннелирование, инкапсуляция. Пользуйся поисковиками.

[eugene]

А если сам маршрутизатор настолько прост что не поддерживает ни PPTP, VPN.

[Dmitry.Karpov http://www.]

Смотри доку на роутер, спрашивай провайдера, выясняй, что он у тебя умеет... В крайнем случае можно поставить в сети еще одну машину с внешним адресом, и на ней устраивать PPTP, IPSec, VPN, туннелирование, инкапсуляцию...

[Дрон]

Технология vpn, тем и хороша, что не требуется поддержки со стороны промежуточных шлюзов, правда с натом в vpn есть проблемы, то есть придется внешний айпи наверное заводить. Но если покапаться, я думаю, можно найти решение поизящней

[and3008]

Тогда купите путный маршрутизатор или у провайдера ареднуйте еще один IP адрес. Поставьте либо UNIX либо Windows. Настройте на нем PPTP или сделайте туннелирование другими протоколами.

А иначе хрен чё выйдет.

[and3008]

Нужно понимать как посылаются пакеты.
Вот граница лок.сети. Дальше начинается Internet. На этой границе должна стоят железяка (роутер, комп, спец.приблуда), которая на основе правил зашифрует определенные трафик и пошлет его на конкретный хост в сети Internet. Там произойдет обратная операция.

Internet-роутерам, через которые пойдет зашифрованный трафик, будет сугубо фиолетово что это за трафик. Они и знать не знают что там такое. А вот пограничные роутеры это знать обязаны. Иначе не будет никакого VPN.

[Дрон]

Я имел ввиду vpn между двумя компами, тогда и пограничному роутеру будет фиолетово на уже зашифрованный трафик, правда читал, что если настроен нат(как раз на пограничном роутере) то с vpn (если делать проверку контрольной суммы пакета) возникает проблема, так как нат подменяет адрес отправителя. Интересно есть ли варианты решения таких проблем?

[and3008]

Строго говоря, если есть два компа с адресами типа 10.Х.Х.Х, 172.16.Х.Х, 192.168.2.Х, то они через Интернет не могут работать в принципе. Хоть ты чего поставь (в смысле VPN).
NAT позволит одному из компов обратится к какому-либо Internet-хосту, но не к локальному компу в какой-нибудь сети, если сеть построена на частных адресах.

Перекладывать локальный трафик в туннель VPN должен пограничный роутер, который хотя бы одним концом подключен к Инету.

По моему должно быть так. Иначе я ничего не смыслю в маршрутизации TCP/IP...

[Dmitry.Karpov http://www.]

Технология VPN требует поддержки как минимум на одном устройстве, имеющем прямой выход в Internet (и соответственно, IP-номер от провайдера). Это м.б. как отдельная машина, так и роутер, стоящий между локальной сетью и Internet.

Как я понял, задача в следующем:
- есть локальная сеть с внутренними(самоприсвоенными) IP-адресами, из которой происходит выход наружу через NAT/Masquerading;
- где-то снаружи есть удаленная машина, подключенная к Internet напрямую;
- требуется дать доступ этой (и только этой) удаленной машине во внутреннюю сеть.

Это решается так:
- между удаленной машиной и [роутером, который делает NAT/Masquerading,] организуется виртуальное соединение (что-то типа того, как UUCP-соединение делается не через модем, а через TCP-сессию);
- при образовании виртуального (или физического) соединения на роутере появляется новый интерфейс и меняется таблица маршрутизации; следует запретить маскарадинг на этом новом соединении.

IMHO, очевидно. Эту задачу в следующем семестре я задам своим студентам в МФТИ.

[Дрон]

Кстати ломаю голову над таким фактом: включаю аську, посылаю мессагу челу, который точно сидит за натом, так аська шлет мессагу на ip его внешнего шлюза, как эта месага дальше после шлюза (с натом) попадает к нему, че-то я не понимаю!

[and3008]

А ты уверен, что все именно так?
По моему она должна слать через Мирабилис.
Ну не может она черз НАТ проскочить.

Вернее так: Аська сперва старается передать напрямую, если не получается, то шлет на Мирабилис.

[Дрон]

так как не смотрел список всех пакетов ломящихся от аськи, но постараюсь посмотреть. Тогда другой вопрос: в одном случае аська при посылке месаги ломится на шлюз чела, сидящего за этим шлюзом (как я понимаю аська оставляет на мирабилис свой айпи, в данном случае за счет ната получается айпи шлюза), но, например в одной локалке аська сразу ломится к челу сидящему в этой же сети, как она понимает что надо ломится именно туда? Ведь локалка тоже за натом, и на мирабилис должен оставаться айпи внешнего интерфейса шлюза?

[Dmitry.Karpov http://www.]

IMHO, на протяжении работы ISQ-клиент держит соединение с сервером, по которому отправляет и получает сообщения. NAT помнит это соединение, поэтому сообщения попадают клиенту (пунктом назначения является не просто IP-адрес, а в сочетании с номером порта).

Что касается работы напрямую, без сервера, то для начала рекомендую отключить локалку от Internet и проверить, могут ли ISQ-клиенты работать напрямую...

[and3008]

Ничего удивительного. Когда ты включаешь Асю, то она лемится на Мирабилис и говорит по какому IP мы сидим, если что. Далее она глядит в твой контакт-лист и лезет на Мирабилис с вопросом о статусе этих славных парней и девчат
А может и за их IP-шками. Черт его знает.
Ну и на каждого юзверя у Мирабилиса есть небольшой кэш. Под статус, место расположения и кэш сообщений. Ася периодически нюхает этот кэш и благодаря этому получает сообщения даже через всякие разные FireWall-ы.

В общем использует Ася комбинированный способ доставки. Если можно доставить локально, то доставляет. Если низя, то через Мирабилис.

Думаю все работает так. Естественно со спецификацией протокола Аси я не знаком. Это только мои догадки. Но что-то мне подсказывает, что я думаю в правильном направлении. ))

[Димик]

На сколько мне известно Мирабилис не понимает нескольких разных пользователей с одним IP одновременно, что собственно и происходит при маскарадинге. И как результат
остается только одно активное соединение с Мирабилисом.