Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Доступ к ЛВС с серыми адресами из интернет

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

Elderly

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее... [/more]

Всего записей: 2 | Зарегистр. 17-05-2017 | Отправлено: 04:38 18-05-2017
kotlyaranat

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
http://forum.ru-board.com/topic.cgi?forum=8&topic=50890#1

Всего записей: 132 | Зарегистр. 31-03-2014 | Отправлено: 07:23 18-05-2017
MisHel64



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
используя DDNS
С этого места можно по подробней.

Цитата:
Как я понимаю эту проблему можно решить с помощью с помощью VPN, но вот как это реализовать?

В твоей постановке задачи это не возможно. Для VPN требуется VPN сервер с белым IP, или с возможностью проброса портов. У тебя этого нет по условию задачи. Раньше были сервисы позволяющие через себя пускать траффик, то есть грубо говоря на этом сервисе поднимался VPN сервер.
В общем надо расширять условия задачи, и уже исходя из них искать обходные пути.
Можно сделать финт ушами и написать скрип получающий IP WAN порта роутера и отправляющего роутер на перезагрузку если он серый. У РТ в моем регионе время аренды DHCP - одна минута.
Если все клиенты то же подключены к этому же филиалу РТ, то нужно проверить, может быть внутри своей локалки РТ позволит обращаться к собственным серым IP.
 

Всего записей: 2307 | Зарегистр. 21-09-2006 | Отправлено: 07:42 18-05-2017 | Исправлено: MisHel64, 07:45 18-05-2017
Elderly

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я так понимаю мне нужен какой-то внешний ресурс с белым ip. К которому цепляются клиенты и локалка.
Для Softether как я понимаю VPS с белым IP надо? или нет?

Всего записей: 2 | Зарегистр. 17-05-2017 | Отправлено: 11:04 18-05-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1. Прочитать договор с провайдером. Может ли он выдавать адреса, зарезервированные для частных сетей по RFC.
2. Надавить на него, что бы уже начал юзать IPv6 раз его пул v4 заканчивается.
3. В связи с невозможностью использовать на практике два первых пункта использовать готовый софт, производитель которого поддерживает собственные VPN серверы в интернете. Таким образом я говорю о TeamViewer и аналогичных программах.
3.а Вопрос лицензионности решения и ее обхода обсуждается в подвале форума, Варезник, например.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 11:42 18-05-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Elderly
Цитата:
Для Softether как я понимаю VPS с белым IP надо? или нет?
Нет. Кстати, и по Softether, и по VPN имеются специализированные темы,
и не надо плодить здесь в разделе лишний мусор.
Ну что у нубов за манера, зарегистрировался, и тут же рвется писать, как голый в баню.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 11:46 18-05-2017
MisHel64



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Я так понимаю мне нужен какой-то внешний ресурс с белым ip.
Да.

Всего записей: 2307 | Зарегистр. 21-09-2006 | Отправлено: 12:46 18-05-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Нет.

Цитата:
Да.  

Может быть?

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 13:09 18-05-2017
igor me v2

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Быть может...

Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 13:34 18-05-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick Лично не проверял, но здесь утверждают - да.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 19:35 18-05-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Показана ровно та же технология, якую мають (заразился, ага) такие сервисы, как TeamViewer и иже, и ключевой момент которой я упоминал
Цитата:
производитель которого поддерживает собственные VPN серверы в интернете
зря я в спешке написал "VPN", ибо терминология в данном случае спорнаа в остальном - именно так.
 
Пояснения не для профессора, а кому интересно.
Клиент приватной сети, который для своих клиентов будет в роли сервера, устанавливает соединение с сервером softether.net и регистрируется.
 
   
 
Что это значит? Между ними устанавливается канал. И все будущие клиенты этого клиента, простите за тавтологию, но иначе никак, ищут его, теперь уже выступающего в роли  VPN сервера, через тот же softether.net. У них в коде прошито, где искать и что при этом говорить. DDNS так же зашит в код и поддерживается серверами производителя.
Таким образом, на этой замечательной картинке, в правой ее части
 
   
 
промежуточное звено softeather.net просто убрано и не показано. Как бы связь идет напрямую.
Это суть.
Впрочем, на вражеском языке, они об этом весьма мутно, но упоминают

Цитата:
When the VPN Client or VPN Bridge attempts to connect to your VPN Server behind the NAT, the connection packets will be lead through the hole. The hole is created by the SoftEther VPN Server automatically, so you need nothing special on the NAT.
Вот это вот "The hole is created by the SoftEther VPN Server" и есть канал между вашим VPN сервером и серверами softeather.net
Всё остальное, важное и нужное, на самом деле рюшки, выбираемые эндюзером. Хочет ли он полноценную VPN, или ему достаточно "проникать за NAT", выбирает он сам. Как способы и методы оплаты
А так же то, что его трафик будет идти через сторонние серверы.
Насчет последнего, советую всем, выбирающим подобные решения обратить на это внимание и уточнить у производителя, что происходит на самом деле.
Насколько я, убогий, понимаю, "переключить канал", то есть перепоручить клиента от серверов softether.net напрямую к новоиспеченному VPN серверу, находящемуся за NAT, нет никакой технической возможности by design of TCP\IP и весь трафик SoftEather.Net VPN сети будет с необходимостью проходить через серверы softether.net. Связано это, если коротко, с полями source и destination в заголовке пакетов, которые отсеживаются на NAT, а он, в свою очередь, нам не принадлежит. В случае изменения заголовка пакет будет отброшен NATом - новый канал не установится. А старый идет через сторонние сервера. Может я ошибаюсь? Не гуру я, явно.
Впрочем, я здесь вижу решение прямо "на пальцах", но есть у него серьезные ограничения, так что уточните у вендора, что там и как.
 
v 1.3

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 09:12 19-05-2017 | Исправлено: Paromshick, 09:21 19-05-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshickт
Цитата:
Показана ровно та же технология, якую мають (заразился, ага) такие сервисы, как TeamViewer
Отнюдь. Эта технология не использует сторонний сервер
как посредника для передачи трафика. Она использует его для регистрации "дырки",
то есть тот играет роль не посредника, а справочника .
Скажем, домашний сервер находится за НАТом провайдера. Белый айпи - 1234.
Он цепляется за softeather ДинДНС, и тот фиксирует, что обращение
произошло с адреса 1.2.3.4 и порта 56789.
Теперь кто-то хочет подключиться к этому серверу клиентом softeather
по адресу хххх.softeather.net, полученном при запуске сервера.
Клиент с сервера  ДинДНС softeather.net получает не только адрес, но и порт, "дырку".
И между клиентом (возможно, так же за НАТ) и сервером за НАТ
устанавливается прямое соединение.
Это в теории. На практике не пробовал, ибо мне это не настолько интересно,
чтобы колхозить необходимый стенд. Кому интересно, может попробовать.
Заодно проверить вариант, когда сервер стоит за двумя НАТ, своим и провайдерским.
Поскольку данный случай сейчас наиболее распространенный.  
 

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 12:00 19-05-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Даже в теории, отнюдь.
Хотелось бы понять, что при этом думает NAT девайс.
Он не знает ни о каких дырках. Для него внутреннее устройство установило TCP сессию со своего адреса и порта 1234 на внешний адрес abc.com и порт 4321. Он занатил внутреннему девайсу для этой сессии порт 56789. Это все, что он знает.
Любые обращения на порт 56789 с другого адреса НЕ будут проброшены вовнутрь, но отброшены.
Нет?
Иначе - это действительно дырка. Its unreal. Не может быть.
 
Добавлено:
Простите за краткость - обед по расписанию. Надеюсь, что понятно написано

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 12:07 19-05-2017
MisHel64



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary Не порите чуши. Прямое соединение между двумя устройствами находящимися за NATами невозможно в принципе.
Исключение - на одном из натов с белым IP настроен проброс порта.

Всего записей: 2307 | Зарегистр. 21-09-2006 | Отправлено: 15:29 19-05-2017 | Исправлено: MisHel64, 15:30 19-05-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick
Цитата:
Иначе - это действительно дырка.
Именно. в доках на softeather ее так и называют: Punched Hole
MisHel64
Цитата:
Не порите чуши
Ни чего не порю, просто пересказываю по-русски
то, что на офсайте написано по-английски.
Кстати, если у клиента белый айпи, зайти на хост за НАТ с помощью
SecureNAT вообще нет проблем.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 15:48 19-05-2017
MisHel64



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ни чего не порю, просто пересказываю по-русски
Даже не собираюсь спорить с человеком, который в сетевых технологиях, как свинья в апельсинах.

Цитата:
Кстати, если у клиента белый айпи, зайти на хост за НАТ с помощью  SecureNAT вообще нет проблем.
А без него еще проще.

Всего записей: 2307 | Зарегистр. 21-09-2006 | Отправлено: 15:59 19-05-2017 | Исправлено: MisHel64, 17:25 19-05-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Прошу пардону у составителей документа и их дырок, но то, что они пишут не соответствует стандарту.
Установленное соединение для НАТящего устройства имеет четкие параметры. Исходящий адрес, адрес назначения, исходный порт, порт назначения.
Все мы знаем, как работает НАТ. Он подменяет исходный "серый" адрес и (не обязательно, но пр. всегда) исходный порт на свой внешний адрес и порт. Используется избыточность портов, коих 216. Все правильно? Думаю, что да.
Таким образом устанавливается TCP сессия между "серым" и "белым" адресом, в коей имеются минимум четыре не изменяемых параметра. Это исходящие адрес-порт и адрес-порт назначения. Пардон, еще, конечно же, не могут в пределах одной сессии меняться адрес-порт самого устройства НАТ. Все правильно? Думаю, что да.
 
Теперь представим ситуацию, что в пределах одной сессии TCP извне приходит пакет не с того узла, с которым установлено соединение (это я мягко пишу), а с другого. Но на тот же самый порт. НАТ что должен сделать? По утверждениям составителей документа, он должен не только принять и переслать пакет (что противоречит стандарту), но и подменить для "серого" устройства исходящий адрес, чтобы оно "думало", что пакет пришел с адреса прежнего, с softether.net С какого перепугу НАТящее устройство так себя поведёт? Ему взятку дали? Заразили чем-нибудь? Уговорили? Это не возможно, правильно?
Думаю, что таки да.
 
Таким образом, то, что пишут составители документа либо
1. Заведомый подлог.
2. Туманная маскировка того, что их сервера никуда в сторону не уходят
3. Некая новость в протоколе TCP\IP, которая, возможна было for future use, и которую включили, но мужики-то и не знали
 
Добавлено:
MisHel64

Цитата:
как свинья в апельсинах.  

Сбавьте тон, пожалуйста. Errare humanum est

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 16:48 19-05-2017
MisHel64



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Все правильно? Думаю, что да.
Нет.

Цитата:
Это не возможно, правильно?
Возможно.
 
Почитай про IPTABLES. Будет представление о работе пакетного фильтра на подавляющем числе устройств.
NAT это одна из функции пакетного фильтра. Ну и о диалогах в IP/TCP стоит почитать для начала. А то в твоем посте сквозит явный пробел даже в базовых знаниях.

Всего записей: 2307 | Зарегистр. 21-09-2006 | Отправлено: 17:27 19-05-2017 | Исправлено: MisHel64, 17:38 19-05-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MisHel64
Если б я хотел бы описать все подробно (а я это делал, лень ссылку искать), то мне не хватило бы времени, а странице места. Не вижу смысла. Описан принцип, сделана выжимка для начинающих, принцип, освобождающий от запоминания правил. По которому работают вообще_все устройства, а не подавляющее большинство.
Вообще, слово "подавляющее большинство" в компьютерной науке наводит на мысли...
Так что ваше
Цитата:
Нет
Во-первых - не понятно к чему. Вопрос "все правильно." задавался мною трижды. Трижды.
В-вторых, как сказал... сейчас не важно Кто, "если я сказал что-то плохо, то покажи, чтО плохо, а если нет, то за что ты бьёшь Меня?" Вы же просто отсылаете в никуда. Могу вас тоже послать, почитайте здесь Не проще ли показать конкретно, что не верно. Так приято разговаривать по серьезному, если вы пробовали когда-нибудь.
Во-вторых, обоснованность вашего "нет" обратно пропорциональна вашей же самоуверенности.
 
За сим, остаюсь полностью уверенным в правоте своих слов, ибо конструктивной критики не было.
 
 
Добавлено:
Да, кстати, вначале сформулировали принцип Network Address Translation, а уж затем стали придумывать пакетные фильтры, основывающиеся на принципе его работы.
 
Так что советую думать, вы не самый умный на этом и других форумах. И поверьте, по жизни - тоже.
Молод Ысчо

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 17:54 19-05-2017
MisHel64



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
вначале сформулировали принцип Network Address Translation, а уж затем стали придумывать пакетные фильтры, основывающиеся на принципе его работы.
Только одной этой фразы вполне достаточно, что бы понять, что ты не обладаешь даже базовыми по обсуждаемому вопросу. Все остальное после этого даже в комментариях не нуждается. Это уже второй раз когда ты продемонстрировал свою некомпетентность даже в базовых вопросах.

Всего записей: 2307 | Зарегистр. 21-09-2006 | Отправлено: 18:45 19-05-2017 | Исправлено: MisHel64, 18:48 19-05-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Доступ к ЛВС с серыми адресами из интернет


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru