» NAT: общие вопросы по настройке + список тем по NAT + ссылки

Есть такая проблема, существует сетка в ней стоит сервер 1 к которому подключен модем соединяющий этот сервер 1 с другим сервером 2, напрямую не включенным в данную сетку. Как сделать так, что бы пользователи из сети обращаясь к IP адресу сервера1, попадали на сервер 2, соединенный с сервером 1 через модем.
Можно ли ограничиться RRAS или нет? Как сделать лучше и проще?

TOR72
какой модем имеется ввиду ?

а вообще это все настройками роутинга решается

Модем для выделенных линий. Все уже работает. Но я именно имею в виду
чтобы пользователи из сети набирая адрес сервера1 попадали на сервер2.
Можно ли обойтись средствами W2k или нужен сторонний софт?

то есть ?:)

можно порты перенаправить. вот сам вопрос очень интересен .. ты заходишь на сервер номер 1, а тебя отправляет на сервер номер 2 , но не проще ли переименовать сервера ?..

стою на асфальте я в лыжи обутый, то ли лето настало, то ли я е..нутый

очень похожая ситуация...

Отчасти можно сказать и так, но суть в том, что в этой сети шлюзом по умолчанию является другая машина. А сделать эту машину шлюзом нет возможности. Поэтому до нее
никто не достучится.

Есть компьютер (WinXP)с двумя модемами для выхода в интернет (каждый по своей телефонной линии).
Возможно ли настроить НАТ таким образом, что бы при открытии браузером страницы, задействовались оба удаленные соединения, образованные модемами, в равной степени.

Sealll
нет

протокол TCP подразумевает под собой подтверждение доставки пакета. Т.е. пакет номер 2 отправиться только тогда. когда придет ответ от сервера. Можно пдключить 2 модема, можно настроить . чтобы юзерам раздавался инет и с того и с того, но в один поток ( например если взять обычные v.90 модемы) ты не получишь больше 7K

P.S. или я не понял твоего вопроса

Дело в том, что при открытии страницы, браузером задействуется только одно соединение (хотя два модема в Интернете), как заставить их работать одновременно?

Может кто-нибудь подскажет, а то я бьюсь уже 3-ий день... не понятно вообще что происходит. Вроде, всё правильно настроено, но не работает. Ситуация такая:
Есть сервак, соотвт. 2 сетевухи. Одна смотрит в LAN, другая, соответственно, на роутер. Я настраивал и Routing Remote Access, и Kerio WinRoute Firewall, но инет всё равно тока на серваке работает, а у пользователей - нет. Такое ощущение, что что-то неправильно в настройках TCP/IP сетевых карт указано.
Настройки такие:

Карточка, смотрящая в локалку (LAN):
IP: 62.117.88.137
Mask: 255.255.255.0
Default gateway: <нет>
DNS server: 62.117.88.130

Карточка, смотрящая на роутер (OUT):
IP: 62.117.88.134
Mask: 255.255.255.0
Default gateway: 62.117.88.129 (.129 - и есть адрес роутера)
DNS server: 127.0.0.1 (в DNS указан forward requests на DNS провайдера, но как я уже и писал, с этим проблем нет, т.к. на серваке всё работает).

У клиентских машин в свойствах TCP/IP указан gateway моей первой карточки (62.117.88.137).

Что может быть не так?

InFrom
у тебя что получается что внешняя и внутрення сеть есть не что иное как одна подсеть!? Интересно и как в этом случае сервак рутить пакеты будет? Попробуй прописать на лан-интерфейсе адресс другой подсети - например 192.168.1.x - и его же как шлюз на клиентах...

greenfox
Спасибо, попробую так и сделать сейчас.
Но самое интересное в том, что у меня до этого полгода почти всё так и работало - из одной и той же сети в другую Странно, почему сечас перестало. Я уже и обе сетевухи менял, и провода, и софт весь раз 6 полностью вместе с 2003-м переставлял.
Придётся, похоже, давай user'ам внутренние IP.

Цитата:

user'ам внутренние IP

насколько я понимаю дело не в том, что они серые эти ip (внутренние те) а в том, что маску сети ты неправильно написал - внеш и внутренняя сетевухи должны быть в разных подсетях т.к. роутинг идёт именно на основании номера подсети... "такое моё мнение" (G)

Цитата:

роутинг идёт именно на основании номера подсети... "такое моё мнение"

...оно походу ещё и правильное
только вот кто же натит реальные подсети? -- надо делать бридж

Цитата:

только вот кто же натит реальные подсети? -- надо делать бридж

когда в сети есть и белы и серые ip (первые вносяться в исключение, насколько я понимаю), но вот товарищ InFrom об этом умолчал по видемому :)

greenfox,
Wiz
На самом деле, если вернуться к истокам, как я уже говорил, у меня в локалке у всех реальные IP-шники, при этом (я безусловно, может чего-то не понимаю!) у меня раньше так и было всё настроено, и через Routing and Remote Access, и в своё время при помощи Kerio WinRoute Forewall 6.0.5 - всё работало. Т.е. пакеты передавались со .137 сетевушки (внутренней) на .134 (внешнюю, которая на роутер смотрит).
Потом в серваке поменяли сетевые карты, и всё работать перестало

greenfox
Я сделал 192.168.0.ххх - всё работает. Но всё же хотелось бы как-нить сделать как было (если это вообще возможно) - т.е. сохранить всем реальные IP и сделать NAT.

Может всё-таки есть идеи?

InFrom

Цитата:

Может всё-таки есть идеи?

так тебе же сказали, что
Цитата:

что маску сети ты неправильно написал - внеш и внутренняя сетевухи должны быть в разных подсетях т.к. роутинг идёт именно на основании номера подсети... "такое моё мнение" (G)

те пиши маску не 255.255.255.0 а другую - у тебя вместо 1-й подсети должно быть 2: раздели свою подсетку на 2 (получиться вроде 255.255.255.254 и вторая на внутрен - так вроде) - и дай соответствующие каждой подсети ip на внеш и внутрен интерфейсах - и будет тебе счастье...
ps это моё имхо конечно, но вроде именно так и должно быть.

greenfox
О! Cool! Всё получилось!
На одной сетевушке маску 255.255.255.0 оставил, а на второй 255.255.255.128 прописал. Всё работает! Огромный respect!!!

подскажите надежные программы делающие NAT под windows 2000 server и умеющие разграничать скорость между хостами
допустим общий канал в нет 8 мбит
хосту 1 надо 2 мбит
хосту 2 надо 4 мбит
а всем остальным оставшееся поровну
или связку программ ( так же хотелось бы увидеть / услышать о подобном решени на freebsd/openbsd/ )

Мужуки, спасайте!
поставил Радмина, все равно не войти! описание проблемы выше. Внутри сетки все нормально, видимость хорошая, снаружи - хоть убейся до роутера не добраться. Неужели кроме модемного соединения ничего нет. НЕ ВЕРЮ!!!
И если можно -по-подробнее, я - как бы сказать..., чайник волею судьбы заброшенный на это поприще. С трудом нашел работу, но кроме основной подвесили администрирование, а я в этом не силен - общие представления и небольшая практика. С работы вылетать... мне 50 уже!

Возникла тут такая проблема... Суть, не отвечают некоторые ресурсы внешней сети, например, microsoft.com и еще ряд серьезных ресурсов, которые по факту не могут упасть, тем белее все вместе. У меня стоит адсл модем (dlink 504T) в режиме роутера. На нем соответственно поднят нат. Внутренний ip из числа приватных. Если я перенастраиваю модем в бридж, то все замечательно работает из этого делаю вывод, что дело именно в нат. До этого была проблема с low id в emule, решилась она настройкой форвардинга портов. Подскажите, как именно работает форвардинг портов. Возможно ли через нат форвардить один и тот же порт одного протокола на 2 мошины? И, соответственно, какие порты форвардить, что бы все заработало. Я пробовал 80, 8080, 8000, 443 не помогло, может еще чего надо зафорвардить для http? Если кто может детально описать что да как происходит с пакетом ip в описанной ниже ситуации сделайте пожалуйста это.

Моя тачка имеет ip 192.168.1.15
Адрез шлюза, на котором работает нат: 192.168.1.1 (внутренный), 182.196.17.253 (внешний)

Я хочу открыть интернет страницу яндекса у которого ip: 213.180.216.200

Меня интересует весь путь который проходит пакет, с момента посылки его браузером, без и соответственно с форвардингом портов.

Я вижу это примерно так:
без форвардинга:
1. броузер посылает пакет ip по протаколу tcp на адрес 213.180.216.200 порт 80, обратный адрес указан 192.168.1.15 порт 80
2. Этот пакет попадает на мой модем 192.168.1.1, там происходит подмена ip обратного адреса. Т.е. вместо 192.168.1.15 порт 80 подставляется 182.196.17.253 порт, например, 1333 (какой точно я не знаю, подскажите). С этим обратным адресом ip пакет улетает во внешнюю сеть. Нат делает пометку в своей внутренней таблице, что ip 182.196.17.253:1333 соответствует ip 192.168.1.15 80. Именно по этой таблице он передаст ответ от сервера на внутренний ip.
3. Пакет достигает адресата и тот в ответ посылает ответный пакет. В качестве адресата сервер (яндекс) указывает 182.196.17.253:1333. (Мне кажется, что именно потому, что порт получателя не соответствует порту протокола, в данном случае порту 80, протокола http мне отказывают в доступе некоторые сервера).
4. Пакет от яндекса достиг моего модема и пришел на порт 1333, модем знает, что если пакет пришел на этот порт, то его надо передать на внутренний ip 192.168.1.15 порт 80. На этом круговорот закончен.

Теперь с форвардингом:
Когда я посылаю пакет на модем он просто подменяет ip отправителя (192.168.1.15) на свой (182.196.17.253), причем делает это в обе стороны. Т.е. если пакет пришел из внешней сети, он меняет внешний ip на внутренний, если из внутренней, то наоборот меняет внутренний на внешний. Порты в этом случае остаются неизменными.

Ели кто подскажет, куда приходят квитанции tcp о доставленом пакете, когда используется нат. Что с ней происходит?

Цитата:

1. броузер посылает пакет ip по протаколу tcp на адрес 213.180.216.200 порт 80, обратный адрес указан 192.168.1.15 порт 80

нет обратный адрес НЕ 80 порт а любой тсп/удп(?) (щас точно не скажу) порт твоей машины - свободный


Цитата:

182.196.17.253 порт, например, 1333

это он сам решает если у тебя не включен маппинг портов...
но так как ты не знаешь какой порт у тебя открылся на клиенте 192.168.1.15 для сессии с тем же яндексом...

roma
А каким образом машина из внешней сети может определить, что у меня работает нат / приватный ip? Видимо, именно по порту обратного адреса.

Подскажите какие порты указаваються в качестве портов обратного адреса. То что свободные - это понятно, но наверняка есть некоторый диапазон, по которому можно примерно определить, какой именно протокол верхнего уровны работает, ftp это или http или может вообще smtp. На какие порты они будут подменяться при прохождении через НАТ.

Или подскажите, где про это можно почитать. Я не нашел подробной инфы с примерами, только в общих словах...

ps А каким образом тачка из внешней сети узнает мой приватный ip? Его можно посмотреть например в icq или еще много где?

А может ли тачка из внешней сети инициировать обмен пакетами с моей тачкой из внутренней приватной сети, если она знает адрес шлюза моего? А если знает адрес шлюза и порт который форвардится?

http://www.networkdoc.ru/files/insop/win2000/win2000book/read.html?gl19-9.html

примерчик разобран... там всё понятно...


Цитата:

То что свободные - это понятно, но наверняка есть некоторый диапазон, по которому можно примерно определить, какой именно протокол верхнего уровны работает, ftp это или http или может вообще smtp.

я могу и ошибаться но помоему НЕТ...
щас попробовал ftp, http, nntp, порты клиента берутся подряд...


Цитата:

А если знает адрес шлюза и порт который форвардится?

предположим есть у тебя комп 192.168.1.15
предположим у тебя на нём поднят веб сервер на 80 порту
если ты сделаешь так чтобы 80 порт 192.168.1.15 транслировался на 80 порт 182.196.17.253 то человек идущий браузером на 182.196.17.253 попадёт на веб сервер поднятый на 192,168,1,15

roma

Спасибо за подробное описание, но проблема осталась, может есть какие идеи?

Ohus
похоже что-то ты не так настроил на своём dlink 504T - у тя там правила какие-н. есть? Ну там аксес полиси или ещё что? Какие-н режими, опции.... а то чудеса, на майкрософт не заходишь, а на яндекс заходишь... если http прёт, то он прёт на всё... если зарубил натом - то как правило весь протокол...

Маленькая ремарка насчет dlink 504T: внутри у него линукс как он есть. С классическим iptables и т.д.

Ohus
У тебя поддержка HTTP 1.1 в браузере часом не выключена?

Урра! Я решил свою проблему.
greenfox

Цитата:

похоже что-то ты не так настроил на своём dlink 504T - у тя там правила какие-н. есть? Ну там аксес полиси или ещё что? Какие-н режими, опции.... а то чудеса, на майкрософт не заходишь, а на яндекс заходишь... если http прёт, то он прёт на всё... если зарубил натом - то как правило весь протокол...

Нет, никаких полиси. По поводу всего протокола, я с тобой согласен, тем страннее была ситуация в моем случае. Все проавила, которые были я пробовал отключать.


Цитата:

Маленькая ремарка насчет dlink 504T: внутри у него линукс как он есть. С классическим iptables и т.д.

Это так, но чем нам это может помочь?


Цитата:

У тебя поддержка HTTP 1.1 в браузере часом не выключена?

Еще раз напомню, что в режиме бриджа, все работае. А когда перенастраеваешь модем с использованием НАТ - нет.

В эксплорере, которым я в частности пытался воспользоваться - поддержка включена. А в огненной лисе, которой я пользуюсь, я честно говоря, не нашел, где это можно посмотреть. Мне кажется, что и в лисе она тоже включена. А в чем суть http 1.1?

Теперь рассказываю как решилась проблема. А решилась она - переустановкой версии прошивки модема! Видимо, в той версии, которую использовал я были ошибки. Для меня все равно осталось загадкой, почему некоторые сайты у меня не открывались. Причем, те, которые использовали https.



Добавлено
Похоже, что я немного ошибся. Проблема конечно решилась переустановкой прошивки, но возможно была не в версии прошивки, если будет время - попробую откатить на более старую версию и посмотреть - работает ли.

Итак, есть два таких параметра MTU и MRU. maximum reseive unit и maximum transmit unit. Вроде так они переводятся. Суть этих параметров, что пакеты большего объема от дслама и к нему не посылаются.

Раньше оба этих параметра у меня стояли равными 1500. После переустановки прошивки MTU поменялось на 1400, а MRU на 1492.

Сейчас я это заметил и решил поменять на то, что у меня стояло до этого. Поменял, смотрю, а майкрософт снова не грузится. Поменял обратно - грузится. Опять поменял - не грузится. Из чего делаю вывод, что дело в этих параметрах. Очень интересно заработает ли предыдущая версия прошивки с такими параметрами. Попробую расскажу.

Кто нибудь может прокоментировать выше сказанное, желательно пояснив, почему эти параметры отличаются на такую странную цифру 92.

А реально ли поднять NAT в Pro версии W2k? Если да, то как?

tawer

Цитата:

А реально ли поднять NAT в Pro версии W2k? Если да, то как?

Слабо посмотреть шапку этой темы и пойти почитать соответствующие топики?

lynx


Цитата:

Слабо посмотреть шапку этой темы и пойти почитать соответствующие топики?

Уже посмотрел, только вот про win2k pro там не упоминается нигде