Провайдер придумал интересность ... решаемо?

[iliton]

Ситуация:

Домашняя сеть, дали IP 192.168.1.100
шлюз в интернет 192.168.1.1

на шлюзе запрашивается логин и пасворд (web форма),
авторизация успешна - есть интернет! (web приветствие - вы в сети!)

НО замучали сканеровщики сети. половина компов в локалке
заражены майдом и бластами в ассортименте...

попробовал поставить хардварный роутер/файрвол usr8000
и... ничего не вышло

сквозь него (USR) локалка видится и пингуется, а попытка залогинится
на шлюзе чтоб кроме локали увидить инет заканчивается не начавшись

процесс авторизации с вводом паролей пропускается .. и сразу приветствие.. и за пределами локали ни чего не пингуется

есть конечно подозрение, что пров как то проверяет ..
а не пытается ли кто то поднять НАТ штоб стать суб-провайдером...

хрен его знает... честно признаюсь подкован в вопросе не очень
объясните, кто знает, как может работать такой механизм авторизации
чего ему надо, может порт какой на вход открыть ...

в общем потерялся я... выручайте!

[Clown]

А что ты в LANe/WANe рутера прописываешь?

[iliton]

в wan - всё что дал пров, те статик IP маску шлюз днс ...
в lan - статик IP маску ...

на компе в качестве шлюза уже IP лана ....

не, движения какие то происходят... и этот ф-вол судя по логам
активно прикрывает меня со стороны домовой подсети, проблема то
как раз с выходом в инет через шлюз ...

[Lyonia]

попрости и спроси может кроме веб формы можно както иначе например через пароль в Https прокси тогда настроишь раутер и все. я просто не слышал чтобы так можно было настоить раутер что отрывал форму.

а вообще сделай фильтр на все адреса кроме шлюза

[Clown]

Цитата:

Сообщение от iliton

в wan - всё что дал пров, те статик IP маску шлюз днс ...
в lan - статик IP маску ...

на компе в качестве шлюза уже IP лана ....

не, движения какие то происходят... и этот ф-вол судя по логам
активно прикрывает меня со стороны домовой подсети, проблема то
как раз с выходом в инет через шлюз ...

А поконкретнее можешь написать, что на компе прописано, и что - в установках рутера, на примерах? Насколько я понял, реального адреса у тебя нет, так? Кстати, MAC адреса провайдер не привязывает случайно?

[iliton]

вот про мак я не подумал ...

на роутере (до этого просто прописывал то же самое в комп)
вкл статический IP и прописал:

WAN IP 192.168.1.104
маска 255.255.255.0
LAN IP 192.168.123.254
Def Gate 192.168.1.1
DNS1 192.168.1.1
DNS2 213.19. блин не помню, да и не суть)

на компе соотвецно прописано
ip 192.168.123.253
маска 255.255.255.0
шлюз 192.168.123.254
DNSы те же

[iliton]

Мак они врят ли станут вязать жестко..
ну вдруг карточка погорела или кимп решил сменить...
неее врятли

[Lyonia]

Цитата:

Сообщение от iliton

процесс авторизации с вводом паролей пропускается .. и сразу приветствие.. и за пределами локали ни чего не пингуется

я не совсем понял твой раутер конектися или нет ?

напиша так же как звать то зверя (раутер)

[iliton]

Цитата:

Сообщение от Lyonia

я не совсем понял твой раутер конектися или нет ?

напиша так же как звать то зверя (раутер)

к локальной подсети - коннектится нормально
а в локалке есть шлюз в инет (192.168.1.1) через него пройти
не получается ...

зверь Broadband Router USR8000A

[XoxoL]

Вполне возможно следующее:

Цитата:

Домашняя сеть, дали IP 192.168.1.100
шлюз в интернет 192.168.1.1

1.Ты не указал маску, по жтому не понятно какая сеть тебе выделена, хотя из того что гейт 1.1 или 255.255.255.0 или 255.255.255.127
А на роутере ты используешь:

Цитата:

WAN IP 192.168.1.104
маска 255.255.255.0
LAN IP 192.168.123.254
Def Gate 192.168.1.1
DNS1 192.168.1.1

должно быть примерно так:
WAN IP 192.168.1.100
маска 255.255.255.0
Def Gate 192.168.1.1
LAN IP 192.168.123.254
DNS1 192.168.1.1

т.е Def Gate должен относиться к Wan а не к LAN. (если можно прописывать там и там а не единственный)

Вполне возможно провайдер режит тебя по IP.
Попробуй настоит WAN в рутере точно так же как у тебя был настроен компьютер.
Потом при помощи комманды Tracert [реальный ip из инета] проверь до куда ты доходишь. Если до сайта доходишь, проверь отвечают ли тебе DNS сервера (ping www.yahoo.com например). Если отвечает - все должно работать.
О результатах сообши. Не заработает - будем дальше думать и диакностикой дистанционной заниматься.

[Lyonia]

самое лудшее когда комьютер сконектится
сделаи на нем:
1. route print > C:\log1.txt
2. ipconfig /all > C:\log2.txt

результаты виложи тут или где нибудь чтобы можно било посмотрет

Я предполагаю что в локалке шлюз то что *.*.*.1 он еще и DHCP не пробовал DHCP на WANe включать ?

[iliton]

я думаю в базовых настройках всё прописано правильно,
если бы были проблемы с адресами
я бы даже локальной подсети не видел бы ...

кроме того нормальный русский ман, там разберётся даже
не подготовленый человек...

проблема в том что я не могу пройти далее локальной сети
от которой я отгородился роутером

если следовать логике, сервер ответственный в локалке за выход
юзеров в инет просто перестал что то видеть из того что видел
на моей машине до того как я отгородился файрволом

ну, СИСАДМИНЫ, представьте, в вашей локальной сети один
из юзеров отгораживается от всех остальных такой стенкой
и при этом пытается ломиться в инет - я в похожей ситуации

[XoxoL]

1. для того что бы решить проблеу ее надо продиагностировать. Иенно по этой причине тебя и просят протрейсить сеть.
2. я думаю и так оно и есть - 2 разных состояния. К примеру выход в интернет твой провайдер разрешает только с определенных IP. Поставив другой из той же сети ты прекрасно будешь видеть плоскую сеть, но о интернете не будет идти и речи, хотя авторизация происходить будет.
3. От сети ты отгородился, но ее видешь, значит роутер работает.
4.Если исходить из логики, кроме сервера который отвечает за авторизацию есть еше и сервер или роутер отвечаущий за маршрутизацию, и это не обязательно одно и то же.
5. Сисадмины представили, и попросили у тебя информацию, чтобы понять что происходит на уровне протокола, они же не знают что и от чего ты отгородил. Вот и пытаются понять.

[iliton]

Всё это замечательное оборудование дома, а я на работе, по этому
конфиги выложу вечером.

а сейчас вопрос ...
пусть вы - провайдер
и вам надо проверить использует ли некий хост Nat
как это можно сделать?

[XoxoL]

Анализом заголовков пакетов, но обычно провайдеры этого не делают.

[iliton]

смешная ситуация...

сделал следующее:

отключил файрвол/роутер и зашел в инет (web форма - лгин и пасс)

сменил настройки сетевой платы (для выхода через роутер)

перекинул кабели и вуаля ...

инет никуда не делся работаю сейчас через аппаратный роутер и
файрвол ... но на страницу статистики как не мог пройти так и не могу...

интересно, что будет если я комп отрублю??? будет роутер связь с инетои держать??? или нет

цирк ...

[shuron]

iliton
я так знаю провайдеры инодгда смотрят в пакеты на TTL
поскольку каждый роутер по одному числу уменьшает можно узнать поднял ты NAT или нет..
но это конечно легко замаскировать с iptables (в линуксе)
поправте если я ошибся..

[iliton]

Проблема решена!
Спасибо Lyonia!!
Пров всё таки смотрит мак-адрес
Я дал своему роутеру мак-адрес сетевухи (благо он это элементарно позволяет) и все проблемы решились.

Еще раз спасибо всем кто учавствовал в обсуждении!