τοπολογια δικτυου και ερωτησεις

[geioannou]

παντος κατι αλλο που μου εκανε εντυπωση και ηθελα να σας ρωτησω ειναι το εξης.

 

με συντομια για να φτασω στο ζητούμενο, (θα αλλαξουν αυτα αυριο)

 

- adsl router εχω βαλει 192.168.10.1

- wan1 firewall 192.168.10.5

- lan1 firewall 192.168.1.1 και

- το νετβοοκ μου 192.168.1.5 απο τον dhcp του lan1

 

 

πως γινετε απο το νετβοοκ που ανοιξει σε διαφορετικο subnet απο αυτο του adsl router, να χτυπαω το interface του και να μου το ανοιγει !!!

- πως γινετε αυτο ?

- εαν το καταλαβαινει απο μονο του οτι πρεπει να κανει γεφύρωση, ειναι σωστο ?

[Rabican]

simple routing! to firewall εχει πανω του τα 2 δικτυα (192.168.1.0/24 k 192.168.10.0/24) επομενως ξερει τι να κανει το traffic που του ερχεται απο το ενα προς το αλλο και αντιστροφα. το προβλημα ενδεχομενως να το ειχες εαν το firewall ειχε πολλα δικτυα επανω του, το ενα πισω απο το αλλο και πολλες ζωνες, αλλα και παλι με καταλληλο configuration θα λυνοταν.

 

για να στο κανω πιο λιανα, το νετμπουκ σου ζηταει την 192.168.10.1, στελνει το πακετο στο firewall, το firewall περναει το traffic στo router, και ετσι γυρναει και η επιστροφη..

[geioannou]

μαλιστα κατανοητο.

 

και κατι αλλο

το adsl router να το βαλω στο ιδιο subnet με το firewall, 192.168.1.0/24 δινοντας του μια αναλογη ΙΡ π.χ. 192.168.1.250 η να το βαλω σε διαφορετικο subnet ??

 

η δικη μου σκεψη ειναι, μιας και το wifi του adsl router λειτουργει ακομα και σε bridge mode, να το βαλω σε διαφορετικο subnet σε περιπτωση που ποτε γινει χρηση απο καποιον εξωτερικο χρηστη του δικτυου (εννοειτε εις γνωση μου).

 

πια ειναι η σωστη λογικη ?

[Rabican]

τωρα με μπερδεψες λιγο. αν ο ρουτερ παιζει bridged και ουσιαστικα δουλευει ως atm interface για παρτη του firewall, δεν ξερω πως θα τα συνδεσεις. οπως ειπα και πριν, δεν εχω δουλεψει ποτε modem/router σε bridged mode και σου απαντω λιγο βασει θεωριας/λογικης.

 

κανοντας μια παρακινδυνευμενη υποθεση, θεωρω πως η dsl πεφτει πανω στο router, ενα απο τα ethernet του router συνδεεται με το wan του firewall (και τα δυο physical interface ειναι rj45), αρα βασει λογικης δεν οριζεις καμμια ΙΡ εκει (στο wan του firewall μπαινει η public απο τον provider, ενω στο router δεν ξερω αν και πως οριζεται ΙΡ). στο παραπανω σεναριο μπερδευομαι λιγο γιατι συνηθως τα μικρα αυτα router εχουν απλο και ΟΧΙ managed switch ενσωματωμενο. αρα ουσιαστικα εχουν 1 ethernet interface, που απλα εχει πανω του ενα 4πορτο dump switch. εκει λιγο δεν το εχω σαφες στο μυαλο μου πως παιζει...!

[geioannou]

ναι δικιο φαινεται να εχεις ετσι οπως το λες.

 

απλος εχτες που το κοιταζα σε κατασταση brigded που το εβαλα καποιο στιγμη το adsl "ακουγε" σε καποια ΙΡ σαν συσκευη(φανταζομαι δεν μπορει να γινει και αλλιος). οποτε αυτο που ρωταω ειναι εαν αυτη η ΙΡ ειναι καλο να ειναι σε διαφορετικο subnet απο το firewall ?

εκτος εαν διατηρεί την ΙΡ μονο για να μπορει συνδεθεί καποιος επανω του και δεν εχει καμια αλλη λειτουργικη σημασία, οποτε και το υπολοιπο μερος του adsl ειναι σαν atm interface

[geioannou]

λοιπον εκανα

- bridge mode το adsl router

- δημιουργισα ενα ppp μεσα στο firewall (εβαλα username klp) και η γραμμη ειναι connected.

 

ερωστησεις

 

διπλα την public ip που φαινεται να εχει παρει βλεπω σαν subnet 255.255.255.255. φισιολογικο το εχει τετοιο subnet ?

 

 

επισης παραθέτω μια εικονα απο το ΝΑΤ διότι δεν μπορω να καταλαβω το πως θα κανω τις απαραίτητες ρυθμησεις, εαν κανεις μπορει να βοηθηθει απο την εικονα καλο θα ηταν

(εαν το οτι δεν εχει Inet οφείλετε σε αυτο

 

το βασικο ζητουμενο για την ωρα ειναι να εχουμε inet μεσο του firewall

[Rabican]

το /32 δικτυο ειναι σωστο που στο βγαζει..

 

για το αλλο το κοιταζω...

[At0m0]

Μην διαβάσετε το spoiler. Βλάπτει σοβαρά την υγεία.

 

 

Από που να αρχίσω άραγε....

 

Ας αρχίσω από το #46.

Όπως έγραψα, και αν δεν κάνω τραγικά λάθος, το zyxel κάνει ΑΥΤΟΜΑΤΑ ΚΑΙ ΠΑΝΤΑ NAT στο/στα interface που είναι ορισμένο/α ώς "zone=wan"

Άρα, οτιδήποτε προέρχεται από το lan1 (192.168.1.1/24) που γράφεις, όταν πάει να βγει από το wan1 ΠΑΝΤΑ φαίνεται ότι είναι ένα αίτημα από την IP 192.168.10.5.

Η 192.168.10.5 ανήκει στο υποδίκτυο του adsl-modem-router, άρα καλώς την δέχεται και καλώς συνδέεται.

Δηλαδή το αίτημα:

192.168.1.5:some_port---->192.168.10.1:80 (web interface στο adsl-modem-router)

λόγω του NAT στο wan1, καταλήγει να γίνει:

192.168.10.5:some_port---->192.168.10.1:80 (web interface στο adsl-modem-router)

Αυτό κάνει το NAT συνέχεια.

 

@Rabican #47

"simple routing! to firewall εχει πανω του τα 2 δικτυα (192.168.1.0/24 k 192.168.10.0/24) επομενως ξερει τι να κανει το traffic που του ερχεται απο το ενα προς το αλλο και αντιστροφα."

Σωστό αυτό που γράφεις ως διαδικασία, αλλά στην περίπτωση του geioannou, δεν έπαιξε γι' αυτό τον λόγο.

Αυτά τα μικρά adsl-modem-router (συνήθως) ΔΕΝ επιτρέπουν σύνδεση στο web interface/CLI τους μέσω των LAN ports τους ΠΑΡΑ ΜΟΝΟ αν η IP του αιτήματος ανήκει στο υποδίκτυο που εξυπηρετούν (192.168.10.0/24 στο παράδειγμα).

Αν συνέβη αυτό που γράφεις (routing), το adsl-modem-router επέτρεψε στην IP 192.168.1.5 να συνδεθεί στην IP 192.168.10.1 (χλωμό, τουλάχιστον το δικό μου adsl-modem-router δεν επιτρέπει κάτι τέτοιο, έχει εχμ, "super" ασφάλεια )

Αν ισχύει αυτό που γράφω εγώ (ΝΑΤ πάνω στο wan1) το adsl-modem-router επέτρεψε στην IP 192.168.10.5 να συνδεθεί στην IP 192.168.10.1.

 

@#48

"το adsl router να το βαλω στο ιδιο subnet με το firewall, 192.168.1.0/24 δινοντας του μια αναλογη ΙΡ π.χ. 192.168.1.250 η να το βαλω σε διαφορετικο subnet ??"

Όπως έγραψε και ο Rabican "τωρα με μπερδεψες λιγο"

 

Εάν μιλάμε ακόμα για κατάσταση "bridged" τότε:

A) το adsl-modem router έχει IP 192.168.1.250/24 στο LAN_port του

Β) το zyxel έχει IP 192.168.1.1/24 στο δικό του LAN_port (lan1)

Γ) το zyxel ΔΕΝ ΕΧΕΙ IP στο wan1 ή και να έχει μας είναι αδιάφορη.

 

1) Βάζεις ΕΝΑ καλώδιο UTP μεταξύ Α και Β => ίδιο subnet = ίδιο δίκτυο

2) Βάζεις ΕΝΑ καλώδιο UTP μεταξύ Α και Γ => δεν έχω τίποτα !!! (εχμ, έχω απλά ethernet για να κάνω παρακάτω PPP over Ethernet)

 

Επειδή όμως εσύ θέλεις να παίξει ΚΑΙ το wifi ΠΡΕΠΕΙ να βάλεις ΚΑΙ τα δύο UTP καλώδια !!

Από το καλώδιο UTP της περίπτωσης (1) περνάει η κίνηση του wifi και πάει στο LAN του zyxel.

(Ναι, ναι, μπορείς να βάλεις το wifi στην lan2 του zyxel, με διαφορετικό subnet από αυτό του lan1 και να τα έχεις χωριστά)

Από το καλώδιο UTP της περίπτωσης (2) περνάει το PPPoE.

 

Τι είναι το PPPoE; (οεο!)

PPPoE = PPP over Εthernet

Μπακαλίστικα...

Τo (virtual) wan1_ppp που έφτιαξες (post #51) στέλνει πάνω από (over) το (physical)wan1 ένα(πολλά) "πακέτο" PPPoE.

To (physical)wan1 του zyxel, το αγνοεί επιδεικτικά και απλά το αφήνει να περάσει.

Το (physical)lan1 του adsl-modem-router επίσης το αγνοεί επιδεικτικά και απλά το αφήνει να περάσει.

Το λειτουργικό σύστημα του adsl-modem-router, επειδή του έχουμε πει να δουλεύει σε κατάσταση bridged, όταν "επεξεργαστεί" αυτό το PPPoE πακέτο, το στέλνει με τη σειρά του στο atm interface του, για να φτάσει εν τέλει στον κοντινότερο BBRAS !!!

Άρα τι έχουμε εν τέλει από τα παραπάνω ;

Έχουμε το (virtual)wan1_ppp interface να μιλάει απευθείας με τον BBRAS.

Όταν "τα βρούνε"(PPP) μεταξύ τους το (virtual)wan1_ppp και ο BBRAS, o BBRAS δίνει στο (virtual)wan1_ppp την (public) IP του και έχουμε internet στο (virtual)wan1_ppp του zyxel!!!

Όλοι οι ενδιάμεσοι (lan port, wan ports, atm ports) ΔΕΝ ΠΑΙΡΝΟΥΝ ΧΑΜΠΑΡΙ από τα παραπάνω, εξου και το PPP over Ethernet.

(Κάπου εδώ ενδέχεται να πεταχτεί κάποιος και να πει ότι το παραπάνω είναι PPPoA ... τέσπα)

 

@Rabican #49

"στο wan του firewall μπαινει η public απο τον provider"

τσου

στο wan1_ppp πάει η public, το έγραψα και παραπάνω σε μια διόρθωση που έκανα, και το επιβεβαιώνει και η εικόνα που έκανε post o geioannou στο #51.

 

"στο παραπανω σεναριο μπερδευομαι λιγο γιατι συνηθως τα μικρα αυτα router εχουν απλο και ΟΧΙ managed switch ενσωματωμενο. αρα ουσιαστικα εχουν 1 ethernet interface, που απλα εχει πανω του ενα 4πορτο dump switch. εκει λιγο δεν το εχω σαφες στο μυαλο μου πως παιζει...!"

Βλέπε παραπάνω την μπακαλίστικη εξήγηση του PPPoE και θα καταλάβεις.

 

 

 

@#51 Γιατί δεν έχεις internet, οέο;

Τα έγραψα αυτά παραπάνω, οεο !!

Αλλά δεν τα διαβάζει κανένας οέο

Δεν έχεις internet (στο lan1) γιατί έχεις πολλά (δύο) interfaces ορισμένα ως Zone=WAN, και το zyxel δεν ξέρει τι να κάνει !!!!

Η αλήθεια είναι ότι ξέρει τι να κάνει.

Αυτό που ξέρει το zyxel είναι ότι το physical interface wan1 προηγείται του virtual interface wan1_ppp.

Οπότε όλα τα αιτήματα από το lan1 τα κάνει NAT στο wan1.

Πίσω από το wan1 όμως, ΔΕΝ ΥΠΑΡΧΕΙ ΤΙΠΟΤΑ (εντάξει υπάρχει το 192.168.10.0/24 αλλά αυτό δεν είναι τίποτα)

 

Δύο λύσεις

α) κάνεις το wan1 ---> Zone = None

β) φτιάχνεις ένα NAT rule σαν αυτό που ξεκίνησες να φτιάχνεις όπου...

Rule Name:Ta_neyra_moy_tsatalia

Classification:Virtual Server

Incomming Interface: LAN1 (το τοπικό lan)

Original IP: Τίποτα. To manual λέει "any" (δεν ξέρω τι είναι αυτή η p@p@Ri@)

User-Defined Original IP: αφού βγάλεις το από πάνω ΜΑΛΛΟΝ θα εξαφανιστεί !!

Mapped IP: εδώ κανονικά πρέπει να διαλέγεις interface και μάλιστα το wan1_ppp KAI OXI να βάζεις με το χέρι IP. To demo δεν βοηθά, ούτε το manual. Τι επιλογές έχεις εκεί ΕΚΤΟΣ από "User Defined";;;

Port Mapping Type:any

Enable NAT Loopback: unchecked, εκτός και αν έχεις ειδικό λόγο να το κάνεις.

 

Αυτά.

 

Υ.Γ.

Εννοείται και πάλι ότι αν μου έχει ξεφύγει καμιά χονδροΠ@P@Ri@, δείξτε έλεος και διορθώστε με.

 

Προσθήκη

Τώρα που ξανακοίταξα το demo, αν στο Configuration->Network->NAT πατήσεις "Policy Route", ΜΑΛΛΟΝ εκεί πρέπει να φτιάξεις το NAT rule γιατί εκεί έχει και πεδίο "Next-Hop" που στο demo είναι όντως το "wan2_ppp" (το demo Zone=WAN)

Για κοίταξε το δικό σου configuration, τι λέει εκεί μέσα.

[geioannou]

λοιποοοοοον, παμε,

 

ξεκιναω με τροπο τετοιο ουτος ωστε να κλεινουμε τρύπες και εκκρεμότητες.

 

- το wifi του adsl ουσιαστικα ΔΕΝ το χρειαζομαι μιας και διαθετω ΑΡ για της εσωτερικες αναγκες. απλος ελεγα μια και υπαρχει να το εβαζα να λειτουργει σε περιπτωση που ερθει καποιος ξεμπαρκος που θελει inet και δεν θα θελω να τον βαλω μεσα στο δικο μου δικτυο....

επειδη ομως μας πριζει λιγο τα @@ και μιας και δεν ειναι τις παρουσης το ξεχναμε....

(αργοτερα που θα ηρεμισουμε μπορει να "παιξω" με το σεναριο της LAN2...)

 

- Γιατί δεν έχεις internet, οέο;

Δεν έχεις internet (στο lan1) γιατί έχεις πολλά (δύο) interfaces ορισμένα ως Zone=WAN

 

σαφος και υπαρχουν 2 interface WAN. αλλα το 2ο (wan2) ειναι:

α) inactive

β) ειναι μηδενικο σε ΙΡ και subnet

δεν θα επρεπε να προωθεί προς τo interface που ειναι connect (εστω) !!

δεν λεω μπορει να το θελει ξεκαθαρα και οχι επειδη θα βολευε εμενα να γινει ετσι...

 

- εαν λοιπον το ZONE στο WAN (wan_ppp) το κανω ΝΟΝΕ, θα παιξει το inet η θα πρεπει να κανω KAI το nat roule ?? (γραφεις 2 λυσεις και εννοεις 1 απο τις 2 η ΚΑΙ τις 2 ?)

επισεις εαν δεν ειναι κόπος, πως ακριβος εννοει το WAN στο πεδιο zone ?

εαν ειχα δηλαδη 2 γραμμες ! περισσοτερο φιλολογικη ερωτηση που θα με ενδιαφερει η απαντηση της μετ το τελος των προβληματων μου.

 

αυριο το πρωι μετα την εφαρμογη των απαραιτήτων νεων δεδομενων θα ανεβασω εικονα με το πληρες μενου του ΝΑΤ.

 

ευχαριστω για ακομα μια φορα.

[At0m0]

wifi

Την επόμενη φορά.

 

"σαφος και υπαρχουν 2 interface WAN. αλλα το 2ο (wan2) ειναι:

α) inactive

β) ειναι μηδενικο σε ΙΡ και subnet

δεν θα επρεπε να προωθεί προς τo interface που ειναι connect (εστω) !!

δεν λεω μπορει να το θελει ξεκαθαρα και οχι επειδη θα βολευε εμενα να γινει ετσι..."

όχι, όχι, όχι και πάλι όχι.

ΤΕΣΣΕΡΑ WAN interfaces ΕΧΕΙΣ !!!

ΔΥΟ είναι τα ethernet ports (P1,P2) τα οποία τα έχουν ονομάσει/βαφτίσει "wan1" και "wan2"

 

Κοίτα την εικόνα...

Έχεις:

Δύο (2) physical interfaces "wan1" και "wan2" (που όλως τυχαίως είναι και τα αντίστοιχα eth_ports p1, p2)

ΚΑΙ,

Δύο (2) virtual interfaces "wan1_ppp" και "wan2_ppp"

Σύνολο τέσσερα (4) WAN interfaces.

 

Από αυτά λειτουργούν μόνο τα ΔΥΟ (2) τα οποία είναι τα εξής:

1) wan1->Port:P1->Status:100M/Full->ΖΟΝΕ=WAN

2) wan1->wan1_ppp->Status:Connected->ZONE=WAN

 

"δεν θα επρεπε να προωθεί προς τo interface που ειναι connect (εστω) !!"

Προφανώς το ρωτάς γιατί βλέπεις ότι το "wan1_ppp" είναι "μέσα/child" στο "wan1"

όχι, όχι, όχι, όχι. καμία σχέση.

το virtual "wan1_ppp" ΧΡΗΣΙΜΟΠΟΙΕΙ το physical "wan1".

Τίποτα παραπάνω, ούτε προώθηση, ούτε οτιδήποτε άλλο.

(Εντάξει έχουν και άλλες σχέσεις αλλά όχι αυτές που σκέφτεσαι εσύ προς το παρόν)

 

Αυτό που πρέπει να σε ενδιαφέρει ΔΕΝ ΕΙΝΑΙ το όνομα των interfaces ΑΛΛΑ σε ποια ΖΟΝΕ ανήκουν.

Έτσι το έγραψα και στο προηγούμενο post "γιατί έχεις πολλά (δύο) interfaces ορισμένα ως Zone=WAN"

Δεν έγραψα ότι "είναι wan interfaces" έγραψα ότι είναι "ορισμένα ως Zone=WAN"

 

Επανάληψη:

Πόσα "ΖΟΝΕ=WAN" έχεις; (δεν ρωτάω πόσα είναι "ονοματισμένα" ως "wan", αλλά τι δουλειά κάνουν)

Τέσσερα

Πόσα λειτουργούν;

ΔΥΟ το "wan1" και το "wan1_ppp"

Δεν μας ενδιαφέρει που το ένα είναι μέσα στο άλλο, είναι διαφορετικά πράγματα μεταξύ τους.

Πού πρέπει να κάνει NAT ο zyxel;

Σε ένα από τα interfaces που έχουν οριστεί ώς "Zone=WAN", δηλαδή στα interfaces τα οποία ΜΑΛΛΟΝ έχουν "επαφή" με το Internet = wan = wide area network.

Σε ποιο από τα δύο interface που λειτουργούν πάει να κάνει NAT το zyxel;

Στο "wan1"

Γιατί προτιμάει το "wan1";

Γιατί είναι physical interface και προηγείται σε σχέση με το "wan1_ppp" (όχι γιατί είναι "απέξω" από το "wan1_ppp")

Γιατί δεν κάνει NAT από το "wan1_ppp";

Γιατί κανείς δεν του είπε ότι αυτό είναι πιο σημαντικό!!

Τι πρέπει να κάνεις για να γίνει "σημαντικό" το wan1_ppp;

Να κάνεις το "wan1" ασήμαντο, δηλαδή (Λύση 1) να του ορίσεις το ΖΟΝΕ=none.

(ΕΛΠΙΖΩ ΝΑ ΔΟΥΛΕΥΕΙ ΑΥΤΗ Η ΛΥΣΗ)

Υπάρχει άλλος τρόπος να το κάνω;

OMG, προς το παρόν ξέχνα το

 

"επισεις εαν δεν ειναι κόπος, πως ακριβος εννοει το WAN στο πεδιο zone ?

εαν ειχα δηλαδη 2 γραμμες ! περισσοτερο φιλολογικη ερωτηση που θα με ενδιαφερει η απαντηση της μετ το τελος των προβληματων μου."

Zone=WAN σημαίνει ότι πίσω/μετά/έξω από αυτό το interface βρίσκεται το "internet" (Wide Area Network)

Tα ΟΝΟΜΑTA "wan1" και "wan2" ΔΕΝ ΣΗΜΑΙΝΟΥΝ ΤΙΠΟΤΑ.

"Και γιατί τα ονομάσανε έτσι οι μ@λ@κ3Ζ;"

Κυρίως για να πούνε στους χρήστες ότι αυτές τις πόρτες (P1, P2) δεν μπορείς να τις "ενώσεις" με τις διπλανές (P3, P4, P5, P6) που "ονομάζονται" LAN και να φτιάξεις π.χ. στην περίπτωσή σου ένα 6πορτο switch για ένα subnet

 

Να έγινα άραγε κατανοητός;

Επεξ/σία 14 Φεβρουαρίου 2012 από At0m0

[geioannou]

At0m0 μετα απο πολυ προσεκτικη αναγνωση ολων των παραπανω σου εχω μια πολυ καλη ερωτηση

 

εγω απο που θα επρεπε να τα ξερω ολα αυτα !!!! οΕο !!!!

 

 

και προχωραμε λοιπον,

ξεκινώντας το πρωι τράβηξα ενα reset στο firewall μιας και δεν με αφηνε να γυρισω το WAN σε ΝΟΝΕ. οποτε εκανα τα εξης:

- αλλαγη της ΙΡ του adsl router σε 192.168.1.250 και bridge mode.

- firewall (reset) και ετρεξα το wizard που του δηλώνεις ISP ...

πριν προχωρισω σε NAT και τα υπολοιπα λεω δεν ανοιγω ενα browser να δω τι γινεται ???!!!!

και ανοιγωντας προς μεγαλη μου εκπληξη ειδα να ανοιγει εμπρος μου η default σελιδα που εχω ορισει !!!! ε, ρε γλεντια

αρχισα να παιzω λιγο με το inet ανοιγωντας σωρηδόν σελιδες για να επιβεβαιωσω την σωστη λειτουργια μιας και δεν ειχα κανει τιποτε παραπανω απο την προηγουμενη φορα. μαλιστα επαιζε χωρις να εχω κανει το WAN σε NONE.

γρηγορα διαπιστωσα ομως οτι μερικες σελιδες ΔΕΝ τις ανοιγε. και οσο περνουσε η ωρα αυτες ποου δεν ανοιγε, μετα απο λιγο τις ανοιγε και αλλες που αρχικα τις ανοιγε μετα ΔΕΝ τις ανοιγε.

λεω "τα πιασαμε τα λεφτα μας" καλυτερα να μην επαιζε τιποτα παρα αυτη η ημιμέτρη κατασταση.

έχοντας στο μυαλο σε πολυ μικρο βαθμο την περιπτωση να φταιει ο provider εψαχνα να δω τι μπορει να φταιει. τελικα για να μην τα πολυλογο πρεπει να εφταιγε ο provider μιας και μετα απο 30' περιπου και μην εχοντας κανει καποια αλλαγη στις ρυθμίσεις μου τελικα ολες οι σελιδες που ανοιγα επαιζαν κανονικα. για ωρα εφτιαχνα το rack καλωδια κλπ και εχοντας βαλει radio για να τσεκαρω, δεν διαπυστωσα καμια διακοπη. και ελπιζω να παραμεινει ετσι. τωρα τι ειχε γινει και προχτες δεν δουλευε με τις ιδιες ρυθμισεις δεν ξερω. ισως ειχα κανει κατι που δεν θυμαμε η who knows

 

- οποτε παιζει χωρις το WAN να γινει ΝΟΝΕ

- χωρις να γινει καποιο ΝΑΤ.

 

ερωτησεις:

 

α) η default gateway για το εσωτερικο δικτυο ποια ειναι ? ειναι η 192.168.1.1 που "ακουει" στο interface του LAN1 (και αυτο λογο ιδιας συσκευης βλεπει μονο του το adsl router) η θα πρεπει να οριστει σαν default gateway η 192.168.1.250 ??????

τωρα που παιξει κανονικα δίνοντας ipconfig /all σε μηχάνημα του εσ. δικτυου μου δινει την 192.168.1.1

β) γιατι η 192.168.1.250 (IP του adsl router) δεν απανταει σε broswer ????

γ) με την παρουσα κατασταση το ΝΑΤ λειτουργει με τις default ρυθμίσεις που γνωριζει μονο του μιας και τα δικτυα που υπαρχουν ειναι ολα επανω σε αυτο (και μονο σε περιπτωση που "κουμπώσω" αλλο δικτυο επανω θα πρεπει να κανω ΝΑΤ) η ΔΕΝ υπαρχει ΝΑΤ (το να μην υπαρχει ΝΑΤ μαλλον δεν "παιζει" μιας θα ειχα προβλημα).

 

να μην μακρηγορώ αλλο

 

τα υπολοιπα αργοτερα.

 

 

Υ.Γ. τωρα που το σκεφτομαι καλυτερα το μονο διαφορετικο που εχει γινει μετα τα σημερινα ειναι οτι αλλαζοντας η ΙΡ του adsl router μπηκαν και οι δυο συσκευες στο ιδιο subnet !!

μηπως αυτο ηταν που τελικα τωρα παιζει ενω πριν δεν επαιζεο το inet ???

[At0m0]

"ξεκινώντας το πρωι τράβηξα ενα reset στο firewall

σωστός.

 

μιας και δεν με αφηνε να γυρισω το WAN σε ΝΟΝΕ"

Εχμ, πολύ "σφιχτοκ..." το zyxel.

Το μόνο που υποθέτω ότι άλλαξε από το reset και μπορεί να έκανε την δουλειά του zone=none, είναι να μην έχει IP (0.0.0.0/0.0.0.0) το "wan1" μετά το reset.

Μπορείς να μας δείξεις ένα image από το Configuration->Network->Routing->Policy Route.

Από εκεί φαίνεται πως και που κάνει NAT.

 

"- οποτε παιζει χωρις το WAN να γινει ΝΟΝΕ"

Ναι αλλά μάλλον το wan1 δεν έχει IP οπότε έχει το ίδιο αποτέλεσμα.

 

"- χωρις να γινει καποιο ΝΑΤ."

Image από το Configuration->Network->Routing->Policy Route και θα δούμε που και πως κάνεις NAT

 

απαντήσεις.

α)"η default gateway για το εσωτερικο δικτυο ποια ειναι ? ειναι η 192.168.1.1 που "ακουει" στο interface του LAN1 "

Εξυπνάδες του zyxel.

Επειδή το zyxel φτιάχνει το DHCP ανά lan_port, ENNOEITAI (για τους zyxel-άνθρωπους και μόνο), ότι ο default gateway θα είναι η IP του lan_port που έχεις στήσει το DHCP. Οπότε γιατί να κουράζουν τον χρήστη να ρυθμίζει μια ακόμα IP. Την βάζει "αυτόματα" το zyxel.

 

"(και αυτο λογο ιδιας συσκευης βλεπει μονο του το adsl router) η θα πρεπει να οριστει σαν default gateway η 192.168.1.250 ??????"

όχι, όχι, όχι, όχι.

Την 192.168.1.250 του adsl-modem-router, ούτε την ξέρει, ούτε θέλει να την μάθει, ούτε την χρειάζεται, ο zyxel.

Πάνω από την IP 192.168.1.250 δεν περνάνε/δρομολογούνται δεδομένα, είναι διακοσμητική όσον αφορά το zyxel.

Τα δεδομένα από το zyxel προς το atm του adsl-modem-router περνάνε σε άλλο επίπεδο (OSI) και η 192.168.1.250 δεν παίρνει χαμπάρι τίποτα και δεν συμμετέχει καθόλου.

 

β) γιατι η 192.168.1.250 (IP του adsl router) δεν απανταει σε broswer ????

Επειδή το τοπικό σου δίκτυο είναι το 192.168.1.0/24 και αυτό βρίσκεται μόνο πίσω από το lan1 του zyxel.

Συνεπώς όταν π.χ. η IP 192.168.1.5 στέλνει ένα αίτημα προς την IP 192.168.1.250 αυτό φτάνει μέχρι την lan1 του zyxel (192.168.1.1) και εκεί σταματάει.

Ούτε μέσα στο zyxel μπαίνει, ούτε το επεξεργάζεται, ούτε το δρομολογεί, γιατί ο zyxel ξέρει ότι το 192.168.1.0/24 "είναι συνδεδεμένο" πάνω στο UTP που φεύγει από την lan1 port του.

Δες παρακάτω που προσπαθώ να εξηγήσω ότι το adsl-modem-router ΔΕΝ ΕΙΝΑΙ είναι "στο ίδιο υποδίκτυο με το zyxel" παρόλο που έχει την IP 192.168.1.250.

 

γ) (...ΝΑΤ ...)

Image από το Configuration->Network->Routing->Policy Route και θα δούμε που και πως κάνεις NAT

 

"Υ.Γ. τωρα που το σκεφτομαι καλυτερα το μονο διαφορετικο που εχει γινει μετα τα σημερινα ειναι οτι αλλαζοντας η ΙΡ του adsl router μπηκαν και οι δυο συσκευες στο ιδιο subnet !!"

όχι, όχι, όχι όχι.

Για να καταλάβεις ότι το adsl-modem-router με το zyxel ΔΕΝ ΕΙΝΑΙ ΣΤΟ ΙΔΙΟ ΥΠΟΔΙΚΤΥΟ, βάλε σε έναν H/Y, που βρίσκεται πίσω από το LAN1 του zyxel, "χειροκίνητητα" την IP 129.168.1.250 με μάσκα 255.255.255.0 και προεπιλεγμένη πύλη την 129.168.1.1.

Εάν είναι στο ίδιο υποδίκτυο ο Η/Υ θα εμφανίσει μήνυμα ότι αυτή η IP χρησιμοποιείται ήδη (IP conflict).

 

Ο κανόνας λέει ότι... ένας router (ή οποιαδήποτε άλλη συσκευή με δύο κάρτες δικτύου) ΔΕΝ ΜΠΟΡΕΙ να έχει "το ίδιο υποδίκτυο" σε δύο διαφορετικά interfaces (wan1 και lan1 στην περίπτωσή σου).

 

Π.χ. έχεις στην lan1 την IP 192.168.1.1

Αν προσπαθήσεις να βάλεις στην lan2 την IP 192.168.1.2, δεν θα σε αφήσει (εκτός και αν το zyxel έχει εφεύρει νέους κανόνες)

 

 

Υ.Γ.

Όταν χρειάζεται να γράψω τόσα πολλά σε κάθε μήνυμα και το θέμα εξελίσσετε σε τόσα πολλά μηνύνατα, κάτι δεν πάει καλά...

[geioannou]

Υ.Γ.

Όταν χρειάζεται να γράψω τόσα πολλά σε κάθε μήνυμα και το θέμα εξελίσσετε σε τόσα πολλά μηνύνατα, κάτι δεν πάει καλά...

 

 

μην με κανεις να αισθανομαι ασχημα. ειμαι ευγνομων που εσυ (At0m0) καθος και ο (Rabican) ασχολιθηκατε με το συγκεκριμενο θρεντ μιας και εαν δεν ειχε γινει αυτο για εμενα θα παρεμενενε μια συσκευη που....περνει ρευμα (και δυστυχως δεν θα εκανε και καφε)

αλλωστε μονος ειπες (με την εμπειρία που εχεις οτι το zyxel εχιε τους δικους του κανονες...οποτε καποιος που δεν το εχει ξαναδουλεψει εινια λογικο να εχει ενα θεμα.

 

any way και την επλιδα τις κατανόησης, θα προχωρισω

 

- αρχικα χρωσταω μια εικονα σχετικα με το Configuration->Network->Routing->Policy Route

σε σχεση με το wan 1 και το NONE εχω την εντυπωση( απο οσο θυμαμε) οτι εχει κανονικα ΙΡ. εχει την 1η ΙΡ που μοιραζει το adsl modem με Subnet mask 255.255.255.0.

επιφυλάσσομαι μεχρι την επομενη φορα....

[geioannou]

επανερχομαι με καποιες πληροφοριες που χρωσταγα.

 

σχετικα με το wan1 που λεγαμε, εχει παρει ΙΡ απο το adsl router οπως φαινεται και στην παρακατω image

 

(αυτο μιας και λεγαμε οτι μπορει να επαιξε με τις ιδιες ρυθμησεις λογου οτι το wan1 δεν ειχε παρει ΙΡ.)

 

Configuration->Network->Routing->Policy Route

 

 

στο παρακατω πεδιο δεν υπαρχει καμια εγγραφη. οποτε παιξει χωρις να εχει καποιο ΝΑΤ.

μαλλον κανει καποιο default απο μονο του)

 

επισης σχετικα με την 192.168.1.250 IP του adsl modem που δεν μπορει να ανοιξει σε browser, πρεπει να ειναι λογο του παρακατω

- Για να καταλάβεις ότι το adsl-modem-router με το zyxel ΔΕΝ ΕΙΝΑΙ ΣΤΟ ΙΔΙΟ ΥΠΟΔΙΚΤΥΟ

 

εβαλα σε browser την 192.168.1.2 ΙΡ του access point και ανοιγε κανονικα ενω μπαινοντας και ethernet επανω στο adsl router ανοιξε κανονικα.

 

υπεθετα οτι μιας και υπηρχε το 192.168.1.0/24 επανω σε ολες τις συσκευες του υπαρχουν στο δικτυο θα μπορουσα να εχω προσβαση παντου. δεν πειραζει, καλυτερα για λογους ασφαλειας να μην μπορει να γινει.

 

ερωτησεις:

 

- για να "δω" το adsl router απο το εσωτερικο δικτυο (LAN1) θα πρεπει να γινει ΝΑΤ?

- εαν στη LAN2 δημιουργησω ενα αλλο δικτυο, για να μπορει να "δει" το LAN1 θα πρεπει να γινει και εκει ΝΑΤ ?

 

σχετικα με την υποθεση firewall τι συμβαινει τωρα. ισχυει καποια default κατασταση η θα πρεπει να στησω εγω τους δικους μου κανονες επανω σε μηδενικη βαση.

υπαρχουν ρυθμησεις αλλα δεν γνωριζω εαν εχουν ουσιαστικη λειτουργια)

 

θα ριξω μια ματια στο manual αλλα η εμπειρια τις περισσοτερες φορες βοηθαει καλυτερα.

 

παρακατω δειχνω ενα image απο την καρτελα firewall

 

 

ευχαριστω

[At0m0]

wan1

Tο wan1 έχει μεν IP αλλά είναι ορισμένο ως ZONE=n/a το οποίο είναι το ίδιο με το (πολύ θα ήθελα να το έγραφε) zone=None, ή για να το πω και αλλιώς, εν τέλει έχει το επιθυμητό αποτέλεσμα, δηλαδή... να ΜΗΝ είναι zone=wan και να μην γίνεται nat πάνω σε αυτό.

 

WTF zyxel!! Get real !! Are you trying mess with my mind ?

Από ότι φαίνεται από την πρώτη εικόνα, καλώς εσύ είσαι μπερδεμένος, και καλώς περίμενες (αλλά δεν παίζει με την καμία) να "βλέπεις" την 192.168.1.250 του adsl-modem-router πίσω από το wan1, καθώς η zyxel κατάφερε απίθανο, --> το wan1 (φαίνεται να) είναι στο ίδιο υποδίκτυο με το lan1 !!.

Επειδή δε, στη στήλη "Action" λέει "Renew" υποθέτω ότι τα πράγματα είναι ακόμα πιο αστεία, καθώς το interface δείχνει να παίρνει αυτή την IP από το dhcp του adsl-modem (υποθέτω).

Reality check

H εικόνα αυτή είναι μαύρο χάλι, καθώς, δεν φαίνονται οι μάσκες υποδικτύου (οι οποίες ουσιαστικά ορίζουν και τα υποδίκτυα) στα δύο interfaces, οπότε αφήνει τον χρήστη να παρασυρθεί και να υποθέσει ότι πρόκειται για το ίδιο υποδίκτυο.

Στην πραγματικότητα το παραπάνω, ΜΑΛΛΟΝ, μπορεί να "στέκει" ΕΦΟΣΟΝ το lan1 και το wan1 ΔΕΝ ΕΧΟΥΝ την ίδια μάσκα υποδικτύου.

 

Policy Route

Σηκώνω τα χέρια ψηλά !

Εμένα τα "αυτόματα" δεν μου αρέσουν αλλά επειδή δεν βρήκα πως το κάνει, απλά το δέχομαι προς το παρόν.

 

Απαντήσεις.

"- για να "δω" το adsl router απο το εσωτερικο δικτυο (LAN1) θα πρεπει να γινει ΝΑΤ?"

1) Mε τις IP που βλέπω στην πρώτη εικόνα, απλά πρέπει να κάνεις voodoo (αστειεύομαι φυσικά).

2) H εύκολη λύση που τη έχω γράψει τουλάχιστον 2 φορές είναι "ρίξε ένα ΔΕΥΤΕΡΟ UTP καλώδιο από την LAN του adsl-modem-router στο switch/hub που βρίσκεται πίσω από την lan1 του zyxel" και θα παίξει.

3) μπα δεν, πικραμένη και μεγάλη ιστορία.

 

"- εαν στη LAN2 δημιουργησω ενα αλλο δικτυο, για να μπορει να "δει" το LAN1 θα πρεπει να γινει και εκει ΝΑΤ ?"

Κανονικά, όλοι οι routers ξέρουν/υποστηρίζουν τα directly connected routes/networks, δηλαδή ξέρουν ποιο υποδίκτυο είναι συνδεδεμένο σε κάθε interface τους και φτιάχνουν "αυτόματα" και τα απαραίτητα routes.

Αν λοιπόν o H/Y με IP 192.168.1.5(στο lan1) θέλει να επικοινωνήσει με τον Η/Υ με IP 192.168.2.35(στο lan2), o router ξέρει να δρομολογήσει σωστά τα πακέτα μεταξύ lan1 και lan2 (εκτός και αν η zyxel ξέρει κάτι διαφορετικό...)

Σύμφωνα με τα παραπάνω, μεταξύ lan1 και lan2 έχουμε απλά routing και όχι ΝΑΤ (εκτός και αν υπάρχει λόγος να γίνει κάτι τέτοιο, αλλά αυτό είναι μια άλλη ιστορία)

 

"σχετικα με την υποθεση firewall"

Παρόλο που έγραψα νωρίτερα ότι, περί firewall δεν ακουμπώ/δεν συζητώ/δεν απαντώ, θα κάνω μια πολύ μικρή εξαίρεση.

 

Τα firewall είναι μια κατηγορία από μόνα τους.

Λειτουργία Α:

Ελέγχουν την ΕΙΣΕΡΧΟΜΕΝΗ κίνηση από το internet/wan_interfaces.

Τα firewall που σέβονται τον εαυτό τους για την λειτουργία A, έχουν έναν και μοναδικό default κανόνα = "drop all" = do not allow any connection" = "go away you stranger, there is no one here"

Από εκεί και πέρα, ο χρήστης αρχίζει να κάνει εξαιρέσεις στο παραπάνω με την μορφή, "ε ας αφήσουμε την Port X ανοικτή γιατί..."

 

Λειτουργία Β:

Ελέγχουν την ΕΞΕΡΧΟΜΕΝΗ κίνηση από το LAN προς το internet/wan_interfaces.

Λόγοι:

α) Τα PC μπορεί να μολυνθούν από κάποιον ιό ή trojan κ.λπ. και μετά να αρχίσουν να στέλνουν ποιος ξέρει τι προς το internet.

β) Οποιοσδήποτε κακόβουλος χρήστης από το lan μπορεί να προσπαθήσει να κάνει διάφορες πιγκουϊνίες...

γ) Το αφεντικό τρελάθηκε και με έβαλε να κόψω την πρόσβαση του (λοιπού) προσωπικού στο facebook/MSN/στο site της Χ ανταγωνίστριας εταιρείας που ψάχνει υπαλλήλους και πληρώνει καλύτερα/κ.λπ. ( /facepalm )

δ) Άλλοι λόγοι.

 

Λειτουργία Γ:

Μάλλον κάνουν και άλλα πράγματα που εγώ απλά δεν τα γνωρίζω .

 

 

"εβαλα σε browser την 192.168.1.2 ΙΡ του access point και ανοιγε κανονικα ενω μπαινοντας και ethernet επανω στο adsl router ανοιξε κανονικα."

μπαρδόν;

 

Καλή τύχη.