PDA

Bekijk de volledige versie : Не получается настроить Virtual DMZ



xAL
24-11-2005, 08:52
Купил WL500G, обновил прошивку до 1.9.2.7-6b, настроил как написано в этом форуме. Но так и не смог настроить DMZ-сервер - входящие через WAN-интерфейс пакеты не отправляются на нужный сервер.

Конфигурация сейчас такая:
В LAN два компьютера - 192.168.1.2 и 192.168.1.3.
Адрес WAN-интерфейса - 10.2.25.33. Со стороны WAN есть шлюз по умолчанию 10.2.25.1 и локалка 10.2.25.*. Поднятно VPN-соединение через 10.1.1.1, шлюз в инет (Status & Log - Status, WAN Interface, Gateway) - 172.16.1.1. Инет работает, здесь все ок.

Нужно, чтобы все пакеты, приходящие на адрес 10.2.25.33 уходили на 192.168.1.3. Для этого установил NAT Setting -> Virtual DMZ -> IP Address = 192.168.1.3, перезагружал и роутер и машину, но установить соединение с нами никто не может.

В System Log есть такие вот записи: Nov 24 12:44:49 kernel: DROPIN=vlan1 OUT= MAC=ff:...:e5 SRC=10.2.25.5 DST=10.2.25.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=16820 PROTO=UDP SPT=138 DPT=138 LEN=209

и вот такие: Nov 24 11:40:28 kernel: DROPIN=vlan1 OUT= MAC=ff:...:44 SRC=10.2.25.5 DST=255.255.255.255 LEN=68 TOS=0x00 PREC=0x00 TTL=128 ID=43624 PROTO=UDP SPT=1026 DPT=8760 LEN=48

Или, может быть, мне нужно не Virtual DMZ настраивать, а что-то другое?

В крайнем случае - может подойти вариант с редиректом пакетов на некоторые порты, но в одном топике видел, что виртуалные сервера не будут работать...

Oleg
24-11-2005, 11:20
Для домовых сетей такое не поддерживается через Web. Конфигурируйте firewall "ручками".

xAL
24-11-2005, 13:07
Для домовых сетей такое не поддерживается через Web. Конфигурируйте firewall "ручками".
Я не самый большой специалист с настройками файерволла, поэтому - не могли бы Вы подсказать чем именно настроить? Пробовал смотреть на /sbin/route - т.к. показалось, что именно им нужно это настраивать, но ничего не получилось. Может быть я просто что-то не так делал?

Oleg
24-11-2005, 13:09
Смотреть надо на iptables. Поиск по форуму подскажет варианты.

xAL
24-11-2005, 14:19
Смотреть надо на iptables. Поиск по форуму подскажет варианты.
Сделал вот так, чтобы фтп разрешить:

[admin@(none) root]$ cat /usr/local/sbin/post-boot
#!/bin/sh
dropbear

iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 20 -j DNAT --to-destination 192.168.1.3:20
iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 21 -j DNAT --to-destination 192.168.1.3:21

iptables -A INPUT -j DROP

Но не помогло. На что конкретно в iptables посмотреть?

Tsvetkov
24-11-2005, 15:15
iptables -A INPUT -j DROP - убери из скрипта

Oleg
24-11-2005, 18:48
Сделал вот так, чтобы фтп разрешить:

[admin@(none) root]$ cat /usr/local/sbin/post-boot
#!/bin/sh
dropbear

iptables -D INPUT -j DROP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 20 -j DNAT --to-destination 192.168.1.3:20
iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 21 -j DNAT --to-destination 192.168.1.3:21

iptables -A INPUT -j DROP

Но не помогло. На что конкретно в iptables посмотреть?
работа с iptables должна быть в post-firewall, т.к. в противном случае правила будут затёрты встроенными.
Прокидывать порт 20 не надо - это будет сделано автоматически. В остальном вроде правильно.

xAL
24-11-2005, 19:42
работа с iptables должна быть в post-firewall, т.к. в противном случае правила будут затёрты встроенными.
Прокидывать порт 20 не надо - это будет сделано автоматически. В остальном вроде правильно.
Спасибо... только у меня сгорел блок питания - двух дней непрерывной работы он почему то не пережил... :( Принесут - буду пробовать...

Tsvetkov
24-11-2005, 19:53
Олег, плиз огласите весь список названий пост скриптов
(как post-boot,post-firewall ....) в порядке их выполнения :)

alexnik
25-11-2005, 09:29
iptables -D INPUT -j DROP
верно только если не включено занесение в лог дропов.
если он включён то

iptables -D INPUT -j logdrop

Oleg
26-11-2005, 20:45
Олег, плиз огласите весь список названий пост скриптов
(как post-boot,post-firewall ....) в порядке их выполнения :)
Будет в ФАКе.

Compman
26-04-2006, 07:13
Во-первых хочу сказать Олегу большое спасибо.
Во-вторых у меня есть пару вопросов. При первом рассмотрении форума не нашел ответы на них. может плохо искал :)
Итак.
Пров раздает статик ип + впн по PPTP
1)Как сменить мак адрес на wan порту ? иначе не пускает в сеть :)
2) По впн выдается реал ип, как сделать чтобы все запросы на реал ип автоматом перенаправлялись на вайфай (ноут) ? Чтобы были открыты все порты. Видел раздел DMZ, и там строка. туда нужно вбивать ип адрес ноута, который выдается по DHCP, так ?
Если были похожие вопросы просто киньте линк если не трудно.
Заранее спасибо всем и Олегу :)

Oleg
26-04-2006, 09:47
1)Как сменить мак адрес на wan порту ? иначе не пускает в сеть :)

На странице WAN&LAN есть поле для вбивания MAC Адреса (в мануле про это тоже есть - mac cloning).

2) По впн выдается реал ип, как сделать чтобы все запросы на реал ип автоматом перенаправлялись на вайфай (ноут) ? Чтобы были открыты все порты. Видел раздел DMZ, и там строка. туда нужно вбивать ип адрес ноута, который выдается по DHCP, так ?
Да.

Compman
26-04-2006, 19:19
2) По впн выдается реал ип, как сделать чтобы все запросы на реал ип автоматом перенаправлялись на вайфай (ноут) ? Чтобы были открыты все порты. Видел раздел Dmz, и там строка. туда нужно вбивать ип адрес ноута, который выдается по Dhcp, так ?

Да.
После этого все порты будут открыты на ноуте, как буд-то ему присвоен реал ип и нет никакого роутера ? Если так то это отлично ! :)

paul70
02-06-2006, 20:31
Проблема следующая. Очень нужно запустить видеоконференции между Mac и PC. Убил на эксперименты уже больше недели :( В простых сетях с прямыми IP все нормально живет. Используется Ichat на Маке и Trillian на PC. Но домашний компьютер находится внутри домовой сети Митино www2.compot.ru. Выход в инет идет через vpn. Дан внутренний адрес сети на котором висит Asus WL500G, настроенный на VPN. А на WL500G висят несколько ПК, с которых и пытаемся пустить видеоконференцию наружу. Техподдержка домовой сети помочь не может, с экспериментами уже замучался :(. Если кто-то поможет настроить буду весьма признателен, поскольку сам сети знаю поверхностно. аСЬКА 149042333:

paul70
05-06-2006, 18:14
После открытия всех портов и подключении напрямую к vpn соединению без роутера, убедился что видеоконференция работает. Но после роутера, ес-но не работает из-за NAT, несмотря на открытый файервол и указания адреса этого компьютера в DMZ. Есть ли возможность заставить это работать? Кроме того вопрос, есть ли возможность запустить этот вариант, если обе камеры находятся под NAT внутри корпоративных сетей

action
30-07-2006, 13:14
Итак мой WL-500gP.
Стало интересно т.к. если не ошибаюсь видел в одном девайсе подобного типа (не Asus) возможность вносить до 10 i.p. в DMZ. как это вообще выглядеть будет и можно ли такое реализовать в прошивке Олега?

FilimoniC
31-07-2006, 04:08
DMZ - это Virtual Server по всем портам сразу. Сдедать 2 DMZ (ИМХО) нереально, так как непонятно, на какой из внутренних компов слать пакет. Но можно наделать кучу Virtual Server на разных портах

action
01-08-2006, 13:11
При активировании UpNP или включении DMZ (можно оба...можно отдельно) доступ к фтп(жесткий подлючен к роутеру) из WAN пропадает =( Почему это происходит и как исправить? (дело в том что скажем тот же Sippoint без влючения UpNP у меня звонит...но голосов нет ни входящих-ни исходящих)

itchynail
18-10-2006, 04:21
И DMZ активировал и в Virtual Server прописывал, и в Port Trigger .....всё как мертвому припарки. Комп из инета не виден. Тесты портов в инете говорят, что все порты закрыты. У всех так?

Armann
18-10-2006, 08:40
Без проблем открыл порты для работы клиентов p2p, все замечательно фурычит. Локальный ИП у компа прописан статически? Тогда в настройках Virtual Server пропишите на какой порт какой протокол принимать, и на какой адрес и какой порт перенаправлять, и не забудьте включить собственно сервис Virtual Server.

ЗЫ. Вроде краем глаза замечал рекомендацию Олега после таких манипуляций перегружать роутер по питанию, но точно не уверен.

itchynail
18-10-2006, 11:24
Без проблем открыл порты для работы клиентов p2p, все замечательно фурычит. Локальный ИП у компа прописан статически? Тогда в настройках Virtual Server пропишите на какой порт какой протокол принимать, и на какой адрес и какой порт перенаправлять, и не забудьте включить собственно сервис Virtual Server.

ЗЫ. Вроде краем глаза замечал рекомендацию Олега после таких манипуляций перегружать роутер по питанию, но точно не уверен.

P2P, что интересно, работают, например Strong DC+ отлично качает и отдает в моей локалке. Не работают игрушки серии age of empires. Они же работают при подключении сетевого кабеля прямо в лэптоп.
Айпи не прописан статически, так как в доме 2 раутера беспроводных, и когда у местного провайдера проблемы инетом, я переключаюсь на второй раутер со Стримом "легким движением руки". У второго раутера (не асус) все ок, порты для игрушек прописал в соответствующие поля настроек и все работает. У Асуса лэптопу присвоен айпи по маку 192.168.1.55 и всегда выдается именно он.

DMZ поставлен для 192.168.1.55, но, как уже было сказано, это не работает. Скан портов из инета говорит, что они все зкрыты.

В Virtual Server и Port Trigger порты прописаны.

Эта проблема встречалась на этом форуме у немцев, но гугл перевел так, что я не очень-то понял. Понял что у кого-то заработал после отключения переброски портов и Virtual Server и включения DMZ, но мне это не помогло.

Перегружать роутер по питанию это как?

SinClaus
18-10-2006, 11:54
DMZ нужна для переброски ВСЕХ обращений, кроме переброшенных по Virt. server на ОДНУ машину. Port trigger я например вообще не использую, все прекрасно работает на переброске портов.
Советовал бы отключить все кроме виртуального сервера, а для игрушек выяснить, какие порты им нужно открыть.

itchynail
18-10-2006, 16:47
Я пробовал все комбинации. Должно работать хотя бы при активизации DMZ при/без активации Virtual Server&Port Trigger. Пробовал и так и так. Выключал DMZ, прописывал порты в VS. Включал DMZ при выключенном VS. Выключал асусовский фаеруол. Порты остаются закрытыми. Перезагружал роутер разными способами включая ресет (может быть неправильно?). Игра не работает. Работает при подключении к инету через другой роутер, когда открываю там нужные порты, работает при подключении напрямую. Не работает через АСУС WL500Gp, и не одного у меня....Какая-то фигня :(

midya
18-10-2006, 16:57
Игра не работает.

попробуй соединить проводом и играть по проводу если сейчас у Васс Wi-Fi .....

itchynail
18-10-2006, 20:34
Я бы это мог сделать, но хотелось бы понять, в чем суть проблемы. Тем более, что это не выход.

SinClaus
19-10-2006, 05:31
Комбинаций НЕ НУЖНО. Нужно:
1. Определиться, чего требует игрушка (netstat при запущенной, хотя бы) Смотреть внимательно, если ей нужен UDP порт, TCP открывать бесполезно.
2. Открыть порты на странице виртуального сервера.

itchynail
20-10-2006, 00:18
Я никак не могу донести до вас очень простую мысль. Игрушка замечательно работает при подключении лэптопа (того же и всех других) через другой раутер, в котором прописаны те самые порты, которые я прописывал в асусе. Более того, при Dmz она не работает. Почему при Dmz она не работает? Мне кажется у раутера проблемы с портами больше 20000. Он их не понимает.

SinClaus
20-10-2006, 08:45
А я объясняю еще более простую вещь - по адресу, указанному в DMZ должно переправляться ВСЕ, КРОМЕ того, что указано в настройке виртуальных серверов. А вот если и там, и там указана одна и та же машина - не знаю, что он решит куда пересылать. У меня порт 23500 спокойно прокидывается внутрь сети.
Кстати, открыто достаточно много портов, но nmap их не видит при скане, так что это не показатель. Внутренние машины по этим портам доступны.

itchynail
21-10-2006, 05:21
Цитирую себя : "Эта проблема встречалась на этом форуме у немцев, но гугл перевел так, что я не очень-то понял. Понял что у кого-то заработал после отключения переброски портов и Virtual Server и включения DMZ, но мне это не помогло."

torty
05-12-2006, 10:29
Необходимо к роутеру подключить сетевой принтер. Роутер находится в локальной сети с адресами 193.232.***.*** (255.255.255.128)
Внутренние адреса роутера 192.168.1.0 (255.255.255.128). Принтер имеет адрес 192.168.1.9.
Необходимо иметь к принтеру доступ из локальной сети, а не только из сети роутера.
Вопрос: какие настройки надо добавить в Static Route List?

ThinkPad
05-12-2006, 11:05
ИМХО самое простое решение повесить принтер в Dmz присвоив ему "внешний айпи" типа 193.232.***.***

torty
05-12-2006, 11:25
Спасибо огромное! Проблема решена.

Compman
24-12-2006, 21:16
Добрый вечер.
На днях пришлось воспользоваться роутером т.к. появился ноут.
Настройки сети такие:
Прошивка последняя от Олега.
wan - dhcp + pptp(real_ip)
lan - dhcp + manual ip(каждой карточке сетевой прописал свой ип)
Внутренняя сеть - 169.254.1.0. 169.254.1.1 - роутер
10.0.0.0 и 192.168.0.0 и 172.16.0.0 - используются в сети.
комп1_основной - 169.254.1.11 - этот ип вписал в DMZ т.к. пользуюсь p2p
комп2_ноут - 169.254.1.100
Настройки на роутере все откл: samba, ftp, nfs, camera, firewall.
После ребута все работает, НО в торрентах нету исх соединений.
На основном компе стоит фаервол, после просмотра логов, заметил что роутер посылает пакеты icmp c правилом - получатель недоступен - входящие. Я разрешил, и о чудо все заработало.
Но после просмотра маршрутизации в виндовсе я увидел в списке активных маршрутов, что после разрешения правила в icmp приводит к созданию маршрутов для каждого ипа с которым я соединялся в торренте, причем маршруты создаются не для всех ипов, а для определенных. Это что за фича такая ? Или я что-то не так настроил ?
Вот пример:

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 169.254.1.1 169.254.1.11 20
59.162.92.86 255.255.255.255 169.254.1.1 169.254.1.11 20
62.1.168.231 255.255.255.255 169.254.1.1 169.254.1.11 20
67.167.250.126 255.255.255.255 169.254.1.1 169.254.1.11 20
68.90.237.52 255.255.255.255 169.254.1.1 169.254.1.11 20
68.107.108.15 255.255.255.255 169.254.1.1 169.254.1.11 20
69.234.97.213 255.255.255.255 169.254.1.1 169.254.1.11 20
81.129.172.132 255.255.255.255 169.254.1.1 169.254.1.11 20
81.216.16.31 255.255.255.255 169.254.1.1 169.254.1.11 20
82.131.3.248 255.255.255.255 169.254.1.1 169.254.1.11 20
82.139.181.7 255.255.255.255 169.254.1.1 169.254.1.11 20
82.161.28.100 255.255.255.255 169.254.1.1 169.254.1.11 20
82.217.54.252 255.255.255.255 169.254.1.1 169.254.1.11 20
83.17.214.170 255.255.255.255 169.254.1.1 169.254.1.11 20
83.20.160.91 255.255.255.255 169.254.1.1 169.254.1.11 20
84.3.63.207 255.255.255.255 169.254.1.1 169.254.1.11 20
84.205.3.73 255.255.255.255 169.254.1.1 169.254.1.11 20
86.55.114.239 255.255.255.255 169.254.1.1 169.254.1.11 20
86.122.125.137 255.255.255.255 169.254.1.1 169.254.1.11 20
87.240.15.1 255.255.255.255 169.254.1.1 169.254.1.11 20
87.240.15.37 255.255.255.255 169.254.1.1 169.254.1.11 20
88.119.14.237 255.255.255.255 169.254.1.1 169.254.1.11 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
142.59.161.110 255.255.255.255 169.254.1.1 169.254.1.11 20
169.254.1.0 255.255.255.0 169.254.1.11 169.254.1.11 20

Oleg
24-12-2006, 21:22
Сеть 169 вы выбрали крайне неудачную, думаю в этом и проблема...

Compman
24-12-2006, 21:26
Если это так, то какую сеть мне выбрать ? Все приватные диапазоны заняты :confused:

Oleg
24-12-2006, 21:30
Например, 192.168.255.0, маска 255.255.255.0.
Думаю в этом диапазоне нет ничего у провайдера...
То, что сети будут пересекаться - не страшно.

Compman
24-12-2006, 21:51
Только что проверил. К сожалению все осталось как и было. Забыл написать что роутер WL500gPremium - firmware-v.1.9.2.7-7f
Маршруты создаются

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.255.1 192.168.255.11 20
24.76.233.56 255.255.255.255 192.168.255.1 192.168.255.11 20
81.129.172.132 255.255.255.255 192.168.255.1 192.168.255.11 20
84.205.3.73 255.255.255.255 192.168.255.1 192.168.255.11 20
84.230.94.69 255.255.255.255 192.168.255.1 192.168.255.11 20
86.125.20.153 255.255.255.255 192.168.255.1 192.168.255.11 20
87.242.73.71 255.255.255.255 192.168.255.1 192.168.255.11 20
Что же делать ?

6opoga
25-12-2006, 16:35
Это случайно не uPnP маршруты вписывает?

Compman
25-12-2006, 16:44
Это случайно не uPnP маршруты вписывает?
На роутере я отключил.

6opoga
25-12-2006, 16:54
На роутере я отключил.
Но маршруты-то прописываются на винде?

Compman
25-12-2006, 17:18
Но маршруты-то прописываются на винде?
Ага, вот я и хочу узнать зачем ? Это так спец. сделано или где-то косяк. :rolleyes:
Маршруты в винде я не прописывал. Поэтому у меня и вызвало это создание маршрутов в винде подозрение, т.к. раньше без роутера такого небыло.

Oleg
25-12-2006, 19:10
Ну вообще, это происки винды или софта, которым Вы пользуетесь. Роутер винде ничего такого не говорит. :)

У Вас случайно в виндоус нет ещё одного соединения? Меня смущает метрика 20, одна появляется после установки дополнительных Ppp соединений...

Compman
25-12-2006, 20:04
Ну вообще, это происки винды или софта, которым Вы пользуетесь. Роутер винде ничего такого не говорит. :)

У Вас случайно в виндоус нет ещё одного соединения? Меня смущает метрика 20, одна появляется после установки дополнительных Ppp соединений...
Так, расскажу как было до роутера:
Настройки сети: dhcp(локальный ип в сети)+pptp(реальный ип наружу)
Софт: agnitum + azureus. В фаерволе были закрыти все пакеты icmp кроме эхо запроса/ответа, чтобы проходил пинг.
С роутером:
-wan: dhcp + pptp(real_ip)
-lan: dhcp + route + manual ip(каждой карточке сетевой прописал свой ип), основной_комп добавил в DMZ, все сервисы на роутере выкл.
Вкл азурес, порты открыты, что и нужно было сделать. НО нету исход соединений если не разрешить пакеты icmp c правилом получатель недоступен. Но и небудут эти маршруты создаваться. Как только вкл это правило на icmp так исходящие соединения идут и создаются маршруты :)
Если напрямую провод втыкать, то все ок. Правило на icmp не нужно разрешать если кабель напрямую соединен с компом. Все и так работает. Никаких доп. pptp соединений нету, сет карточка одна(Realtek 8139). Менял диапазоны ип адресов для lan на роутере как вы вчера подсказали, тоже самое, маршруты создаются :)
Какие будут мысли ? :)

Oleg
25-12-2006, 20:19
Странной мне сейчас кажется только метрика...

Ну и фаервол под вопросом.

А почему Вы исопльзуете Dmz, а не виртуальный сервер?

Compman
25-12-2006, 20:33
А почему Вы исопльзуете Dmz, а не виртуальный сервер?
Я часто меняю порты наружу, поэтому мне проще открыть один раз все чем по одному каждый раз прописывать. Тем более на основном есть фаервол. DMZ разьве так плох ?

Oleg
25-12-2006, 21:46
Нет, не плох. Просто в основном исользуются именно виртуальные серверы.

Compman
25-12-2006, 22:12
Только что проверил.
1) Удалил осн_комп из Dmz, тоже самое. Порты естейственно закрыты.
2) Добавил в виртуал сервер порты и ип, тоже самое.
3) Проверил сегодня утром на делюксе с настройками премиума, все норм. Делюкс не посылает icmp, исходящие соединения работают без разрешения правила в icmp - получатель недоступен-вх. Следовательно не создаются маршруты.
Интересно а как у других с этим дела обстоят ?
Товарищи кто читает данный топик, посмотрите пожалуйста свою таблицу маршрутизации в винде, как у вас там дела обстоят.

Shked
07-01-2007, 11:27
хочу раздавать инет внутри квартиры с помощью Asus WL-500gP
провайдер QWERTY
сейчас IP - серый, подключение проводом в комп(соотв. рейтинг в Torrent - низкий)

Хочу решить для себя нужно ли мне заказывать постоянный IP или получится реализовать всё тоже самое с общим IP?

Если IP будет реальным как быть с защитой?

MAV
07-01-2007, 13:00
сейчас IP - серый, подключение проводом в комп(соотв. рейтинг в Torrent - низкий) серый при прямом подключении к провайдеру? или у тебя все же стоят какие то firewall ?
или серый из-за роутера?

olegos007
07-01-2007, 21:20
серый при прямом подключении к провайдеру? или у тебя все же стоят какие то firewall ?
или серый из-за роутера?

Мне кажется он имеет в виду что IP у него внутренней сети, а не внешний IP.

Shked
08-01-2007, 09:49
сейчас Ip внутренний, т.е. я сижу за Nat провайдера. Я так понимаю. При этом соединения никакого я не запускаю. Ip у меня всегда внутрисетевой.

Если включить постоянный Ip то тоже никакого Vpn соединения запускать не надо. Но я собрался ставить маршрутизатор. Вопрос собвственно в том, если у меня будет постоянный Ip, то он будет для моих некольких машин которые за маршрутизатором, смогу ли я пользоваться преимуществами постоянного Ip(скажем ходить на домашний комп с работы, иметь высокий рейтинг в торрент и скажем слать файлы по аське)

не уверен насчёт последнего "слать файлы по аське" боюсь это тема отдельного разговора. Если нет то поправьте

n0isy
08-01-2007, 19:11
смогу ли я пользоваться преимуществами постоянного Ip(скажем ходить на домашний комп с работы, иметь высокий рейтинг в торрент и скажем слать файлы по аське)


Сможете. Во-первых, можете все входящие соединения перевести на один компьютер (это называется DMZ), а можете отдельно определить - какой порт в какой комп перенаправлять (это называется Virtual Server), ну и для полного счастья еще пинги из WAN включить - что типа "комп" (AKA рутер) пинговались "из-вне"...

DThrasher
31-03-2007, 09:37
Добрый день всем!

При скачивании обычным торрент-клиентом (например Azureus), при подключении компьютера к сети напрямую скорость скачивания популярного торрента лежит в разумных 350-400кб\сек. При подключении через роутер средняя скорость скачивания того же торрента - 50-60кб\сек, редко дорастает до 100кб\сек.
При этом при всем раздача с меня идет с нормальной скоростью.

Комп в DMZ прописан, пробовал отключать firewall, порт снаружи виден, загрузка проца на роутере минимальная.


Подскажите, пожалуйста, как повысить скорость?

Platinum-msk
27-04-2007, 17:45
Добрый вечер! Существует некоторая проблема. На роутере висит адрес, выданный провом, к примеру 172.17.123.45. При задании DMZ на адрес внутренней локалки, к примеру 172.30.123.45 первое время имя "компьютера", которое выдает роутер прову висит нормально, но после некоторого времени оно изменяется с, например name на rezerved_172.17.123.45, и соответственно при вбивании выполнить \\name на компах внешней локалки не куда не попадаешь, а \\rezerved_172.17.123.45 работает, и перенаправляет запросы на внутренний комп. Т.е. просто напросто при включении dmz через некоторое время изменяется "имя роутера" во внешней сети и пропадает доступ по зарегистрированному в сети имени. Такое явление не допустимо - за использвание имени компа, отличного от зарегистрированного - блокировка и помещение на "доску почета". Как с этим явлением бороться?
Девайс: WL500g Premium прошивка Олега 1.9.2.7-7f.

Platinum-msk
02-05-2007, 15:46
Upd: опытным способом обнаружено что из внешней локальной сети пингуется, комп за роутером НЕ находящийся в DMZ- т.е. разрешается имя узла!!! Если внешняя локалка 172.17.123.45, то почему-то (!?) возможно пингануть комп за роутером, к примеру comp, и будет:
обмен пакетами с comp [172.30.123.45]. Все по полному проходит через роутер и пингуется комп, с адресом ВНУТРЕННЕЙ локальной сети и именем, которое не было зарегено во внешней локальной сети. Такого ведь не должно быть?! Может что-то с роутером или все-таки неправильная настройка? Cеть -CLN.
P.S. если выполнять и пинг и трасероут изнутри (те за роутером) на внешний адрес и на имя зарегистрированное во внешней локальной сети, то складывается впечатление, что все впорядке, потому что все разрешается правильно и внутрь ничего не уходит.... а если проделывать тоже самое снаружи.... то полнейший ппц....

amyskin
25-10-2007, 11:40
вопрос про создание Dmz нужно ли делать проброс портов для "удаленного рабочего стола". так сейчас при попытке подключиться из внешней сети вначале вроде как соединение устанавливается (появляется черный экран) и потом ошибка "сеанс подключения к удаленному рабочему столу завеншен". в локальной сети все нормально работает.
доступ к фтп серверу на этой машине работает (хотя блин что-то директории долго читаются,а скорость скачки нормальная).

dfayruzov
26-10-2007, 09:40
Q. What port does Remote Desktop use? Does everything go over port 3389?
A.

Port 3389 is the only port you need to open. Windows will attempt to stream sound through User Datagram Protocol (UDP) first. If no port is available for UDP, sound will stream through a virtual channel in Remote Desktop Protocol, which uses port 3389.

Тебе достаточно в настройках NAT Settings -> Virtual Server добавить правило:
Port Range: 3389
Local IP: IP машины, куда ты ходишь с RDP
Local Port: 3389
Protocol: UDP (но лучше наверное, оставить BOTH)
Protocol No. - пусто
Description: RDP to имя твоей машины (чтобы не забыть).

Все, теперь при попытке подключиться снаружи к внешнему адресу роутера ты будешь попадать прямиком на свою машинку.

amyskin
27-10-2007, 05:57
про этот прт я в курсе, но я думал что еси машина стоит в Dmz, то автоматом все порты и все запросы идут на нее.
похоже что так оно и есть но вот где то что недокрутил или может перекрутил я. так как подключение происходит, но недоходит до проверки логина (появляется черный экран) и потом ошибка "сеанс подключения к удаленному рабочему столу завеншен".

PS Когда появляется ошибка, если ее не убирать (не нажимать ОК) и запустить второе подключение к удаленному раб столу, то все нормально подключается. :-(

poVitter
21-11-2007, 21:52
Девайс Wl500gP
прошивка 1.9.2.7-8 (поставил совсем недавно, на 1.9.2.7-7g было тоже самое)
Интернет подключен по PPTP.
проблема в том, что роутер не форвардит соединения через Virtual Server из локальной сети, при этом из инета все работает. В DMZ прописана другая машина (на нее все форвардится). И, что интересно, если В Virtual Server прописать какой-нибудь порт на машину, которая прописана в DMZ, то все работает и из локалки тоже (я имею ввиду конечно внешний например 8080, а внутренний 80, чтобы можно было проверить). Что-то бьюс и ничего не выходит? может у кого есть идеи где грабли?

status and logs -> port forwarding

Destination Proto. Port Range Redirect to
all ALL ALL 192.168.155.1
all TCP 8080 192.168.155.1
all TCP 25 192.168.155.19
all TCP 412 192.168.155.19
all TCP 80 192.168.155.19

[admin@(none) root]$ iptables -L -vxn -t nat
Chain PREROUTING (policy ACCEPT 31506 packets, 5273727 bytes)
pkts bytes target prot opt in out source destination
244 29905 VSERVER all -- * * 0.0.0.0/0 89.222.152.52
0 0 VSERVER all -- * * 0.0.0.0/0 10.154.41.13

Chain POSTROUTING (policy ACCEPT 445 packets, 42040 bytes)
pkts bytes target prot opt in out source destination
92 4416 MASQUERADE all -- * ppp0 !89.222.152.52 0.0.0.0/0
11 650 MASQUERADE all -- * vlan1 !10.154.41.13 0.0.0.0/0
0 0 MASQUERADE all -- * br0 192.168.155.0/24 192.168.155.0/24

Chain OUTPUT (policy ACCEPT 201 packets, 12135 bytes)
pkts bytes target prot opt in out source destination

Chain VSERVER (2 references)
pkts bytes target prot opt in out source destination
3 180 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.155.19:80
18 1182 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:412 to:192.168.155.19:412
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 to:192.168.155.19:25
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080 to:192.168.155.1:80
223 28543 DNAT all -- * * 0.0.0.0/0 0.0.0.0/0 to:192.168.155.1
[admin@(none) root]$
ошибах в таблице что-то не угляжу, хотя я с iptables не знаком (да и с линуксом весьма поверхностно)

апд: набрел на эту тему http://wl500g.info/showthread.php?t=10333 да вроде все сходится, всмысле непойму в чем у меня проблема.

да, wan-to-lan и lan-to-wan фильтры отключены у меня.

в таблице настораживает только, то что пакетов через MAN интерфейс ноль (в таблице PREROUTING)

upd2: из LAN кстати тоже нормально роутит... Перепрорверил... при попытке соединения пает все таки записывается в счетчик в таблице PREROUTING

Mam(O)n
21-11-2007, 23:39
Да, таблицы нормальные(-t mangle не правил ведь?). Может проблемы с другой стороны? Можно посмотреть, приходят ли пакеты из MAN командой tcpdump -ni ppp0 tcp port 80. При попытке подцепится на 80 порт из MAN должно отображаться в консоли. Что то типа этого:


[root@router tmp]$ tcpdump -ni vlan1 tcp port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan1, link-type EN10MB (Ethernet), capture size 68 bytes
01:28:19.990966 IP 210.170.17.7.58629 > 210.170.17.141.80: S 889591788:889591788(0) win 65535 <mss 1440,nop,nop,sackOK,nop,wscale 1,[|tcp]>
01:28:22.989352 IP 210.170.17.7.58629 > 210.170.17.141.80: S 889591788:889591788(0) win 65535 <mss 1440,nop,nop,sackOK,nop,wscale 1,[|tcp]>
01:28:26.188446 IP 210.170.17.7.58629 > 210.170.17.141.80: S 889591788:889591788(0) win 65535 <mss 1440,nop,nop,sackOK,nop,wscale 1,[|tcp]>

poVitter
22-11-2007, 00:23
[admin@(none) root]$ tcpdump -ni vlan1 tcp port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vlan1, link-type EN10MB (Ethernet), capture size 68 bytes
02:08:39.630131 IP 10.154.41.19.1785 > 10.154.41.13.80: S 079881667:1079881667(0) win 65535 <mss 1460,nop,nop,sackOK>
02:08:54.922750 IP 10.154.41.19.1786 > 10.154.41.13.80: S 1644789729:1644789729(0) win 65535 <mss 1460,nop,nop,sackOK>
02:08:57.931048 IP 10.154.41.19.1786 > 10.154.41.13.80: S 1644789729:1644789729(0) win 65535 <mss 1460,nop,nop,sackOK>
02:09:03.964367 IP 10.154.41.19.1786 > 10.154.41.13.80: S 1644789729:1644789729(0) win 65535 <mss 1460,nop,nop,sackOK>

4 packets captured
95 packets received by filter
58 packets dropped by kernel
[admin@(none) root]$
вроде пакеты есть. Ну на ppp0 вобще вссе норлмаьно. а Вот на vlan1 при попытке соединится один входящий пакет, а дальше ничего нет. Да и входящего соединения на сервере не вижу.

Mam(O)n
22-11-2007, 00:51
Вот на vlan1 при попытке соединится один входящий пакет, а дальше ничего нет.

А счетчик крутится?

Chain PREROUTING (policy ACCEPT 31506 packets, 5273727 bytes)
pkts bytes target prot opt in out source destination
244 29905 VSERVER all -- * * 0.0.0.0/0 89.222.152.52
0 0 VSERVER all -- * * 0.0.0.0/0 10.154.41.13

И еще тогда для полноты картины в студию:
iptables -L FORWARD -vn
iptables -L -vnt mangle
ifconfig
route -n

poVitter
22-11-2007, 00:56
Позже прочитал. Ну если проблемы какие будут, то ап (http://wl500g.info/showpost.php?p=70299&postcount=5).

Пока вроде ясно в чем дело. Спасибо за помощь.

anikss
29-11-2007, 22:17
Здравствуйте!
Подскажите пожалуйста, хочу включить возможность Virtual DMZ, но ничего не работает хоть убей. Пинг идет, попытка соединиться на какие-то порты телнетом заканчивается очень странной вещью: порты 80 и 21 выдают черный экран без информации, на остальные порты вообще не коннектит.
Может, что-то не так настроил? Устройство WL-500gP прошивка 1.9.2.7-8. По совету в какой-то соседней теме привожу таблицы роутера:



Chain INPUT (policy ACCEPT 30 packets, 960 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
678 63168 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
30 1800 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
100 8208 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW

Chain FORWARD (policy ACCEPT 12 packets, 572 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
375 150K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
271 16204 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT

Chain OUTPUT (policy ACCEPT 967 packets, 524K bytes)
pkts bytes target prot opt in out source destination

Chain MACS (0 references)
pkts bytes target prot opt in out source destination

Chain SECURITY (0 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x16/0x02 limit: avg 1/sec burst 5
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain PREROUTING (policy ACCEPT 132 packets, 6267 bytes)
pkts bytes target prot opt in out source destination
5 284 VSERVER all -- * * 0.0.0.0/0 77.41.77.118

Chain POSTROUTING (policy ACCEPT 38 packets, 2253 bytes)
pkts bytes target prot opt in out source destination
11 524 MASQUERADE all -- * vlan1 !77.41.77.118 0.0.0.0/0
6 970 MASQUERADE all -- * br0 192.168.0.0/24 192.168.0.0/24

Chain OUTPUT (policy ACCEPT 39 packets, 2939 bytes)
pkts bytes target prot opt in out source destination

Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination
5 284 DNAT all -- * * 0.0.0.0/0 0.0.0.0/0 to:192.168.0.1



Помогите пожалуйста, если вас не затруднит! Спасибо большое!

anikss
30-11-2007, 23:20
Так, выясняются новые подробности.
Оказывается, ни DMZ, ни Virtual Server не собираются форвардить ничего на машины в моей локалке! А вот если указать адрес сервера, который подключен по Wi-Fi, и то и то прекрасно работает.

Точнее, так. Если установить форвардинг на машину из локалки, и зайти на внешний (WAN) адрес роутера из этой же локалки, то все работает. А если заходить извне, то.... см. первый абзац поста. :(

Как быть? Спасибо за внимание.

anikss
01-12-2007, 00:12
Логи TCP Dump, при обращении на 80 порт и Virtual DMZ на машину из сети (WAN->LAN):



[admin@WIFIROUTER root]$ tcpdump tcp port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br0, link-type EN10MB (Ethernet), capture size 68 bytes
02:02:28.056082 IP 89.19.166.84.4463 > 192.168.0.1.www: S 2787142012:2787142012(0) win 16384 <mss 1360,nop,nop,sackOK>
02:02:30.969963 IP 89.19.166.84.4463 > 192.168.0.1.www: S 2787142012:2787142012(0) win 16384 <mss 1360,nop,nop,sackOK>
02:02:36.966998 IP 89.19.166.84.4463 > 192.168.0.1.www: S 2787142012:2787142012(0) win 16384 <mss 1360,nop,nop,sackOK>


После этого коннект обрывается. Ну и WAN->WLAN работает как надо, там пакетов на порядок больше.

Спасибо за внимание.

anikss
01-12-2007, 13:51
Если кто-то все же обратит внимание на проблему, готов предоставить любую вспомогательную информацию

Вот, например:



[admin@WIFIROUTER root]$ iptables -L -vxn -t nat
Chain PREROUTING (policy ACCEPT 22 packets, 1186 bytes)
pkts bytes target prot opt in out source destination
4 433 VSERVER all -- * * 0.0.0.0/0 77.41.77.118

Chain POSTROUTING (policy ACCEPT 15 packets, 1123 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * vlan1 !77.41.77.118 0.0.0.0/0
0 0 MASQUERADE all -- * br0 192.168.0.0/24 192.168.0.0/24

Chain OUTPUT (policy ACCEPT 11 packets, 690 bytes)
pkts bytes target prot opt in out source destination

Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination
4 433 DNAT all -- * * 0.0.0.0/0 0.0.0.0/0 to:192.168.0.1




[admin@WIFIROUTER root]$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
77.41.64.1 0.0.0.0 255.255.255.255 UH 0 0 0 vlan1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
77.41.64.0 0.0.0.0 255.255.240.0 U 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 77.41.64.1 0.0.0.0 UG 0 0 0 vlan1

al37919
02-12-2007, 21:01
DMZ включил в web-IF?
провайдер не закрывает порты?
WAN IP реальный? (похоже да)
удается ли подключиться извне к роутеру?
на компе файрвол выключен?
нет ли где конфликта адресов 192.168.0.Х (например, не включен ли в винде шаринг соединения)? Вообще, для уверенности лучше бы поставить не 0


Проверил из локалки на этот внешний адрес (как бы получается из локалки в эту же локалку, но через внешний адрес) - все работает. Не работает DMZ только при обращении извне.
это ничего не показывает, кроме того что в ЛАН работает.

anikss
02-12-2007, 22:15
Спасибо за ответ!


DMZ включил в web-IF?
Я не нашел пункта "Включить/выключить DMZ", но адрес там прописан (думаю, это и является триггером на включение).


провайдер не закрывает порты?
WAN IP реальный? (похоже да)
удается ли подключиться извне к роутеру?
на компе файрвол выключен?
нет ли где конфликта адресов 192.168.0.Х (например, не включен ли в винде шаринг соединения)?


Да там проблема специфичная у меня... И DMZ и Virtual Server работают, но работают только на WLAN.
Все это обнаруживается, если подключить один и тот же компьютер сначала по WI-Fi, а потом по LAN и сравнить, как все работает. Работает только в первом случае.


Вообще, для уверенности лучше бы поставить не 0

Спасибо, это попробую.

Mam(O)n
03-12-2007, 00:42
4 433 DNAT all -- * * 0.0.0.0/0 0.0.0.0/0 to:192.168.0.1
192.168.0.1 это чей ip?

anikss
03-12-2007, 10:10
192.168.0.1 это чей ip?

Машины, которая по LAN подключена. WLAN-машина имеет IP 192.168.0.2

al37919
03-12-2007, 10:43
а роутер какой имеет LAN IP?

anikss
03-12-2007, 11:03
а роутер какой имеет LAN IP?

192.168.0.50

lexass
25-12-2007, 20:51
да фиг знает...
в Virtual Server List
прокинут 80 на 192.168.1.1 lighttpd - доступ из вне есть
а вот FTP сервер: vsftpd 20 и 21 нет :(

:confused:


[admin@WL-500g root]$ iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
VSERVER all -- anywhere 10-2-33-19.users.mns.ru
NETMAP udp -- anywhere 10-2-33-19.users.mns.ruudp spt:6112 192 .168.1.0/24
autofw tcp -- anywhere anywhere tcp dpt:16567 autofw tcp dpt:16567 to:16567
autofw udp -- anywhere anywhere udp dpt:1200 autofw udp dpt:1200 to:1200
autofw tcp -- anywhere anywhere tcp dpt:30001 autofw tcp dpt:30001 to:30001
autofw udp -- anywhere anywhere udp dpt:30002 autofw udp dpt:30002 to:30002

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
NETMAP udp -- 192.168.1.0/24 anywhere udp dpt:6112 10.2.33 .19/32
MASQUERADE all -- !10-2-33-19.users.mns.ru anywhere
MASQUERADE all -- 192.168.1.0/24 192.168.1.0/24

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain VSERVER (1 references)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:27016 to:192 .168.1.2:27016
DNAT udp -- anywhere anywhere udp dpt:27016 to:192 .168.1.2:27016
DNAT tcp -- anywhere anywhere tcp dpts:ftp-data:ft p to:192.168.1.1:21
DNAT tcp -- anywhere anywhere tcp dpt:www to:192.1 68.1.1:80

naves
25-12-2007, 21:06
проверь настройки подключения внутренней машины по LAN, в качестве default gateway должен быть роутер, и не должно быть лишних маршрутов.
у меня была похожая проблема, запросы из внешней сети проходили на внутреннюю машину, а она ответы отсылала не туда.
и имхо virtual Server и DMZ работают только по отдельности. или все порты пробрасываются на одну машину через DMZ, или порты настраиваются поотдельности через virtual Server. или править iptables через консоль вырубив все через веб-морду

anikss
26-12-2007, 15:27
проверь настройки подключения внутренней машины по LAN, в качестве default gateway должен быть роутер, и не должно быть лишних маршрутов.
у меня была похожая проблема, запросы из внешней сети проходили на внутреннюю машину, а она ответы отсылала не туда.

Обана! До меня, кажется, дошло, что ты хотел сказать! Спасибо! Меня терзают смутные сомнения.......

А ведь правда! У меня машина, на которую форвардинг не идет, так вот, у ней другой провайдер (не тот, что до роутера), и соответственно другие настройки. Что же, получается, что, приняв пакет по форвардингу от роутера сервер обрабатывает его и отсылает в другую сеть?!
Все факты говорят об этом: когда я отключил серверного провайдера и перенастроил инет сервера на роутер, то все стало работать!

Но разве такое возможно? Я всегда думал, что в пакетах после NAT внешний IP-адрес заменяется на внутренний.

naves
27-12-2007, 18:51
насколько я помню тср-стек, операционка отсылает от себя пакеты в зависимости от того какие у нее настроены шлюзы и маршруты. а роутер пробрасывая входящий пакет оставляет внешний адрес IP источника, меняет только MAC-адреса. машина получая внешний пакет, отсылает ответ в зависимости от своих настроек, те подставляет в пакеты адреса назначения IP-внешний, MAC-маршрутизатора из нужного маршрута или default gateway
как-то так :rolleyes:
а если машина имеет несколько внешних ип-адресов интернета, то там все настраивается через протокол анонсирования адресов (не помню точного англицкого названия)

djet
01-01-2008, 18:49
Хочется сделать абсолютный проброс всех портов, кроме открытых на самом роутере. Как это можно сделать? Сейчас задано такое правило:

-A VSERVER -p tcp -j DNAT --to-destination 192.168.1.4
-A VSERVER -p udp -j DNAT --to-destination 192.168.1.4
, но без проброса через VSERVER собственных портов роутера достучаться до них невозможно.

-=DGN=-
02-01-2008, 16:35
Создал дополнительный адрес для локалки, vlan1:0
но он не включается в DMZ, то есть при обращении на него я не могу попасть на внутренний сервак. вставил строчку prerouting в nat_rules
но и он тоже не сохраняется во флеше ;-((

Как быть? Может кто подскажет как заставить его конфиг перечитать? Или правило iptables?

-=DGN=-
07-01-2008, 02:30
Я настроил DMZ внутрь, и отдельно на вновь поднятом альясе WAN порта
вот такими строчками в /tmp/local/sbin/post-mount

ifconfig vlan1:0 10.11.69.121 netmask 255.255.255.224.0

поднял редирект портов

iptables -t nat -A PREROUTED -p top -d 10.11.69.121/255.255.255.255 --dport 80 -j DNAT --192.168.61.97:80

все работает какое-то время... есть подозрение, что до переконнекта VPNа (через который соединение в инет организуется).

Как мне эту беду побороть?

Marks
08-01-2008, 10:27
в post-firewall всё это надо

-=DGN=-
08-01-2008, 10:52
в post-firewall всё это надо

А где он лежит?
Или его тоже надо создать в /tmp/local/sbin?

bigest
08-01-2008, 12:13
Ответ утвердительный. :)

-=DGN=-
10-01-2008, 00:32
Настроил проброс портов внутрь локалки:
iptables -t nat -A PREROUTED -p top -d 212.30.190.101/255.255.255.255 --dport 80 -j DNAT --192.168.61.97:80

Когда из локалки обращаюсь к 212.30.190.101 - все ок, когда с инета - фигу.

Еще позавчера работало. С тех пор особо ничего не менял, разве что внес правило в post-firewall

Пытался сделать как-то еще - не видит из нета и все тут. Даже DMZ включал...

Подскажите где копать, весь день сегодня бился...

Ilmarinen
10-01-2008, 05:56
Настроил проброс портов внутрь локалки:
iptables -t nat -A PREROUTED -p top -d 212.30.190.101/255.255.255.255 --dport 80 -j DNAT --192.168.61.97:80

Когда из локалки обращаюсь к 212.30.190.101 - все ок, когда с инета - фигу.

Еще позавчера работало. С тех пор особо ничего не менял, разве что внес правило в post-firewall

Пытался сделать как-то еще - не видит из нета и все тут. Даже DMZ включал...

Подскажите где копать, весь день сегодня бился...
Указанное правило не является "разрешающим", оно только производит трансляцию адресов.
Очевидно в FORWARD нет разрешающего правила.
Во-первых, стоит посмотреть действительно ли правило срабатывает при обращении на 80 порт из-за пределов локальной сети по изменению счетчика у правила (iptables -t nat -n -v -L --line-numbers).
Во-вторых, посмотреть внимательно правила в FORWARD.
Если "проброс портов" делать средствами web-интерфейса, то в FORWARD добавляется правило
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT Которое и пропускает весь трафик подвергшийся преобразованию DNAT. Оно при загрузке добавляется предпоследним, перед
-A FORWARD -o br0 -j DROP
Я полагаю, что оно добавляется при включенной опции Enable Virtual Server? в web-интерфейсе.

-=DGN=-
10-01-2008, 07:19
Сенкс. разобрался. была опечатка в строчке.

кроме того, нашел еще один баг.
локальный сервер подключен к разным каналам, и дефолт гейтвей переключается в зависимости от того, какой канал более живой. так вот, в случае когда дефолт гейтвей не роутер, то несмотря на то, что к нему приходят пакеты от роутера, ответы он шлет на дефолт гейт. и почему-то (ну не все-ли равно каким путем идут пакеты??) ответы не доходят... ;-(

Еще вопрос - а NAT в обе стороны возможен? Чтоб народ из городской локалки ходил в мою локалку просто прописав себе маршрут до роутера? Оно конечно, можно и простой маршрутизацией обойтись, но так как у меня три локалки от разных провайдеров... Хочется сделать точку обмена трафиком и чужие адреса пускать в соседнюю локалку черевато...

kolyuchy
11-01-2008, 20:53
у меня роутер WL-520GC ... прошивка от Oleg'a соответственно для этого роутера ... проблема у меня заключается в низкой отдаче на торренте .. просьба не тыкать в прикрепленную тему, т.к. вопрос немного не в том ... вопрос в том, как открыть необходимые порты или настроить dmz на данном роутере.

Ещё такая проблема, что компьютеры объединенные через роутер не видят друг друга в сетевом окружении .. группа одна и та же .. тут проблема тоже с настройкой dmz?

Oleg
11-01-2008, 21:04
По первому вопросу - открываем мануал и настраиваем вирутальный сервер.

По второму - дело не в роутере, а в настройках Ваших компьютеров. Начиная от банального отсутствия "клиента для сетей майкрософт" и заканчивая фаерволами.

kolyuchy
11-01-2008, 21:23
мануал к роутеру? а ничего что прошивка другая, не повлияет?

DJey
11-01-2008, 22:18
Определитесь, что Вам все-таки предпочтительней. Если Demilitarized Zone, то это открывает все порты на указанном компьютере во внешнюю сеть один к одному, в этом случае желательно настраивать фаервол. Если использовать Virtual Server, то можно пробрасывать необходимые порты по мери надобности и в случае, когда несколько компов, то на одну и туже службу, к примеру RDP, для одного компа назначить один порт для другого другой, причем не обязательно совпадающие с общепринятыми, что повышает стойкость к всякого рода сканерам портов. Я бы рекомендовал именно Virtual Server. Как настроить – проще не бывает, посмотрите пример настройки здесь - http://wl500g.info/showthread.php?t=12392

Ilmarinen
12-01-2008, 07:14
Сенкс. разобрался. была опечатка в строчке.
кроме того, нашел еще один баг.
локальный сервер подключен к разным каналам, и дефолт гейтвей переключается в зависимости от того, какой канал более живой. так вот, в случае когда дефолт гейтвей не роутер, то несмотря на то, что к нему приходят пакеты от роутера, ответы он шлет на дефолт гейт. и почему-то (ну не все-ли равно каким путем идут пакеты??) ответы не доходят... ;-(
Нет не все равно каким путем идут пакеты. Вероятнее всего исходящие пакеты имеют srс ip отличный от dst ip входящих пакетов. Поэтому tcp соединение не может установиться.

Еще вопрос - а NAT в обе стороны возможен? Чисто технически добавить два правила NAT в обе стороны можно, как это будет работать сказать сложно.
Чтоб народ из городской локалки ходил в мою локалку просто прописав себе маршрут до роутера? Оно конечно, можно и простой маршрутизацией обойтись, но так как у меня три локалки от разных провайдеров... Хочется сделать точку обмена трафиком и чужие адреса пускать в соседнюю локалку черевато...
Не совсем понятно как Вы хотите сделать точку обмена трафиком, тем более с использованием NAT.

noa
04-03-2008, 20:03
У меня дома два компа ,которые нужно подключить к локальной сети.Должен быть полный доступ обоих компов в интернет, в локальную сеть а также возможность как и раньше играть в CS внутри данной сети.Также эти два компа должн видеть друг друга и обмениваться инфой друг с другом! Подскажите каким образом это лучше сделать.Если можно подробнее(как для полного чайника в сетевых подключениях)!!!

Davis2k3
04-03-2008, 23:17
тупо включи витую в компы и в роутер. в роутере настрой инет и все, на всех компах инет и играть и т.п можно.

noa
05-03-2008, 09:31
тупо включи витую в компы и в роутер. в роутере настрой инет и все, на всех компах инет и играть и т.п можно.

Т.е.если я правильно понял кроме встроенных сетевух нужно добавить в каждый комп по еще одной?:confused:

Davis2k3
05-03-2008, 10:12
зачем?
у тебя например есть 2-3 компа, с сетевухами, есть роутер.
Втыкаешь в ротуер и в сетевухи витую пару, и все, осталось только на компах поставить рабочую группу(если они были разными) и на роутере настроить интернет, вот и все. Там делов на 5-10 минут на самом деле.

noa
05-03-2008, 12:27
зачем?
у тебя например есть 2-3 компа, с сетевухами, есть роутер.
Втыкаешь в ротуер и в сетевухи витую пару, и все, осталось только на компах поставить рабочую группу(если они были разными) и на роутере настроить интернет, вот и все. Там делов на 5-10 минут на самом деле.

Делаю так: в роутер WAN вход (WL-520GC) втыкаю витую пару из роутера LAN1 ,2 витой парой подключаюсь к сетевухам .Настраиваю (самому не удалось ,помогли).Есть интернет,есть локалка,но нет сетевых игр внутри данной локалки.Выручает небольшая прога-сканер, которая находит существующие на данный момент игровые карты и позволяет подключиться к ним.Меня это не сильно устраивает.Хотелось бы чтобы было как раньше.

Davis2k3
05-03-2008, 15:55
Стоп, в WAN порт тебе надо воткнуть интернет, а в остальные по компу.

noa
05-03-2008, 17:17
Стоп, в WAN порт тебе надо воткнуть интернет, а в остальные по компу.

Все правильно в WAN я воткнул интернет(ввод в квартиру от лок сети)! Но вот почему Контр Страйк перестал находить в сети активированные карты? И как сделать чтоб опять можно было играть?

Maximus43
05-03-2008, 17:54
Все правильно в WAN я воткнул интернет(ввод в квартиру от лок сети)! Но вот почему Контр Страйк перестал находить в сети активированные карты? И как сделать чтоб опять можно было играть?

Да потому что раньше локальной сеткой была сеть провайдера, а сейчас сеть из трёх компьютеров. А сеть провайдера для CS уже не является локальной. Поэтому и не ищет.

noa
05-03-2008, 18:51
Да потому что раньше локальной сеткой была сеть провайдера, а сейчас сеть из трёх компьютеров. А сеть провайдера для CS уже не является локальной. Поэтому и не ищет.

А как это исправить?

Maximus43
05-03-2008, 21:39
А как это исправить?

Думаю, что можно попробовать перенести игровой компьютер в DMZ.

noa
07-03-2008, 08:04
Думаю, что можно попробовать перенести игровой компьютер в DMZ.

Если не трудно расскажите как это сделать,да и вообще что такоеDMZ?

geneger
07-03-2008, 19:24
Извиняюсь, что задаю тупой вопрос, но я на такой простой вопрос ответа не нашел.

Проблема:
1) подключаю кабель от Корбины в ПК - в уТорренте 1.7.7.7 порт открыт - Все ОК!
2) Подключаю Корбину в WAN Asusa WL500 Premium , а из LAN1 дырки подключаю ПК - авто IP кажет 192.168.1.240 - интернет пошел, в уТорренте порт закрыт.
В вебинтерфейсе wl500gP с последней прошивкой ставлю в DMZ адрес ПК 192.168.1.240 и apply - порт закрыт все равно.

Что делать? О коммандных строчках я пока не знаю. Обьясните, что мне в вебинтерфейсе надо изменить, чтобы открылся порт в уТорренте.

Примногоблагодарен.

Vofik
07-03-2008, 19:43
NAT Setting->Virtual Server;)

geneger
07-03-2008, 19:46
Ну я написал чтото в Virtual Server - типа 53223 both 192.168.1.240 utorrent и что? - порт закрыть все равно!

Может подскажите что нужно писать в этом виртуал сервере :confused:

ab13
01-05-2008, 08:48
Существует 2 компа подключенных к роутеру.
Через роутер выходит в Инет. Настроен DHCP
Имеется внешний IP адрес.
Установлен utorrent под Windows на одном компе
Но utorrent не видит сидеров без внешнего IP. Тоесть я могу качать от сидеров только с реальным IP. Если подсоединить напрямую шнур провайдера с компом - то всё работает нормально (видит всех).
Что-то в настройке роутера
Может нужно прописать маршруты какие-то?
IP: 195.66.X.Y
mask: 255.255.255.224
GW: 195.66.X.Z

Спасибо

YAG
01-05-2008, 09:07
Поиск по форуму. Вопрос много где расписан. Поможет страничка роутера с названием virtual server. Там надо забить айпи компа где торрент и порт, который в настройках торрента.

Novik
01-05-2008, 09:08
www интерфейс\NAT Setting\Virtual Server
пробросить порт для uTorrent с роутера, на машину, на котором упомянутый uTorrent работает.

ab13
01-05-2008, 09:36
порт закрыт все равно. Не помогает. Уже и firewall отключил

PupsDRVR
01-05-2008, 20:12
порт закрыт все равно. Не помогает. Уже и firewall отключил

Добавьте тогда свой IP в DMZ, должно помочь. Не забудьте перезагрузить роутер.
Или добавьте ручками в post-firewall:


iptables -I INPUT -p tcp --dport номер порта -j ACCEPT

adroman
01-06-2008, 14:42
Добрый вечер :)

Непонятная проблема нашла причины для существования и посему вопрос:

Являюсь обладателем устройств:

• ПК с WiFi и Ethernet адаптерами на базе Windows XP Pro 
• КПК iPAQ 2790 с WiFi адаптером на базе Windows Mobile 5
• Маршрутизатор Wi-Fi Asus WL-500W на базе прошивки от Олега 1.9.2.7

;)

Попытаюсь как можно детальнее описать проблему:

Хочу получить доступ к общим папкам на ПК посредством маршрутизатора (в режиме Home Gateway) с КПК.

Пробовал подключать ПК к маршрутизатору как по Wi-Fi интерфейсу, так и по Ethernet, ситуация абсолютно одинакова -

Встроенный в Windows Mobile файловый менеджер File Explorer выдает ошибку - The network path was not found
А продвинутый Resco File Explorer в подменю «Map Network Drive» все же видит сам хост, но при нажатии на плюсик, после которого должен отобразиться список папок довольно долго думает и выдает в итоге отказ доступа – Cannot connect shared path. The network request is not supported (продвинутый, т.к. в отличие от File Explorer выдает аж 2 предложения).

При настройке Ad-Hoc соединения, т.е. без участия роутера – все работает нормально

Соответственно, пришел к выводу, что суть проблемы кроется в настройках роутера:

Все настройки подключаемые к роутеру устройства получают по DHCP из стандартного пула адресов (192.168.0.2-192.168.0.254).

Пробовал отключать встроенный в роутер Firewall через web-интерфейс, разные прошивки, даже включал\выключал DMZ  Подозреваю, что нужно корректно настроить port trigger ))

Time Zone пока не менял, ибо чувствую что это не поможет :D

iilya
19-06-2008, 21:06
Или добавьте ручками в post-firewall:
привет.
подскажи плиз, где это: post-firewall...
не вижу :)

vectorm
19-06-2008, 21:53
привет.
подскажи плиз, где это: post-firewall...
не вижу :)
В теме "Настройка .... с нуля"

KEKC
11-07-2008, 08:40
На форуме провисел неделю, перелопатил кучу инфы, ну вот теперь в голове такая каша от изобилия информации, что не могу сообразить.
Хотел бы узнать, есть ли в роутере возможность подключить комп как будто без роутера, т.е. чтоб компы из локалки видели мой комп (не только IP, но и имя компа).
Уважаемые гуру, прошу помочь, с меня пиво (WMZ)
Вот что я имею:


Выход в инет осуществляется после подключения к локалке по РРТР
IP динамика
маска 255.255.248.0
Осн. шлюз 10.2.176.1
DHCP 213.132.64.107
DNS 213.132.64.107
213.132.64.108

P.S. Была идея подключить локалку витухой напрямую (до роутера), а инет раздавать по Wi-FI, но когда выдается локальный адрес, инет перестает работать.
Буду очень признателен всем помогающим

Tresh
11-07-2008, 09:56
Добавьте выбранный компьютер в DMZ
см настройки роутера

Хотя шарить файлы средствами Windows плохая практика

KEKC
11-07-2008, 10:43
Да мне не для расшаривания, а для игр по сетке, но все равно СПАСИБО, буду пробовать

vectorm
11-07-2008, 12:18
Да мне не для расшаривания, а для игр по сетке, но все равно СПАСИБО, буду пробовать
Это можно Port mapping-ом решить, либо просто в DMZ комп добавить как и предлагалось.

KEKC
13-08-2008, 10:24
Прописал в NAT Setting - Virtual DMZ один из внутренних компов, но все равно не пускает по всем протоколам, думал попробовать добавить в Port Trigger, но входящий знаю какой писать, а вот Trigger не понимаю. Virtual Server вобще темный лес для меня, помогите плиз разобраться. :confused:

non7top
13-08-2008, 11:16
pоrt trigger это другое, нужно делать в virtual sever, но вообще-то и dmz должно было работать

KEKC
13-08-2008, 14:55
А кто знает, почему Virtual DMZ с прописаным компом не полностью все пропускает?

ppsbkwmcrs
11-11-2008, 21:48
Нормально работает:Opera,ICQ, и другие сетевые приложения не требующие проброса."Обязательные приложения" работают с пробросом портов в "NAT Setting - Virtual Server" список этих приложений:Utorrent,eMule,Strong и другие где проброс портов обязателен (например Hamachi,Serv-U).
Сетевые игры:Counter Strike,FIFA09 работают,но играть со мной по ip адресу никто не может,нужно ОБЯЗАТЕЛЬНО создавать правило в NAT Setting - Virtual Server,без правила ничего не выходит(хотя для Оперы и ICQ никаких пробросов не надо и они при этом работают!). Проблема в том что место там(NAT Setting - Virtual Server) не бесконечное, там стоит ограничение в 24 правила.Тем боллее писать правила надо для трех пользователей,для одной программы надо минимум 1-2 правила,для игрушек 3 и более.Ограничение в 24 правила выглядит не логичным.Я я уже как понимаете достиг этого "лимита" в 24 правила.

Вопросы:
1)Писать правила в NAT Setting - Virtual Server необходимо для всех сетевых приложений без исключения,обязательных(eMule,Strong,Utorrent) и не обязательных?
2)Для чего нужен Port Trigger и может он мне помочь?
3)Как играть в сетевые игры,нужно ли для них открывать порты?

P.S
Прошивка официальная 1.9.7.7.IP адрес внешний статический.

Tresh
11-11-2008, 22:29
1) с официальной прошивкой на официальный форум надо =)
2) Есть DMZ (http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети)) точно в прошивке Олега. в стандартной уже не помню

ppsbkwmcrs
12-11-2008, 21:52
Как я понимаю,порты в NAT Setting - Virtual Server надо пробрасывать только для приложений Strong,eMule,Utorrent и др которые этого требуют(как такие распознать?). А для всего остального(Напрмиер:Opera,ICQ,Любые сетевые игры) ничего в роутере писать не надо? Я правильно понимаю?

P.S
Извените я плохо соображаю в роутерах,если что буду задавать простые вопросы,кто нибудь не игнорируйте если знаете ответ,подскажите!

Serhio_61
12-11-2008, 23:30
Я правильно понимаю?

Правильно,может быть за исключением Любые сетевые игры(вдруг Вам захочется выступить игровым сервером:))

А распознать?Все,что построено на клиент-серверной модели,причем серверный кусок у Вас.

ppsbkwmcrs
13-11-2008, 13:22
Ясно.Я почти в 99,9% случае выступаю в роли сервера(создаю игру либо поднимаю сервер игры).Спасибо.Если у меня возникнут еще проблемы или вопросы я сдесь оставлю сообщение,надеюсь на вашу помощь.

sa007
13-11-2008, 21:09
есть 500GP и три компа по езернету(адреса 192.168.1.2-4)
есть внешняя локалка с адресами 172.20.11.хх.
Моему роутеру выдается либо 172.20.11.21 либо 30 (DHCP типа)
Шлюз там 172.20.11.1
Так вот на ОДНОМ компе (4-ый например) не пингуется внешний адрес локалки, выданный моему роутеру, то есть 172.20.11.21(либо 30).
При этом весь интернет работает без видимых проблем, в том числе торрент с проброшенным портом (хотя там вопрос нужен ли он, без него тоже все работает), но вот DC-клиент соответственно не работает, то есть я не могу ничего скачать, с меня все отдается нормально.
При этом (прописан роутинг соттветственный в 172 сетку) 172.20.11.1
всегда исправно пингуется.
Вообщем, как смог, объяснил!
Может есть какие мысли?

Power
13-11-2008, 21:25
Скорее всего, что-то не так с таблицей маршрутизации на том компе. Скопируйте её сюда для подробного разглядывания.

sa007
16-11-2008, 17:42
Скорее всего, что-то не так с таблицей маршрутизации на том компе. Скопируйте её сюда для подробного разглядывания.

Маршруты вроде обычные

0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.4 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.4 192.168.1.4 20
192.168.1.4 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.4 192.168.1.4 20
224.0.0.0 240.0.0.0 192.168.1.4 192.168.1.4 20
255.255.255.255 255.255.255.255 192.168.1.4 192.168.1.4 1
Основной шлюз: 192.168.1.1

НО! Тут случайно обнаружил вот что.
Если включен компьютер с адресом 2, то пинг проходит, стоит выключить и пинг глохнет!
Что это может быть и Где копать?

Power
16-11-2008, 17:56
НО! Тут случайно обнаружил вот что.
Если включен компьютер с адресом 2, то пинг проходит, стоит выключить и пинг глохнет!
Что это может быть и Где копать?
Теоретически (сам не проверял) такое может быть если у вас адрес этого "компьютера с адресом 2" прописан на странице NAT Setting - Virtual DMZ.

sa007
17-11-2008, 09:45
Теоретически (сам не проверял) такое может быть если у вас адрес этого "компьютера с адресом 2" прописан на странице NAT Setting - Virtual DMZ.

Спасибо! Действительно было такое прописано, убрал, все заработало!

netwatcher
25-01-2009, 10:26
после любых изменений во флеше роутера, необходимо их сохранить
flashfs save && flashfs commit && flashfs enable

тогда после перезагрузки все изменения остануцца :)

2bars
25-01-2009, 19:37
/tmp/local/sbin/post-firewall
пиши туда свои строки iptables, затем
flashfs save && flashfs commit && flashfs enable

Rodion_Gork
20-02-2009, 08:08
Уважаемые товарищи!

Отчаялся решить проблему самостоятельно. Склонен думать что это не проблемы железа или еще чего-то, но конкретно ошибка в моем ДНК вкралась. Опытного хирурга под рукой нет, так что обращаюсь за советом.

Проблема: не могу настроить Virtual Server (как я понимаю, здесь так называется Port Mapping) на рутере.

Более детально:
1. Рутер раздает инет в маленькую локальную сеть (на работе). Внешний IP вполне фиксированный, при соответствующих настройках рутера я могу стучаться в него снаружи по портам 80 или, скажем, 8080, настраивать его из дома и т.п.

2. В локалке есть комп (сервер, куда сохраняются плоды трудов), куда я обычно залезаю через ssh со своего рабочего компа по внутреннему IP, допустим 12.0.0.5 и номеру порта типа 34567 (ну такое число прописал для sshd самого сервера когда пытался понять, как это работает). Проблем внутри локалки нету.

3. Хочу иметь доступ к этому же компу снаружи через тот же ssh - раньше, когда инет раздавал сам сервер, а не рутер, такой доступ и был, но тогда меня здесь не было, потом появился по каким-то техническим причинам рутер и сеть немножко преобразилась. А я появился. А доступа нету, а иногда неудобно без него.

4. Для этого, почитав странички настройки рутера (в его веб-интерфейсе, который доступен изнутри сети по адресу типа 12.0.0.1 когда наружный доступ закрыт встроенным firewall этого рутера) я решил настроить страничку Virtual Server. На вкладке NAT settings.

Enable Virtual Server Yes
Port Range 34567 (или 34567:34567 пробовал)
Local IP 12.0.0.5
Local Port 34567 (или пробовал не указывать)
Protocol TCP

И ничего не работает. Я много думал, пытался читать в инете и сложилось впечатление, что работать должно. Как пишут в форумах "И все!" Похоже туплю.

Если есть возможность, помогите советом. Если нужна доп инфа, сообщите, пожалуйста, какая именно.

С уважением,
Родион

vadimka
20-02-2009, 11:02
у меня такое было на 10 прошивке, правда у меня v1? короче там в настройке роутера пункт firewall-lan to wan filter был в disable, а wan to lan в enable, поставил disable и всё торент заработал, а так и DMZ не пахал.
ЗЫ Правда заметил глюк, порт через какое то время закрывается, на родной прошивке не замечал, а на 10 вчера заметил торент всю ночь качал(спать ложился, порт открыт зелёная галка) утром встал смотрю треугольник жёлтый, и надпись нет входящих соединений проверяю отрыт ли порт пишет закрыт. Отключил firewall на роутере вообще, посмотрю как себя будет вести

Power
20-02-2009, 16:12
Ещё нужно убедиться, что на странице Internet Firewall - WAN & LAN Filter в секции WAN to LAN Filter параметр Port Forwarding default policy имеет значение ACCEPT.

Rodion_Gork
20-02-2009, 17:11
Так... судя по вашим описаниям страниц у разных прошивок можно заподозрить, что прошивка от прошивки разительно отличается. Наверно правильнее будет если я завтра на работе внимательно посмотрю и вам скажу версию прошивки.

Упомянутых пунктов по-моему вообще у меня нет... ;-)))

Но не работает даже при отключенном Firewall, хотя соответственно доступен становится из инета через 80-й порт собственно сам рутер...

За рекомендации спасибо, продолжаем сильно думать! ;-)

P.S... И еще, друзья, что на этом сайте с кодировками? Мне от сообщения к сообщению приходится переключаться и сейчас вот я заметил что я пишу не в той тональности, в какой мне отвечают... Может мне что пофиксить чтоб на меня здешние уважаемые обитатели не оскорбились в конце концов?

Power
20-02-2009, 17:30
Хм, если у вас не прошивка от Олега, то помочь будет сложнее...

А по поводу кодировки на форуме - есть тема среди прикреплённых. Вкратце: выберите "-- Russian (RU)" в списке внизу страницы.

vadimka
20-02-2009, 20:17
Ещё нужно убедиться, что на странице Internet Firewall - WAN & LAN Filter в секции WAN to LAN Filter параметр Port Forwarding default policy имеет значение ACCEPT.
Снёс 10 прошивку поставил родную 1.9.7.7 так как постоянно закрывающийся порт через 1-3 часа достал падает рейтинг на трекере

Rodion_Gork
21-02-2009, 07:44
ProductId: WL500gpv2
Firmware version: 2.0.1.2

Есть ли какой список известных нюансов, багов, фичей для такой прошивки? Ибо перепрошивку я рассматриваю как крайний все-таки вариант... ;-)))

За подсказку насчет выпрямления кодировок на форуме - отдельная благодарность.

Booba
16-05-2009, 14:23
Помогите разобраться с пробросом портов на ASUS WL-500W с 2.0.0.6 прошивкой.
Для игры нужно создать 4 правила в политиках траффика:

№ | Название | Источник | Получатель | Сервис | Действие | Перевод
1. DirectPlay_in | IP's | Ext_IP | TCP47624, UDP47624 | Permit | MAP:Local_IP:47624
2. DirectPlay_out | Local_IP | IP's | TCP47624, UDP47624 | Permit | NAT
3. Sudden_in | IP's | Ext_IP | TCP1024-5000, UDP1024-5000 | Permit | MAP:Local_IP
4. Sudden_out | Local_IP | IP's | TCP1024-5000, UDP1024-5000 | Permit | NAT

где

IP's - это IP-адреса внешних игроков в и-нете, с которыми вы хотите сыграть. Можно поставить, конечно, "any", чтоб не вбивать их каждый раз, но не говорите потом, что я вас не предупреждал :ahtung: Это значительное ослабление безопасности сети.
Ext_IP - IP-адрес "внешней" сетевой карты на машине с Винрутом, т.е. которая "смотрит" в и-нет.
Local_IP - это IP-адрес машины в локальной сети, на которой запущен Садден.

Обращаю внимание, что в первом и третьем правиле идет маппинг пакетов на локльную машину в сети, НАТ в этом случае в правиле включать не надо! В первом правиле маппинг идет на определнный порт, который ОБЯЗАТЕЛЬНО надо указать. В третьем - просто маппинг на локальную машину, без указания портов.

Сейчас вот так и не работает.
http://i015.radikal.ru/0905/2f/54cefcdbc389t.jpg (http://radikal.ru/F/i015.radikal.ru/0905/2f/54cefcdbc389.jpg.html)

Не помогает. Подскажите что не так. Спасибо!

Omega
17-05-2009, 05:15
1. DirectPlay_in | IP's | Ext_IP | TCP47624, UDP47624 | Permit | MAP:Local_IP:47624
2. DirectPlay_out | Local_IP | IP's | TCP47624, UDP47624 | Permit | NAT
3. Sudden_in | IP's | Ext_IP | TCP1024-5000, UDP1024-5000 | Permit | MAP:Local_IP
4. Sudden_out | Local_IP | IP's | TCP1024-5000, UDP1024-5000 | Permit | NAT

Enable Virtual Server ? Yes :)
Apply - Finish - Save :D

Port Forwarding for the Asus WL-500W (http://portforward.com/english/routers/port_forwarding/Asus/WL-500W/default.htm)

ASUS Router Virtual Server Configuration Guide (http://asus.ru/ftp/spk/networks/ASUS%20Router%20Virtual%20Server%20Configuration%2 0Guide_v1_0.pdf)

З.Ы. Можно также использовать UPnP или DMZ ... ;)

baho76
21-05-2009, 10:45
/tmp/local/sbin/post-firewall
пиши туда свои строки iptables, затем
flashfs save && flashfs commit && flashfs enable

У меня с этим файлом конфига вообще странная история. Был роутер работал. Был настроен проброс порта через WEB. Потом не удаляя эту настройку сделали сброс настроек. Теперь руками тру эту строчку из nat_rules, делаю flashfs.... ребут. Строчка на месте...

al37919
21-05-2009, 11:41
nat_rules генерится при каждом рестарте заново на основании данных, сохраненных в nvram. Так что неудивительно...

-=DGN=-
28-05-2009, 03:14
Есть WL-520GU, к его USB порту подключен принтер... Как мне печатать на принтер из Интернета? IP адрес статический, белый. Внутри NAT.

Можно как-то открыть этот порт снаружи? Кстати какой это порт?

Или можно ему сделать DMZ самого на себя??

al37919
28-05-2009, 03:24
http://wl500g.info/showthread.php?t=12833
при условии прошивки Олега и режима RAW 9100

-=DGN=-
28-05-2009, 04:46
Режим LPR вроде как... И при чем тут SSH? Разве пробросить 515 порт недостаточно??
Или лучше не пробрасывать, а разрешить соответствующему демону слушать 515 порт на внешнем IPшнике...??

al37919
28-05-2009, 05:35
ну ежели вы хотите чтобы любой мог на вашем принтере печатать, то можно просто открыть 515 порт наружу

-=DGN=-
28-05-2009, 07:19
ну ежели вы хотите чтобы любой мог на вашем принтере печатать, то можно просто открыть 515 порт наружу

Ну любой должен еще знать какой драйвер принтера установить...

На 500GP нашел пунктик - Respond LPR Request from WAN? это как я понял оно и есть? В 520ом есть такой пункт? А то он в офисе у меня стоит...

D_dmitry
21-06-2009, 23:34
последнее праило подправте
там лоджен быть ответ на порт 1024:6000

З.Ы. только мне кажется что у Вас официальная пошивка (сокрее всего)
по последнему скрину

Booba
27-06-2009, 11:19
Из мануала любезно предоставленного Omega
Tip: At present, the WL-5xx series routers cannot support port range mapping. For example: if you want to map 6881-6889 to LAN 6881-6889, need to add 9 items for port mapping.
Я так понимаю, что данный девайс или прошивка от Олега не поддерживает диапазон портов? А знает ли кто как можно это исправить или хотя бы снять ограничение на 24 записи в virtual servers?

По поводу прошивки - вот скрин
http://s52.radikal.ru/i137/0906/7e/8f1e7b3a4918t.jpg (http://radikal.ru/F/s52.radikal.ru/i137/0906/7e/8f1e7b3a4918.jpg.html)

guzovets
16-10-2009, 19:15
Никак сам не могу понять ситуацию, помогите разобраться.
Объясняю.
Есть роутер Asus WL500g Premium.
Есть ноут, соединяется с роутером по вай-фай.
Есть хамачи, если человек из хамачи создаёт сервер игры по порту 47624 (этот порт в натсеттинг проброшен на мой ноут), то все нормально.
А вот если создают сервер просто с выделенного ай-пи адреса, то я сервер не вижу, роутер лочит соединение.
Как и что прописать?

vectorm
16-10-2009, 19:26
Никак сам не могу понять ситуацию, помогите разобраться.
Объясняю.
Есть роутер Asus WL500g Premium.
Есть ноут, соединяется с роутером по вай-фай.
Есть хамачи, если человек из хамачи создаёт сервер игры по порту 47624 (этот порт в натсеттинг проброшен на мой ноут), то все нормально.
А вот если создают сервер просто с выделенного ай-пи адреса, то я сервер не вижу, роутер лочит соединение.
Как и что прописать?
Вы подключаетесь к Хамачи на ноуте? Так при чем здесь роутер вообще? Для роутера подключение такого типа - это туннель, роутер трафик внутри туннеля не контролирует. Разбирайтесь с ноутом.

Lanc
18-10-2009, 19:16
Доброго времени суток.

Можно ли передавать файлы через сетевой ip адрес с помощью программы HTTP File Server (HFS) и где его можно посмотреть?

Провайдер Corbina Telecom.

Программа видет только ip ноута, который ему присвоил роутер 192.168.1.3, если нажать поиск других ip адресов, программа находит интернетовский ip, чтобы пользователи в вне сети могли скачать файл(ы) нужно в "Настройка NAT - DMZ" прописать ip ноута (192.168.1.3) и тогда все замечательно, но хотелось бы пользоваться большей скоростью для передачи фалов друзьям в своей сети, а соответсвенно нужно вывести в свет ip 10.60.xx.xx, но где его посмотреть и как сделать доступным внешним пользователям не понятно, есть у кого идеи?

Semenoff_Y
18-10-2009, 20:52
Если я что-то правильно понял....

Стоит задача отдавать что-то со своего компа по HTTP? FTP точно не подойдет?

Ноуту роутер адрес дал или руками прописан? От провайдера адрес статический или динамический?

Lanc
19-10-2009, 09:51
Задача:
отправить файл(ы) через HTTP (для этого используется HFS (http://www.rejetto.com/hfs/)) по сети (10.60.хх.хх).

FTP тоже нужно, но если получится выделить сетевой IP для внешних пользователей, то само собой заработает.

Роутер сам дал адрес, вначале был 192.168.1.2, сейчас почему-то стал 192.168.1.3 хотя порт подключения не менял (LAN 1).

Чтобы интернетовский (от провайдера статический) IP был доступен внешним пользователям (методом тыка) понял, что нужно в настройках NAT-DMZ прописать IP ноута, который присвоил роутер (т.е. 192.168.1.3).

net_net
22-10-2009, 20:58
на роутере делаешь DMZ до ноута и запускаешь в консоле
tcpdump -i vlan1 -n |grep <ip-notebook> он покажет порты и протоколы, может надо пробросить еще что нибудь

Kystyle
06-11-2009, 22:44
1.Прошивка роутера «От Олега» WL500gpv2-1.9.2.7-d-r655, проблема я так полагаю с настройкой NAT, ибо при скачке с торента, чего-либо, все ок, но раздача ведется только при скачке, программа Azureus сообщает о проблеме с межсетевым экраном или доступом NAT (TCP). Так же в программе есть тест проверки порта, тест не проходит, порты проверял разные от 6881-61652.
2. проблема со скоростью, по сети через роутер, она не бывает выше 4МБ, хотя по инету(согласно моему тарифу 3/9МБ) все как надо.
3. Я не могу быть хостом в играх, хотя firewall на роутере отключен и Брандмауэр Windows то же и доступ к моим шарам по сети недоступен, хотя я сам себя пингую (10.55.11.61), samba включен. В моей внутренней сети проблем нет (с кома на ком захожу).

В настройках NAT:

Enable Port Trigger? ===> yes

Trigger Port List ===> привязку портов не делал (пустой).

Enable Virtual Server? ===> yes

Virtual Server List ===> (192.168.0.22 мой сетевой ip)
Well-Known Applications:
Port Range Local IP Local Port Protocol Protocol No. Description

445 192.168.0.22 445 both

NAT Setting - Virtual DMZ ===> не настраивал.

Кто-нибудь если знает в чем трабл спасите.

avs30
17-11-2009, 15:24
на роутере делаешь DMZ до ноута и запускаешь в консоле
tcpdump -i vlan1 -n |grep <ip-notebook> он покажет порты и протоколы, может надо пробросить еще что нибудь
Пытаюсь так проверить какие порты надо пробросить, в консоле выдает:
tcpdump: SIOCGIFHWADDR: No such device
В чем проблема?

Tunguskin
15-02-2010, 10:50
Здравствуйте

Роутер блокирует видео в скайпе и маил-агенте.
При настройке веб-камеры в скайпе изображение имеется, при соединении с абонентом начинает крутить и выдает неизвестную ошибку.
Тоже самое и с агентом. Без соединения камера работает нормально.

Может роутер блокирует какие-то порты ???

Omega
21-02-2010, 18:00
А без роутера всё это нормально работает ? :)
Попробуйте тогда включить UPnP или DMZ ... ;)

slopropul
29-06-2011, 17:10
Люди, объясните по поводу функции DMZ. Ранее на роутерах с Олеговской прошивкой включение DMZ означало проброс всех портов на указанный IP-адрес. Описание функции было "Virtual DMZ allows you to expose one computer to Internet, so that all the inbounds packets will be redirected to the computer you set. It is useful while you run some applications that use uncertained incoming ports."

Недавно настраивал RT-N16 с прошивкой от энтузиастов. Включение DMZ привело к тому, что PPTP перестал работать, отписывая в логи "pptp: LCP: timeout sending Config-Requests"

Отписал в Issues ( http://code.google.com/p/wl500g/issues/detail?id=239&can=1&q=DMZ&colspec=ID%20Type%20Status%20Priority%20Owner%20Su mmary%20Opened ). Мне ответили что мне надо изучить как работает DMZ. Теоретически я понимаю, что DMZ - это далеко не проброс всех портов на конкретный IP. Но так реализована функция DMZ на всех SOHO роутерах, которые я встречал. Так в чем отличие реализации данной функции в "прошивке от энтузиастов"? Где глянуть?

dimmer
15-11-2012, 04:36
Коллеги, всем привет

Подскажите, пожалуйста, следующее - как именно работает virtual DMZ?
Насколько я понимаю, должно быть так:
- рабочая станция с указанным ip (далее - р/с) изолируется от ЛАН, т.е. исходящий/входящий трафик между р/с и ЛАН блокируется
- р/с имеет полный доступ в интернет
- все пакеты, которые приходят на роутер, пробрасываются на р/с
- ИСКЛЮЧЕНИЕ из правила выше - порты, прописанные в virtual server, пробрасываются НЕ на р/с, а на прописанные в настройках ip адреса других машин в сети

Насколько всё обстоит именно так?
Экспериментировать страшно, т.к. боюсь светить столько всего сразу в интернет, если что-то всё же не так.

Спасибо за мысли и ответы.

Omega
17-11-2012, 00:08
Коллеги, всем привет

Подскажите, пожалуйста, следующее - как именно работает virtual DMZ?

Спасибо за мысли и ответы.

http://wiki.openwrt.org/_media/oldwiki/openwrtdocs/asus-internals-dmz.png

http://wiki.openwrt.org/doc/networking/network.interfaces?s[]=dmz ;)


vlan0ports="2 3 4 5*"
vlan2hwname=et0
vlan2ports="1 5*"
dmz_ifname=vlan2
http://wiki.openwrt.org/doc/howto/dmz :rolleyes:

dimmer
19-11-2012, 02:43
http://wiki.openwrt.org/doc/networking/network.interfaces?s[]=dmz ;)


vlan0ports="2 3 4 5*"
vlan2hwname=et0
vlan2ports="1 5*"
dmz_ifname=vlan2
http://wiki.openwrt.org/doc/howto/dmz :rolleyes:

Omega,
спасибо! но как я понимаю, это относится только к openwrt, т.к. судя по приведённому там DMZ настраивается на физический ethernet-порт, а в прошивке энтузиастов - только на IP адрес. Т.е. также быть не может.

dimmer
20-11-2012, 11:25
как именно работает virtual DMZ?


Начал смотреть в исходниках, настройка DMZ в веб-морде меняет переменную dmz_ip, а она в свою очередь используется в нескольких файлах, которые можно увидеть так (https://code.google.com/p/wl500g/source/search?q=dmz_ip&origq=dmz_ip&btnG=Search+Trunk).
Кто-нибудь может пояснить, что именно все-таки делает эта настройка?

dimmer
22-11-2012, 09:30
Отвечу на свой вопрос сам, ниже переписка с техподдержкой ASUS:


Здравствуйте
Спасибо за обращение в службу технической поддержки ASUS.

1. Нет , не изолируется.
1.1. не блокитруется
1.2. не блокируется
2. на доступ в интернет функция DMZ не влияет, влияет на доступ к р/с из интернета
3. Да, кроме соединений на те порты которые зарезервированы под функции самого RT-N16, например если включить доступ в веб меню из интернета и тех соединений которые указываются в настройках virtual server в ручную или управляются через UPnP.
4. Да.



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~
С уважением,
ASUS, Служба технической поддержки
При ответе, пожалуйста, сохраняйте историю переписки в теле письма!


---------- Original Message ----------
From :
Sent : 22.11.2012 2:25:13
To : "tsd@asus.com.tw"
Subject : <TSD> Wireless RT-N16

Apply date : 11/22/2012 2:25:49 AM(UTC Time)

[Контактная информация]
*Имя :
*Адрес электронной почты :
телефон :
город :
*Страна : Russia[Россия]

[Информация о продукте]
*Тип продукта : Wireless
*Модель продукта : RT-N16
*Серийный номер продукта :
Место приобретения :
*Дата приобретения : 2010/9/25

*Операционная система : Vista 32bit

[Описание проблемы]
Здравствуйте
Поясните, пожалуйста, как именно работает Virtual DMZ. А точнее, что из
нижеуказанного верно, при внесении IP адреса рабочей станции в Virtual DMZ:
1. рабочая станция с указанным ip (далее - р/с) изолируется от ЛАН,т.е.
1.1. исходящий трафик от р/с в ЛАН блокируется
1.2. входящий трафик (по локальному адресу) из ЛАН к р/с блокруется
2. р/с имеет полный доступ в интернет через NAT
3. все пакеты, которые приходят на роутер, пробрасываются на р/с
4. ИСКЛЮЧЕНИЕ из правила выше - порты, прописанные в virtual server,
пробрасываются НЕ на р/с, а на прописанные в настройках ip адреса других
машин в сети

Что, в общем, печально, т.к. никакая это не DMZ, а просто проброс всех портов. :(

dimmer
23-11-2012, 02:57
Отвечу на свой вопрос сам, ниже переписка с техподдержкой ASUS:
Что, в общем, печально, т.к. никакая это не DMZ, а просто проброс всех портов. :(

коллеги, а может кто-нибудь помочь составить правила для Iptables, чтобы DMZ было DMZ, а не просто пробросом?