|
офлайн
Senior Member
|
||
4275 |
22 года на сайте
|
|
|
Murik, забыли про сеть и VPN.
Нам надо лишь, чтобы на твоем рабочем компе команда
ping 195.222.64.67
выдавала в ответ
"Ответ от 195.222.64.67: число байт=32 время<1мс TTL=128",
а команда
tracert 195.222.64.67
выдавала в ответ
1 <1 мс <1 мс <1 мс 192.168.225.149
2 <1 мс <1 мс <1 мс 195.222.64.67
Для этого и попробуй сделать как я писал в предыдущем мессаге.
|
офлайн
Senior Member
|
||
4275 |
22 года на сайте
|
|
|
|
Murik, можешь даже не пытаться, работать не будет.
Я ступил в одном: у провайдера-то маска подсети останется 255.255.0.0 
|
офлайн
Senior Member
|
||
1134 |
23 года на сайте
|
|
|
Murik, тебе уже надавали кучу разных полезных советов, ты уже много всего попробовал...
Можно теперь попробовать проверить мой вариант -- он крайне прост, не требует какого-либо доп.оборудования и программного обеспечения.
Значится, физически строим следующую схему:
модем Zyxel включается езернетовским хвостом ПРЯМО в порт свича (хаба), и доступен напрямую всем компьютерам сети.
Программно на всех машинах клиентов устанавливаем адрес модема (в твоем случае 192.168.225.150) как маршрут по умолчанию.
Что имеем после этого? Ну, поначалу то все так и было,
и VPN с провайдером уже поднимается, но!
Все компы и все вирусы с них ломятся в инет через этот самый модем...
Заваливая полностью слабенький канальчик в 128 или 256, или сколько там у вас кбит...
Значит, необходимо "отсечь" с канала весь траффик, кроме VPN - соединений.
Для этого залазим на модем телнетом, заходим в меню 21 (Filter set).
Далее, устанавливаем правила:
1. Все, кроме протокола TCP на внешний порт 1723 (VPN) -- ACCEPT
Это, чтобы они могли инициировать соединение по VPN
2. Все, кроме протокола GRE (#47) -- ACCEPT
Это, чтобы они могли работать по созданному туннелю
3. Все остальное -- DROP
Это, чтобы весь остальной мусор оставался не передавался по каналу.
(Здесь надо заметить, что у Зюхеля довольно геморная настройка фильтров.
Выглядеть они будут примерно так (Я даю настройку по меню 782R модема, на номера пунктов могут не совпадать, но принцип останется тот-же):
Пункт 21 - Filter Set.
Создать новый набор правил - например, 1
Комментарий - Любой.
Вошли в настройку правил.
Далее указываю только то, что нужно изменить, остальное оставляем как есть
Правило номер 1:
Active - YES
IP Protocol = 6
Destination:
Port = 1723
Port # Comp = Equal
Action matched - FORWARD
Action not matched - Check Next Rule
Правило #2
Active - Yes
IP Protocol = 47
Action matched - FORWARD
Action not matched - Check Next Rule
Правило #3
Active - Yes
Action matched - DROP
)
Теперь комментарии:
1. Это очень жесткие правила, которые не позволят ходить через модем ничему, кроме VPN. Возможно, стоило бы их либерализировать и добавить еще, например, возможность прохождения ICMP (пинг обыкновенный, протокол №1).
2. Возможно, в твоем модеме нудно будет еще где-то указать, что необходимо для соединения с провайдером необходимо использовать этот набор фильтров... Что-то такое было на 645, точно не помню, что и где....
3. Контролировать сработку правил можно по косвенному признаку -- загрузке канала. Пункты в меню 24 -> 1.
Если в нормальном состоянии бегает чуть-чуть пакетов - значит, все ок.
Если поток от вас в сторону провайдера все-таки большой -- плохо, что-то не сработало, разбираться...
4. Я полчаса этот пост писал и сверял, если он тебе не поможет -- жаль, я сделал дурную работу. Если поможет -- блин, пиво!!!
5. Будет интересно услышать про результаты...
6. В самом тяжелом случае -- в личное....
|
офлайн
Senior Member
|
||
1134 |
23 года на сайте
|
|
|
|
Ах да, еще...
Необходимо указать, что этим набором фильтров модем пользовался для канала с провайдером.
Меню 11 (Remote node proifile),
подпункт <имя соединения с твоим провайдером>
подпункт
Session options:
Edit filter sets = Yes
В открывшемся подменю -- указать для Output Filter Sets -> protocol filters= <номер набора правил, который мы создали по рекомендацимям из прошлого моего поста>
Ну вот теперь, вроде, правильно...
Жду результат?
|
офлайн
Senior Member
|
||
4275 |
22 года на сайте
|
|
|
|
Этот пост топтался синхронно с Dmitry.
Лучше, конечно, сделать, как он написал.
Но если не получится:
1) у тебя на рабочей машине адрес 192.168.0.2 (всем остальным в локалке по 192.168.127.254)
2) маска подсети рабочей машине -- 192.168.128.0, шлюз -- 192.168.0.1 (у всех остальных то же самое)
3) адрес серверной сетевухи в локалку 192.168.0.1
4) адрес серверной сетевухи в модем 192.168.225.149, адрес модема 192.168.225.150
5) с рабочей машины должен пинговаться 192.168.0.1
6) с сервера должен пинговаться как 192.168.0.2, так и 195.222.64.67
7) подымаешь NAT в KWP
с рабочей машины должен начать пинговаться 195.222.64.67
|
офлайн
Senior Member
|
||
4275 |
22 года на сайте
|
|
|
|
Dmitry, все это зашибись. Только в одном случае -- если его зухель - это РОУТЕР. В его же случае, похоже, это МОСТ, то есть с точки зрения прикладного протокола -- просто кусок витой пары от их свитча до провайдерского роутера. И, соответственно, фильтровать IP-пакеты не умеет
|
офлайн
Senior Member
|
||
1134 |
23 года на сайте
|
|
|
|
Давай спросим самого Murik? Скажи, Murik, какая именно модель Зюхеля используется? И как сконфигурирована? Как бридж или как роутер?
Что-ж я, зря писал всю эту лабуду?
|
офлайн
Senior Member
|
||
1134 |
23 года на сайте
|
|
|
|
Murik:
... Итак, исходные данные: ADSL модем с IP: 192.168.225.150
Сеть со статическими IP: 192.168.x.x
Маска подсети: 255.255.0.0
VPN соединение ломится на IP: 195.222.64.67
....
Вот судя по этому посту у них в локалке бегают фейковые адреса, и идет соединение на нормальный адрес: 195.222.64.67
Значит, по дороге стоит NAT, так?
На бридже может стоять NAT?
Мне кажется, нет....
Вывод -- моджем сконфигурирован как роутер.
Значит, можно проверить мой вариант...
|
офлайн
Senior Member
|
||
4275 |
22 года на сайте
|
|
|
|
Хочешь сказать, что им Соло на зухеле уже запустил NAT? Так хто ж ему мешал заодно обрубить все адреса, кроме 195.222.64.67? И паразитного трафика не было бы.
ЗЫ Мля, как мало известно о настройке зухеля. И человек, похоже, не жаждет с ним разбираться...
|
офлайн
Senior Member
Автор темы
|
||
751 |
22 года на сайте
|
|
|
Bill Humble, Dmitry, Zyxel Prestige 645
Как сконфигурирован - понятия не имею.
|
офлайн
Senior Member
Автор темы
|
||
751 |
22 года на сайте
|
|
|
|
Я никогда не работал с ADSL модемами. Я не знаю как их настраивать, не знаю что там и для чего надо. А желания у меня с этим все разобраться хватает, не просто так же я 3й день мучаюсь...
Как вообще телнетом к модему конектиться?
Если все заработает как хочу - пиво обеспечено 
|
офлайн
Senior Member
Автор темы
|
||
751 |
22 года на сайте
|
|
|
|
Bill Humble:а команда
tracert 195.222.64.67
выдавала в ответ
1 <1 мс <1 мс <1 мс 192.168.225.149
2 <1 мс <1 мс <1 мс 195.222.64.67
Вот что выдает сейчас (модем подключен к свитчу):
1 9 ms 31 ms 30 ms 192.168.225.150
2 47 ms 46 ms 46 ms sb51.p1.bba-vpn.solo.by [195.222.77.193]
3 47 ms 46 ms 46 ms sb34.p1.core.solo.by [195.222.71.134]
4 47 ms 46 ms 46 ms sb34.pe1.dp-1.solo.by [195.222.67.50]
5 33 ms 34 ms 33 ms ns3.belsonet.net [195.222.64.67]
|
офлайн
Senior Member
Автор темы
|
||
751 |
22 года на сайте
|
|
|
|
Команда telnet 192.168.225.150 просит password
P.S. IP в сети изменить не получится. Можно только поменять IP модема. Но хотелось бы сначала завести все это дело не сменив IP моего компа, а не модема. Если заработает - тогда тревожить Solo чтобы IP модема сменили.
|
офлайн
Senior Member
|
||
1134 |
23 года на сайте
|
|
|
|
|
офлайн
Senior Member
|
||
1134 |
23 года на сайте
|
|
|
|
Bill Humble:Хочешь сказать, что им Соло на зухеле уже запустил NAT? Так хто ж ему мешал заодно обрубить все адреса, кроме 195.222.64.67? И паразитного трафика не было бы.
ЗЫ Мля, как мало известно о настройке зухеля. И человек, похоже, не жаждет с ним разбираться...
На мой взгляд, это самое простое и выстрое, что они могли сделать.
При создании нового соединения на Zyxel NAt врубается по умолчанию...
А на счет паразитного траффика -- так разве он СОло парит? Нет, конечно.
|
офлайн
Senior Member
|
||
1134 |
23 года на сайте
|
|
|
|
Вот что выдает сейчас (модем подключен к свитчу):
1 9 ms 31 ms 30 ms 192.168.225.150
2 47 ms 46 ms 46 ms sb51.p1.bba-vpn.solo.by [195.222.77.193]
3 47 ms 46 ms 46 ms sb34.p1.core.solo.by [195.222.71.134]
4 47 ms 46 ms 46 ms sb34.pe1.dp-1.solo.by [195.222.67.50]
5 33 ms 34 ms 33 ms ns3.belsonet.net [195.222.64.67]
Вот оно!!! Нат в чистом виде...
|
офлайн
Senior Member
Автор темы
|
||
751 |
22 года на сайте
|
|
|
|
Dmitry:Пассворд по умолчанию -- 1234
Получилось Так, где что посмотреть чтобы ответить на ваши вопросы?
P.S. Для начала хотелось бы все таки включить модем через сервак.
|
офлайн
Senior Member
|
||
1134 |
23 года на сайте
|
|
|
|
Если модем через сервак -- то не ко мне...
Я рассказывал, как обойтись без сервака.
Более того!
Я бы настоятельно рекомендовал обойтись без сервака в этом случае... По причине, извини, отсутствия подготовленного персонала для его обслуживания.
И еще множества аргументов: например, просто модем более стабилен и надежен, чем связка сервак-модем.
|
офлайн
Senior Member
Автор темы
|
||
751 |
22 года на сайте
|
|
|
|
Dmitry, да, еще одно. Кроме VPN инета модем еще дает халявную мирку через irc.solo.by ... так что отсечь все кроме VPN не получится.
Так как же все-таки "спрятать" модем за Firewall ?
|
офлайн
Senior Member
|
||
1134 |
23 года на сайте
|
|
|
|
А в чем проблема дописать еще одно правило -- разрешать исходящие на порты 6666 - 6669 на адрес Соловской мирки?
Эти правила очень гибкие и позволяют делать почти все, что хочется...
Как iptables в Линухе...
Впрочем, я высказал свое мнение, твое право -- прислушаться к нему либо поступить по своему...
ПРосто комп с этим самым файерволом -- это совершенно не нужный в данной схеме элемент, выполняющий примитивные функции, которые может выполнять и сам модем.
Если хочется воткнуть по дороге еще один ненадежный и капризный элемент, который потом необходимо будет постоянно контролировать -- ради бога... 
Но здесь я уже не советчик.
Засим откланиваюсь.
