Решаем проблемы с компьютером

GTS 450 cool

Медный_чайник:

Нужна реальная помощь по настройке хитрой сети через ВПН! Как сделать, чтобы ИП пакеты, пришедшие по ВПН просачивались в локалку? Грубо говоря, есть некое устройство, которое конфигурируется только по ИП и маске подсети, оно в одной локалке с компом, на которой есть тимвьювер, у которого подключение ВПН настроено так, что он с этим устройством в одной подсетке, и есть третий комп, который по и-нету через ВПН связывается с первым. Вот, удалённый комп не видит устройства. Что делать?

1. Надо разрешить форвардинг IP пакетов на компе с VPN.
2. Надо убедиться, что пакеты на компе с VPN натятся в адреса сети, где стоит устройство.
3. Дальше траблшутинг с Wireshark

RomFil
форвардинг это проброс портов если сеть за НАТ сидит, а VPN это виртуальная частная сеть - то есть та же самая сеть не разделенная НАТом - зачем там форвардинг

Форвардинг никак не связан с NAT. Даже если пакет отначен, а форвардинг отлючен, пакет не пролетит. Фовардинг именно разрешает операционной системе перекидывать пакет с одного интерфейса на другой.
VPN это тоже не та же самая сеть. VPN строится на основе маршрутизации - т.е. если destination адрес находится по таблице маршрутизации за другим интерфейсом, отличным от того, где находится source адрес, то ОС на основе таблицы его рутит, а функционал VPN пакет шифрует (целиком IP пакет вместе с заголовком) и подменяет адреса источника и получателя на адреса устройств строящих VPN.
Построить VPN с удаленным устройством, что бы на этом устройстве были адреса из подсети с IP-адресацией и маской источника нельзя. Получится, что удаленный компьютер по таблице маршрутизации находится в той же самой сети, что и источник и будет отброшен.

Возвращаясь к проблеме Чайника возможно с третьего устройсва достучатся до устройства, которое находится за VPN только в том случае, если на этом третьем устройстве поднять второй виртуальный интерфейс и его описать в VPN домене.
Таким образом, имеем два VPN домена - один за третьим устройством, другой за первым, у которого в VPN домене, как написал Чайник "некое устройство, которое конфигурируется только по ИП и маске подсети"

RomFil
хорошо написал. переведи. мне тоже интересно.
хотя на мой взгляд если можно достучаться до управляющего пк этого уже достаточно.

RomFil:

Форвардинг

Что за форфардинг Есть порт форвардинг- проброс портов, а по твоему описанию это роутинг или маршрутизация по русски

Tomagafk
Я же написал, что форвардинг разрешает операционной системе пробрасывать пакеты между интерфейсами. По дефолту он отключен.
Спроси гугл на тему: enable forward windows получишь ответ на вопрос: Включение перенаправления TCP/IP в Windows Server 2003
или спроси гугл: enable forward linux, получишь ответ How to enable IP Forwarding in Linux.

А порт-форвардинг это PAT (ПАТ) - Port address translation - подобие NAT, только когда подменяются еще и порты. Т.е. стучусь на 23 порт, а мои пакеты транслируются на 22, например.

RomFil
Одна ссылка на микрософт и пару линуксовых - нигде нет обьяснения что же такое ip форвардинг А в микрософтовской статье влючают ветку реестра IPEnableRouter .

цитата:

Т.е. стучусь на 23 порт, а мои пакеты транслируются на 22, например.

Расскажу по секрету это не порт-форвардинг, порт форвардинг перенаправляет порты с роутера/файрвола на внутренний адрес, а то что ты говоришь это сдвиг портов - только одна из функций.

Tomagafk
Что трудно самому погуглиться?
What is IP forwarding?
IP forwarding enables one workstation to sit on two LANs and to act as a gateway forwarding IP packets from one LAN to another. IP forwarding is also referred to as 'bridging' networks.

Ты мне свои секреты не рассказывай, а то мы сейчас углубимся в понятия port и address в стеке TCP/IP
Извини, но я на VPN-ах собаку съел - работаю в IT-безопасности. Мне по долгу службы приходится.

Продублирую и здесь
Никто платно не поможет настроить IP камеру?

RomFil
Чем это отличается от маршрутизации?

Может и сьел, но вот про порт-форвардинг
Port Forwarding - это технология, которая позволяет обращаться из Интернет к компьютеру во внутренней сети за маршрутизатором, использующим NAT (NAPT). Доступ осуществляется при помощи перенаправления трафика определенных портов с внешнего адреса маршрутизатора на адрес выбранного компьютера в локальной сети.

И если это тоже самое что ты сказал - я индийский йог

Правильный вопрос не чем отличается от маршрутизации, а как включить маршрутизацию. Для этого надо разрешить IP Forwarding. Тогда получим маршрутизатор. Просто в обычном маршутизаторе, который такой функционал предоставляет это не требуется, а на обычных PC это сделать надо.

Немного не верно утверждение:

цитата:

Port Forwarding - это технология, которая позволяет обращаться из Интернет к компьютеру во внутренней сети за маршрутизатором, использующим NAT (NAPT).

Точнее сказать, что если просто использовать NAT, то порты в этом случае будут копироваться один в один. Но вот простой пример: В локальной сети у тебя 250 компьютеров, все они выходят в интернет и натятся на роутере в один публичный адрес. Теперь представь, что два из этих компьютеров делают запрос в интернет на один и тот же сайт, но source порт у них одинаковый (например 3456). Если копировать порты один в один, то сайт не сможет корректно собрать TCP-сессию, так как посчитает это дублированным пакетом и отбросит его. Поэтому маршрутизатор в одной сессии порты оставляет как есть, а другой подменяет source порт на какой-то свой и тогда сайт видит два разных запроса с одного и того же адреса. А ответные пакеты идущие от сайта к клиентам он опять подменяет или не подменяет в зависимости от того, в рамках какой TCP сессии они поступают.

Но иногда задача гораздо более нетривиальная стоит: Например, кто-то не хочет светить, что у него имеется сервер с поднятым SSH (TCP/22), так как этот порт часто сканируют, в поиске так сказать объекта взлома. Надо сделать так, что бы светился порт TCP/45000 (вообще какой-то банальный, кто и сканировать нецеленаправленно не будет), но при этом трафик попадающий на этот 45000 транслировать до SSH сервера на порт 22. Тут-то и помогает PAT.
Т.е. NAT отвечает за трансляцию IP-адресов, а PAT за трансляцию портов.

Tomagafk
Извини, но ты не едешь на передачу "Умники и умницы". Не обижайся, но едет RomFil
Он - лучший!

RomFil
Насчет ip forwarding ок правда гораздо привычнее назвать это включением роутинга как собственно и называется ключ в реестре - то есть маршрутизацией.

Насчет порт форвардинга не согласен - данная фича пробрасывает конкретные порты на конкретный ip за NATом, все это вполне определенным образом прописывается ручками вот в такой приблизительно табличке
То что ты описываешь наверняка имеет место и работает в автоматическом режиме являясь частью NAT трансляции, но порт форвардинг это все же другое.

YanFord
На сирых, женщин и детей не обижаюсь - сам реши к кому ты относишься

Tomagafk
Я убеждать ни в чем не буду. Устал уже. Извини

RomFil
Да пожалуйста, только странно для специалиста не знать что PAT

цитата:

However it is common to hide an entire IP address space, usually consisting of private IP addresses, behind a single IP address (or in some cases a small group of IP addresses) in another (usually public) address space. To avoid ambiguity in the handling of returned packets, a one-to-many NAT must alter higher level information such as TCP/UDP ports in outgoing communications and must maintain a translation table so that return packets can be correctly translated back. RFC 2663 uses the term NAPT (network address and port translation) for this type of NAT. Other names include PAT (port address translation), IP masquerading, NAT Overload and many-to-one NAT. Since this is the most common type of NAT it is often referred to simply as NAT.

и PORT FORWARDING

цитата:

As described, the method enables communication through the router only when the conversation originates in the masqueraded network, since this establishes the translation tables. For example, a web browser in the masqueraded network can browse a website outside, but a web browser outside could not browse a web site in the masqueraded network. However, most NAT devices today allow the network administrator to configure translation table entries for permanent use. This feature is often referred to as "static NAT" or port forwarding and allows traffic originating in the "outside" network to reach designated hosts in the masqueraded network.

Это разные вещи и путать их

вот по русски
Перегруженный NAT (NAPT, NAT Overload, PAT, маскарадинг) — форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. Известен также как PAT (Port Address Translation). При перегрузке каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта

Port Forwarding - это технология, которая позволяет обращаться из Интернет к компьютеру во внутренней сети за маршрутизатором, использующим NAT (NAPT). Доступ осуществляется при помощи перенаправления трафика определенных портов с внешнего адреса маршрутизатора на адрес выбранного компьютера в локальной сети.

Tomagafk
Если RFC на свой port forwarding найдешь, я продолжу диалог.

RomFil
А кто сказал, что мне интересно продолжать диалог. И то что ты не знаешь про port forwarding не делает его автоматически моим

ребят чего за фигня такая?
когда смотрю видео после половины ролика начинается такая фигня

ничего не ставил..вчера выключал все ок было ..
если что ноут асер 5553g

на ютубе тоже самое

Johnnie Walker
flash обнови. еще дрова для видюхи и кодэки, чтоб наверняка.

Друзья,
Кто знает, что за заразу схватил мой комп помогите.

Короче позавчера включаю комп, рабочий стол белого цвета и надпись, если хотите вернуть все свои файлы, то пишите по такому то адресу.

Открываю автозагрузку и вижу, что это ссылку на файл в одной из папок файл.txt

удалил, проверил антвирусом весь комп, всё чисто.
все файлы н аместе.
пытаюсь открыть любую картинку, не открываются.
с утра опять вылезает эта надпись.

как лечить? что за вирус.

антивирус нод32

Попробуй установить Утилиту которая редактирует автозапуск программ, в нем поищи есть ли что незнакомое, его удаляй... на будущее антивирусник беспомощен против баннеров и пр хрени, ставь RegRun , а в дополнение например бесплатный антивирус MS Essential

miska
так автозапуск можно с командной строки запустить командой msconfig

Привет. я системный администратор по профессии)такие вирусняки очень различны и единого лекарства ко всем не подберешь и когда сталкиваюсь-вруччную ищу следы и концы в реестре, потом уже убиваю все что не похоже на дефолтные настройки винды. Но есть вещи общие для всех вирусв подобного типа. что нужно:
1) liveCD - очень полезная вещь-устанавливает быстро систему в оперативку компьютера и тем самым вы получаете на один раз чистую рабочую систему, не мешая вашей которую надо восстановить. найти можно в сети, затем нарезать на болванку. например, скачайте ZVER_DVD любой версии.
2) DR.WEB CURE IT - бесплатная утилита для поиска вирусов, не требующая установки. находится на официальном сайте drweb.com Постоянно обновляется так что скачайте свежую.

-Итак, скачиваем ZVER_DVD, нарезаем образ на болванку.
-Вставляем в больной комп и в биосе выставляем автозагрузку с CD привода (если кто не знает как сделать-в сети полно описаний).
-Выбираем в автозагрузке LiveCD (на ZVER_DVD этот пункт называется Alkid Live CD с драйверами)
- Ждем пока загрузится система
- Перед вами работоспособная система с помощью которой уже можно получить доступ к файловой системе вашего ПК и УЖЕ можно было бы запустить DR.Web Cure it, но пока рано, т.к. программа найдет вирусы но истоки не найдет, т.к. зачастую такие вирусы имеют механизм подстраховки стандартными виндовскими процедурами и восстанавливаются при определенном действии(например как выше-при открытии картинки, запуске диспетчера задач и т.д.), поэтому:
-нажимаем ПУСК, все программы, ищем РЕДАКТОР РЕЕСТРА.
-в списке появившемся выбираем пользователя ПК под которым заражена система( ваше имя, админ, администратор и т.к.)
-получаем реестр вашего ПК с ВАШЕЙ зараженной системы.
- Проверяем следующие пункты, поочередно открывая дерево реестра слева:
1) My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ищем пункт SHELL. значение должно быть explorer.exe. если значение не такое-вы увидите путь к вирусу а также замените на правильное значение.
2) при загрузке системы вся информация о данных загрузки, рабочем столе и все остальное содержится в файле userinit.exe. обычно вирусы заражают(очень часто). Что делаем-скачиваем с сети этот файл соответственно вашей операционной системе(или скидываем со здорового ПК, обратите внимание что если система windows XP Service Pack 2 то файл нужен именно с service pack. Заходим в \системный диск\windows\system32 и заменяем на здоровый файл свой. Кстати в этой папке может быть файл с именем например 3CYU45M.exe - полюбому вирус.Удаляйте.(также возможен вариант что этот файл-переименованный ваш настоящий userinit.exe, но раз уже у Вас есть этот файл с другого ПК-можно удалить). Также дубликат оригинального файла обычно хранится в C:\windows\system32\dllcache но я встречал случаи когда был заражен и он.
-С файлом разобрались, теперь нужно реестр вычистить.
ищем путь [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] там значение “UserInit” должно быть именно “%System%\userinit.exe,” (без кавычек НО С ЗАПЯТОЙ). все что после запятой-удаляем.
Далее ищем путь HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Ищем там папку userinit.exe. если есть-можете посмотреть путь вируса там)или просто взять и прямо слева в дереве реестра удалить всю папку useinit.exe, нажав правой кнопкой на нее.

Основная часть работы выполнена. Можно еще проверить в реестре такие места как HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs значение должно быть либо пустое либо путь к вашему антивирусу(если стоял). остальное-удалить. даже если стоит антивирус-для уверенности можно очистить значение этого параметра-ничего страшного.

Теперь запускаем DR.web Cure it и делаем полную проверку дисков ПК (обратите внимание что вас появляется еще один диск B или X -это наша liveCD поэтому не тратьте время-не проверяйте его). ну обычно, скажу по опыту могут быть зараженные файлы в корневой папке системного диска, папке Windows и папке document and settings. если времени мало-проверяйте торлько там. После проверки-удаляете все что найдено и перегружаете ПК, вытащив диск из Cd roma. В 90% случаев -либо все будет идеально либо вируса не будет но , допустим, не будет рабочего стола. Еслии его нет-не правильно прописали в значении shell -explorer.exe. Также если вдруг восстановится вирус при нажатии CTRL+ALT+DEL - значит заражен файл taskmgr.exe(диспетчер задач) в папке windows\system32. -заменить на оригинальный также как и userinit.exe, c другого ПК или скачать из интернета.
Если что-обращайтесь, постараюсь помочь. Недавно просматривал записи своих работ(заставляют писать все что чинил) - за 3 года вылечил 193 таких порнобаннера без переустановки системы. Видел их начиная с самых простых, которые убирались кодом разблокировки и вплоть до серьезные как делают сейчас...вряд ли поможет но все таки-если подхватите простенький баннер-зайдите на http://www.drweb.com/unlocker/?lng=ru и попробуйте ввести номер телефона на который просят положить денег или отправить СМС. может повезет и код разблокировки уберет окно. если так получится-срочно качайте dr.web cure it и вычищайте комп, т.к. окно вскоре вылезит опять. По поводу dr.web cure it - спасала кучу раз и верю только ей)))

Большой205
Может восстановление системы сделать на период когда не было этого

Андрей.72
на практике-про восстановление вспоминают уже когда надо восстанавливаться)поэтому вряд ли будет точка восстановления. тем более если старая- потеряются программы которые были установлены после этой точки... да и восстановится сложно-при простой загрузке до этой процедуры не добраться, баннер блокирует в самом начале все, а через безопасный режим- 45% что он не будет запускаться, 45% что там будет тот же баннер и 10% что он будет нормально работать и получится восстановиться...

Многие вирусы блокирую восстановление и выход в нет, а еще и убивают все свободное место ни сист диске, так что Live-CD очень полезно, Dr-Web помогает, но у меня например она со временем вообще перестала запускаться,как буд-то ее вычислили и научились блочить...
Сейчас стоит RegRun 6 platinum, До загрузки системы отслеживает все изменения и спрашивает если что не так, поэтому с антивирусником очень сильно защищает...

miska
из под liveCD вирусы по логике не смогут заблокировать dr.web cure it, но я встречался и с таким. они запускаются но проверка не начинается. оказалось что косяк в определенных выпусках этой программы. поэтому храню на всякий случай и не совсем свежие выпуск dr.web cure it. если последний не запускается-предпоследний работает) а RegRun 6 platinum - простой способ но как то после 2-х случаев когда не помогла мне-по привычке вычищаю вручную, тем более делаю все на автоматеи быстро)