- Создание туннеля из одной сети в другую,
 Pahanivo, 08:55 , 27-Май-09 (1)>Что-то лыжи совсем не едут...мазь надо правильно подбирать (а не вазелин)
>Есть сервер на FreeBSD 6.2. Находится он в подсети, назовем, 10.1.2.0/24. Данный
>сервер имеет доступ в интернет через NAT. У этого сервера всего
>один интерфейс - 10.1.2.77.
>Есть простые рабочие станции в подсети 10.2.1.0/24, которые через NAT в интернет
>ходить не могут. why not?
>Задача выпустить эти рабочие станции через сервер в
>интернет.
>Конечно, перевое, что можно сделать, поставить proxy-сервер, но не хочется >ограничиваться одним прикладным уровнем сети. Сконфигурировать NAT и разрешить рабочим >станциям через него
>ходить нельзя! why why why not?
>Если поднимать VPN, то придется же выдавать какие-то новые
>IP-адреса клиентам, а адрес, которому разрешено ходить через NAT только один
>- 10.1.2.77.
>Застрял, какую технологию использовать, чтобы стуннелировать клиентов в интернет. подсткажите. а причем вообще сдесь туннели???
- Создание туннеля из одной сети в другую, eax0r, 09:44 , 27-Май-09 (2)
Прокси не подходит по причине того, что множество софта не может ходить через прокси. а файрволл, где настроен NAT не в нашем ведении. проблематично в организационном плане будет прописать доп адреса для NAT'a. плюс мне самому уже принципиально интересно обойтись собственными силами.При использовании VPN (я mpd рассматривал) пользователи будут подключаться к серверу по адресу 10.1.2.77, распределяться по виртуальным сетевым интерфейсам (которые в конфиге указал), и им (клиентам) будут выдаваться соответствующие IP-адреса для этих виртуальных интерфейсов. использовать в качестве IP-адреса клиента 10.1.2.77, как я понимаю, нельзя. а любой другой адрес через NAT не пройдет. а туннелями я называю все, где пакеты одного протокола инкапсулируются в другой =). даже технология http-proxy по моему мнение туннелирование, в ней же простой http пакет "вкладывается" в пакет протокола прокси и передается.
- Создание туннеля из одной сети в другую, reader, 10:57 , 27-Май-09 (3)
тут играем, тут не играем, тут рыбу заворачивали, а в целом в инет хочется , еще 5 таких объяснений и станем понятно что у вас есть и чем можете рулить.на 10.1.2.77 делаете NAT и подымаете dns , gateway_enable="YES", прописываете 10.1.2.77 у клиентов как шлюз и DNS, и спокойно ждете проверяющих
- Создание туннеля из одной сети в другую, eax0r, 12:03 , 27-Май-09 (4)
>тут играем, тут не играем, тут рыбу заворачивали, а в целом в
>инет хочется , еще 5 таких объяснений и станем понятно что
>у вас есть и чем можете рулить.
>
>на 10.1.2.77 делаете NAT и подымаете dns , gateway_enable="YES", прописываете 10.1.2.77 у
>клиентов как шлюз и DNS, и спокойно ждете проверяющих Если можно было бы сделать на сервере NAT, уж поверьте, я бы такой вопрос не задавал =).
сервер и клиенты находятся в разных подсетях (я это указывал), т.е. в различных коллизионных доменах, объединенных маршрутизатором, поэтому в качестве шлюза указать сервер (10.1.2.77) невозможно.
чем можем рулить, то это тем, что я описал - сервером и, конечно, клиентскими машинами.
а с проверяющими проблем нет. сами себя не накажем =)
- Создание туннеля из одной сети в другую, Square, 12:16 , 27-Май-09 (5)
>Если можно было бы сделать на сервере NAT, уж поверьте, я бы
>такой вопрос не задавал =).
>сервер и клиенты находятся в разных подсетях (я это указывал), т.е. в
>различных коллизионных доменах, объединенных маршрутизатором, поэтому в качестве шлюза указать сервер
>(10.1.2.77) невозможно.
>чем можем рулить, то это тем, что я описал - сервером и,
>конечно, клиентскими машинами. Домен коллизий не существует на уровне IP протокола. Домен коллизий в свичеванной сети ограничен шнуром между вашим компьютером и портом свича. Это так.. к слову... А маршрутизатором который между этими сетями, вы управлять можете? Достаточно указать на нем шлюз по умолчанию- ваш сервер, и можно спокойно поднимать на сервере нат .. ну как выше вам уже написали... Вообще, я не понимаю в чем заключается ваша проблема с mpd сервером. Ну выдали клиенту адрес из еще одной подсети, ну преобразовали его тут же, на этом же сервере натом в 10.1.2.77, клиент вашел в инет.. проблема то где?? Вы вообще в курсе что такое НАТ?
- Создание туннеля из одной сети в другую, eax0r, 13:11 , 27-Май-09 (6)
>Домен коллизий не существует на уровне IP протокола. Домен коллизий в свичеванной
>сети ограничен шнуром между вашим компьютером и портом свича. Это так..
>к слову... Никто с этим и не спорит. >Если у вас есть физическая возможность включения сервера в вашу подсеть
>рабочих станций - то на него можно повесить алиасы - несколько
>адресов из разных подсетей на один сетевой интерфейс. Это первый момент.
>Второй момент заключается в том, что если вы, используете маршрутизатор - то
>значит необходимо настроить его так, чтобы шлюз по умолчанию
>был указан как адрес вашего сервера. На котором будет происходить преобразование
>нат, и выход в инет. Опять же. поверьте наслово, за рамки поставленных условий, к сожалению, выйти нельзя. не возможности что-либо менять кроме настроек сервера и клиентов.
я себе схему представляю так:
клиент <---> роутер <---> сервер <---> МЭ_NAT <---> Интернет.
Клиент соединяется с mail.ru:
1. формирует IP-пакет. src_IP - client_ip, dest_IP - mail.ru_ip
2. этот пакет запаковывается в другой IP-пакет, где src_IP - client_ip, dest_IP - 10.1.2.77
3. пакет из п. 2 отправляет к серверу (10.1.2.77) через роутер естественно
4. сервер принимает пакет, распаковывает (получается IP-пакет как в п. 1)
5. сервер подменяет src_IP в полученном пакете на свой и отправляет на mail.ru_IP
6. далее через МЭ_NAT и в интернет
7. при получении ответа от mail.ru сервер передает его обратно по цепочке клиенту. т.е. нужно что-то похожее на NAT, только с возможностью перескакивать через марщрутизатор.
- Создание туннеля из одной сети в другую, Pahanivo, 13:18 , 27-Май-09 (8)
>[оверквотинг удален]
>2. этот пакет запаковывается в другой IP-пакет, где src_IP - client_ip, dest_IP
>- 10.1.2.77
>3. пакет из п. 2 отправляет к серверу (10.1.2.77) через роутер естественно
>
>4. сервер принимает пакет, распаковывает (получается IP-пакет как в п. 1)
>5. сервер подменяет src_IP в полученном пакете на свой и отправляет на
>mail.ru_IP
>6. далее через МЭ_NAT и в интернет
>7. при получении ответа от mail.ru сервер передает его обратно по цепочке
>клиенту. из всего понятно одно - автор понабрался умных слов, а что они означают узнать к сожалению не удосужился ...
- Создание туннеля из одной сети в другую, Square, 13:33 , 27-Май-09 (10)
>[оверквотинг удален]
>2. этот пакет запаковывается в другой IP-пакет, где src_IP - client_ip, dest_IP
>- 10.1.2.77
>3. пакет из п. 2 отправляет к серверу (10.1.2.77) через роутер естественно
>
>4. сервер принимает пакет, распаковывает (получается IP-пакет как в п. 1)
>5. сервер подменяет src_IP в полученном пакете на свой и отправляет на
>mail.ru_IP
>6. далее через МЭ_NAT и в интернет
>7. при получении ответа от mail.ru сервер передает его обратно по цепочке
>клиенту. Если вы поднимите на сервере нат и mpd - оно примерно так и будет работать.
Только src_IP - client_ip в пункте 1- это виртуальный адрес выданный мпд сервером,
а в пункте 2 src_IP - client_ip - это адрес физический, интерфейса сети 10.2.1.0/24
а src_IP в 5 пункте - это опять же виртуальный адрес вашего клиента которы йон получил как уже было сказано выше- от МПД... Я только не понял что вы называете "МЭ_NAT". Просто NAT... >т.е. нужно что-то похожее на NAT, только с возможностью перескакивать через марщрутизатор. Жжоте товарищь :)
- Создание туннеля из одной сети в другую, eax0r, 13:42 , 27-Май-09 (12)
Тоже спасибо, именно так и буду делать.
>Я только не понял что вы называете "МЭ_NAT". Просто NAT... МЭ - межсетевой экран ака firewall =)
>>т.е. нужно что-то похожее на NAT, только с возможностью перескакивать через марщрутизатор.
>
>Жжоте товарищь :) стараюсь =)
- Создание туннеля из одной сети в другую, eax0r, 13:37 , 27-Май-09 (11)
>Вообще, я не понимаю в чем заключается ваша проблема с mpd сервером.
>Ну выдали клиенту адрес из еще одной подсети, ну преобразовали
>его тут же, на этом же сервере натом в 10.1.2.77, клиент
>вашел в инет.. проблема то где?? Вы вообще в курсе что
>такое НАТ? а вот это уже ближе к теме. натить выданные адреса как-то даже не подумал. И убедительная прозьба ко всем. внимательно! читайте, что другие пишут. и все четкие замечания оставляйте с аргументами, пожалуйста.
- Создание туннеля из одной сети в другую, Pahanivo, 13:12 , 27-Май-09 (7)
>а туннелями я называю все, где пакеты одного протокола инкапсулируются в другой
>=). даже технология http-proxy по моему мнение туннелирование, в ней же
>простой http пакет "вкладывается" в пакет протокола прокси и передается. мдааа с терией полный псдес
прокси к туннелированию не имеет никакова отношения и наоборот
- Создание туннеля из одной сети в другую, eax0r, 13:19 , 27-Май-09 (9)
>прокси к туннелированию не имеет никакова отношения и наоборот пусть будет так, не против. я бы поспорил, но не в этой теме.
а по существу?
- Создание туннеля из одной сети в другую, Pahanivo, 14:10 , 27-Май-09 (13)
>>прокси к туннелированию не имеет никакова отношения и наоборот
>
>пусть будет так, не против. я бы поспорил, но не в этой
>теме.
>а по существу? по существу - изучайте теорию
|
Версия для распечатки
Создание туннеля из одной сети в другую, 
