Host.Community | hcom.link

Есть интернет в частном секторе, который раньше работал нормально, а последнюю неделю очень «лагает». Компьютер подключен к роутеру, который подключен к ещё одному роутеру на крыше, который получает интернет по воздуху. Последний роутер ловит сигнал на все полоски.

Traceroute:
traceroute to kyivstar.ua (94.153.165.5), 30 hops max, 60 byte packets 1 192.168.1.1 (192.168.1.1) 0.531 ms 0.910 ms 1.298 ms (домашний роутер) 2 192.168.23.1 (192.168.23.1) 7.111 ms 7.272 ms 7.422 ms (роутер на крыше) 3 * * 190.168.30.1 (190.168.30.1) 736.054 ms (оборудование провайдера, о нем ниже. Дальше ничего не знаю) 4 * * * 5 * 193.41.62.205 (193.41.62.205) 755.336 ms * 6 * * 94-153-167-121-gprs.kyivstar.net (94.153.167.121) 254.693 ms 7 * * * 8 * * * 9 * * * 10 * * * 11 * * * 12 * * * 13 * * * 14 * * * 15 * * * 16 * * * 17 * * * 18 * * * 19 * * * 20 * * * 21 * * * 22 * * * 23 * * * 24 * * * 25 * * * 26 * * * 27 * * * 28 * * * 29 * * *

По адресу 190.168.30.1 открывается следующая страница: Mikrotik RouterOS v6.32.2 и поле для логина и пароля. Я сделал вывод, что это оборудование на стороне провайдера, которое передает сигнал по воздуху. Поэтому Ping решил сделать прямо к нему.

Ping:
— 190.168.30.1 ping statistics — 312 packets transmitted, 226 received, 27% packet loss, time 311834ms rtt min/avg/max/mdev = 3.079/796.216/3448.426/661.995 ms, pipe 4

Т.е. средний пинг оказался 796.216 ms, что вообще НЕ ОК, раньше он был меньше 5 ms. И 27% потерь это жесть.

Какие могут быть неполадки в сети, как их выявить и исправить? Или звонить провайдеру?

Доброго дня всем. Есть компьютер, подключенный к роутеру по wi-fi, который через него выходит в сеть. На компьютере настроена внутренняя сеть на фильтрацию трафика через Socks (redsocks — TCP + DNS Socks Proxy — UDP(через TCP). Задача: раздать интернет с этого локального компьютера на другую внешнюю сетевую карту(wi-fi адаптер подключенный к этому компьютеру), со всеми его настройками. То есть, чтобы когда подключился к внешней сетевой карте с другого устройства, имел такое же соединение с интернетом как и сам компьютер, если я правильно понимаю, выходил в сеть через него. Как такое сделать? Просто создать wi-fi соединение по типу 'точка-доступ' не получается, точнее получается, но трафик не фильтруется всеми теми правилами, которые присущие этому компьютеру. Что делать? С помощью чего? Перенаправление маршрута с помощью route+iptables? Подскажите, запутался немного(если можно, с примерами). Правила Redsocksiptables -t nat -N REDSOCKS iptables -t nat -A REDSOCKS -d 0.0.0.0/8 -j RETURN iptables -t nat -A REDSOCKS -d 10.0.0.0/8 -j RETURN iptables -t nat -A REDSOCKS -d 127.0.0.0/8 -j RETURN iptables -t nat -A REDSOCKS -d 169.254.0.0/16 -j RETURN iptables -t nat -A REDSOCKS -d 172.16.0.0/12 -j RETURN iptables -t nat -A REDSOCKS -d 192.168.0.0/16 -j RETURN iptables -t nat -A REDSOCKS -d 224.0.0.0/4 -j RETURN iptables -t nat -A REDSOCKS -d 240.0.0.0/4 -j RETURN iptables -t nat -A REDSOCKS -p tcp -j REDIRECT --to-ports 6666 iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner %username% -j REDSOCKS
Вот что выдает команда ifconfig(с дополнительным адаптером):
enp3s0 Link encap:Ethernet HWaddr 4c:72:b9:46:d9:53 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) lo Link encap: Локальная петля (Loopback) inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:132 errors:0 dropped:0 overruns:0 frame:0 TX

Есть хост-машина 10.10.1.4. Есть виртуальный ubuntu-serv c двумя интерфейсами eth1 10.10.1.6 бридж с хостовой машиной и eth0 192.168.1.0/24 внутренняя подсеть. Мне нужно пинговать с хост-машина машину во внутренней сети за ubuntu-serv-ером 192.168.1.2. С машини 192.168.1.2 машина 10.10.1.4 пингуется, но ненаоборот, прописывал стат. маршрут на 10.10.1.4

route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.10.1.6

Не помогло.
Вот правила вирт машины:

LOCAL_IF=eth1
LOCAL_NET=«192.168.1.0/24»

INET_IF=eth0
INET_NET=«10.10.1.6»

# INPUT RULES
$ip -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ip -A INPUT -i lo -j ACCEPT
$ip -A INPUT -p icmp -j ACCEPT
$ip -A INPUT -p tcp --dport 4491 -j ACCEPT
$ip -A INPUT -p udp --dport 53 -j ACCEPT

# FORWARD RULES

$ip -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$ip -A FORWARD -p icmp -j ACCEPT

# NAT PREROUTING
$ip -t nat -A PREROUTING -s $INET_IF -j MASQUERADE

# NAT POSTROUTING
$ip -t nat -A POSTROUTING -s $LOCAL_NET -j MASQUERADE

Как осуществить доступ с машины 10.10.1.4 к машине 192.168.1.2 которая за роутером 10.10.1.6

Здравствуйте, друзья!
Имеется офисная сеть, организованная по следующей схеме:

Хотим иметь отдельный доступ к видеонаблюдению извне. Отдельный, то есть не связанный с офисной сетью, чтобы в случае получения доступа к видеонаблюдению злоумышленника, он не смог заодно попасть и внутрь офисной сети.
То, что придумали на сегодняшний день, выглядит следующим образом:
У нас два интернет-провайдера на случай перебоев с одним из них. Провайдера 1 не трогаем, у провайдера 2 заказываем второй IP-адрес, собираем то, что представлено на втором рисунке (после замены чем-то рабочим блока «Что-то») и отключаем коммутатор офисной сети от коммутатора видеонаблюдения. Логика следующая: доступ к видеонаблюдению будем осуществлять по второму ip-адресу провайдера 2, для остальной сети ничего не изменится (её защита обеспечивается уже дальше — маршрутизатором и прокси-сервером). Ну и соответственно, чтобы не забивать интернет-канал, доступ к видеонаблюдению из внутренней сети тоже должен осуществляться не «через интернет», а внутри блока «Что-то».

Следовательно, блок «что-то» должен:
1. На вход WAN получать поток с 2 ip адресами и разделять его на 2 LAN выхода (на каждый LAN свой ip)
2. Уметь пробрасывать порты. Видимо, это уже будет роутер, на WAN которого будет приходить шнурок с ip адресом для видеонаблюдения. Желательно ещё, чтобы он пробрасывал порты только для набора ip-адресов, с которых к нему осуществляется доступ, а остальным ip-адресам «отказывал».
3. Проводить обмен данными между сетями внутри себя, а не «через интернет».

Блоком «Что-то» можно заменить и наш маршрутизатор, если это будет правильнее.
Подскажите, пожалуйста, какое оборудование, или набор оборудования нам нужно купить, и где искать необходимые настройки?
Спасибо!

Доброго дня.
Столкнулся со следующей проблемой — необходимо пробросить трафик с 80 порта одного сервера (дале 1.1.1.1) на другой (далее 2.2.2.2). Оба сервера хостятся на амазоне, ОС — восьмой дебиан на первом и бубунта 14.04 на втором.

Делал так, через iptables:

# sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/g' /etc/sysctl.conf # включил ip forwarding # sysctl -p // проверил, включилось # iptables -F // удалил текущие правила # iptables -t nat -F // и специально для nat // Далее сами правила # iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 2.2.2.2:80 # iptables -t nat -A POSTROUTING -p tcp -d 2.2.2.2 --dport 80 -j SNAT --to-source 1.1.1.1 # sudo iptables -t nat -L -n // проверка // вывод: Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to: 2.2.2.2:80 Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT tcp — 0.0.0.0/0 2.2.2.2 tcp dpt:80 to: 1.1.1.1 // и напоследок сохранил и проверил: # iptables-save | sudo tee /etc/iptables.up.rules

Tcpdump на первой машине показывает, что пакет отправляется на второй хост, но на втором хосте он либо не обрабатывается, либо его режет амазоновский нат. Гугление и общение с админами не помогло, все запутались ещё больше. Максимум чего удалось добиться это отправка пакетов на второй хост при обращении на первый, но там они не обрабатываются, в tcpdump нет вывода никакого.
Если кто то захочет предложить Port mirroring или mangle в iptables — в принципе рассматривается.

Заранее спасибо.

Доброго времени суток
Есть локальная сеть с тупыми свичами.
Есть задача настроить wifi c доступом в интернет но без доступа в локальную сеть (в которую точка подключается WAN портом.
В наличии есть TPLink WA701. т.к. подобное организовать средствами стандартной прошивки невозможно она біла перешита на OpenWRT.
Настройки вроде сделаны правильно но правило не отрабатывает. по wifi с точки доступа можно попасть в локальную сеть.
Настройки:
root@OpenWrt:~# cat /etc/config/network config interface 'loopback' option ifname 'lo' option proto 'static' option ipaddr '127.0.0.1' option netmask '255.0.0.0' config interface 'WLAN' option ifname 'wlan0' option proto 'static' option ipaddr '192.168.88.1' option netmask '255.255.255.0' option dns '208.67.222.222' config interface 'WAN' option ifname 'eth0' option proto 'dhcp'

root@OpenWrt:~# cat /etc/config/firewall config defaults option syn_flood '1' option input 'ACCEPT' option output 'ACCEPT' option forward 'REJECT' config zone option name 'lan' option input 'ACCEPT' option output 'ACCEPT' option network 'WLAN' option forward 'REJECT' config zone option name 'wan' option output 'ACCEPT' option forward 'REJECT' option masq '1' option mtu_fix '1' option network 'WAN' option input 'ACCEPT' config forwarding option src 'lan' option dest 'wan' config rule option name 'Allow-DHCP-Renew' option src 'wan' option proto 'udp' option dest_port '68' option target 'ACCEPT' option family 'ipv4' config rule option name 'Allow-Ping' option src 'wan' option proto 'icmp' option icmp_type 'echo-request' option family 'ipv4' option target 'ACCEPT' config include

Добрый день. Я начинающий системный администратор. Мне поставили серьезную задачу: поднять новую инфраструктуру с нуля и объединить в одну сеть три корпуса учебного заведения. Определим, что корпус A –главный, B и C второстепенные. В главном корпусе сейчас установлен Windows Server 2008 (DC,DHCP,DNS), Windows Server 2008 (TMG 2010), Windows 2003 (Mail, Сайт) и все этот стоит на старом железе. В других корпусах на текущий момент серверов нет. (Новые сервера закуплены по 2 шт. на корпус). Уточнение задачи: Необходимо что бы пользователи одного корпуса могли авторизоваться в других корпусах под одним логином и паролем, а также имели доступ к ресурсам в других корпусах. В данный момент сети между корпусами нет, но она будет сделана по средством VPN или с помощью провайдера. Скорость интернета между корпусами до 100 Мбит.
По моему мнению, процесс создания новой инфраструктуры надо начинать с главного корпуса. Привести порядок сеть, продумать топологию сети, есть возможность настроить VLAN в сети (200+ PC), продумать как будет реализован VPN, поднять новый домен и лес, плавно перенести текущие сервера на новые. Следующий этап это соединение главного корпуса с второстепенным(VPN), поднятия там домена, включить этот домен в существующий новый лес, и настройка доверительных отношений между доменами. Тоже самое с третьем корпусом. НО начальство хочет все сделать наоборот. Первым делом поднять домены и новые леса в корпусе B и C, после перестроить инфраструктуру в главном корпусе, поднять VPN и как-то соединить все три леса в один. В этом подходе я и сомневаюсь. Можно ли будет без геморроя настроить доверительные отношения между доменами, которые находятся в разных лесах? Какие есть плюсы и минусы в данных подходах? И как это все будет работать? Заранее спасибо за совет!

Имеется гипервизор
получает ип от провайдера по dhcp
bond0 Link encap:Ethernet HWaddr 0C:C4:7A:01:C5:CC inet6 addr: fe80::ec4:7aff:fe01:c5cc/64 Scope:Link UP BROADCAST RUNNING MASTER MULTICAST MTU:1500 Metric:1 RX packets:3497943 errors:0 dropped:0 overruns:0 frame:0 TX packets:5094201 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:3200769720 (2.9 GiB) TX bytes:2173888522 (2.0 GiB) br0 Link encap:Ethernet HWaddr 0C:C4:7A:01:C5:CC inet addr:37.235.ххх.132 Bcast:37.235.ххх.255 Mask:255.255.248.0 inet6 addr: fe80::ec4:7aff:fe01:c5cc/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3483486 errors:0 dropped:0 overruns:0 frame:0 TX packets:2641824 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:3147142263 (2.9 GiB) TX bytes:2026746464 (1.8 GiB) eth0 Link encap:Ethernet HWaddr 0C:C4:7A:01:C5:CD UP BROADCAST SLAVE MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:18 Memory:fbb00000-fbb20000 eth1 Link encap:Ethernet HWaddr 0C:C4:7A:01:C5:CC UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1 RX packets:3497943 errors:0 dropped:0 overruns:0 frame:0 TX packets:5094201 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:3200769720 (2.9 GiB) TX bytes:2173888522 (2.0 GiB) Interrupt:19 Memory:fba00000-fba20000 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) virbr0 Link encap:Ethernet HWaddr 52:54:00:DF:83:98 inet addr:192.168.122.1 Bcast:192.168.122.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1235330 errors:0 dropped:0 overruns:0 frame:0 TX packets:1176048 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:1826407599 (1.7 GiB) TX bytes:975834586 (930.6 MiB) vnet0 Link encap:Ethernet HWaddr FE:54:00:C1:01:04 inet6 addr: fe80::fc54:ff:fec1:104/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1235330 errors:0 dropped:0 overruns:0 frame:0 TX packets:1584777 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:500 RX bytes:1843702219 (1.7 GiB) TX bytes:997088650 (950.8 MiB)
на нем имеется 2 виртуальных площадки который получают ип вида 192.168.1.ххх от dhcp сервера в виртуальной сети, нужные порты проброшены через нат
default.xml
default 28cbea7c-c509-44a1-8911-3fb39aea7ec7
sv-vm02.xml

каким образом мне заставить виртуальную машину получать ип от dhcp сервера провайдера?

Запускаю простой echo-сервер на linux centos:
ServerSocket server = new ServerSocket(portNumber);
или
ServerSocket server = new ServerSocket(portNumber, 10, InetAddress.getLocalHost());

В консоли получаю, например:
SERVER :: created Se>rverSocket[addr=vm531350/_serverip_,localport=8080]

При любых раскладах netstat -anp выдает:
tcp 0 0 :::8080 :::* LISTEN 27285/java
либо
tcp 0 0 ::ffff:_serverip_:8080 :::* LISTEN 27285/java

Сервер пингуется нормально, через telnet с другого компьютера все приходит, проверял через tcpdump. Но подключения, именно, к java программе не происходит.
То есть это сокет слушается локально, я правильно понимаю? Как переключится на внешний интерфейс?

Файл hosts:
_serverip_ vm531350 vm531350 localhost
::1 vm531350 vm531350 ip6-localhost
_serverip_ vm531350
_serverip6_ vm531350

Доброго времени!

Пытаюсь решить задачу организации сети с сервером доступа.
Имеем:
1. Сервер с одним Ethernet портом
2. Time capsule от apple с wan портом и 4 lan и wifi.
3. Провод витая пара из щитка по которой приходит интернет от провайдера. Подключение по PPPoE.
4. Куча различных устройств, преимущественно с wifi подключение

Хочу чтобы сервер решал кому предоставлять доступ в интернет, а кому нет, исходя из заданного алгоритма. Это как одна из функций.

Проблема в том, что я не понимаю физическую схему подключения.
Первый вариант: купить еще лан карту. Воткнуть интернет в первую. Сервером подключаться, делать всё что мне нужно и через вторую пересылать всё на time capsule которая уже будет в режиме моста подключать всех потребителей.
Второй и который мне хочется реализовать: time capsule воткнуть в интернет первой, так же настроить на режим моста и каким то образом настроить та кчтобы трафик шел через сервер. Возможно путем подключения провода провайдера в лан порт, а провода сервера в Ваня порт.

Вопрос: Второй вариант в принципе возможен? Если возможен прошу наталкнуть на нужную мысль. Спасибо.