[ Admin32 @ 10.12.2012. 19:03 ] @

Imam dva rutera, HG520s i TPlink wirless ruteri. Oni su povezani patch kablom iz LAN porta HG520s rutera u WAN port TPlink rutera. U WAN je sve podeseno, DNS, Gateway itd. pa preko ovog drugog izlazim na internet. IP adrese ovih rutera su drugacije (imaju razlicite subnet maske). Evo sta sam pokusao da uradim:

1. Na tplink ruteru kod opcije Virtual Servers sam ukucao adresu mog racunara iz mreze 172.16.0.0/16 , naravno i port (u mom slucaju remote desktop).

2. Zatim sam na HG520s u NAT > Port Forwarding ukucao isti port na sva mesta i ip adresu koju ima tplink ruter kod HG520s a to je 192.168.1.2.

Nista ne radi...

Isklljucio sam i firewall i na jednom i na drugom, ali open nece.

Drugo sto sam posusao jeste da u ruting tabeli HG520s upisem adresu mreze 172.16.0.0/16 i gateway ali ne radi.

Ima li neko ideju sta da podesim u jednom a sta u drugom da bi proradilo...


R1: HG520s - Telekom

R2: TL-WR941N
[ RiciSambora @ 10.12.2012. 23:47 ] @
Jesi li u prilici da privremeno eliminises taj TP-Link pa da kofigurises kad je samo Huawei u igri?!

Nadam se da adrese i portove pravilno kucas. Ne trebas nista u routig tabelu dodavati. Kako testiras je li ti port otvoren?
[ Mile-Lile @ 11.12.2012. 07:30 ] @
Ako sam dobro razumeo tvoja situacija je sledeća:
1.HG520, DHCP, Bridge mode 192.168.x.x
2.Tplink, DHCP, PPPoE, Gateway mode, 172.16.x.x
3. PC 172.16.x.x
E, sad... nisi napisao da li želiš da "spolja" sa WAN strane tplink interfejsa pristupiš PC-u preko RDP-a ili iz "lokala" preko LAN-a...
Ako želiš spolja, ja kao jedino rešenje vidim da taj komp staviš u DMZ. Pogledao sam emulator za tvoj tplink i ne vidim da ima Incoming port već samo service port u port forwarding...
Kod mene je ovako:

Pa u RDP kucam "moju javnu IP:Port from" u zavisnosti kom PC-u želim da pristupim a onda ruter forwarduje na 3389 koji je default port za RDP. Da nije tako ne znam kako bi ruter znao kom IP-u da forwarduje port ako imaš više računara u mreži... Sledeće što imaš na tplinku jer port triggering i tu čak piše "When necessary the external host will be able to connect to the local host using one of the ports defined in the Incoming Ports field" ali ne vidim kako tu da uneseš local host IP... Prosto, mislim da je ruteru namerno ukinuta ta funkcija... Ponavljam, jedino što vidim kao rešenje je Static Lease i DMZ... nadam se da će još neko da se javi pa će da ponudi još neku mogućnost, ili ako ti nađeš rešenje molim te napiši pošto i mene ovo zanima...
[ RiciSambora @ 11.12.2012. 12:39 ] @
@Mile-Lile
Kako ce HG520 biti u bridge modu kad mu je WAN TP-LInka ima privatnu adresu???

172.16.0.0/16 mu je LAN (u kojem su racunari), 192.168.1.0/? mu je "mikro-mreza" izmedju Huawei-a i TP-Linka. Oba routera NAT-uju i zato na oba treba raditi transalciju.
Nema potreba stavljati nijedan komp u DMZ, cak se time dovodi u potencijalni problem. Ja se jos nisam susreo sa TP-Linkom koji nema transliranje portova, a service port upravo jeste incomming port.

Kod tebe je DD-WRT, a kod njega stock firmware.
[ Mile-Lile @ 11.12.2012. 13:53 ] @
Citat:
RiciSambora: @Mile-Lile
Kako ce HG520 biti u bridge modu kad mu je WAN TP-LInka ima privatnu adresu???


to sam zaključio jer kaže:
Citat:
Admin32: pa preko ovog drugog izlazim na internet.
+vidim da ima HG520 koji Telekom daje ADSL korisnicima koji koriste PPPoE + povezan je HG520[LAN]------[WAN] tplink pa sam zaključio da mu je PPPoE na tplinku... zato sam zaključio da mu je HG520 u Bridge jer ne može imati dva PPPoE (mislim?!?)...
WAN interfejs tplinka može imati dve IP adrese. Jednu javnu koju mu dodeljuje DHCP Telekoma jer je na njemu PPPoE i drugu koju mu dodeljuje DHCP HG520 privatnu (zato sam napisao da ima DHCP na HG520)... to nažalost možeš videti samo na boljim ruterima koji imaju Routing Table...
DMZ nije problem ako znaš šta radiš i ako imaš firewall na kompu. Što se tiče tplinka ne kažem da ne postoji rešenje nego ga ja ne znam. Ti ako si raspoložen evo ti emulator pa okači sliku kako bi ga ti podesio. Meni nije jasno ako proslediš port 3389, a imaš više kompjutera u mreži i pristupaš spolja, kako će RDP servis znati kom kompu da pristupi?
[ RiciSambora @ 11.12.2012. 17:39 ] @
Po ovome kako je on napisao u opisu mreze - radi se o dvostrukom NAT-u. To sto je dobio HG520s ne vidim da znaci ista osim da se priljucio u odredjenom periodu u kojem su ti modemi bili aktuelni, a svi privatni korisnici telekoma "koriste PPPoE" u standardnim paketima za fiz.lica. A to sto je on napisao da preko toga ide na internet pa u sustini i ide. Ali nista, cekacemo njega da razrjesi misteriju :).

PPP je na drugom sloju i kod broadbanda se mogu dvije konekcije provuci kroz isti interface (da li radi na ADSL-u nisam pokusavao jer nisam imao potrebe, ali generalno moze). Ovo kod njega, naravno, nije slucaj, ali sam napisao jer si ti spomenuo.

A evo ti slike direktno u emulatoru (iako emulator u 99% slucajeva nije isti kao fw na uredjaju). Ovdje je u prvom slusaju TCP port 455 prosledjen na port 455 na racunar kojem je adresa 192.168.1.49 (problem ovog routera je sto se ne moze "maskirati" port, odnosno neki well known portovi se moraju prosledjivati u svom defaultnom obliku sto predstavlja odredjen bezbednosni rizik, ali i to se moze prevazici, ali da ne idemo u sirinu).


Citat:
Mile-Lile:DMZ nije problem ako znaš šta radiš i ako imaš firewall na kompu.

Upravo zbog ovoga "ako znas sta radis" ti i govorim. Ako mu vec nesto ovako savjetujes onda mu moras naglasiti da mu je racunar direktno dostupan na internetu i da je potrebano da ima firewall instaliran na racunaru.
Citat:
Mile-Lile:Meni nije jasno ako proslediš port 3389, a imaš više kompjutera u mreži i pristupaš spolja, kako će RDP servis znati kom kompu da pristupi?
Pa translacija i pokazuje na tacno jedan racunar - sto bi matematickim rijecnikom rekli "1-1" (RDP ne treba ni "znati", ti ga uputis gdje ce (kao i kad mu pristupas u istom LAN-u), a router mora "znati", a da bi router znao moras ga pravilno konfigurisati). Sad ja imam kontra pitanje - kako bi ti to uradio DMZ-om? Ja znam kako, ali ti postavljam pitanje da razmislis i pokusas doci do odgovora na svoje pitanje.

[ Mile-Lile @ 11.12.2012. 19:59 ] @
^ U DMZ možeš SAMO JEDNU IP adresu upisati i ako ti je uključen DMZ, "port forward" ne radi(barem sam tako čitao kad me zanimalo, ispravi me ako grešim). Ako pristupaš spolja ruter će videti da je 3389 (RDP po defaultu koristi 3389) otvoren SAMO za tu IP koja je u DMZ-u i proslediće RDP konekciju na tu lokalnu IP adresu na taj port. Što se tiče ovog primera koji si okačio, ako u RDP spolja kucaš npr. mojdomen.no-ip.org:455 konekcija će biti prosleđena na 192.168.1.49... e ono što mene buni i NE ZNAM a voleo bih da mi objasni ko zna: ruter prosleđuje na port 455 kompjutera a ne na 3389 (jer ne zna on koja je vrsta konekcije) a ti tu imaš FW na kompu na kome je zatvoren 455? Ili imaš u pozadini neki drugi servis npr. P2P koji je već zauzeo taj port... Nisam ja okačio screenshot dd-wrta da bih se pohvalio da imam ddwrt, nego tu logiku mogu da razumem (jer ruter uvek "gađa" 3389 a u zavisnosti od "port from" gađa i određenu lokalnuIP) a ovu na tplinku logiku ne mogu da razumem. U vindozi kad štikliraš onu opciju "Allow Remote Assistance" on sam napravi pravilo u firewall-u za 3389 i taj port je rezervisan samo za RDP. Kažeš da je princip isti kao kad koristiš RDP u LAN-u? Meni to nije isto jer u LAN-u kucaš samo lokalnu IP, a spolja kucaš javnu+port a preko porta ruter prepoznaje na koju lokalnu IP treba da posledi konekciju... Možda sam konfuzan ali mislim da ćeš me razumeti, odnosno šta mene buni... na kraju nije ni bitno šta ja mislim nego da čovek nađe rešenje za svoj problem...
A ovo što si napisao "Ja znam kako, ali ti postavljam pitanje da razmislis i pokusas doci do odgovora na svoje pitanje" je baš bezveze... Tako se igraju moji klinci:) "Znam ali neću da ti kažem". Možda si ti moj post shvatio lično, ali ja da sam znao ne bih te pitao... Ako znaš podeli to ovde možda još nekog zanima kao i mene jer ovu temu mnogi čitaju a i neko će naleteti na nju kad bude pretraživao ES.
[ RiciSambora @ 11.12.2012. 23:07 ] @
Mile ti si tako citao kada te je interesovalo, a ja sam za to skolovan (i jos svakodnevno ucim), to radim i sa ti se susrecem sedmicno (da ne kazem dnevno) nekoliko puta. Ja to ne shvatam licno (ne moras ni ti), ali nisam shvatio ni kao pitanje (ono sto sam shvatio kao pitanje (vise PPP konekcija) na to sam ti i odgovorio u jednoj recenici). To sto sam ti postavio pitanje je ustvari analogija na tvoj nacin razmisljanja jer vidim da pogresno razmisljas (vjerovatno jer ne vladas dobro materijom), a analogiju sam naveo upravo da bih te naveo na pravi put, najvise iz razloga sto covjeka pogresno savjetujes (jer sutra ce se on ili neko ko to kasnije procita javiti i reci da mu je neko "upao" u racunar pokupio brojeve kreditnih kartica, a na kraju ce se ispostaviti da mu je racunar bio "na izvolite" pa mu je samo neki klinac sa gotovom skriptom iskoristio propust u OS-u). Da se razumijemo, za tvoj post sam se "zakacio" samo zato sto si ovim covjeku savjetovao na napravi potencijalno veliki sigurnosi propust.

Nije ti jasno (odgovaram ti citajuci recenicu po recenicu na poslednji tvoj post pa sam sad dosao do tog gdje kazes da ti nije jasno) iz razloga jer ne razumijes sta je NAT-ovanje i automatski se podrazumijeva da ne znas ni sta je i zbog cega se koristi transliranje portova. Ja ti to sve ovdje ne mogu objasnjavati jer nemam vremena niti je ovo pogodan nacin (kada nekog nesto poducavam onda od njega zahtjevam da savlada klvalitetno citavu materiju - na takav su nacin mene ucili i tako ja i dalje prenosim), jedino sto ti mogu preporuciti neku literaturu da bi to savladao, a ako naletis na problem onda da postavis pitanje i dobices odgovor, kao sto sam ti vec ukazao gdje grijesis (ali uvidices da je dzabe, jer savladaces ovaj konkretan problem i opet ce ti ostati "rupa"). Ako pogledas moje postove vidjeces da se zalazem da korisnici samostalno rade i uce, a kada negdje zapnu ili trebaju savjet - rado pomognem (sto je u skladu i sa pravilnikom ovog i sa konceptom svih foruma - razmjena znanja), ali kako se voli reci u forumskom slengu "tudju zadacu ne rjesavam" i "padobrancima" (ljudima koji su se tek prijavili na forum i odmah bez citanja uletili i postavili svoj problem i kad im se rijesi problem vise se nikad nece pojaviti) obicno ne pomazem, jer im meni kad pukne cipela, ja je odnesem kod obucara i platim popravku, a ne pitam ga kako bih ja to mogao popraviti (a u zivotu nisam uzeo brusni papir niti imam ni osnovno njegovo znanje). A vrlo lako na osnovu postavljenog pitanja mogu vidjeti koliko korisnik zna.


Citat:
Mile-Lile: ^ U DMZ možeš SAMO JEDNU IP adresu upisati i ako ti je uključen DMZ, "port forward" ne radi(barem sam tako čitao kad me zanimalo, ispravi me ako grešim). Ako pristupaš spolja ruter će videti da je 3389 (RDP po defaultu koristi 3389) otvoren SAMO za tu IP koja je u DMZ-u i proslediće RDP konekciju na tu lokalnu IP adresu na taj port. Što se tiče ovog primera koji si okačio, ako u RDP spolja kucaš npr. mojdomen.no-ip.org:455 konekcija će biti prosleđena na 192.168.1.49... e ono što mene buni i NE ZNAM a voleo bih da mi objasni ko zna: ruter prosleđuje na port 455 kompjutera a ne na 3389 (jer ne zna on koja je vrsta konekcije)

Odgovor na tvoje pitanje je da bi ti radio RDP ti umjesto 455 moras kucati 3389 jer ovaj router drugacije ne zna (kod nekok drugog sam ja 'ladno mogao reci da preko 455 otvori RDP prema tom racunaru). A u slucaju koji je naveden prethodno (napisao sam i ponovicu) on ce zahtjev prosljediti na port 455 koji god servis slusao na tom portu.

E sad ovdje se vidi problem na koji ukazujem - osnove mreznih tehnologija. Router (barem ovu vrstu routera) apsolutno ne interesuje koja je to konekcija. Njegovo je da primi paket rapakuje ga do odredjenog dijela koji on "zna procitati" (a ostalo ga ne interesuje - tu se moze nalaziti zahtjev za RDP, a moze naramak drva), uporedi to sa predefinisanim tabelama i opet zapakuje i posalje na osnovu pravila u tim tabelama.

Poz
[ Aleksandar Đokić @ 12.12.2012. 06:05 ] @
Pa RisiSambora umesto sto si coveku objasnjavao kako ne zna bolje da si mu objasnio cuveni NAT.

@Mile-Life

Nisam bas ukapirao sta te buni ali mozes reci ruteru da src port prosledi na drugi dst, npr 455 na 3389 itd, uopste ne mora biti isti, cini mi se da te to buni. U tom slucaju, kada posaljes paket na 455 on ce biti prosledjen na ip koji si postavio pri podesavanju ali na 3389, bez obzira sto je stigao na 455 - jer si mu tako "rekao".

Druga stvar je dal ovi SoHo ruteri to imaju, sa fabrickim fw-om.

Citat:
Ima li neko ideju sta da podesim u jednom


Pa trebalo bi da si dobro podesio, zakaci komp direkt u HG520 pa proveri jel remote desktop radi, onda dodaj tplink pa vidi sta se desava.

edit:

Sad sam malo ukljucio mozak :), promeni src port ako je moguce, kod duplog NAT-a moguce je da se buni .
[ Mile-Lile @ 12.12.2012. 06:58 ] @
@RiciSambora
Što bi rekli u mom kraju: "usta moja hvalite me..." :))))

@Aleksandar Đokić
Hvala. Pa, baš me to i bunilo... ako ruter nema source i destination port već samo u ovom njegovom tplink slučaju "Service port" koji kontam da je src, kako će znati na koji dst da prosledi konekciju, mislim gde sam mu to "rekao"?
[ Aleksandar Đokić @ 12.12.2012. 07:55 ] @
To je dst port u IP paketu, ja sam malo okrenuo pojmove, mislio sam na koji port je paket stigao u ruter i na koji treba da prosledi, a oba su dst ako gledamo IP paket.

Citat:
kako će znati na koji dst da prosledi konekciju


U tom slucaju radi se o istom portu, na kom portu stigne na taj ce biti prosledjen u lokalnu mrezu.
[ Mile-Lile @ 12.12.2012. 08:59 ] @
Citat:
Aleksandar Đokić: U tom slucaju radi se o istom portu, na kom portu stigne na taj ce biti prosledjen u lokalnu mrezu.


OT
I ako imamo situaciju da nam treba RDP na više kompjutera u mreži pa čak i u isto vreme:
Service port IP Protocol
1. 3389 192.168.1.7 TCP
2. 3389 192.168.1.8 TCP
3. 3389 192.168.1.9 TCP
4. 445 192.168.1.10 TCP
Mislim da ruter neće dozvoliti ovakav "Rule"? Ne mogu u emulatoru da probam... Da li će za PC 192.168.1.10 RDP tražiti da ostvari konekciju na portu 445? U stvari moje pitanje je da li će RDP raditi na bilo kom portu? Hvala još jednom i izvini ako smaram...
[ RiciSambora @ 12.12.2012. 09:51 ] @
Najgore je kad covjeka pokusas nauciti nesto, a on ti se pose*e u lice.
@MIle, ja ti fino pokusavam objasniti da ti je beskorisno sto cu ti objasniti na konkretnom primjeru jer cim dodjes u malo drugaciju situaciju opet ces biti u problemu. Sve dok ne naucis osnovne stvari, a kada to naucis, onda ces imati dovoljno znanja da samostalno prepoznas problem i pokusas doci do rjesenja, a ako to ne budes znao moci ces postaviti pravilno i konkretno pitanje (ako ti to nije cilj, onda izvini, ne razumijemo se). Zanemarujuci to, opet sam ti dao odgovor(e) na tvoje pitanje/a.

@Aleksandar
Koliko ja vidim objasnio sam mu na 2-3 mjesta.
Citat:
Mile-Lile: OT
I ako imamo situaciju da nam treba RDP na više kompjutera u mreži pa čak i u isto vreme:
Service port IP Protocol
1. 3389 192.168.1.7 TCP
2. 3389 192.168.1.8 TCP
3. 3389 192.168.1.9 TCP
4. 445 192.168.1.10 TCP
Mislim da ruter neće dozvoliti ovakav "Rule"? Ne mogu u emulatoru da probam... Da li će za PC 192.168.1.10 RDP tražiti da ostvari konekciju na portu 445? U stvari moje pitanje je da li će RDP raditi na bilo kom portu? Hvala još jednom i izvini ako smaram...

Vjerovatno nece dozvoliti, a i ako ga dozvoli, nije pravilan (***) i brljavice u radu (neces dobiti ono sto ti treba). Sad cu ja opet biti baba roga zato sto vidim da ne shvatas (dokaz! pitanje si postavio, a odgovor imas pravilno podesen na svom routeru - pogledaj sliku koju si postavio, da si to sa razumjevanjem odradio sad ne bi postavljao ovo pitanje). Ali da te sad ne bunim, ovaj router sa ovim firmwareom to ne moze (vecina moze, ukljucujuci i tvoj) odraditi jer on (ovaj router) kada dobije zahtjev, on ga prosledjuje iskljucivo na isti port u LAN dijelu (znaci primi na 455 prosljedi na 455, primi na 123 prosljedi na 123). 4. pravilo ti moze proci, ALI SAMO ako namjestis na pojedinacnom racunaru da ti RDP slusa na tom portu (tako mozes odraditi i za ostale racunare - znaci svaki racunar stavljas da RDP slusa na razlicitom portu i onda tako dodajes i podesavas pravila u routeru), i onda im pristupas po tim portovima. To je jedini nacin kako to mozes uraditi na ovom routeru i ne predstavlja "elegantno" rjesenje (cak naprotiv).

EDIT: Samo da budem malo konkretniji
Citat:
Mile-Lile:  Da li će za PC 192.168.1.10 RDP tražiti da ostvari konekciju na portu 445?

Hoce ako podesis 192.168.1.10 da slusa na tom portu (umjesto na 3389).
Citat:
Mile-Lile:U stvari moje pitanje je da li će RDP raditi na bilo kom portu?

RDP ce raditi samo na jednom portu na kojem ti podesis racunar da slusa (po defaultu je to 3389)

***
Pravila 1,2,3 su nekorektna u svakom slucaju jer dst port se ne moze translirati na vise razlicitih adresa. Analogija, postar dobije paket koji mora uruciti licno na prezime Peric sa punom adresom na kojoj pise da je to stan 3389, dodje na adresu, otvorite mu ulaz o kojem ima 100 stanova i dodje na vrata stana 3389 i kome od petoro Perica ce on uruciti paket?! Niti zna on, niti znaju Perici.
[ Aleksandar Đokić @ 12.12.2012. 10:02 ] @
Ne mozes isti port translirati na dve ip adrese, a i nije logicno. RDP ce raditi na kom god portu ga stavis:

http://support.microsoft.com/kb/306759

http://support.microsoft.com/kb/304304 - klijent

mada je bolja solucija TeamViewer koji cak ni port forward ne trazi.

Citat:
Da li će za PC 192.168.1.10 RDP tražiti da ostvari konekciju na portu 445? U stvari moje pitanje je da li će RDP raditi na bilo kom portu?


Ono sto posaljes na 445 na javnu to ce biti prosledjeno na 445 na lokalnu koju si podesio, da li je to RDP ili nesto drugo nije bitno. Da bi RDP tako radio mora RDP server da "slusa" na tom portu, a klijent "da zna" na kom portu treba da posalje zahtev.

3389 uopste nije "rezervisan" za RDP, vec je MS odlucio da koristi taj port i nista vise. Nijedan port iznad 1024 nije rezervisan u smislu da ne moze druga aplikacija da ga koristi, mada mogu da se "registruju" kako bi se sto vise izbegli konfikti. Lista:

http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

edit:

Pretece me RiciSambora.

[Ovu poruku je menjao Aleksandar Đokić dana 12.12.2012. u 11:33 GMT+1]
[ Mile-Lile @ 12.12.2012. 11:19 ] @
@RiciSambora
Hvala

@Aleksandar Đokić
Hvala, posebno za linkove...
[ konda @ 24.10.2014. 14:53 ] @
Ljudi da NE otvaram novu temu, samo se radi o modelu HG520b .
Nikako ne mogu da nađem gdje se nalazi "List adress reservation " ( izv. ako nije pravilno napisano )
To jeste da na ruteru fiksiram adresu koja nije iz DHCP pool-a, već je recimo 192.168.0.55 ( primer, a dhcp mi starta od .0.100 pa na dalje ) , kako bih istu pustio u DMZ .

Pomažite jer mi ovaj huawei nije nimalo pregledan u podešavanjima.