» Флейм для сисадминов (часть III)

myual
Цитата:

есть две машины за провайдерским NAT у разных провайдеров; ищу способы создать между ними прямое соединение.

дык при выходе в инет у них всё одно "белые" адреса будут..
если эти "белые" постоянные - тогда ваще не вижу проблемы..
если нет - попробуй побаловаться с DynDNS..

TheBarmaley

Цитата:

дык при выходе в инет у них всё одно "белые" адреса будут..
если эти "белые" постоянные - тогда ваще не вижу проблемы..

Только вот почему-то ни Hamachi ни TeamViewer не гоняют трафик напрямую, а только через свои сервера, что существенно снижает скорость.

myual
Цитата:

Только вот почему-то ни Hamachi ни TeamViewer не гоняют трафик напрямую, а только через свои сервера, что существенно снижает скорость.

блин, а это-то здесь причём???
давай-ка начнём сначала: вопрос 1-й - что подразумевается под "создать прямое соединение"?

TheBarmaley

Цитата:

вопрос 1-й - что подразумевается под "создать прямое соединение"?

Как раз чтобы трафик шел напрямую от машины 1 к машине 2. Оба ip "серые", т.е. компьютеры за провайдерским NAT. Провайдеры вряд ли пойдут навстречу чтобы настроить перенаправление портов и пр.

myual
Вы юрлицо? Попробуйте из провайдера вытрясти внешние адреса.

goletsa

Цитата:

Вы юрлицо? Попробуйте из провайдера вытрясти внешние адреса.

Нет, в том то и дело, что физ.лицо. У юридических лиц такие проблемы обычно не стоят.

myual
Если есть допустим ктото трейти с внешним адресом то можно замутить чтобы оба конекта шли не через сервера TV\Hamachi а через сервер третьего.

goletsa
С третьим все понятно. Но третьего нет..

TheBarmaley

Цитата:

как правило..

Очень верная оговорка

привет коллегам)) да и всем остальным.. Подскажите, есть умная железка.. продать хочу... тут как нигде админов должно быть больше, может пригодится кому-нить?? ну или подскажите где в рунете еще предложить)
Имеется новый, неюзанный роутер SG720. Является флагманской моделью семейства Secure SnapGear устройств «межсетевой экран / VPN». Благодаря гигабитной пропускной способности, двум скоростным портам Ethernet и трехпортовым коммутаторам VLAN 10/100 в базовой поставке, модель SG720 - это отличное решение для филиалов крупных организация, а также центральных офисов небольших и средних предприятий. SG720 обеспечивает возможности VPN, межсетевого экрана и балансировки нагрузки в центральном офисе с возможностью безопасного подключения сотен мобильных и удаленных пользователей.
Цена договорная. Торг. Описание можно почитать тут, еще и тут

myual

без вариантов - вам нужно как минимум на один порт белого IPv4 адреса повесить сервер VPN для приёма входящих подключений.

Где и как вы это сделаете - ваши проблемы. Можно попросить одного их провайдеров выдать вам белый адрес, либо самому продавать вам сервис VPN-концентратора, либо пробросить один порт (какой именно - надо обсуждать и выбирать, и это в любом случае самый кривой и геморройный вариант из трех).

Можете дома купить белый айпишник, гонять трафик через себя - и пусть контора его оплачивает Но дома не обязательно: в принципе можно купить хостинг с теми же свойствами. Но придётся звать специалиста - потому что без опыта самостоятельной настройки физически доступного VPN-сервера справиться с удалёнкой будет сложно.



Добавлено:


2All

Посмотрел описание вот этой хреновины от ramzes83
Заявлена поддержка TACACS+ Насколько мне известно, это приватный цисковский протокол.

Что может означать торговля левыми железяками с ним? Циска начала лицензировать IOS? Разрешила ребрендование? Расхачили, а циска утёрлась?

ну знаете, по поводу поддержки и лицинзирования я ни чего сказать не могу. А на счет левоты железа сильно сомневаюсь, если конечно вы считаете что такая компания как McAfee будет торговать левым железом?? сия хреновина пришла из голандии с весьма не дешевым аппаратом.
Поскольку подключение его к сети в россии не предусматривается, осталось не востребованным железо. пока лежит пылится...

faithful
Цитата:

Очень верная оговорка

если иное имеет место быть, меняй руководство/работу/спецуху..
иначе до пенсии можно "продвинутым" анукеем быть и кайфа от своей работы не получать..
в принципе, и юзером тоже можно жить, но - неинтересно.. как и любой другой даунгрейд.. ;)

---

myual
Цитата:

Оба ip "серые", т.е. компьютеры за провайдерским NAT.

ясно.. ещё вопрос: серые ип - постоянные?
если "да" - попробуй на обеих машинах прописать статические маршруты друг к другу, учитывая "белые" шлюзы провайдеров..

TheBarmaley

Цитата:

меняй руководство/работу/спецуху..

Так и я же об этом

2_Алл
накатил тут на вынь98 апгрейдом вынь2к.. имя системной папки осталось старое..
вопрос - можно ли как-то, без особого изврата, переименовать в WINNT?
остальное подправил, хочу "дошлифовать", штоп выглядело как с нуля..

Добавлено:
faithful
Цитата:

Так и я же об этом

и чё выбрал?.. третье?.. ;)

ребята, а кто успел понять все прелести WINDOWS 7 ? )
ТУТ вопрос задал, но хотел узнать как кроме отключение UAC можно обходить? Не ужели не предусмотрено для этого какие то возможности?

Цитата:

если "да" - попробуй на обеих машинах прописать статические маршруты друг к другу, учитывая "белые" шлюзы провайдеров..

не поможет. Маршрутизацией занимаются шлюзы провайдеров, которым должно быть пох на статические маршруты клиентов.

А клиент если пропишет у себя адрес шлюза другого провайдера (вообще любой айпишник, отсутствующий рядом на L2 линке) - просто угнобит любой свой трафик в ту сторону.

LevT
Цитата:

не поможет

а если "серый" ип тоже статический (или не меняется при подключении)?
+ если в одном из локальных маршрутов прописать "серые" же ипы шлюзов провайдеров через их белые (встречно)?
т.е. для тачки №1 попытаццо получить такую цепочку:
серый-1 - серый прова-1 - белый прова-1 - белый прова-2 - серый прова-2 - серый тачки-2..
на тачке №2 - по аналогии, тока в обратную сторону..

второй момент - клиента всё-рно выпускают "наружу" под неким "белым" адресом..
и если этот "белый" каждый раз присваивается один и тот же, почему бы и нет?..

contrafack
http://oszone.net/10594/run_as_admin
статья уже с бородой
вам пора статус "персональный бан от гугля" ставить
вообще на ресурсах озон и виндовсфаг много нужной инфы для админов

Цитата:

второй момент - клиента всё-рно выпускают "наружу" под неким "белым" адресом..
и если этот "белый" каждый раз присваивается один и тот же, почему бы и нет?..

Выпускают наружу трафик SNAT. При этом не существует правила DNAT (публикации серверного порта на конкретном компе).

В виндовом NAT нет терминологии с этим различием, а суть та же точно, что в линуксе.

lovec123

Ы! ну не сказал бы, что я только не знаю )) просто не знал по каких ключам искать в гугле. А читать весь ОЗОН или виндовсфак - уйдет вся жизнь.


Добавлено:
кстати, пробовал из 4_х 3 первые 3 - не помогают:

Цитата:

# Способ №1 - запуск через правую клавишу мыши (запрос UAC отображается)
# Способ №2 - запуск с использованием "Ctrl+Shift+Enter" (запрос UAC отображается)
# Способ №3 - устанавливаем запуск от имени администратора в свойствах ярлыка (запрос UAC отображается)

опять выскакивают предупреждение.

contrafack
я просто зашол на озон в ветку виндовс 7 и в двух подветках посмотрел, не пользуясь поиском,
поповоду читать весь озон и виндовсфаг думаю этот контент можно будет освоить гораздо быстрее года чем вся жизнь разве что в планах очень короткая жизнь
а так больше получается что руборд для вас как интелектуальный поисковик, причём почти все вопросы гугль выдаёт на раз у меня жена библиограф часто мне указывает что я не правельно поисковые фразы строю тем не менее мне не состовляет труда найти то что мне нужно если этот контент есть в паутине и индексируется
совет: учитесь правельно задавать поисковые фразы и вам гораздо легче будет найти самому ответы на свои вопросы

LevT, ALL
А если на обеих машинах не симметричный НАТ, можно ли реализовать что-то подобное описанному здесь или здесь?
Может быть есть какой-нибудь неплохой софт, пытающийся реализовать такие схемы?

когда то просил об одном деле, но не помню чем закончили )))

стоит ли организовать NAP для 10_и пользовательского сети, где нет контроллера домена ?

имеется сервер на W2k8 SP2, на нем крутится терминал, dhcp, vmware(ISA) и базы клиентов и бухгалтерии.

братья по разуму, подскажите как пофиксить:
каждый раз при перезагрузке проверяется чекдиском один из винтов.. затрахал уже..
что самое смешное - винт абсолютно пустой, в системе не используется (пока)..

А ты проверил до конца?

KapralBel
Цитата:

А ты проверил до конца?

вах! зачэм так сылно старага джыгыта абыжаишь, начальнег?.. :)
ессно, кажный раз жду.. по идее, сто раз уже "дёти бит" должон был сбросиццо, ан нет..
вот и не могу понять, где собачка порылась..

TheBarmaley
1. Если оно пустое - переформатируй.
2. Попробуй чекдиск из=под ВыньПЕ
3. Посмотри, что у тебя в ветке HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute    . Должно быть тока autocheck autochk *
4. Очисть HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 И HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices        

andrejvb
Цитата:

1. Если оно пустое - переформатируй.

так вот в том и фигня - изначально хард был порезан на 2 раздела, хлопнул оба, создал один, форматнул.. и началось..

Цитата:

2. Попробуй чекдиск из=под ВыньПЕ

а разница? гонял полный и из венды и из рекавер-консоли, всё чики-пики.. всё-рно не унимаецца, сцуко..

Цитата:

3. .....4.

пасиб, это позже посотрю - тачка домашняя..

зы.
на фсякий пожарный прогонял строптивца викторией под досом, всё чисто и шоколадно..

Цитата:

изначально хард был порезан на 2 раздела

Либо п.3, либо оставшаяся "расшарка", либо subst, junction, stream ссылы на убитый раздел

Цитата:

а разница?

Огромная Поверь на слово Хошь-не хошь, а при чеке из-под запущенной системы диск УЖЕ смонтирован и служебная инфа "захвачена" системой. Часто странно-битый диск (MFT и служебка) лечится тока из ВыньПЕ
Кста, а этоне Барракуда7 ? Если - да, то перешивай, пока не поздно.