The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"natd"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"natd"
Сообщение от Ovchinnikov Alexey emailИскать по авторуВ закладки on 27-Янв-04, 17:38  (MSK)
Всем привет! Нужно с маршрутизатора "прокидывать" все запросы на его внешний адрес и порт 1723 на внутреннюю виндовую машину. Есть статейка http://bsd.opennet.ru/base/net/divert.txt.html по этой теме. Но беда в том, что natd у меня уже запущен и с другими ключами (для маскарадинга внутренних машин) и вторая его копия ессно не запускается. Как быть?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

  • natd, lh, 17:41 , 27-Янв-04, (1)
    • natd, Ovchinnikov Alexey, 17:54 , 27-Янв-04, (2)
      • natd, alk, 18:11 , 27-Янв-04, (3)
        • natd, Ovchinnikov Alexey, 19:07 , 27-Янв-04, (4)
          • natd, alk, 11:32 , 28-Янв-04, (5)
            • natd, Ovchinnikov Alexey, 18:27 , 29-Янв-04, (6)
              • natd, Victor, 19:07 , 29-Янв-04, (7)
                • natd, alk, 15:29 , 30-Янв-04, (8)
                  • natd, Ovchinnikov Alexey, 20:42 , 30-Янв-04, (9)
                    • natd, alk, 11:20 , 02-Фев-04, (10)
                      • natd, alk, 11:30 , 02-Фев-04, (11)
                        • natd, Ovchinnikov Alexey, 10:42 , 03-Фев-04, (12)
                        • natd, alk, 14:55 , 03-Фев-04, (13)
  • natd, Igor, 11:22 , 05-Фев-04, (14)
    • natd, anton, 13:22 , 05-Фев-04, (15)

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "natd"
Сообщение от lh emailИскать по авторуВ закладки on 27-Янв-04, 17:41  (MSK)
>Всем привет! Нужно с маршрутизатора "прокидывать" все запросы на его внешний адрес
>и порт 1723 на внутреннюю виндовую машину. Есть статейка http://bsd.opennet.ru/base/net/divert.txt.html по
>этой теме. Но беда в том, что natd у меня уже
>запущен и с другими ключами (для маскарадинга внутренних машин) и вторая
>его копия ессно не запускается. Как быть?

А divert на другой порт не поможет?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "natd"
Сообщение от Ovchinnikov Alexey emailИскать по авторуВ закладки on 27-Янв-04, 17:54  (MSK)
>>Всем привет! Нужно с маршрутизатора "прокидывать" все запросы на его внешний адрес
>>и порт 1723 на внутреннюю виндовую машину. Есть статейка http://bsd.opennet.ru/base/net/divert.txt.html по
>>этой теме. Но беда в том, что natd у меня уже
>>запущен и с другими ключами (для маскарадинга внутренних машин) и вторая
>>его копия ессно не запускается. Как быть?
>
>А divert на другой порт не поможет?

предлагаешь VPN на виндовом серваке повесить на другой порт, после чего сделать divert natd tcp from outside_ip 1723 to mustdie_server another_port? Я верно понял? А диверт умемс так делать?


  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "natd"
Сообщение от alk emailИскать по авторуВ закладки on 27-Янв-04, 18:11  (MSK)
Я так понял ты хочешь VPN microsoft в инет выпустить
на free это так
{ipfw} add allow gre from any to any
+ из local в инет  должно выпустить несколько
портов >1024
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "natd"
Сообщение от Ovchinnikov Alexey emailИскать по авторуВ закладки on 27-Янв-04, 19:07  (MSK)
>Я так понял ты хочешь VPN microsoft в инет выпустить
>на free это так
>{ipfw} add allow gre from any to any
>+ из local в инет  должно выпустить несколько
>портов >1024

Не - на самом деле я хочу открыть доступ к microsoft VPN серверу снаружи. Скажем - это обратная операция. Т.е. внутри стоит ВПН сервер с фейковым адресом. Надобно, чтобы по единственному имеющемуся у меня внешнему айпишнику можно было подключиться к нему из вне.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "natd"
Сообщение от alk emailИскать по авторуВ закладки on 28-Янв-04, 11:32  (MSK)
>>Я так понял ты хочешь VPN microsoft в инет выпустить
>>на free это так
>>{ipfw} add allow gre from any to any
>>+ из local в инет  должно выпустить несколько
>>портов >1024
>
>Не - на самом деле я хочу открыть доступ к microsoft VPN
>серверу снаружи. Скажем - это обратная операция. Т.е. внутри стоит ВПН
>сервер с фейковым адресом. Надобно, чтобы по единственному имеющемуся у меня
>внешнему айпишнику можно было подключиться к нему из вне.

попробуй
redirect_port gre ip_vpn:1723 1723
или запусти второй natd

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "natd"
Сообщение от Ovchinnikov Alexey emailИскать по авторуВ закладки on 29-Янв-04, 18:27  (MSK)
>>Не - на самом деле я хочу открыть доступ к microsoft VPN
>>серверу снаружи. Скажем - это обратная операция. Т.е. внутри стоит ВПН
>>сервер с фейковым адресом. Надобно, чтобы по единственному имеющемуся у меня
>>внешнему айпишнику можно было подключиться к нему из вне.
>
>попробуй
>redirect_port gre ip_vpn:1723 1723
>или запусти второй natd

В том то вся и беда, что не могу запустить второй натд. Ругается, что данный сокет уже использкется

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "natd"
Сообщение от Victor emailИскать по авторуВ закладки on 29-Янв-04, 19:07  (MSK)
пишешь в natd.cf что-то вроде
redirect_port          tcp another_host:1723 1723 host.xyz.com
затем
killall natd; sleep 30; /sbin/natd -f /etc/natd.cf
  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "natd"
Сообщение от alk emailИскать по авторуВ закладки on 30-Янв-04, 15:29  (MSK)
>пишешь в natd.cf что-то вроде
>redirect_port          tcp another_host:1723
tcp здесь не прокатит
>1723 host.xyz.com
>затем
>killall natd; sleep 30; /sbin/natd -f /etc/natd.cf


1) Ты попробовал
   redirect_port gre ip_vpn:1723 1723
   обязательно gre потому что тебе надо пробросить протокол 47 (gre)
   tcp здесь не прокатит
другой вариант
  natd -a IP_int -p например 8778
  по умолчанию natd  обычно запускается на 8668
  и гонишь через него


      

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "natd"
Сообщение от Ovchinnikov Alexey emailИскать по авторуВ закладки on 30-Янв-04, 20:42  (MSK)
>1) Ты попробовал
>   redirect_port gre ip_vpn:1723 1723
>   обязательно gre потому что тебе надо пробросить протокол 47
>(gre)
>   tcp здесь не прокатит

natd ругается - говорит gre недопустимо, можно только tcp либо udp

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "natd"
Сообщение от alk emailИскать по авторуВ закладки on 02-Фев-04, 11:20  (MSK)
>
>natd ругается - говорит gre недопустимо, можно только tcp либо udp


Покажи как ты это делаешь

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "natd"
Сообщение от alk emailИскать по авторуВ закладки on 02-Фев-04, 11:30  (MSK)
>>
>Покажи как ты это делаешь

С просонья стормозил ( ранее тоже )
-redirect_proto proto localIP [publicIP [remoteIP ]
] Redirect incoming IP packets of protocol proto (see protocols(5)) destined for publicIP address to a localIP address and vice versa.
If publicIP is not specified, then the default aliasing address is used. If remoteIP is specified, then only packets coming from/to remoteIP will match the rule.
proto - в данном случае 47 (gre)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "natd"
Сообщение от Ovchinnikov Alexey emailИскать по авторуВ закладки on 03-Фев-04, 10:42  (MSK)
Что не так?

router# cat /etc/natd.conf
redirect_proto gre VPN_IP
alias_address EXT_IP

router# ipfw list
00700 allow ip from MY_IP to EXT_IP
00800 divert 8668 ip from INT_NET/24 to any out recv rl0 xmit xl0
00900 divert 8668 ip from not 192.168.0.0/16 to EXT_IP recv xl0
00950 allow ip from EXT_IP to MY_IP
01000 allow ip from any to any
65535 deny ip from any to any

Где:
VPN_IP - внутренний адрес сервера VPN (винда)
EXT_IP - внещний адрес маршрутизатора
MY_IP - мой адрес, с которого я подключаюсь к этому маршрутизатору снаружи
INT_NET - внутренняя сеть

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "natd"
Сообщение от alk emailИскать по авторуВ закладки on 03-Фев-04, 14:55  (MSK)
>Что не так?
>
man natd повнимательней-бы
попробуй
natd.conf
log
deny_incoming no
dynamic yes
port natd
same_ports yes
use_sockets yes
unregistered_only yes
redirect_port tcp VPN_IP:1723 1723
redirect_proto gre VPN_IP EXT_IP

>
>00700 allow ip from MY_IP to EXT_IP
>00800 divert 8668 ip from INT_NET/24 to any out recv rl0 xmit
>xl0
>00900 divert 8668 ip from not 192.168.0.0/16 to EXT_IP recv xl0
>00950 allow ip from EXT_IP to MY_IP
add allow gre from any to any
>01000 allow ip from any to any
>65535 deny ip from any to any
>
>Где:
>VPN_IP - внутренний адрес сервера VPN (винда)
>EXT_IP - внещний адрес маршрутизатора
>MY_IP - мой адрес, с которого я подключаюсь к этому маршрутизатору снаружи
>
>INT_NET - внутренняя сеть
Вопрос: vpn_ip принадлежит какой сети?
Не совсем пойму твой ipfw.
после того как
сделаешь посмотри log security: исходящие соеденения сервера ipfw не стопорит?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "natd"
Сообщение от Igor Искать по авторуВ закладки on 05-Фев-04, 11:22  (MSK)
>Всем привет! Нужно с маршрутизатора "прокидывать" все запросы на его внешний адрес
>и порт 1723 на внутреннюю виндовую машину. Есть статейка http://bsd.opennet.ru/base/net/divert.txt.html по
>этой теме. Но беда в том, что natd у меня уже
>запущен и с другими ключами (для маскарадинга внутренних машин) и вторая
>его копия ессно не запускается. Как быть?


VPN через natd не работает. Выход - поднимать VPN на шлюзе.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "natd"
Сообщение от anton emailИскать по авторуВ закладки on 05-Фев-04, 13:22  (MSK)
вот так работало пол года пока логику непоменял

natd.conf

redirect port tcp win_vpn_server:1723 1723
redirect port tcp win_vpn_server:47 47

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру