![]() |
![]() |
Старик Хоттабыч 15.06.2004 - 19:34 | Есть инет выделенкой, ип модема (условно) 42.163.41.53 маска 255.255.255.228, конец от модема вешается на "железный" файрвол - его ип в инете 42.163.41.54 маска 255.255.255.228, на файрволе включен НАТ, внутренний ип файрвола 192.168.100.1 маска 255.255.255.204, конец от файрвола воткнут в сетевку №1 компа с установленной ОС Вин2000Сервер, ип сетевки №1 192.168.100.2 маска 255.255.255.204, сетевка №2 подключена к локалке и имеет статический айпишник внутренней сети 192.168.0.2 маска 255.255.255.0; в винде запущена служба маршрутизации и удаленного доступа, в свойствах удаленного доступа разрешены входящие подключения (по телефону, через обычный модем), адреса для входящих подключений выдаются из диапазона 192.168.100.3 - 192.168.100.10 маска 255.255.255.204, в свойствах маршрутизации включен НАТ :), в свойствах НАТ указаны интерфейсы: внутренний - локалка, внешний - сетевка №1 (т.е. "инет"), доступ из локалки в инет осуществляется путем указания на машинах в качестве шлюза ип сетевки №2; при подключении к вышеозначенному компу по мопеду подключаемый получает ип 192.168.100.4 маска 255.255.255.204 ип адрес сервера 192.168.100.3 при этом кроме сервера ничего больше не пингуется, однако доступ в инет возможен через модемное соединение с любым компом локалки (проверено на винХР с установленным Керио, в свойствах которого разрешен доступ к локалке для входящих подключений)... Пытался настроить НАТ на серваке, но там кроме двух вышеозначенных интерфейсов ничего добавить нельзя (даже при наличии активного входящего модемного соединения). Думаю дело в НАТ, хотя возможно следует "по-хитрому" настроить статическую ип-маршрутизацию входящего подключения? Ткните пальцем где ошибка или подкиньте свежих идей. |
snowly 1 - 16.06.2004 - 06:21 | что у тя за настройки в сетевушку №1 и как себя ведет инет на серваке? |
Старик Хоттабыч 2 - 16.06.2004 - 09:39 | Инет на серваке ведет себя прекрасно. "настройки в сетевушку №1" - что ты имеешь ввиду? |
AlD 3 - 16.06.2004 - 09:51 | Выложи tracert www.ru с раб. станции |
PriZrak 4 - 16.06.2004 - 10:31 |
А почему у тебя так мало NATов? мне кажется дело в этом - нужно ещё один шлюз в цепочку настроить. :) Если серьёзно, то смысла в дву FW не вижу. Защищаться можно до маразма. а если хочется всё же поизвращатся, настраевай по очереди. Сначала выкинь програмный FW и настрой железяку, а затем настраивай программный. |
Старик Хоттабыч 5 - 16.06.2004 - 14:04 |
2_AID trcert с компа в локалке щаз выложу, а удаленного клиента - только вечером (правда там все и так будет ясно). 2_PriZrak NAT и Firewall совсем не одно и тоже; с одной лишь железкой у меня все работало, однако НАТ запущеный в винде победить так и не удалось... |
PriZrak 6 - 16.06.2004 - 14:18 | Спасибо за разъяснение, но я знал что нат и файр это в данном случае разные вещи. Зачем тебе два ната скажи? |
PriZrak 7 - 16.06.2004 - 14:21 |
И вобще я чёто туплю... На железяке НАТ и файрвол, на компе НАТ и телефонный модем? |
AlD 8 - 16.06.2004 - 14:40 |
Да уж - 4 дня футбола по телеку просто так не прошли - медленно включаюсь ну нат положим у тебя как раз работает, если я правильно понял, т.е. 2к заменяет адрес источника 192.168.0.x на свой 192.168.100.2 Затем ФВ делает тоже самое, только заменяет адрес источника 192.168.100.2 на свой ...54 и далее через провайдера.... почему не работет модем ? Тебе нужно модему выделять адрес из другой сети - типа 192.168.101.4 - сеть и диалап разные интерфейсы - нужна маршрутизация. И к чему использование нестандартной маски ???? |
Старик Хоттабыч 9 - 16.06.2004 - 14:51 |
2_№7 совершенно верно :) 2_AID по первому пункту - всё так и есть; разве если маска клиента отличается от маски сети, то ип адрес не становится пофигу? Кста, вчера вечером проверял коннект и обнаружил что несмотря на свойства статического пула (192.168.100.3 - 192.168.100.10 маска 255.255.255.204) клиент получает ип 192.168.100.4 в маске 255.255.255.255, сервак полностью доступен... вобщем адреса я поставил выдавать динамически (раньше так все работало) |
PriZrak 10 - 16.06.2004 - 15:06 |
тебе это нафиг всё не нужно. У тебя есть 2 маршрутизатора и два канала во внешний мир. Серак используй для RRAS, а железяка и сама проживёт - её суй прямо в свитч. И незачем городить каскад из маршрутизаторов |
Старик Хоттабыч 11 - 16.06.2004 - 16:29 |
2_PriZrak раньше так и было, однако безопасность превыше всего... ЗЫ: tracert с компа в локалке как и положено 192.168.0.2 -> 192.168.100.1 -> ip модема. И еще щаз заметил: на сетевке №2 в качестве шлюза естественно указан ип модема. |
PriZrak 12 - 16.06.2004 - 16:33 | А в чём безопасность? Или дополнительный гемор это безопасность? NAT на компе тебе безопасность не увеличит, а железяка у тебя сама файрвол. |
Старик Хоттабыч 13 - 16.06.2004 - 18:25 | Твоя правда. Только скоко у меня будет гемора если я щаз на компе кокну НАТ и юзеры лишенные инета раскалят телефон добела? |