маппинг портов для доступа к машине за общим внешним айпи. Требуется помощь ТЕЛЕПАТОВ

[metrim]

Дано:
Сеть в здании. Компы в здании объеденины в локальную сеть с ИПами 192,168,х,х (как обычно) . Все ходят в инет (как обычно) через шлюз-машину (роут1) и сидят как бы все за одним общим ИП.
У меня в здании отдел, который я админю самостоятельно. На вход в него я поставил роутер (Д-линк) (роут2) и за ним сделал свою локальную сеть с адресами типа 115,1,1,х
Компьютеры из моей сети замечательно через мой роут и роут здания ходют в инет и пр и типа все бы ничего, да вот только отсутствие внешнего ИПа не позволяет мне админить сеть удаленно

Мне добрые люди вроде как объяснили, что это решаемо через прописывание на роут1 маппинга портов, что бы он ряд портов, перебрасывал напрямую на мой роут2 и уже там моя коробочка будет в зависимости от того на какой к ней порт обратились - подключать меня к нужной машине.

Задача в общем то простая и стандартная
Дело ослажняется
1. Я в компьютерных сетях - самоучка, это не мой профиль и я разбираюсь строго в том, что пригождалось уже мне в повседневности
2. Я не знаю, что за оборудования у админа здания
3. Отношения с админом здания довольно сложные, его сложно поймать, он не шибко стремится помогать (принудить можно), без четко поставленной и мотивированной задачи его врят ли удастся заставить решить проблему

Так что треба пошаговые инструкции по конфигурированию "сферического роутера в вакууме", т.е. какие инструкции в него надо записать, что бы он пропрасывал порты на мою машину
и во вторых - мне хотелось бы глянуть краткое ЧаВо по маппингу и пр., что бы не перелопачивать 400+ страниц текста, посоветуйте где почитать.

[werwulf]

сферические инструкции сводятся к вопросу админу, а ты мне пробросишь порты такие-то на мой адрес?
и ответе в виде посылания в пешее эротиеские доказывать целесообразность создания дыр в системе безопасности, если он вменяем, конечно.
В реальности вам нужно переговорить с админом, чтобы он запустил вас в сеть через то, через что он сам админит, куда он вас не пустит уже с меньшей вероятностью.
Как вариант обойти все - поставить модем на городской телефон.

А ознакомиться с самой процедурой можете на основе мануала к вашему роутеру - если порты пробросят, вам это тоже придется делать.
И в общем прочитать про NAT и PAT, чтобы понять откуда растут ноги .

[Borland]

Цитата:

Сообщение от metrim

пошаговые инструкции по конфигурированию "сферического роутера в вакууме"

Код:

ssh "Сферический роутер"
root
<root password>
сферическая команда 1
сферическая команда 2
сферическая команда 3
сферическая команда 4
exit

К телепатам...

[metrim]

Цитата:

Сообщение от werwulf

сферические инструкции сводятся к вопросу админу, а ты мне пробросишь порты такие-то на мой адрес?
и ответе в виде посылания в пешее эротиеские доказывать целесообразность создания дыр в системе безопасности, если он вменяем, конечно.
В реальности вам нужно переговорить с админом, чтобы он запустил вас в сеть через то, через что он сам админит, куда он вас не пустит уже с меньшей вероятностью.

Ну там отягощается все тем, что отловить этого админа - весьма сложно. У него оборудование вроде как настроено и он сам появляется редко. В его комнате сидят люди (какой то свой "рекет"), но они заявляют, что в настройках роутера - не рубят.
Потому мне нужно иметь заготовленную мантру, что бы застав админа отсеч все его возражения (диктуемые ленностью) и заставить его сделать то что мне надо, т.к. он получал уже распоряжение от начальства, что "должен мне содействовать"

Цитата:

Как вариант обойти все - поставить модем на городской телефон.

это не вариант

Цитата:

А ознакомиться с самой процедурой можете на основе мануала к вашему роутеру - если порты пробросят, вам это тоже придется делать.
И в общем прочитать про NAT и PAT, чтобы понять откуда растут ноги

Ну на коробочке д-линковской, которая у меня роутит ве просто: там веб-интерфейс в котором просто все прописывается без всяких команд и заморочек.

Цитата:

Сообщение от Borland

К телепатам...

Ну я уточню, что прописывать на Роут1 должен админ и команды шела мне не нужны, мне нужно убедить админа, что это НАДО сделать, при том дать ему понять, что отделаться от меня "Я не могу сделать это посоображениям безопаснсти" - не получится

[Borland]

Цитата:

Сообщение от metrim

сделал свою локальную сеть с адресами типа 115,1,1,х

И, кстати, совершенно напрасно... http://www.robtex.com/cnet/115.1.1.html
Для частных сетей выделено ровно 3 диапазона IP-адресов (Private Networks):
10/8
172.16/12
192.168/16

Цитата:

Сообщение от metrim

прописывать на Роут1 должен админ и команды шела мне не нужны, мне нужно убедить админа, что это НАДО сделать, при том дать ему понять, что отделаться от меня "Я не могу сделать это посоображениям безопаснсти" - не получится

Т.е. ничего Вам настраивать не нужно, нужно просто убедить админа в том, что нарушение режима безопасности таковым не является?
Если админ хоть чуть-чуть разбирается в вопросе - забудьте. Убедить в такой ахинее можно только полного лоха...
Если доступ осуществляется через шлюз "роут1" без ограничений по портам - используйте стандартные решения типа "коммутатор посередине" - комп из локальной сети (а лучше "роутер (Д-линк)") устанавливает VPN-туннель на сервер с внешним IP, Вы для администрирования подключаетесь к этому же серверу и имеете доступ к локалке, ограниченный только Вашей фантазией и настройками туннеля.

[werwulf]

гггг..
это не ленивость это понимание того, что он делает и за что отвечает..
вообще, же после этого обращения ваш wifi игрушка, ведь так, да хоть бы и не так, будет изгнан ссаными тряпками.
А если человек злой попадется и вы его допечете, то ввалит потом по этим портам чего нибуть где-нибуть на килобакс - так ради прикола

[metrim]

Цитата:

Сообщение от Borland

И, кстати, совершенно напрасно... http://www.robtex.com/cnet/115.1.1.html
Для частных сетей выделено ровно 3 диапазона IP-адресов (Private Networks):
10/8
172.16/12
192.168/16

ну 155 я написал так, для примера. Нормальный у меня диапазон

Цитата:

Т.е. ничего Вам настраивать не нужно, нужно просто убедить админа в том, что нарушение режима безопасности таковым не является?

Мне нужно, что бы он одеспечил мне возможность управлять моим оборудованием извне. Больше от него - ничего не требуется.

Цитата:

Если админ хоть чуть-чуть разбирается в вопросе - забудьте. Убедить в такой ахинее можно только полного лоха...

Странно. Эту идею с портами мне предложил амин другого нашего подразделения, несравнимо более крупного и ответственного чем то где стоит "недоступная" коробочка.

Цитата:

Если доступ осуществляется через шлюз "роут1" без ограничений по портам - используйте стандартные решения типа "коммутатор посередине" - комп из локальной сети (а лучше "роутер (Д-линк)") устанавливает VPN-туннель на сервер с внешним IP, Вы для администрирования подключаетесь к этому же серверу и имеете доступ к локалке, ограниченный только Вашей фантазией и настройками туннеля.

Ну абсолютно надежного сервака на который можно снаружи повесить это ВПН подключение у меня к сожалению нет в распоряжении.
Дело в том, что этот вот доступ "снаружи" мне нужен в основном для экстенных случаев, а в таких случаях по единственному неприложному закону Всемирного свинства - и этот сервак почему то заглючит небось.

А вот с использование DDNS эту задачу решить можно? т.е. прописать на "роутер д-линк" сопоставление с ник.dyndns.com и просто обращаться уже по нему к роутеру. Будет ли такое работать сквозь общий АйПишник?

Цитата:

Сообщение от werwulf

гггг..
это не ленивость это понимание того, что он делает и за что отвечает..
вообще, же после этого обращения ваш wifi игрушка, ведь так, да хоть бы и не так, будет изгнан ссаными тряпками.
А если человек злой попадется и вы его допечете, то ввалит потом по этим портам чего нибуть где-нибуть на килобакс - так ради прикола

Вы как то неразборчиво изъясняетесь....

[Borland]

Цитата:

Сообщение от metrim

Эту идею с портами мне предложил амин другого нашего подразделения, несравнимо более крупного и ответственного чем то где стоит "недоступная" коробочка.

Предложить что угодно и я могу. В устной беседе. Только если в зоне моей ответственности кто-то попробует реализовать такое предложение (моё или нет - не суть важно) - буду пресекать всеми доступными способами. Идея хорошая и правильная, но снижает уровень безопасности сети и противоречит текущей политике безопасности предприятия.

Цитата:

Сообщение от metrim

с использование DDNS эту задачу решить можно?

Нет. DDNS просто привязывает доменное имя к "белому" IP и попасть на "серый" никак не поможет (пока не проброшены порты). А когда порты проброшены - попасть куда надо можно и без DDNS просто зная "белый" IP и нужный порт.

Цитата:

Сообщение от metrim

Мне нужно, что бы он одеспечил мне возможность управлять моим оборудованием извне. Больше от него - ничего не требуется.

Ну так и договаривайтесь с ним. Мы-то тут причём?
На крайний случай - убедите руководство, что такая настройка необходима и админу просто дадут соответствующее распоряжение. Пока руководство такого распоряжения не дало - админ абсолютно прав, отказываясь снижать безопасность сети. Ибо в случае чего - виноват будет он (за неимением распоряжения свыше в письменном виде).

[metrim]

Цитата:

Сообщение от Borland

Предложить что угодно и я могу. В устной беседе. Только если в зоне моей ответственности кто-то попробует реализовать такое предложение (моё или нет - не суть важно) - буду пресекать всеми доступными способами. Идея хорошая и правильная, но снижает уровень безопасности сети и противоречит текущей политике безопасности предприятия.

Еще раз. Для ясности.
У данного "предприятия" нет какой либо "политики безопасности", нет какой то пробуманной "ИТ-структуры". Есть компьютерный класс, в который приходит кабель с инетом, из этой комнаты всем кому нужно, без особых мыслей о топологии и пр - разведен именно Инет. Вся локалка засрана вирусами до невозможности и админу на это класть с прикладом. Вроде как у него вообще все порты открыты.
Именно для обеспечения безопасности и контроля я и вывел свою сеть за отдельный роутер.
Админит это дело вса такой же самоучка как и я, только еще и яростно желаюший срубить на всем деньгУ на карман.

Цитата:

Нет. DDNS просто привязывает доменное имя к "белому" IP и попасть на "серый" никак не поможет (пока не проброшены порты). А когда порты проброшены - попасть куда надо можно и без DDNS просто зная "белый" IP и нужный порт.

А Стримовским авбонентам разве раздается реальный "белый" ИП ? Разве они все не за НАТом сидят? просто я как раз наткнулся на инструкции как при помощи DDNS там Радмин подключить, вот и решил, что может быть це панацея...

Цитата:

Ну так и договаривайтесь с ним. Мы-то тут причём?

Я разве ж где то просил вас подъехать и решить проблему?

Цитата:

На крайний случай - убедите руководство, что такая настройка необходима и админу просто дадут соответствующее распоряжение. Пока руководство такого распоряжения не дало - админ абсолютно прав, отказываясь снижать безопасность сети. Ибо в случае чего - виноват будет он (за неимением распоряжения свыше в письменном виде).

Да бумажку я могу какую угодно сканстралить, это не проблема. Проблема в том, что когда я приходил к этому "админу" с бумагой , что мне выделен ИП - он сказал, что не знает как ему настроить свое оборудование, что бы оно асоциировало этот ИП с моим "роутер Д-линк" висящим в локальной сети.
Так что тут элементарное неумение нежелание что либо делать.
Отдел который я админю и который сидит за моим роутом - воодще самое главное что есть в этой сети.
Таким образом все сводится к тому, что бы отловить этого "админа", который не каждую неделю бывает на данном рабочем месте, напряч его и объяснить как обеспечить мой беспрепятственный доступ извне к моему оборудованию, а уж когда он начнет мне про "безопасность" или денег захочет, тогда я ему уж такую "окончательную бумажку" суну, что у него вариантов не будет.

добавлено через 18 минут
Кстати, а вот эта вот програмка не подойдет в моем случае без моего собственного промежуточного сервера?
http://ru.wikipedia.org/wiki/Hamachi

[Borland]

Цитата:

Сообщение от metrim

А Стримовским авбонентам разве раздается реальный "белый" ИП

Не знаю, как в других местах, но в Москве - раздаётся. Не статика (т.е. не закреплённый за определённым абонентом), но реальный "белый" IP. И в такой ситуации DDNS позволяет обращаться к этому "белому" IP не зная самого IP (т.е. при смене IP происходит его перепривязка к доменному имени, прозрачно для пользователя). Собственно, для этого DDNS и предназначен - сделать динамические IP "псевдостатическими".

Цитата:

Сообщение от metrim

Проблема в том, что когда я приходил к этому "админу" с бумагой , что мне выделен ИП - он сказал, что не знает как ему настроить свое оборудование, что бы оно асоциировало этот ИП с моим "роутер Д-линк" висящим в локальной сети.

И Вы всерьёз полагаете, что не зная оборудования/ПО мы вам сейчас на пальцах объясним что и куда там настраивать? Причём ещё и так, чтобы Вы сумели объяснить это ленивому и некомпетентному (по вашему же утверждению) "админу"?..
Извините, но такое и телепатам наврядли под силу... Это уже из области ненаучной фантастики. Сродни поискам человека, который произведёт все необходимые настройки волевым усилием, выражаемым в форме "Хочу чтоб ТАК работало!"...

Цитата:

Сообщение от metrim

Я разве ж где то просил вас подъехать и решить проблему?

Нет. Но насколько я понял хотите от нас невозможного...

Цитата:

Сообщение от metrim

а вот эта вот програмка не подойдет в моем случае без моего собственного промежуточного сервера?

Подойдёт. В случае, если Вы доверяете данному сервису...

[metrim]

Цитата:

Сообщение от Borland

Не знаю, как в других местах, но в Москве - раздаётся. Не статика (т.е. не закреплённый за определённым абонентом), но реальный "белый" IP. И в такой ситуации DDNS позволяет обращаться к этому "белому" IP не зная самого IP (т.е. при смене IP происходит его перепривязка к доменному имени, прозрачно для пользователя). Собственно, для этого DDNS и предназначен - сделать динамические IP "псевдостатическими".

Странно тады. Я пытался со знакомой сидящей на Стриме сконтачиться, она переслала мне результат ipconfig /all я взял оттуда её ИП 91.78.х.х , но ни пингануть этот ИП, ни подключить Радмин по нему (сервер был запущен) - я не смог.

Цитата:

И Вы всерьёз полагаете, что не зная оборудования/ПО мы вам сейчас на пальцах объясним что и куда там настраивать? Причём ещё и так, чтобы Вы сумели объяснить это ленивому и некомпетентному (по вашему же утверждению) "админу"?..
Извините, но такое и телепатам наврядли под силу... Это уже из области ненаучной фантастики. Сродни поискам человека, который произведёт все необходимые настройки волевым усилием, выражаемым в форме "Хочу чтоб ТАК работало!"...

Ну вообще существуют же вероятно некоторые общие принципы, не зависящие от конкретного оборудования.
Например уже сейчас понятно, что я должен попросить админа "Сделайте мне форвардинг 20 портов с номерами > 4000 на мой ИП адрес". А уж дальше будет по классике "Не умеешь - научим, не хочешь - заставим"
Проблема, повторюсь, что бывает он редко и отловить его сложно.

Цитата:

Нет. Но насколько я понял хотите от нас невозможного...

Ой ли

Цитата:

Подойдёт. В случае, если Вы доверяете данному сервису...

Так, а можно поподробнее: в чем опасность этого сервиса?

[Borland]

Цитата:

Сообщение от metrim

но ни пингануть этот ИП, ни подключить Радмин по нему (сервер был запущен) - я не смог.

Что отнюдь не говорит о "серости" IP...
http://www.robtex.com/route/91.76.0.0-14.html

Цитата:

91.76.0.0/14
ZAO MTU-Intel's Moscow Region Network
ZAO MTU-Intel Moscow, Russia
AS8359

Все IP за исключением вышеупомянутых частных являются "белыми". Во всяком случае - в теории...
Если Вы не смогли приконнектиться по "белому" IP - значит, либо этого не позволяют настройки на той стороне, либо Вы что-то делали не так. Я лично сидя на Стриме прекрасно залезал на домашний комп снаружи и RAdmin'ом, и виндовым RDP, и по FTP, и по http. И сейчас на Корбине залезаю не хуже...

Цитата:

Сообщение от metrim

в чем опасность этого сервиса?

Не только этого - вообще практически любого чужого сервиса коммутации.
Все ваши данные (логины, пароли, явки, адреса, служебная/гос. тайна) будут передаваться через сервер хамачей и доступны для перехвата на нём. Будет или нет сервис использовать ваши данные в своих интересах или передавать третьим лицам - неизвестно, но такой технической возможностью он располагает. Кроме того, существует и возможность взлома сервиса, и принуждение его к сотрудничеству некими гос. структурами...
В общем, если информация на ваших компах представляет хоть какую-то ценность/тайну - лучше чужих сервисов не использовать.