[Charg]

Цитата The_Immortal:

VPN-сервер в той же локальной сети, но к нему может подключиться только один клиент (вот с него и надо передать Интернет далее). Предвидя вопрос, отвечаю: потому что. Такие суровые условия. »

А, ну вот снова... "у меня есть проблема, я придумал к ней (потенциально) кривое решение, помогите его воплотить в жизнь". Проблему исходную тогда озвучь. Что, где, как и зачем. Это спрашивают не для того чтобы вопросами позадрачивать, а потому что это помогает понять картину и подобрать решение которое будет работать.

[Angry Demon]

Цитата The_Immortal:

Нет, не пингуется. С него вообще ничего не пингуется, кроме локальных ресурсов

На клиенте, хоть, раздающий компьютер шлюзом указан?

Цитата The_Immortal:

Переходим на "простой как табуретка TMeter". Включил там NAT - Инет также не появился

По шагам свои действия расскажите, а то нам отсюда не видать, что и как делали.

[The_Immortal]

Charg,

Цитата Charg:

Проблему исходную тогда озвучь. Что, где, как и зачем. Это спрашивают не для того чтобы вопросами позадрачивать, а потому что это помогает понять картину и подобрать решение которое будет работать. »

Проблема в том, что VPN-сервер раздающий интернет, предоставляет доступ одному клиенту в локальной сети. Необходимо этот доступ расшарить на определенные машины в этой локальной сети. Чувствую себя попугаем. "Проблему исходную" озвучил (уже в который раз). Если нужны совершенно ни к чему не нужные подробности - извольте. Над VPN-сервером есть админ, которому был запрос на расшаривание VPN-коннекта для всех клиентов. Админу стало это делать лень и он сказал, что инет будет на одной тачке, а там, если надо, юзайте свой VPN, прокси-сервер и че хотите - его величество не против. Прокси-сервер - вариант (уже опробованный). Но на Убунтах на определенном ПО прокси не воспринимается, поэтому нужно оформить на них "прямое" подключение. Лучше? (с) Реклама про Сникерс.
Вот такая "картина". Как мы к ней будем "подбирать решение"?


Angry Demon,

Цитата Angry Demon:

На клиенте, хоть, раздающий компьютер шлюзом указан? »

Ага, вот так. Таким образом получается двойной шлюз (ну или как это правильно называется). Верно же? Указанный адрес - это "серверный" ПК, с активным ICS.
Кстати, на мгновение показалось, что соединение на клиенте появилось - минут 5 страница мусолилась, мусолилась, но в итоге полуоткрылась. Но пинга к 89.108.118.149 при этом ни разу не было...

Цитата Angry Demon:

По шагам свои действия расскажите »

Пожалуйста.

1. Задаем сетевые адаптеры. Внутренний - локальная сеть. Внешний - VPN-подключение (там правда несколько RAS'ов почему-то, но я выбрал по интуиции NDISWANIP - единственное, смущает отсутствие IP, ибо при подключении к VPN-серверу IP выдается из-под сети 192.168.33.*). Режим устанавливаемый пассивный, ибо блокировать ничего не надо.

2. В LAT указываем адрес одного тестового хоста.

3. Активируем NAT и пробрасываем тестовый порт 80 на "серверный" ПК.

4. Задаем правило-фильтр, где указываем конкретный хост, а также, что пакет должен проходить через внешний сетевой адаптер и через NAT.

5. В URL-фильтрации удаляем какие-либо фильтры, т.к. они не нужны.

6. Проверяем серфинг на клиенте - нема.

Подскажите, пожалуйста, вот с этим:

Цитата The_Immortal:

Да и, честно говоря, это же долбануться все порты пробрасывать. На клиентах дофига разного ПО - мне нужно знать все используемые порты? »

Просто если это действительно так, то на разрешение подобного "костыля" не хотелось бы тратить время.

Ну а если по-нормальному разобраться (а хотелось бы), то в голове каша со всем этим. NAT поднимается на внешнем интерфейсе, т.е. по идее на IP 192.168.33.72 (этот адрес выдает VPN-сервер после подключения к нему). Но как "клиент" увидит эту подсеть, когда он к VPN-серверу не подключен?

[Angry Demon]

Цитата The_Immortal:

Ага, вот так

Никой ни "вот так". Установите статические параметры сети на клиенте. Что и как раздаёт адреса по DHCP? Если надеетесь на раздающий компьютер, то смею разочаровать: при использовании адресации сети отличной от того, что он хочет, DHCP отключается.

Цитата The_Immortal:

минут 5 страница мусолилась, мусолилась, но в итоге полуоткрылась. Но пинга к 89.108.118.149 при этом ни разу не было...

Забудьте вы про свои страницы. Только пинг по прямому IP-адресу.

Цитата The_Immortal:

Режим устанавливаемый пассивный, ибо блокировать ничего не надо

Невнимательно читали Руководство!
Режимы сбора пакетов

Цитата The_Immortal:

ибо блокировать ничего не надо

Как не надо, если вам нужно заблокировать доступ в Интернет некоторым компьютерам?

Цитата The_Immortal:

В LAT указываем адрес одного тестового хоста

Опять невнимательно читали Руководство.
В LAT указывается диапазон адресов локальной сети. Группы IP адресов

Цитата The_Immortal:

Активируем NAT и пробрасываем тестовый порт 80 на "серверный" ПК

Зачем этот бред???

Цитата The_Immortal:

Да и, честно говоря, это же долбануться все порты пробрасывать. На клиентах дофига разного ПО - мне нужно знать все используемые порты?

Зачем вам что-то знать и пробрасывать???

Цитата The_Immortal:

как "клиент" увидит эту подсеть, когда он к VPN-серверу не подключен?

Клиент ничего не должен "видеть". Клиент отправляет запрос на шлюз по умолчанию, которым является раздающий компьютер, тот отправляет его дальше на свой шлюз по умолчанию. Ответ переправляется обратно.

[The_Immortal]

Angry Demon, и я ведь почти на всё дам пояснения

Цитата Angry Demon:

Что и как раздаёт адреса по DHCP? Если надеетесь на раздающий компьютер, то смею разочаровать: при использовании адресации сети отличной от того, что он хочет, DHCP отключается. »

Тут, к сожалению, не подскажу, но DHCP срабатывает нормально вроде как.

Цитата Angry Demon:

Установите статические параметры сети на клиенте. »

А есть разница? Вот сделал (где 192.168.32.64 - адрес "серверного" ПК), как Вы сказали - разницы никакой.

Цитата Angry Demon:

Только пинг по прямому IP-адресу. »

Я понимаю, поэтому и писал:

Цитата The_Immortal:

пинга к 89.108.118.149 при этом ни разу не было »

Цитата Angry Demon:

Невнимательно читали Руководство! Режимы сбора пакетов »

Цитата Angry Demon:

Как не надо, если вам нужно заблокировать доступ в Интернет некоторым компьютерам? »

Про режимы сбора пакетов прочитал (ещё разок) и не могу понять почему пассивный вариант мне не подходит? Мне не нужно блокировать доступ в Интернет некоторым компьютерам. Мне нужно предоставить доступ в Интернет некоторым компьютерам. Или обязательно что-то блокировать?

Цитата Angry Demon:

Опять невнимательно читали Руководство. В LAT указывается диапазон адресов локальной сети. Группы IP адресов »

В LAT указываться может и определенный IP диапазон, и определенная IP сеть, и определенный хост. Понятное дело, что для моей задачи необходим диапазон, но, как я указал выше, конкретный хост был указан исключительно для теста (где и тестирую наличие Интернета):

Цитата The_Immortal:

В LAT указываем адрес одного тестового хоста »

Такое недопустимо?

Цитата Angry Demon:

Зачем этот бред??? »

Потому что как раз-таки читал Руководство:

Цитата:

TMeter имеет собственный механизм NAT, позволяющий предоставить пользователям доступ в Интернет через компьютер-шлюз, используя единственный внешний IP адрес

Вот в эту сторону и увело.

Цитата Angry Demon:

Зачем вам что-то знать и пробрасывать??? »

Ну а это взято из "фен-шуя" (однако теперь осознал, что у нас с автором не совсем одинаковые ТЗ).

Цитата Angry Demon:

Клиент ничего не должен "видеть". Клиент отправляет запрос на шлюз по умолчанию, которым является раздающий компьютер, тот отправляет его дальше на свой шлюз по умолчанию. Ответ переправляется обратно. »

Всё понятно. Однако так не работает: исходя из Ваших комментариев, я отключил механизм NAT (т.к. он, оказывается, не нужен), установил на клиенте статический адрес (см. выше), где в качестве основного шлюза указал адрес "серверной" машины.




UPDATE. Спешу обрадовать: вот с такой настройкой клиента через ICS на машине 192.168.32.59 Интернет наконец-то появился!!!!

Однако есть несколько вопросов:

1. В случае задействования ICS Интернет будет только там, где в качестве основного шлюза указан "сверверный" ПК - я правильно понял? Просто в таком случае и брандмауэр не нужен (да и он, оказывается, просто игнорируется с такими настройками - я ради интереса поставил блокировку подключения для данного правила, но несмотря на это указанная машина всё равно видит Интернет).

2. Через ICS скорость Интернета на клиентской машине режется ровно в 2 раза - это нормальное явление для данной технологии и с этим ничего не поделать?

3. Почему всё-таки с такой настройкой Интернета нет? Это как-то связано с этим:

Цитата Angry Demon:

Если надеетесь на раздающий компьютер, то смею разочаровать: при использовании адресации сети отличной от того, что он хочет, DHCP отключается. »

Я просто в этом предложении ничего не понял
Ведь в указанных настройках, повторюсь, два основных шлюза - данные должны передаваться как на первый, так и на второй. Но на второй они почему-то не доходят в этом случае... Почему, интересно?
А хотя route print при указанной выше настройке показывает такое:

Цитата:

0.0.0.0 0.0.0.0 192.168.32.1 192.168.32.59

Т.е. основной шлюз всегда только один воспринимается? Тогда не ясно для чего вот эта настройка и к чему показывается вот это?

4. По каким причинам может не отрабатывать TMeter? По сути если ICS заработал, то и TMeter также должен. Или я там что-то не донастроил всё же?


P.S. Вы по всем вопросам вольны меня отправить куда подальше в Интернеты, но если позволяют время, силы и желание, помогите, пожалуйста своими ответами справиться с преградой непонимания. Спасибо, уважаемый (и отнюдь не злой) Angry Demon!

[Angry Demon]

Цитата The_Immortal:

Вот сделал (где 192.168.32.64 - адрес "серверного" ПК), как Вы сказали - разницы никакой

Что за маска 255.255.255.255??? Этак вы ничего в сети не увидите. Надо хотя бы 255.255.255.0.

Цитата The_Immortal:

Мне не нужно блокировать доступ в Интернет некоторым компьютерам. Мне нужно предоставить доступ в Интернет некоторым компьютерам. Или обязательно что-то блокировать?

Если разрешено не всем, значит, кого-то блокируем, логично?

Цитата The_Immortal:

Потому что как раз-таки читал Руководство

Где в Руководстве написано, что для доступа какому-либо компьютеру в Интернет нужно что-то пробрасывать? Цитату и ссылку на конкретную страницу, плиз, а не на оглавление! Уж я-то знаю, что в Руководстве такого нет. На будущее, все исходящие соединения в любом NAT и так проходят, если они не заблокированы фильтрами.

Цитата The_Immortal:

Однако так не работает: исходя из Ваших комментариев, я отключил механизм NAT (т.к. он, оказывается, не нужен)

Как не нужен?! Нужен, исходя из своего определения и назначения! Где я про не нужен сказал???

Цитата The_Immortal:

вот с такой настройкой клиента через ICS на машине 192.168.32.59 Интернет наконец-то появился!!!!

Маска опять неверная!

Цитата The_Immortal:

В случае задействования ICS Интернет будет только там, где в качестве основного шлюза указан "сверверный" ПК - я правильно понял?

Правильно. Ибо только этот шлюз раздаёт Интернет.

Цитата The_Immortal:

Просто в таком случае и брандмауэр не нужен (да и он, оказывается, просто игнорируется

Ничего не игнорируется. Просто закройте брандмауэром доступ от 192.168.32.59 к раздающему компьютеру.

Цитата The_Immortal:

Через ICS скорость Интернета на клиентской машине режется ровно в 2 раза - это нормальное явление для данной технологии

Ни разу такого не наблюдал.

Цитата The_Immortal:

Почему всё-таки с такой настройкой Интернета нет?

Ещё раз. Неизвестно, какой чем и шлюз выдаётся по DHCP. Проверьте, кстати, на клиенте: IPCONFIG /ALL
А то, что прописан ещё один шлюз, - так Windows может на это спокойно высморкаться. Пучит её от нескольких шлюзов.

Цитата The_Immortal:

По каким причинам может не отрабатывать TMeter?

Будем разбираться.

Цитата The_Immortal:

Вы по всем вопросам вольны меня отправить куда подальше в Интернеты

Не дождётесь.

[The_Immortal]

Angry Demon,

Цитата Angry Demon:

Что за маска 255.255.255.255??? Этак вы ничего в сети не увидите. Надо хотя бы 255.255.255.0. »

Это по ошибке получилось, я сразу на 255.255.255.0 и исправил.

Цитата Angry Demon:

Если разрешено не всем, значит, кого-то блокируем, логично? »

Логично. Но ведь доступ в Интернет получат только те машины, которые перечислены в том же LAT, разве нет?

Цитата Angry Demon:

Где в Руководстве написано, что для доступа какому-либо компьютеру в Интернет нужно что-то пробрасывать? »

Цитата Angry Demon:

Как не нужен?! Нужен, исходя из своего определения и назначения! Где я про не нужен сказал??? »

Понятненько, включаем NAT обратно без каких-либо пробросов

Цитата Angry Demon:

На будущее, все исходящие соединения в любом NAT и так проходят »

Про это я слышал, но не могу понять почему соединения планируются быть исходящими? Клиент стучится по шлюзу на раздающий ПК - это разве не входящее соединение?

Цитата Angry Demon:

Просто закройте брандмауэром доступ от 192.168.32.59 к раздающему компьютеру. »

Пока так и не могу сообразить как это делать чисто на ICS. Ну да ладно, это пока не так важно.

Цитата Angry Demon:

Проверьте, кстати, на клиенте: IPCONFIG /ALL »

• настройка сети в автоматическом режиме:
  Скрытый текст

  Код:

     DHCP включен. . . . . . . . . . . : Да
     Автонастройка включена. . . . . . : Да
     IPv4-адрес. . . . . . . . . . . . : 192.168.32.59(Основной)
     Маска подсети . . . . . . . . . . : 255.255.255.128
     Аренда получена. . . . . . . . . . : 25 октября 2017 г. 13:32:28
     Основной шлюз. . . . . . . . . : 192.168.32.1
     DHCP-сервер. . . . . . . . . . . : 192.168.32.1
     DNS-серверы. . . . . . . . . . . : 91.206.55.142
     Основной WINS-сервер. . . . . . . : 192.168.32.1

  
  
• настройка сети в автоматическом режиме с указанием дополнительного шлюза (раздающего ПК):
  Скрытый текст

  Код:

     DHCP включен. . . . . . . . . . . : Да
     Автонастройка включена. . . . . . : Да
     IPv4-адрес. . . . . . . . . . . . : 192.168.32.59(Основной)
     Маска подсети . . . . . . . . . . : 255.255.255.128
     Основной шлюз. . . . . . . . . : 192.168.32.1
                                         192.168.32.64
     DHCP-сервер. . . . . . . . . . . : 192.168.32.1
     DNS-серверы. . . . . . . . . . . : 91.206.55.142
     Основной WINS-сервер. . . . . . . : 192.168.32.1

  
  
• настройка сети в ручном режиме:
  Скрытый текст

  Код:

     DHCP включен. . . . . . . . . . . : Да
     DHCP включен. . . . . . . . . . . : Нет
     Автонастройка включена. . . . . . : Да
     IPv4-адрес. . . . . . . . . . . . : 192.168.32.59(Основной)
     Маска подсети . . . . . . . . . . : 255.255.255.0
     Основной шлюз. . . . . . . . . : 192.168.32.64
     DNS-серверы. . . . . . . . . . . : 91.206.55.142

ICS работает только в последнем случае (что, как я понял, и логично).

Цитата Angry Demon:

Будем разбираться. »

В общем, на текущий момент настройки на TMeter следующие:

1. Задаем сетевые адаптеры. Внутренний - локальная сеть. Внешний - VPN-подключение (там правда несколько RAS'ов почему-то, но я выбрал по интуиции NDISWANIP - единственное, смущает отсутствие IP, ибо при подключении к VPN-серверу IP выдается из-под сети 192.168.33.*). Режим устанавливаемый пассивный, ибо блокировать ничего не надо (тут пока останусь на своём).

2. В LAT указываем адрес одного тестового хоста.

3. Активируем NAT .

4. Задаем правило-фильтр, где указываем конкретный хост, а также, что пакет должен проходить через внешний сетевой адаптер и через NAT.

5. В URL-фильтрации удаляем какие-либо фильтры, т.к. они не нужны.

6. Проверяем серфинг на клиенте - нема.

Цитата Angry Demon:

Не дождётесь. »

Это Вы не в курсе моей способности по доставанию


В принципе, я бы уже и на ICS-варианте остановился, но вот как-то уполовинивание скорости передачи данных несколько огорчает (учитывая то, что кроме активации ICS я никаких дополнительных настроек не делал), поэтому я надеюсь поднять TMeter и не узреть там этой проблемы.

[Angry Demon]

Цитата The_Immortal:

доступ в Интернет получат только те машины, которые перечислены в том же LAT, разве нет?

LAT делается лишь для того, чтоб обозначить локальную сеть. Остальные адреса будут считаться глобальными.

Цитата The_Immortal:

Клиент стучится по шлюзу на раздающий ПК - это разве не входящее соединение?

Стучится в Интернет, следовательно - исходящее.

Цитата The_Immortal:

Основной шлюз. . . . . . . . . : 192.168.32.1

Вот и ответ. Вот, куда рн стучится в Интернет при автонастройке.

Цитата The_Immortal:

DHCP-сервер. . . . . . . . . . . : 192.168.32.1

А вот ваш DHCP-сервер. Не знаю, кто и что это.

С TMeter, всё-таки, сделайте так, как я говорил: Активный режим, Вручную укажите внешний адаптер (при подключенном VPN), LAT - диапазон локальной сети, один фильтр: разрешить любому IP-адресу из локалки доступ к любому IP-адресу из глобальной сети.
И ещё раз: проверять не серфингом, а пингом по IP.

[The_Immortal]

Angry Demon,

Цитата The_Immortal:

я бы уже и на ICS-варианте остановился, но вот как-то уполовинивание скорости передачи данных несколько огорчает (учитывая то, что кроме активации ICS я никаких дополнительных настроек не делал) »

Проблема обнаружилась. У раздающего ПК (192.168.32.64) очень нестабильная связь с VPN-сервером, т.к. этот ПК подключен через дополнительный свитч, который, видимо, глючит. Клиенсткий ПК (192.168.32.59) подключен к сети без этого свитча, поэтому у него связь с VPN-сервером хорошая - решил я его сделать раздающим.
И что Вы думаете? Включил на 192.168.32.59 ICS, взял другой клиентский ПК, где указал в ручном режиме соответствующий IP, маску (255.255.255.0) и основной шлюз (192.168.32.59). Интернета на клиенте нет. Ну как такое возможно? Та же ОС, те же настройки, как и на предыдущем раздающем ПК...... Что за бред?

Цитата Angry Demon:

С TMeter, всё-таки, сделайте так, как я говорил: Активный режим »

Есть.

Цитата Angry Demon:

Вручную укажите внешний адаптер (при подключенном VPN) »

Это касалось NAT'а, полагаю? Тогда сделал. IP 192.168.33.72 назначается при подключенном VPN:

Скрытый текст

Код:

Адаптер PPP Inet:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Inet
   Физический адрес. . . . . . . . . :
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.33.72(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : 0.0.0.0
   DNS-серверы. . . . . . . . . . . : 91.206.55.142
   NetBios через TCP/IP. . . . . . . . : Отключен

Цитата Angry Demon:

LAT - диапазон локальной сети »

Выполнил.

Цитата Angry Demon:

один фильтр: разрешить любому IP-адресу из локалки доступ к любому IP-адресу из глобальной сети. »

Есть. "IP-адресу из локалки" это же то же самое, что и "IP адреса моей лок. сети"?

Пинга к 89.108.118.149 и при таких настройках на клиенте нет.

Кстати, правильно ли я понимаю, что ICS по своей сути тот же NAT использует?

[Angry Demon]

Цитата The_Immortal:

Включил на 192.168.32.59 ICS, взял другой клиентский ПК, где указал в ручном режиме соответствующий IP, маску (255.255.255.0) и основной шлюз (192.168.32.59).

А DNS? Гугловские, например: 8.8.8.8.

Цитата The_Immortal:

Интернета на клиенте нет

Проверяли пингом на прямой IP-адрес? А сам 192.168.32.59 пингуется?

Цитата The_Immortal:

Ну как такое возможно?

Цитата Angry Demon:

Кстати, да, иногда по непонятным причинам ICS на восьмёрке не работал

Здесь на форуме в восьмёрочном разделе люди упыхтелись...

Цитата The_Immortal:

"IP-адресу из локалки" это же то же самое, что и "IP адреса моей лок. сети"?

Да. Правило, конечно, совсем не верное, но это не должно повлиять.

Цитата The_Immortal:

Кстати, правильно ли я понимаю, что ICS по своей сути тот же NAT использует?

Абсолютно верно.

Ещё раз уточню: TMeter настраивался при подключенном VPN-соединении? Возможно, TMeter не совсем корректно, всё-таки, работает с VPN-подключениями. Мне, к сожалению, проверить не на чём, у меня TMeter работает в нескольких конторах, но там всё напрямую безо всяких VPN.