Сообщений в теме: 5792

[napaHouk99]

Streamer (14 августа 2013 - 14:02) писал:

1. нужна схема, картинка соединения через vpn, тогда будет понятно где и какой нужен роутинг
2. уточняем
3. заходите на роутер удаленно и перезагружаете, как это сделать написано в мануале.

1. Постараюсь вечером подробно нарисовать и выложить.
2. ок
3. Мануал я читал. И он лежит давно скачаный и дома и на работе. Если вы про пункт Initial Scan (To speed up the modem’s first time startup, enter known downstream frequency and/or upstream channel ID information here. Then click “Apply and Reboot” button to start scanning the cable network beginning with the values supplied here.), то это не самый тривиальный способ. Обязательно надо что-то сканировать, чтобы перезагрузиться? И "введите известные данные" тоже хорошо звучит. Я как-то откуда-то должен знать частоту и канал? Или я в упор не вижу пункта "Remote reboot"?

[napaHouk99]

napaHouk99 (14 августа 2013 - 14:40) писал:

1. Постараюсь вечером подробно нарисовать и выложить.

Если быстро, схематично и от руки - то вот скан

С рабочего компа до PC2 я пробрасывал vpn типа мост (tap bridge), но из-за одинакового диапазона подсетей с двух сторон (192.168.0.0) данный канал работал не сильно стабильно. (Изменить подсети по разным причинам не могу ни там ни там). И пришлось мудрить с туннелем (tun). И вот тут столько танцев с бубнами понеслось... Пока что я смог достучаться только до самого сервера (удаленно с работы его настраиваю - работает проброс портов). А вот с видимостью остальных компов пока что никак.

[Streamer]

napaHouk99 (14 августа 2013 - 14:40) писал:

3. Мануал я читал. И он лежит давно скачаный и дома и на работе. Если вы про пункт Initial Scan (To speed up the modem’s first time startup, enter known downstream frequency and/or upstream channel ID information here. Then click “Apply and Reboot” button to start scanning the cable network beginning with the values supplied here.), то это не самый тривиальный способ. Обязательно надо что-то сканировать, чтобы перезагрузиться? И "введите известные данные" тоже хорошо звучит. Я как-то откуда-то должен знать частоту и канал? Или я в упор не вижу пункта "Remote reboot"?

мда, Вы меня озадачили, отдельно кнопки действительно нет, есть единая "Apply and Reboot", хотя по хорошему нужно было сделать две отдельных, на случай если нужно сменить частоту inintial scan и на случай когда нужно просто перезагруить роутер.
в принципе если не менять то значение частоты что установлено и нажать на "Apply and Reboot" то роутер частоту не сменит и просто перезагрузится.
но выглядит это немного странно, с этим согласен

napaHouk99 (14 августа 2013 - 15:40) писал:

Если быстро, схематично и от руки - то вот скан

С рабочего компа до PC2 я пробрасывал vpn типа мост (tap bridge), но из-за одинакового диапазона подсетей с двух сторон (192.168.0.0) данный канал работал не сильно стабильно. (Изменить подсети по разным причинам не могу ни там ни там). И пришлось мудрить с туннелем (tun). И вот тут столько танцев с бубнами понеслось... Пока что я смог достучаться только до самого сервера (удаленно с работы его настраиваю - работает проброс портов). А вот с видимостью остальных компов пока что никак.

а в чем проблема сменить сеть на одном из концов? а то L3 туннель между двумя одинаковыми сетками можно настраивать долго и безуспешно

[napaHouk99]

Streamer (14 августа 2013 - 15:59) писал:

мда, Вы меня озадачили, отдельно кнопки действительно нет, есть единая "Apply and Reboot", хотя по хорошему нужно было сделать две отдельных, на случай если нужно сменить частоту inintial scan и на случай когда нужно просто перезагруить роутер.
в принципе если не менять то значение частоты что установлено и нажать на "Apply and Reboot" то роутер частоту не сменит и просто перезагрузится.
но выглядит это немного странно, с этим согласен

В том то и дело :) Обычно есть отдельная "красная" кнопка - Ребут. Здесь же наличие еще каких-то манипуляций вызывало тревогу из серии "а вдруг чего не так пойдет...". Пока не пробовал, но как-нибудь как очень сильно понадобиться перезагрузиться - воспользуюсь, и посмотрю что он там насканирует.

Streamer (14 августа 2013 - 15:59) писал:

а в чем проблема сменить сеть на одном из концов? а то L3 туннель между двумя одинаковыми сетками можно настраивать долго и безуспешно

На работе тупо не имею доступа к роутеру, а удаленка ох как нужна, впн - личная инициатива.
А дома на других компах у других людей УЖЕ настроены удаленные подключения к работам (там жесткое секьюрити) и смена подсети вызовет цепную реакцию - гемор для всех. В итоге тоже никак. На счет долго - согласен. Но в инетах уже удачные случаи были :) осталось допилить напильником проблемные места. У openvpn как раз на тему одинаковых подсетей есть фича типа передачи параметров snat & dnat.

[Streamer]

napaHouk99 (14 августа 2013 - 16:14) писал:

На работе тупо не имею доступа к роутеру, а удаленка ох как нужна, впн - личная инициатива.

нет возможности затти на tcp:8080?

[napaHouk99]

Streamer (14 августа 2013 - 16:37) писал:

нет возможности затти на tcp:8080?

Я имел ввиду нет возможности сменить пул адресов подсети, либо назначить только своей машине что-нибудь типа 192.168.100.ХХ. Пройти сквозь роутер конечно возможность есть ))

[Streamer]

napaHouk99 (14 августа 2013 - 16:45) писал:

Я имел ввиду нет возможности сменить пул адресов подсети, либо назначить только своей машине что-нибудь типа 192.168.100.ХХ. Пройти сквозь роутер конечно возможность есть ))

в смысле, почему нельзя удаленно зайти на роутер и сменить на нем LAN сеть на другую?

[napaHouk99]

Streamer (14 августа 2013 - 17:14) писал:

в смысле, почему нельзя удаленно зайти на роутер и сменить на нем LAN сеть на другую?

Роутер не в юрисдикции нашей конторы )) Он у владельцев бизнесс-центра... тяжелый случай, но так бывает. И почти все порты закрыты. Но никто не закроет 80 и 443...

[Streamer]

napaHouk99 (14 августа 2013 - 17:25) писал:

Роутер не в юрисдикции нашей конторы )) Он у владельцев бизнесс-центра... тяжелый случай, но так бывает. И почти все порты закрыты. Но никто не закроет 80 и 443...

т.е.фактически зайти на роутер http://<ip WAN роутера>:8080/ для удаленного администрирования Вы можете, но вносить изменения без согласия владельцев не можете? Ну а если их спросить или попросить внести изменения самим?

[napaHouk99]

Streamer (14 августа 2013 - 18:22) писал:

т.е.фактически зайти на роутер http://<ip WAN роутера>:8080/ для удаленного администрирования Вы можете, но вносить изменения без согласия владельцев не можете? Ну а если их спросить или попросить внести изменения самим?

Нет. Не можем. Ни логинов, ни паролей нет. Я могу на свой только зайти. На томсон.
Это был первый шаг - попросили внести изменения - в просьбе отказано ) Собсно отчего и "танцую" теперь.

[xor]

napaHouk99 (14 августа 2013 - 19:34) писал:

Нет. Не можем. Ни логинов, ни паролей нет. Я могу на свой только зайти. На томсон.
Это был первый шаг - попросили внести изменения - в просьбе отказано ) Собсно отчего и "танцую" теперь.

по схеме вашей интересуют несколько уточнений.
1. У вас два типа ip адресов на почти всех edge устройствах. Какой из них на физике, а какой на tun интерфейсе?
2. Нарисуйте роутинг, куда какие сети маршрутизируются, куда дефолт идет.
3. Как я понимаю, вы хотите с WorkPC иметь доступ на PC1 PC2 PC3... в общем на все, что находится за томсоном?

[napaHouk99]

xor (14 августа 2013 - 20:45) писал:

по схеме вашей интересуют несколько уточнений.
1. У вас два типа ip адресов на почти всех edge устройствах. Какой из них на физике, а какой на tun интерфейсе?
2. Нарисуйте роутинг, куда какие сети маршрутизируются, куда дефолт идет.
3. Как я понимаю, вы хотите с WorkPC иметь доступ на PC1 PC2 PC3... в общем на все, что находится за томсоном?

1. Физика - 192.168.0.0 255.255.255.0 - и на работе и дома. На выходе из дома реальный IP, чтоб без DynDNS. 10.8.0.0 255.255.255.255 - vpn сеть (tun).
2. Cогласно мануалам по openvpn каждому клиенту сервер назначает статические айпишники, пушит конфиги типа:
ifconfig-push 10.8.0.5 10.8.0.6
push "route 10.8.0.5 255.255.255.0 192.168.0.XX"
iroute 192.168.0.XX 255.255.255.0

На самом сервере push "route 10.8.0.0 255.255.255.0" и route 192.168.0.0 255.255.255.0
3. В идеале и туда и туда. Рабочий -> вся домашняя сеть, с любого в домашней -> на рабочий.

[xor]

napaHouk99 (14 августа 2013 - 21:20) писал:

1. Физика - 192.168.0.0 255.255.255.0 - и на работе и дома. На выходе из дома реальный IP, чтоб без DynDNS. 10.8.0.0 255.255.255.255 - vpn сеть (tun).
2. Cогласно мануалам по openvpn каждому клиенту сервер назначает статические айпишники, пушит конфиги типа:
ifconfig-push 10.8.0.5 10.8.0.6
push "route 10.8.0.5 255.255.255.0 192.168.0.XX"
iroute 192.168.0.XX 255.255.255.0

На самом сервере push "route 10.8.0.0 255.255.255.0" и route 192.168.0.0 255.255.255.0
3. В идеале и туда и туда. Рабочий -> вся домашняя сеть, с любого в домашней -> на рабочий.

Так я вообще проблем не вижу. Пушить роутинг на клиентах вам не нужно, обращайтесь по vpn адресам. Главное, чтобы софт, которым вы пользуетесь, умел биндиться на конкретный source ip адрес.

Вариант два. на WorkPC используете уникальный ip адрес из пула 192.168.0.0/24, не пересекающийся с адресами домашней сети(допустим это будет .66). А на vpn клиентах поднимаете хостовый маршрут route 192.168.0.66 255.255.255.255 gw 10.8.0.1. С работы на дом обращаетесь по vpn адресам, а с дома на работу по любому из двух.

Либо вариант третий (самый корявый, но все же для галочки =) ). Вам не нужно внутри домашней сети поднимать vpn соединения. Но вам придется использовать уникальные адреса из сети 192.168.0.0/24, не пересекающиеся между работой и домом. На домашних девайсах поднимаете роутинг route 192.168.0.66 255.255.255.255 gw 192.168.0.30. На рабочем компьютере делаете несколько статик роутов типа route 192.168.0.Х 255.255.255.255 gw 10.8.0.1. Но у вас в рабочей сети не должно находиться таких же адресов, иначе вы просто не сможете с ними по сети общаться.

Вариант четвертый. Поднимите в домашней сети ssh сервер и используйте ssh туннелинг. =)

Конечно самым правильным решением было бы сменить сеть 192.168.0.0/24 на что-то другое, с одной из сторон. На работе вы это не можете сделать ясно почему, а в домашней сети что мешает?

Сообщение отредактировал xor: 14 августа 2013 - 21:47

[napaHouk99]

xor (14 августа 2013 - 21:43) писал:

Так я вообще проблем не вижу. Пушить роутинг на клиентах вам не нужно, обращайтесь по vpn адресам. Главное, чтобы софт, которым вы пользуетесь, умел биндиться на конкретный source ip адрес.

Вариант два. на WorkPC используете уникальный ip адрес из пула 192.168.0.0/24, не пересекающийся с адресами домашней сети(допустим это будет .66). А на vpn клиентах поднимаете хостовый маршрут route 192.168.0.66 255.255.255.255 gw 10.8.0.1. С работы на дом обращаетесь по vpn адресам, а с дома на работу по любому из двух.

Либо вариант третий (самый корявый, но все же для галочки =) ). Вам не нужно внутри домашней сети поднимать vpn соединения. Но вам придется использовать уникальные адреса из сети 192.168.0.0/24, не пересекающиеся между работой и домом. На домашних девайсах поднимаете роутинг route 192.168.0.66 255.255.255.255 gw 192.168.0.30. На рабочем компьютере делаете несколько статик роутов типа route 192.168.0.Х 255.255.255.255 gw 10.8.0.1. Но у вас в рабочей сети не должно находиться таких же адресов, иначе вы просто не сможете с ними по сети общаться.

Вариант четвертый. Поднимите в домашней сети ssh сервер и используйте ssh туннелинг. =)

Конечно самым правильным решением было бы сменить сеть 192.168.0.0/24 на что-то другое, с одной из сторон. На работе вы это не можете сделать ясно почему, а в домашней сети что мешает?

1. Софт отдельная тема )) Линукс сервер, и клиенты всех мастей. XP, семерка, восьмерка. Везде всегда что-то мешает. Собсно с этим и борюсь - пытаюсь задружить весь этот винегрет.

2. Кажись лучший вариант. Вот его попробую. Единственное это чтобы увидело нормально PC1 и PC3 с работы. С PC2 проблем меньше всего.

3. Не вариант. На рабочем роутере сидит куча контор. Проверять какие айпишники используются, а какие нет - мишн импосибл ))

4. Вот об этом думал. Но пока что не знаю всех подводных камней. Если впн не взлетит, буду пробовать.

Если б можно было изначально сделать все просто, я бы б тут вопросов не задавал ))) Дома сетью по работе пользуются другие люди, их айпишники УЖЕ завязаны на ИХ работы. Ключи, шифрование и т.д.

Спасибо за ответы! Будем грызть дальше.

[xor]

napaHouk99 (14 августа 2013 - 22:01) писал:

1. Софт отдельная тема )) Линукс сервер, и клиенты всех мастей. XP, семерка, восьмерка. Везде всегда что-то мешает. Собсно с этим и борюсь - пытаюсь задружить весь этот винегрет.

2. Кажись лучший вариант. Вот его попробую. Единственное это чтобы увидело нормально PC1 и PC3 с работы. С PC2 проблем меньше всего.

3. Не вариант. На рабочем роутере сидит куча контор. Проверять какие айпишники используются, а какие нет - мишн импосибл ))

4. Вот об этом думал. Но пока что не знаю всех подводных камней. Если впн не взлетит, буду пробовать.

Если б можно было изначально сделать все просто, я бы б тут вопросов не задавал ))) Дома сетью по работе пользуются другие люди, их айпишники УЖЕ завязаны на ИХ работы. Ключи, шифрование и т.д.

Спасибо за ответы! Будем грызть дальше.

2. Проблем быть не должно. Ethernet интерфейсы на томсоне - обычные свитчпорты. WiFi на нем тоже, скорее всего, в общей матрице коммутации.
3. Мишшен, конечно, поссибл. nmap -n -sP 192.168.0.0/24 , но да, вариант это фиговый.
4. Ооо, ssh туннелинг - адская читерская штука =). У нас в конторе такие аксиомы есть: Если ничего и никак не работает, надо сделать GRE. Если не работает GRE, поднимаем ssh tunnel.
Подводный камень такой, что это туннель не для чистого ip трафика. Это скорее tcp port forwarding.
В кратце: ssh -R - инициирует подключение на ssh сервер, передает ему информацию о портах, тот в свою очередь ставит выбранный порт в listen режим, и при обращении на него прокидывает трафик на хост-инициатор.
Пример(условный) для вашей схемы: Чтобы сделать туннель для соединения по http (tcp/80) из домашней сети на рабочий компьютер, выполняется такая команда на WorkPC - ssh -N -R 1180:192.168.0.66:80 111.111.111.111. После этого из домашней сети можно в веб браузере набрать 192.168.0.30:1180, и получите доступ к веб серверу, запущенному на WorkPC.
Команда ssh -L - полностью противоположная. Если вам надо с работы подключиться по telnet к PC1, то на WorkPC запускаете ssh -N -L 2323:192.168.0.10:23 111.111.111.111, и после просто пишите на рабочем компьютере telnet 127.0.0.1 2323.

[napaHouk99]

xor (14 августа 2013 - 22:59) писал:

4. Ооо, ssh туннелинг - адская читерская штука =). У нас в конторе такие аксиомы есть: Если ничего и никак не работает, надо сделать GRE. Если не работает GRE, поднимаем ssh tunnel.
Подводный камень такой, что это туннель не для чистого ip трафика. Это скорее tcp port forwarding.
В кратце: ssh -R - инициирует подключение на ssh сервер, передает ему информацию о портах, тот в свою очередь ставит выбранный порт в listen режим, и при обращении на него прокидывает трафик на хост-инициатор.
Пример(условный) для вашей схемы: Чтобы сделать туннель для соединения по http (tcp/80) из домашней сети на рабочий компьютер, выполняется такая команда на WorkPC - ssh -N -R 1180:192.168.0.66:80 111.111.111.111. После этого из домашней сети можно в веб браузере набрать 192.168.0.30:1180, и получите доступ к веб серверу, запущенному на WorkPC.
Команда ssh -L - полностью противоположная. Если вам надо с работы подключиться по telnet к PC1, то на WorkPC запускаете ssh -N -L 2323:192.168.0.10:23 111.111.111.111, и после просто пишите на рабочем компьютере telnet 127.0.0.1 2323.

Хммм. Все заманчивей и заманчивей )) А если нужен фул контрол по RDP с домашней машины на Вин 8 рабочего компа на Вин 7 через ssh туннель это как организовать? При условии что на работе только 80-й и 443-й порты. И вроде в интернетах говорят что впн устойчивее и надежнее чем через ssh, но тут хз, сам пока не проверял.

[xor]

napaHouk99 (14 августа 2013 - 23:13) писал:

Хммм. Все заманчивей и заманчивей )) А если нужен фул контрол по RDP с домашней машины на Вин 8 рабочего компа на Вин 7 через ssh туннель это как организовать? При условии что на работе только 80-й и 443-й порты. И вроде в интернетах говорят что впн устойчивее и надежнее чем через ssh, но тут хз, сам пока не проверял.

Главное условие, чтобы на ssh сервер можно было бы в принципе подключиться. В вашем случае, если открыты насквозь только 80 и 443, то ssh сервер должен висеть на одном из этих портов. ssh отлично работает и через nat/pat. На WorkPC запускаете ssh клиент с параметрами -p 443 -R 11223:192.168.0.60:3389 111.111.111.111. А с домашней машины подключаетесь терминалом на 192.168.0.30:11223.
Клиентов под win полно. putty, securecrt, xshell... выбор есть. Тут надо только подумать, как это автоматизировать. Потому что ssh сессия будет, конечно, висеть до тех пор пока ее не прервать принудительно, либо разорвется при длительном отсутствии связи между workPC и ssh сервером (например выключат или перезагрузят роутер на работе). Соответственно нужен какой-то инструмент, позволяющий переподключаться при разрывах связи автоматически.

Насчет же надежности и стабильности, она такая, насколько может быть стабильна любая tcp сессия в конкретной среде. Если надежность в плане безопасности, то никаких отличий от openvpn, те же rsa ключи и алгоритмы.

[uspn]

Добрый вечер , уважаемая поддержка Акадо!
Подскажите в чем может быть проблема:
Пару дней назад роутер неожиданно ушел на заводские настройки.
Для того что бы зайти на морду роутера пришлось его сбрасывать кнопкой Reset на заводские установки.
Все вродебы ничего, но роутер, теперь не дает менять внутренную подсеть 192.168.0.0 , ни под каким соусом, после изменения, например на 192.168.1.0 и нажатия кнопки Apply вылетает надпись :
Error converting one or more entries:

TRY AGAIN

Менял как со статическим адресом, так и на DHCP, одна и таже ошибка. (DHCP включен, выключен)
Так же WiFi точка доступа не хочет переключаться с ширины диаппазона 20 Мгц на 40.
Так же, раз в 12 часов роутер начинает тупить (долго открываются сайты, часть сайтов валится по тайауту), а после трафик перестает ходить даже на локальных портах.
При том что на wan интерфейсе практически отсутствует нагрузка, (ничего не качается, канал стоит практически холостым)
В логах роутера, крименальных записей нет

Номер договора 21593800

P.s. Вариант взлома исключаю, так как пароли и ключи на роутере достаточно сложные и в лоб брутом их не взять.

Спасибо!

[Streamer]

uspn (16 августа 2013 - 17:10) писал:

Пару дней назад роутер неожиданно ушел на заводские настройки.
Для того что бы зайти на морду роутера пришлось его сбрасывать кнопкой Reset на заводские установки.

тут вроде как противоречие, если роутер ушел на заводские настройки, то пароль у него сменился на тот что по-умлчанию и чтобы попасть на него, reset делать не нужно. Если пароль по-умолчанию не подходит, и пришлось делать reset, то до этого сброса на заводские настройки не было.

uspn (16 августа 2013 - 17:10) писал:

Так же, раз в 12 часов роутер начинает тупить (долго открываются сайты, часть сайтов валится по тайауту), а после трафик перестает ходить даже на локальных портах.

Какая версия прошивки? Установлена ли галка Firewall -> IP Flood Detection?

uspn (16 августа 2013 - 17:10) писал:

Так же WiFi точка доступа не хочет переключаться с ширины диаппазона 20 Мгц на 40.

http://forum.akado.r...post__p__523540

uspn (16 августа 2013 - 17:10) писал:

Все вродебы ничего, но роутер, теперь не дает менять внутренную подсеть 192.168.0.0 , ни под каким соусом, после изменения, например на 192.168.1.0 и нажатия кнопки Apply вылетает надпись :
Error converting one or more entries:

TRY AGAIN

Попробуйте так
- зайти на http://192.168.100.1 (это собственный ip роутера, вне зависимост от того какая сеть используется на LAN)
- поменять сеть в закладке Network -> LAN Network Configuration
- после появления сообщения "Error converting one or more entries:" нажать на ссылку TRY AGAIN
- перезгрузить роутер нажав Status -> Initial Scan -> Apply and Reboot
- после перезагрузки снова зайти на http://192.168.100.1 и убедиться что сеть сменилась

Сообщение отредактировал Streamer: 16 августа 2013 - 17:56

[акулина]

Streamer (16 августа 2013 - 18:24) писал:

Попробуйте так
- зайти на http://192.168.100.1 (это собственный ip роутера, вне зависимост от того какая сеть используется на LAN)
- поменять сеть в закладке Network -> LAN Network Configuration
- после появления сообщения "Error converting one or more entries:" нажать на ссылку TRY AGAIN
- перезгрузить роутер нажав Status -> Initial Scan -> Apply and Reboot
- после перезагрузки снова зайти на http://192.168.100.1 и убедиться что сеть сменилась

Ах, если бы знать раньше. Если бы только знать это раньше.

Был, был такой звонок, и не от кого нибудь, а от сервисного инженера (платный мастер в просторечьи).

Вот говорит мастер, меняю подсеть и ..... ЭРРОР. Как быть не знаю. Помогите.

Дорогой друг, а разве при поступлении этого роутера на вооружение неужели не проводились обучающие
мероприятия, ознакомления с особенностями и нюансами? Нет говорит мастер. Вот уже много лет работаю и
всегда так: ввяжемся в бой, а там посмотрим. А прошивка то на роутере как выяснили самая лучшая stb.6.01.60.
Да, слышал, слышал, - обрадовался мастер, - глючная. Значит так, принимает он решение: Будем менять роутер. Бракованый.

Ну а мы то что. Врач сказал в морг, значит в морг.

Если бы знать..., если бы только знать...