Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

aztech

2й комп через winroute к звездам.

Рекомендованные сообщения

Спрашивали тут в DC, как подрубить 2ю машину через домашнюю локалку, и запустить на ней хотя бы DC. Ну и чтоб в инет мона было (чтоб жена/подруга/дочка/бабушка могли тоже палнаценна общацца).

Итак, нам понадобицца:

1.1й Комп (1К), включенный в локалку Корбины (ЛК), с настроенным VPN (VPN) для инету, 2я сетевуха, смотрящая в домашнюю локалку (ЛД).

2. 2й Комп (2К), подключенный напрямую или через свичч к 1К через его (1К) 2ю сетевуху.

3. Kerio Winroute firewall + лицензия к ней. Найти и то и другое обычно проблем не составляет. (на момент написания последний релиз 6.1.4.пачч2.1086)

 

На 1К придется грохнуть файрвол, ежели есть, и пользовать далее винрутовский. Оба двое, как правило не уживаются вместе, и можно легко схлопотать BSOD при загрузке.

 

Начинаем.

На 2м компе в настройках TCPIP пишем адрес 192.168.0.2, маска 255.255.255.0, шлюз 192.168.0.1,днс 192.168.0.1. Откладываем его в сторонку.

На 1К для ЛД пишем IP 192.168.0.1, маска 255.255.255.0, остальное - ПУСТОЕ!

Ставим винрут на 1К.

Запускаем администрирование. Вас встретит мастер, он же Wizard. Посылаем в сад, ибо правила он все равно обычно рисует кривые.Прощаемся с мастером и идем в Configuration/Interfaces. Там лучше сразу поименовать сетевые интерфейсы, чтобы далее в них не путаться.

Далее. Configuration/Traffic Policy. Здесь нам предстоят основные танцы с бубном. Последнее правило в списке должно быть any/any/any/drop. Типа стандарт. Суть: Приходит пакет и winroute начинает сверху вниз сверяться на соответствие условиям в правилах. Если пакет соответствует правилу, он по этому правилу обрабатывается и берется следующий пакет. Если ни одно из верхних правил не сошлось с пакетом, пакет отбрасывается согласно самому нижнему any/any/any/drop.

Графы: Name - имя правила, Source - откуда, Dest - куда, Service - порт или протокол пакета, Action - че делать (Permit - разрешить, Deny - запретить, ответив Port unreachable, Drop - похерить втихую), Log - протоколировать действия по правилу, Translation - преобразовывать адреса (Что это? Почитайте а инете про NAT и Port Mapping)

Нам требо:

1. 1К должен видеть без ограничений VPN,ЛК,ЛД. Add. Src - Firewall;Dst - (Network connected to i-face)VPN,ЛД,ЛК;srv - any;act - permit; остальное - пусто.

2. 2К должен видеть инет. add src - ЛД; dst - VPN,act - permit,srv - any;trans - Source NAT to IP of interface VPN

3. 2К должен видеть ЛК. add src - ЛД; dst - ЛК; srv - any; Act-permit;trans - Source NAT to IP of interface ЛК.

4. Из ЛК должны быть видны порты DC на 1К. Идем в настройки ДЦ, прописываем там руками порты. Например 14000/TCP & 14000/UDP, manual mapping firewall , адрес файрвола - ваш адрес в ЛК. В правилах винрута src - ЛК, dst - firewall,srv TCP/14000 + UDP/14000; act -permit

5. Из ЛК должны видеть порты ДЦ на 2К. В ДЦ тоже самое, но другие порты, например 14500. В винруте все тоже, НО другие порты и trans - destination NAT to address 192.168.0.2.

 

Соответственно для любого другого приложения (осла например) придется также открывать порты в стенке. Вроде все. Правда башка уже не варит, чего пишу. Мог и перепутать чего... :P На сегодня пожалуй хватит...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вроде все. Правда башка уже не варит, чего пишу. Мог и перепутать чего... :rolleyes: На сегодня пожалуй хватит...

 

Есть одна хитрость: чтобы ускорить работу winroute, при условии, что у вас нет в локальной сети серверов, на которые надо прокидывать порты снаружи, в файле winroute.cfg на интерфейс, смотрящий в локалку надо прописать:

 

Было:

<listitem>

<variable name="Id">Здесь идентификатор локальной сетевухи</variable>

<variable name="Name">Local LAN</variable>

<variable name="Medium">0</variable>

<variable name="Bandwidth">0</variable>

<variable name="Outside">0</variable>

<variable name="FirewallExclude">0</variable>

</listitem>

 

Стало:

<listitem>

<variable name="Id">Здесь идентификатор локальной сетевухи</variable>

<variable name="Name">Local LAN</variable>

<variable name="Medium">0</variable>

<variable name="Bandwidth">0</variable>

<variable name="Outside">0</variable>

<variable name="FirewallExclude">1</variable>

</listitem>

 

Такая настройка приведет к тому, что Winroute не будет отрабатывать пакеты вашей внутренней локалки, кроме пакетов предназначенных наружу.

Также в правилах роутинга надо добавить те статичные правила, которые есть в местном FAQ

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Также в правилах роутинга надо добавить те статичные правила, которые есть в местном FAQ

Вообще-то он вроде все системные статические маршруты подхватывает. У меня по крайней мере съел...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пользовался winroute, но у него есть одна большая проблема - на высоких скоростях начинает ужасно грузить процессор. Так, если 192.168.0.2 будет пытаться качать из ДЦ со скоростью 4 мбайт в секунду, то, винроут сможет отдать ему всего лишь 2мегабайт в секунду, при этом будет гузить процессор 192.168.0.1 на 100%. Такие траблы заставили отказаться меня от этой софтины, во всяком случае на ближайшее время! Сейчас пользую стандартные средства Windows Server 2003 для тех же целей. Конечно же удобств поменьше, но необходимый функционал присутствует! Зато процессор свободен даже на слабой машине и скорость стремится к ста мегабитам.

 

Ну а вообще инструкция толковая и очень полезная, думаю многим очень пригодится! Вот еще бы скриншотиков :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Зато процессор свободен даже на слабой машине и скорость стремится к ста мегабитам.

пришел к тому же мнению... на головной машине невозможно работать, если дочка качает...

 

встроенные возможности виндовс - руль...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пользовался winroute, но у него есть одна большая проблема - на высоких скоростях начинает ужасно грузить процессор. Так, если 192.168.0.2 будет пытаться качать из ДЦ со скоростью 4 мбайт в секунду, то, винроут сможет отдать ему всего лишь 2мегабайт в секунду, при этом будет гузить процессор 192.168.0.1 на 100%.

 

После доработок, о которых я говорил и установке последнего патча, винрут теперь жрет у меня максимум 70% при полной загрузке 2 сетевух и большом количестве нестандартных правил... Да, еще нужен правильный кряк, так как это тоже влияет на загрузку проца. Полный комплект лежит у меня в DC

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А еще проще купить рутер за $30 и не парится с настройками, если конечно настройки это не самоцель :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А еще проще купить рутер за $30 и не парится с настройками, если конечно настройки это не самоцель :blink:

Ну с роутером всё проще, но там ограничен функционал. У меня вот сейчас работает несколько нужных служб для меня, которые на роутере запустить бы не смог.

Наземенимые плюсы роутера - размеры и тишина... :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Наземенимые плюсы роутера - размеры и тишина...

 

И низкое энергопотребление :blink:)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И низкое энергопотребление :blink:)))

это да, но меня это мало волнует, т.к. у меня счетчика нет, похитили и я плачу фиксированный тариф :blink:

 

Это уже оффтопик, поэтому предлагаю этот разговор свернуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А еще проще купить рутер за $30 и не парится с настройками, если конечно настройки это не самоцель :)

 

Вопрос. Чем считать трафф от каждой локальной машины в интернет ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос. Чем считать трафф от каждой локальной машины в интернет ?

 

Наверное ни чем. Точнее не знаю как ответить на этот вопрос.

 

Плюс рутера в том что гморой=0. А минус в том что он,естественно, менее гибок чем софтовое решение.

 

Вот в этой ветке более менее подробно обсужден вариант с рутером:

 

Проблема с организацией 2-го VPN соединения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос. Чем считать трафф от каждой локальной машины в интернет ?

Если ориентируемся на Winroute, то встроеные средства учета + анализаторы логов (напр. Webspy analyzer, Internet access monitor)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати а обязательно керио юзать? Может все подручными методами можно сделать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
' date='Feb 19 2006, 22:08' post='455732']

Кстати а обязательно керио юзать? Может все подручными методами можно сделать?

Насколько я понимаю, встройкой от XP можно только Source NAT реализовать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Насколько я понимаю, встройкой от XP можно только Source NAT реализовать...

Да вроде да, причем только в одну сеть, т.е. либо в ВПН либо в локалку :crazy: Зато встроенными средствами windows server 2003 можно всё реализовать и без всяких тормозов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да вроде да, причем только в одну сеть, т.е. либо в ВПН либо в локалку :lol: Зато встроенными средствами windows server 2003 можно всё реализовать и без всяких тормозов.

Ты кого тормозом назвал? <_<:lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ты кого тормозом назвал? :beer2::lol:

да просто уточнил ;) не обижаться!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...

Зато встроенными средствами windows server 2003 можно всё реализовать и без всяких тормозов.

 

Подтверждаю...

По лоховатости и стремлению максимального учета вбил в 2003-й ISA сервер. Намаялся я с ним... Правил море, конфликтуют, желаемого не добиться, проц в 100%...

 

Снес её (ИСУ) фпечь.

 

Одним движением мыши расшарил ВПН, далее все само - поднялся днс, дхцп, домашние машинки подцепили ай-пишники, им раздался интернет, осталось лишь роуты прописать из ФАК. Начинающим серверистам - очень рекомендую идти именно таким путем.

 

И теперь скорость сливания в ДЦ с некоторых машин доходит до 6 МБайт/сек(!).

 

Так что у кого 0,8 - 1,5 МБайт/с стоит задуматься о возможно лишнем установленном софте...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подтверждаю...

По лоховатости и стремлению максимального учета вбил в 2003-й ISA сервер. Намаялся я с ним... Правил море, конфликтуют, желаемого не добиться, проц в 100%...

 

Снес её (ИСУ) фпечь.

 

Одним движением мыши расшарил ВПН, далее все само - поднялся днс, дхцп, домашние машинки подцепили ай-пишники, им раздался интернет, осталось лишь роуты прописать из ФАК. Начинающим серверистам - очень рекомендую идти именно таким путем.

 

И теперь скорость сливания в ДЦ с некоторых машин доходит до 6 МБайт/сек(!).

 

Так что у кого 0,8 - 1,5 МБайт/с стоит задуматься о возможно лишнем установленном софте...

Что-то странно... стендартным Internet Connection sharing ты открыл трансляцию адресов и в локалку и в ВПН? Как удалось?

 

Я всё настроил через routint and remote access. Никаких иса серверов не надо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я всё настроил через routint and remote access. Никаких иса серверов не надо!

 

Расскажи, как делал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то странно... стендартным Internet Connection sharing ты открыл трансляцию адресов и в локалку и в ВПН? Как удалось?

 

Я не говорил, что открыл трансляцию адресов в локалку. Это я сделаю позже, опять же средствами сервера. То, что я не буду ставить никакой стороний софт - это я уже решил окончательно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Расскажи, как делал?

Даже не знаю, что рассказывать, там всё достаточно очевидно делается, единственное где затык может случиться, там надо немного нетривиально поколдовать с маршрутами.

Могу сделать скриншоты ключевых мест настройки. Могу по радмину показать как настраивается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

выставь скрины, пожалуйста

Итак, сначала надо раздобыть windows server 2003, хотя в 2000 всё абсолютно аналогично. Далее все манипуляции выполняются в консоли управления службой Routing and Rmote Access.

Выставляю скрины. Посмотрим влезет ли столько в один пост.

post-1451-1140563324.jpg

Ставим всё так же как у меня нарисовано.

post-1451-1140563365.jpg

post-1451-1140563422_thumb.jpg

post-1451-1140563437.jpg

post-1451-1140563453_thumb.jpg

post-1451-1140563459.jpg

 

Нда... в один пост можно вствлять только 5 картинок <_<

 

 

Далее создаем ВПН соединение. Это делается немного необычным способом:

post-1451-1140563699_thumb.jpg

post-1451-1140563708.jpg

post-1451-1140563742.jpg

post-1451-1140563753.jpg

post-1451-1140563763.jpg

 

post-1451-1140563828.jpg

post-1451-1140563835_thumb.jpg

post-1451-1140563842.jpg

 

 

 

Теперь настроим свойства ВПН соединения:

post-1451-1140563938.jpg

post-1451-1140563951_thumb.jpg

post-1451-1140563974.jpg

 

post-1451-1140564189.jpg

Теперь таблица маршрутизации:

post-1451-1140564211_thumb.jpg

Теперь трансляция адресов:

post-1451-1140564238_thumb.jpg

post-1451-1140564249_thumb.jpg

 

post-1451-1140564322_thumb.jpg

post-1451-1140564329_thumb.jpg

 

post-1451-1140564380.jpg

Теперь такие же действия по добавлению трансляции адресов надо провести с подключением к корбиновской локалке. Всё абсолютно то же самое.

 

У подключения к домашней сети на вкладке NAT/Basic Firewall выбрать пункт - Private interface connected to private network. Остальное не трогать.

 

Ну и остались финальные шаги:

post-1451-1140564587_thumb.jpg

 

 

post-1451-1140564646.jpg

Появляется такое окошко. У меня подключение случается в среднем за 4-5 секунд. Если за 10 секунд окошко не поропало, значит что-то вы настроили не так.

post-1451-1140564662.jpg

 

Статистику подключенного ВПНа можно смотреть тут:

post-1451-1140564731.jpg

 

Выглядит она так:

 

 

post-1451-1140564764_thumb.jpg

 

Вот и всё. Надеюсь ничего не забыл. По такой схеме у меня всё работает просто прекрасно и стабильно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробовал перейти на эту схему. Действительно быстрее, чем Керио. Посмотрим, как будет работать :angry: Пока не очень понравилась настройка фаера - многие примитивные вещи приходится делать через одно место, как впрочем и многое у M$ :angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Суть проблеммы: стоит две машины, одна под сервак (на ней стоит прокси сервер "UserGate" v2.8) для DC++ и для домашней сети (настольный + нотубучина + брат). Хочу играть в онлайновую игруху, но tracert до неё с настольного не доходит, а с сервака доходит. Пробовал отключать все антивирусы и антихакеры, но не прокатило. Подозреваю что дело в маршрутизации, т.к. если делаю tracert до машины находящийся во внутренней корбиновской сети (AwesomeBanana привет), то всё нормально. но где это прописывать не знаю.

_________________

В DC++ Ghark

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Суть проблеммы: стоит две машины, одна под сервак (на ней стоит прокси сервер "UserGate" v2.8) для DC++ и для домашней сети (настольный + нотубучина + брат). Хочу играть в онлайновую игруху, но tracert до неё с настольного не доходит, а с сервака доходит. Пробовал отключать все антивирусы и антихакеры, но не прокатило. Подозреваю что дело в маршрутизации, т.к. если делаю tracert до машины находящийся во внутренней корбиновской сети (AwesomeBanana привет), то всё нормально. но где это прописывать не знаю.

_________________

В DC++ Ghark

Да ну, чего все к этим прокси привязались. Пользуйтесь NAT и всё будет удобно и надежно. Я вот найду в себе наконец силы и сделаю учебник по настройке этого дела в Windows Server 2003.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах