Bekijk de volledige versie : Полубелый IP и IPoA
Два вопроса, между собой практически не связанные, но не смог найти подходящей темы, поэтому создал эту.
1. В Питере есть такой провайдер - "Ниеншанц-Хоум" (http://nnz-home.ru/). У него белый IP назначается через "BiNAT", т.е. на интерфейсе - серый статический IP + преобразование "где-то у провайдера" белыйIP <-> серыйIP (никаких vpn).
Сейчас пользуюсь провайдером с честным белым IP (Skynet). И подумываю о переходе. Нужен доступ из wan (ftp, http, torrent), из "локалки" провайдера доступ не нужен (т.е. "клиенты" в ней не находятся).
Вопрос: какие потенциальные проблемы могут возникнуть если я перейду на новую схему (бело-серый IP)?
2. Подключен к WebPlus. Протокол (тип подключения) - IPoA (без логина/пароля). Хочу подключить модем к роутеру (DIR-320, 1.9.2.7-d-r740). В режиме bridge.
Вопрос: возможно ли это? Если да, то скажите хотя бы ключевые слова для поиска, а то мне совсем не понятно как его настраивать.
Заранее СПАСИБО!
burning shadow
19-06-2010, 06:22
Ситуация следующая: провайдер выдает мне внутренний IP вида 10.0.х.х и шлюз в этой же подсети. Одновременно с этим мне выдается внешний IP, без использования NAT на стороне провайдера. То есть он сам по себе, никак не привязан к внутреннему. Я прописал его вторым адресом на интерфейс eth1 и в общем все работает, внешний IP пингуется. Но есть проблема - все исходящие соединения идут с внутреннего адреса через NAT провайдера и в итоге на удаленной стороне видно не мой внешний IP, а IP шлюза провайдера. В связи с чем возникает вопрос, можно ли как-то заставить роутер использовать внешний IP адрес для исходящих соединений? Я пробовал на eth1 прописывать основным внешний адрес, а внутренний дополнительным, но ничего не изменилось. Настройки сейчас такие:
[admin@WL500W root]$ ifconfig
br0 Link encap:Ethernet HWaddr 00:22:15:7C:2F:CD
inet addr:192.168.0.200 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:987569 errors:0 dropped:0 overruns:0 frame:0
TX packets:658602 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:842350494 (803.3 MiB) TX bytes:285834315 (272.5 MiB)
eth0 Link encap:Ethernet HWaddr 00:22:15:7C:2F:CD
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:916137 errors:2 dropped:0 overruns:0 frame:0
TX packets:594500 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:872240897 (831.8 MiB) TX bytes:145288247 (138.5 MiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 00:22:15:7C:2F:CD
inet addr:10.44.15.181 Bcast:10.44.15.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:845954 errors:0 dropped:0 overruns:0 frame:0
TX packets:986556 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:304974411 (290.8 MiB) TX bytes:855428448 (815.7 MiB)
Interrupt:5 Base address:0x2000
eth1:0 Link encap:Ethernet HWaddr 00:22:15:7C:2F:CD
inet addr:188.65.65.225 Bcast:188.65.255.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:5 Base address:0x2000
eth2 Link encap:Ethernet HWaddr 00:22:15:7C:2F:CD
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:135549 errors:1 dropped:0 overruns:0 frame:53936
TX packets:129351 errors:18 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:10931733 (10.4 MiB) TX bytes:165047462 (157.4 MiB)
Interrupt:12 Base address:0x4000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:12 errors:0 dropped:0 overruns:0 frame:0
TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1066 (1.0 KiB) TX bytes:1066 (1.0 KiB)
[admin@WL500W root]$ iptables-save
# Generated by iptables-save v1.3.8 on Sat Jun 19 09:16:24 2010
*nat
:PREROUTING ACCEPT [31130:3078821]
:POSTROUTING ACCEPT [37079:4236879]
:OUTPUT ACCEPT [750:48032]
:VSERVER - [0:0]
-A PREROUTING -d 10.44.15.181 -j VSERVER
-A PREROUTING -d 188.65.65.225 -j VSERVER
-A POSTROUTING -s ! 10.44.15.181 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -o br0 -j SNAT --to-source 192.168.0.200
COMMIT
# Completed on Sat Jun 19 09:16:24 2010
# Generated by iptables-save v1.3.8 on Sat Jun 19 09:16:24 2010
*mangle
:PREROUTING ACCEPT [1654956:1125094708]
:INPUT ACCEPT [2792:288522]
:FORWARD ACCEPT [1651729:1124743419]
:OUTPUT ACCEPT [2027:235690]
:POSTROUTING ACCEPT [1653754:1124978926]
COMMIT
# Completed on Sat Jun 19 09:16:24 2010
# Generated by iptables-save v1.3.8 on Sat Jun 19 09:16:24 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [34344:3223155]
:OUTPUT ACCEPT [2032:236097]
:BRUTE - [0:0]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o eth1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Sat Jun 19 09:16:24 2010
Mashiro-sama
19-06-2010, 08:57
Хм, а таблицу маршрутов приведи.
burning shadow
19-06-2010, 09:06
[admin@WL500W root]$ route -e
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
10.44.15.5 * 255.255.255.255 UH 0 0 0 eth1
10.44.15.0 * 255.255.255.0 U 0 0 0 eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 br0
188.65.65.0 * 255.255.255.0 U 0 0 0 eth1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 10.44.15.5 0.0.0.0 UG 0 0 0 eth1
theMIROn
19-06-2010, 10:34
очевидно что шлюз 10.44.15.5, как доступный по маршруту и осуществляет трансляцию.
а для белого ip нет своего шлюза?
1. Что провайдер указывает в инструкции по подключению?
2. Без роутера соединение работает нормально? Тогда нужны данные по интерфейсам компьютера.
3. Трассировка куда-нибудь и что в ней не устраивает.
burning shadow
19-06-2010, 12:04
очевидно что шлюз 10.44.15.5, как доступный по маршруту и осуществляет трансляцию.
а для белого ip нет своего шлюза?
А почему он тогда ее не осуществляет, когда роутер отвечает на входящие соединения на внешний IP? Я что-то никак не могу разобраться, как это работает. Для белого IP шлюза нет, был бы - не было б проблем..
burning shadow
19-06-2010, 12:11
1. Что провайдер указывает в инструкции по подключению?
2. Без роутера соединение работает нормально? Тогда нужны данные по интерфейсам компьютера.
3. Трассировка куда-нибудь и что в ней не устраивает.
1. Инструкций нет, т.к. у меня частный случай. Стандартно провайдер делает NAT внешнего IP на внутренний, но это очень криво реализовано, и после общения с поддержкой мне сделали так, как сейчас.
2. У меня и с роутером работает. Без роутера не проверял, но без роутера мне и не интересно. Интересно, можно ли заставить в таких условиях роутер юзать внешний IP, или это технически невозможно.
3. С компьютера за роутером:
C:\>tracert google.com
Tracing route to google.com [74.125.79.99]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms WL500W [192.168.0.200]
2 1 ms 1 ms 2 ms 10.44.15.5
3 2 ms 2 ms 2 ms 10.55.12.22
4 7 ms 7 ms 5 ms vlan1782.ex4200.b57.nnz-home.ru [92.62.50.118]
5 7 ms 6 ms 7 ms 10.81.9.137
6 4 ms 4 ms 5 ms vlan184.7604.bm18.nnz-home.ru [92.62.50.225]
7 4 ms 3 ms 5 ms 10.59.30.220
8 8 ms 6 ms 6 ms vlan179.7604.bm18.nnz-home.ru [92.62.50.174]
9 7 ms 5 ms 5 ms gw1.spb-ix.google.com [194.85.177.138]
10 18 ms 20 ms 19 ms 216.239.43.240
11 33 ms 33 ms * 209.85.250.189
12 35 ms 36 ms 35 ms 66.249.95.132
13 36 ms 39 ms 38 ms 72.14.239.199
14 36 ms 51 ms 38 ms 209.85.255.118
15 38 ms 37 ms 35 ms ey-in-f99.1e100.net [74.125.79.99]
Trace complete.
С роутера:
[admin@WL500W root]$ traceroute google.com
traceroute to google.com (74.125.77.99), 30 hops max, 38 byte packets
1 10.44.15.5 (10.44.15.5) 1.451 ms 10.44.15.5 (10.44.15.5) 1.243 ms 10.44.15.5 (10.44.15.5) 1.786 ms
2 10.55.12.22 (10.55.12.22) 1.470 ms 1.427 ms 1.428 ms
3 vlan1782.ex4200.b57.nnz-home.ru (92.62.50.118) 6.740 ms 6.620 ms 5.909 ms
4 10.81.9.137 (10.81.9.137) 7.041 ms 5.917 ms 6.131 ms
5 * vlan184.7604.bm18.nnz-home.ru (92.62.50.225) 6.225 ms 6.093 ms
6 49.50.62.92.nienschanz.ru (92.62.50.49) 6.097 ms 4.483 ms 4.922 ms
7 gw1.spb-ix.google.com (194.85.177.138) 5.307 ms 5.972 ms 6.917 ms
8 216.239.43.240 (216.239.43.240) 19.638 ms 20.903 ms 20.418 ms
9 209.85.250.189 (209.85.250.189) 32.173 ms 33.877 ms 31.009 ms
10 66.249.95.132 (66.249.95.132) 36.601 ms 36.797 ms 91.776 ms
11 72.14.239.199 (72.14.239.199) 40.696 ms 72.14.239.197 (72.14.239.197) 37.638 ms 72.14.239.199 (72.14.239.199) 37.481 ms
12 209.85.255.110 (209.85.255.110) 41.100 ms 46.456 ms 209.85.255.98 (209.85.255.98) 36.808 ms
13 ew-in-f99.1e100.net (74.125.77.99) 37.446 ms 38.125 ms 36.098 ms
burning shadow
19-06-2010, 12:42
После очередных плясок с бубмном я таки настроил как надо. Прописал внешний IP основным на интерфейсе eth1, а внутренний дополнительным с маской 255.255.255.255. Теперь все работает. До этого прописывал маску 255.255.255.0 по привычке.
1. Инструкций нет, т.к. у меня частный случай. Стандартно провайдер делает NAT внешнего IP на внутренний, но это очень криво реализовано, и после общения с поддержкой мне сделали так, как сейчас.
Я тут (http://wl500g.info/showpost.php?p=201544&postcount=1) задавал вопрос. Насколько я понимаю: у Вас аналогичный способ предоставления внешнего ip.
Не могли бы Вы назвать провайдера и проблемы из-за которых пришлось реализовывать "частных случай".
burning shadow
21-06-2010, 11:07
Я тут (http://wl500g.info/showpost.php?p=201544&postcount=1) задавал вопрос. Насколько я понимаю: у Вас аналогичный способ предоставления внешнего ip.
Не могли бы Вы назвать провайдера и проблемы из-за которых пришлось реализовывать "частных случай".
У меня как раз NNZ. И именно от их бината я и отказался в пользу прямого внешнего IP. В данный момент практически все работает, за исключением некоторых локальных ресурсов. Например не идут пакеты через пиринг с Антхилом, нет доступа на support.nnz-home.ru. Все эти проблемы из-за того, что даже на локальные ресурсы я хожу с внешнего IP, и не всем роутерам это нравится. В большинстве же случаев локальные ресурсы доступны.
burning shadow
21-06-2010, 11:08
2. Подключен к WebPlus. Протокол (тип подключения) - IPoA (без логина/пароля). Хочу подключить модем к роутеру (DIR-320, 1.9.2.7-d-r740). В режиме bridge.
Вопрос: возможно ли это? Если да, то скажите хотя бы ключевые слова для поиска, а то мне совсем не понятно как его настраивать.
Заранее СПАСИБО!
Можно. Модем переводится в режим Bridge, шнурок из LAN модема втыкается в WAN роутера, на роутере настраивается IP вебпласа.
Все эти проблемы из-за того, что даже на локальные ресурсы я хожу с внешнего IP, и не всем роутерам это нравится. В большинстве же случаев локальные ресурсы доступны.
Это решается - например, через SNAT.
Например, как-то так:
iptables -I POSTROUTING -s 192.168.0.0/255.255.255.0 -d нужная_сеть/маска -j SNAT --to-source 188.65.65.225
Объединил Ваши темы, поскольку проблему одну решаете.
У меня как раз NNZ. И именно от их бината я и отказался в пользу прямого внешнего IP.
боюсь показаться назойливым, но повторю свой вопрос: в чем выражалась кривизна biNAT-а (почему пришлось от него отказаться) ?
Как я уже писал - сейчас рассматриваю вопрос о переходе на NNZ. И перспектива общения с техподдержкой + танцы с бубном + неработающий support.nnz-home.ru => все говорит о том, что лучше не связываться....
в чем выражалась кривизна biNAT-а
в конечно счете я расстался с nnz.
"Всплывшая" проблема - ftp-сервер на нестандартном порту. Я думаю, что он у меня не заработал именно из-за biNAT, т.к. я прекрасно помню, как сам мучался с настройкой firewall. К сожалению в тех. поддержке nnz меня откровенно послали, поэтому я не смог подтвердить/опровергнуть свое предположение.
в конечно счете я расстался с nnz.
"Всплывшая" проблема - ftp-сервер на нестандартном порту. Я думаю, что он у меня не заработал именно из-за biNAT, т.к. я прекрасно помню, как сам мучался с настройкой firewall. К сожалению в тех. поддержке nnz меня откровенно послали, поэтому я не смог подтвердить/опровергнуть свое предположение.
Что значит на нестандартном порту.
Вариант когда FTP сервер находится за натом роутера предусмотрен некоторыми фтп демонами, просто напросто вместо внутренего адреса фтп сервера может отдаваться реальный WAN адрес. Но искаропки от скорее всего отдает локальный => шляпа с адресами в запросах клиента\сервера.
Можно. Модем переводится в режим Bridge, шнурок из LAN модема втыкается в WAN роутера, на роутере настраивается IP вебпласа.
"не вышел каменный цветок" (
а что писать на lan-интерфейсе модема?
Что значит на нестандартном порту.
Вариант когда FTP сервер находится за натом роутера предусмотрен некоторыми фтп демонами, просто напросто вместо внутренего адреса фтп сервера может отдаваться реальный WAN адрес. Но искаропки от скорее всего отдает локальный => шляпа с адресами в запросах клиента\сервера.
Я имел ввиду подобную (http://wl500g.info/showpost.php?p=183052&postcount=8) настройку firewall.
Но, может быть Вы и правы... как я уже сказал - проверить свою догадку не удалось.
theMIROn
25-08-2010, 20:44
Что значит на нестандартном порту.
Вариант когда FTP сервер находится за натом роутера предусмотрен некоторыми фтп демонами, просто напросто вместо внутренего адреса фтп сервера может отдаваться реальный WAN адрес. Но искаропки от скорее всего отдает локальный => шляпа с адресами в запросах клиента\сервера.
штатный ftp можно повесить на любой порт с соответствующим контрэком.
через web морду