К списку форумов К списку вопросов
NAT не пускает в инет...
Старик Хоттабыч
15.06.2004 - 19:34
Есть инет выделенкой, ип модема (условно) 42.163.41.53 маска 255.255.255.228, конец от модема вешается на "железный" файрвол - его ип в инете 42.163.41.54 маска 255.255.255.228, на файрволе включен НАТ, внутренний ип файрвола 192.168.100.1 маска 255.255.255.204, конец от файрвола воткнут в сетевку №1 компа с установленной ОС Вин2000Сервер, ип сетевки №1 192.168.100.2 маска 255.255.255.204, сетевка №2 подключена к локалке и имеет статический айпишник внутренней сети 192.168.0.2 маска 255.255.255.0; в винде запущена служба маршрутизации и удаленного доступа, в свойствах удаленного доступа разрешены входящие подключения (по телефону, через обычный модем), адреса для входящих подключений выдаются из диапазона 192.168.100.3 - 192.168.100.10 маска 255.255.255.204, в свойствах маршрутизации включен НАТ :), в свойствах НАТ указаны интерфейсы: внутренний - локалка, внешний - сетевка №1 (т.е. "инет"), доступ из локалки в инет осуществляется путем указания на машинах в качестве шлюза ип сетевки №2; при подключении к вышеозначенному компу по мопеду подключаемый получает ип 192.168.100.4 маска 255.255.255.204 ип адрес сервера 192.168.100.3 при этом кроме сервера ничего больше не пингуется, однако доступ в инет возможен через модемное соединение с любым компом локалки (проверено на винХР с установленным Керио, в свойствах которого разрешен доступ к локалке для входящих подключений)... Пытался настроить НАТ на серваке, но там кроме двух вышеозначенных интерфейсов ничего добавить нельзя (даже при наличии активного входящего модемного соединения). Думаю дело в НАТ, хотя возможно следует "по-хитрому" настроить статическую ип-маршрутизацию входящего подключения? Ткните пальцем где ошибка или подкиньте свежих идей.
snowly
1 - 16.06.2004 - 06:21
что у тя за настройки в сетевушку №1 и как себя ведет инет на серваке?
Старик Хоттабыч
2 - 16.06.2004 - 09:39
Инет на серваке ведет себя прекрасно. "настройки в сетевушку №1" - что ты имеешь ввиду?
AlD
3 - 16.06.2004 - 09:51
Выложи tracert www.ru с раб. станции
PriZrak
4 - 16.06.2004 - 10:31
А почему у тебя так мало NATов? мне кажется дело в этом - нужно ещё один шлюз в цепочку настроить. :)
Если серьёзно, то смысла в дву FW не вижу. Защищаться можно до маразма. а если хочется всё же поизвращатся, настраевай по очереди. Сначала выкинь програмный FW и настрой железяку, а затем настраивай программный.
Старик Хоттабыч
5 - 16.06.2004 - 14:04
2_AID trcert с компа в локалке щаз выложу, а удаленного клиента - только вечером (правда там все и так будет ясно).
2_PriZrak NAT и Firewall совсем не одно и тоже; с одной лишь железкой у меня все работало, однако НАТ запущеный в винде победить так и не удалось...
PriZrak
6 - 16.06.2004 - 14:18
Спасибо за разъяснение, но я знал что нат и файр это в данном случае разные вещи. Зачем тебе два ната скажи?
PriZrak
7 - 16.06.2004 - 14:21
И вобще я чёто туплю...
На железяке НАТ и файрвол, на компе НАТ и телефонный модем?
AlD
8 - 16.06.2004 - 14:40
Да уж - 4 дня футбола по телеку просто так не прошли - медленно включаюсь
ну нат положим у тебя как раз работает, если я правильно понял, т.е. 2к заменяет адрес источника 192.168.0.x на свой 192.168.100.2
Затем ФВ делает тоже самое, только заменяет адрес источника 192.168.100.2 на свой ...54 и далее через провайдера....
почему не работет модем ?
Тебе нужно модему выделять адрес из другой сети - типа 192.168.101.4 - сеть и диалап разные интерфейсы - нужна маршрутизация. И к чему использование нестандартной маски ????
Старик Хоттабыч
9 - 16.06.2004 - 14:51
2_№7 совершенно верно :)
2_AID по первому пункту - всё так и есть; разве если маска клиента отличается от маски сети, то ип адрес не становится пофигу? Кста, вчера вечером проверял коннект и обнаружил что несмотря на свойства статического пула (192.168.100.3 - 192.168.100.10 маска 255.255.255.204) клиент получает ип 192.168.100.4 в маске 255.255.255.255, сервак полностью доступен... вобщем адреса я поставил выдавать динамически (раньше так все работало)
PriZrak
10 - 16.06.2004 - 15:06
тебе это нафиг всё не нужно.
У тебя есть 2 маршрутизатора и два канала во внешний мир. Серак используй для RRAS, а железяка и сама проживёт - её суй прямо в свитч. И незачем городить каскад из маршрутизаторов
Старик Хоттабыч
11 - 16.06.2004 - 16:29
2_PriZrak раньше так и было, однако безопасность превыше всего...
ЗЫ: tracert с компа в локалке как и положено 192.168.0.2 -> 192.168.100.1 -> ip модема. И еще щаз заметил: на сетевке №2 в качестве шлюза естественно указан ип модема.
PriZrak
12 - 16.06.2004 - 16:33
А в чём безопасность? Или дополнительный гемор это безопасность? NAT на компе тебе безопасность не увеличит, а железяка у тебя сама файрвол.
Старик Хоттабыч
13 - 16.06.2004 - 18:25
Твоя правда. Только скоко у меня будет гемора если я щаз на компе кокну НАТ и юзеры лишенные инета раскалят телефон добела?

К списку вопросов на форуме Сети

>>