маппинг портов для доступа к машине за общим внешним айпи. Требуется помощь ТЕЛЕПАТОВ
 

Дано:
Сеть в здании. Компы в здании объеденины в локальную сеть с ИПами 192,168,х,х (как обычно) . Все ходят в инет (как обычно) через шлюз-машину (роут1) и сидят как бы все за одним общим ИП.
У меня в здании отдел, который я админю самостоятельно. На вход в него я поставил роутер (Д-линк) (роут2) и за ним сделал свою локальную сеть с адресами типа 115,1,1,х
Компьютеры из моей сети замечательно через мой роут и роут здания ходют в инет и пр и типа все бы ничего, да вот только отсутствие внешнего ИПа не позволяет мне админить сеть удаленно :(

Мне добрые люди вроде как объяснили, что это решаемо через прописывание на роут1 маппинга портов, что бы он ряд портов, перебрасывал напрямую на мой роут2 и уже там моя коробочка будет в зависимости от того на какой к ней порт обратились - подключать меня к нужной машине.

Задача в общем то простая и стандартная
Дело ослажняется
1. Я в компьютерных сетях - самоучка, это не мой профиль и я разбираюсь строго в том, что пригождалось уже мне в повседневности
2. Я не знаю, что за оборудования у админа здания
3. Отношения с админом здания довольно сложные, его сложно поймать, он не шибко стремится помогать (принудить можно), без четко поставленной и мотивированной задачи его врят ли удастся заставить решить проблему

Так что треба пошаговые инструкции по конфигурированию "сферического роутера в вакууме", т.е. какие инструкции в него надо записать, что бы он пропрасывал порты на мою машину
и во вторых - мне хотелось бы глянуть краткое ЧаВо по маппингу и пр., что бы не перелопачивать 400+ страниц текста, посоветуйте где почитать.

сферические инструкции сводятся к вопросу админу, а ты мне пробросишь порты такие-то на мой адрес?
и ответе в виде посылания в пешее эротиеские доказывать целесообразность создания дыр в системе безопасности, если он вменяем, конечно.
В реальности вам нужно переговорить с админом, чтобы он запустил вас в сеть через то, через что он сам админит, куда он вас не пустит уже с меньшей вероятностью.
Как вариант обойти все - поставить модем на городской телефон.

А ознакомиться с самой процедурой можете на основе мануала к вашему роутеру - если порты пробросят, вам это тоже придется делать.
И в общем прочитать про NAT и PAT, чтобы понять откуда растут ноги .

К телепатам...

Ну там отягощается все тем, что отловить этого админа - весьма сложно. У него оборудование вроде как настроено и он сам появляется редко. В его комнате сидят люди (какой то свой "рекет"), но они заявляют, что в настройках роутера - не рубят.
Потому мне нужно иметь заготовленную мантру, что бы застав админа отсеч все его возражения (диктуемые ленностью) и заставить его сделать то что мне надо, т.к. он получал уже распоряжение от начальства, что "должен мне содействовать"

это не вариант :biggrin:

Ну на коробочке д-линковской, которая у меня роутит ве просто: там веб-интерфейс в котором просто все прописывается без всяких команд и заморочек.

Ну я уточню, что прописывать на Роут1 должен админ и команды шела мне не нужны, мне нужно убедить админа, что это НАДО сделать, при том дать ему понять, что отделаться от меня "Я не могу сделать это посоображениям безопаснсти" - не получится

И, кстати, совершенно напрасно... http://www.robtex.com/cnet/115.1.1.html
Для частных сетей выделено ровно 3 диапазона IP-адресов (Private Networks):
10/8
172.16/12
192.168/16

Т.е. ничего Вам настраивать не нужно, нужно просто убедить админа в том, что нарушение режима безопасности таковым не является?
Если админ хоть чуть-чуть разбирается в вопросе - забудьте. Убедить в такой ахинее можно только полного лоха...
Если доступ осуществляется через шлюз "роут1" без ограничений по портам - используйте стандартные решения типа "коммутатор посередине" - комп из локальной сети (а лучше "роутер (Д-линк)") устанавливает VPN-туннель на сервер с внешним IP, Вы для администрирования подключаетесь к этому же серверу и имеете доступ к локалке, ограниченный только Вашей фантазией и настройками туннеля.

гггг..
это не ленивость это понимание того, что он делает и за что отвечает..
вообще, же после этого обращения ваш wifi игрушка, ведь так, да хоть бы и не так, будет изгнан ссаными тряпками.
А если человек злой попадется и вы его допечете, то ввалит потом по этим портам чего нибуть где-нибуть на килобакс - так ради прикола

ну 155 я написал так, для примера. Нормальный у меня диапазон :)

Мне нужно, что бы он одеспечил мне возможность управлять моим оборудованием извне. Больше от него - ничего не требуется.

Странно. Эту идею с портами мне предложил амин другого нашего подразделения, несравнимо более крупного и ответственного чем то где стоит "недоступная" коробочка.

Ну абсолютно надежного сервака на который можно снаружи повесить это ВПН подключение у меня к сожалению нет в распоряжении.
Дело в том, что этот вот доступ "снаружи" мне нужен в основном для экстенных случаев, а в таких случаях по единственному неприложному закону Всемирного свинства - и этот сервак почему то заглючит небось.

А вот с использование DDNS эту задачу решить можно? т.е. прописать на "роутер д-линк" сопоставление с ник.dyndns.com и просто обращаться уже по нему к роутеру. Будет ли такое работать сквозь общий АйПишник?

Вы как то неразборчиво изъясняетесь....

Предложить что угодно и я могу. В устной беседе. Только если в зоне моей ответственности кто-то попробует реализовать такое предложение (моё или нет - не суть важно) - буду пресекать всеми доступными способами. Идея хорошая и правильная, но снижает уровень безопасности сети и противоречит текущей политике безопасности предприятия.

Нет. DDNS просто привязывает доменное имя к "белому" IP и попасть на "серый" никак не поможет (пока не проброшены порты). А когда порты проброшены - попасть куда надо можно и без DDNS просто зная "белый" IP и нужный порт.

Ну так и договаривайтесь с ним. Мы-то тут причём? :confused:
На крайний случай - убедите руководство, что такая настройка необходима и админу просто дадут соответствующее распоряжение. Пока руководство такого распоряжения не дало - админ абсолютно прав, отказываясь снижать безопасность сети. Ибо в случае чего - виноват будет он (за неимением распоряжения свыше в письменном виде).

Еще раз. Для ясности.
У данного "предприятия" нет какой либо "политики безопасности", нет какой то пробуманной "ИТ-структуры". Есть компьютерный класс, в который приходит кабель с инетом, из этой комнаты всем кому нужно, без особых мыслей о топологии и пр - разведен именно Инет. Вся локалка засрана вирусами до невозможности и админу на это класть с прикладом. Вроде как у него вообще все порты открыты.
Именно для обеспечения безопасности и контроля я и вывел свою сеть за отдельный роутер.
Админит это дело вса такой же самоучка как и я, только еще и яростно желаюший срубить на всем деньгУ на карман.

А Стримовским авбонентам разве раздается реальный "белый" ИП ? Разве они все не за НАТом сидят? просто я как раз наткнулся на инструкции как при помощи DDNS там Радмин подключить, вот и решил, что может быть це панацея...

Я разве ж где то просил вас подъехать и решить проблему?:confused:

Да бумажку я могу какую угодно сканстралить, это не проблема. Проблема в том, что когда я приходил к этому "админу" с бумагой , что мне выделен ИП - он сказал, что не знает как ему настроить свое оборудование, что бы оно асоциировало этот ИП с моим "роутер Д-линк" висящим в локальной сети.
Так что тут элементарное неумение нежелание что либо делать.
Отдел который я админю и который сидит за моим роутом - воодще самое главное что есть в этой сети.
Таким образом все сводится к тому, что бы отловить этого "админа", который не каждую неделю бывает на данном рабочем месте, напряч его и объяснить как обеспечить мой беспрепятственный доступ извне к моему оборудованию, а уж когда он начнет мне про "безопасность" или денег захочет, тогда я ему уж такую "окончательную бумажку" суну, что у него вариантов не будет.

добавлено через 18 минут
Кстати, а вот эта вот програмка не подойдет в моем случае без моего собственного промежуточного сервера?
http://ru.wikipedia.org/wiki/Hamachi

Не знаю, как в других местах, но в Москве - раздаётся. Не статика (т.е. не закреплённый за определённым абонентом), но реальный "белый" IP. И в такой ситуации DDNS позволяет обращаться к этому "белому" IP не зная самого IP (т.е. при смене IP происходит его перепривязка к доменному имени, прозрачно для пользователя). Собственно, для этого DDNS и предназначен - сделать динамические IP "псевдостатическими".

И Вы всерьёз полагаете, что не зная оборудования/ПО мы вам сейчас на пальцах объясним что и куда там настраивать? :confused: Причём ещё и так, чтобы Вы сумели объяснить это ленивому и некомпетентному (по вашему же утверждению) "админу"?..
Извините, но такое и телепатам наврядли под силу... Это уже из области ненаучной фантастики. Сродни поискам человека, который произведёт все необходимые настройки волевым усилием, выражаемым в форме "Хочу чтоб ТАК работало!"...

Нет. Но насколько я понял хотите от нас невозможного... ;)

Подойдёт. В случае, если Вы доверяете данному сервису...

Странно тады. Я пытался со знакомой сидящей на Стриме сконтачиться, она переслала мне результат ipconfig /all я взял оттуда её ИП 91.78.х.х , но ни пингануть этот ИП, ни подключить Радмин по нему (сервер был запущен) - я не смог.

Ну вообще существуют же вероятно некоторые общие принципы, не зависящие от конкретного оборудования.
Например уже сейчас понятно, что я должен попросить админа "Сделайте мне форвардинг 20 портов с номерами > 4000 на мой ИП адрес". А уж дальше будет по классике "Не умеешь - научим, не хочешь - заставим"
Проблема, повторюсь, что бывает он редко и отловить его сложно.

Ой ли ;)

Так, а можно поподробнее: в чем опасность этого сервиса?

Что отнюдь не говорит о "серости" IP...
http://www.robtex.com/route/91.76.0.0-14.htmlВсе IP за исключением вышеупомянутых частных являются "белыми". Во всяком случае - в теории...
Если Вы не смогли приконнектиться по "белому" IP - значит, либо этого не позволяют настройки на той стороне, либо Вы что-то делали не так. Я лично сидя на Стриме прекрасно залезал на домашний комп снаружи и RAdmin'ом, и виндовым RDP, и по FTP, и по http. И сейчас на Корбине залезаю не хуже...
Не только этого - вообще практически любого чужого сервиса коммутации.
Все ваши данные (логины, пароли, явки, адреса, служебная/гос. тайна) будут передаваться через сервер хамачей и доступны для перехвата на нём. Будет или нет сервис использовать ваши данные в своих интересах или передавать третьим лицам - неизвестно, но такой технической возможностью он располагает. Кроме того, существует и возможность взлома сервиса, и принуждение его к сотрудничеству некими гос. структурами...
В общем, если информация на ваших компах представляет хоть какую-то ценность/тайну - лучше чужих сервисов не использовать.