@MikrotikRu

Страница 1582 из 3964
 
Alexei
28.08.2017
10:47:34
да это та лаба которую я щас хоч уначать делать

 
Sergiy
28.08.2017
10:47:45
У тебя есть схема LAN1---R1-----Inet-------R2----LAN2 В LAN2 есть https сервер. Задача Если на 443 порт R2 лезет R1 то поднимается SSTP-туннель. Если любой другой хост, вколючая хосты из LAN2, получают страничку с HTTPS сервера )
а по TTL не решаемо? хотя нет, мы же не знаем сколько будет промежуточных хостов

 
Alexei
28.08.2017
10:47:46
хочу прям протестировать собираю в еве

 
Sergiy
28.08.2017
10:47:59
О, давай поразкинем мозгами

Google
 
Alexei
28.08.2017
10:48:04
здесь я так понимаю должен юзаться нат

 
Sergiy
28.08.2017
10:48:19
тут задача как определить был ли нат ?

 
ну с стороны Р2

 
Alexei
28.08.2017
10:48:54


 
задача настроена на понимание NAT

 
Sergiy
28.08.2017
10:50:13
ну , давай делись наработками

 
Alexei
28.08.2017
10:50:14
У тебя есть схема LAN1---R1-----Inet-------R2----LAN2 В LAN2 есть https сервер. Задача Если на 443 порт R2 лезет R1 то поднимается SSTP-туннель. Если любой другой хост, вколючая хосты из LAN2, получают страничку с HTTPS сервера )
пожалуйста ответ не давайте :) хочется самостятельно решить :)

 
я только начал рожать

 
Sergiy
28.08.2017
10:50:45
что будет признаком НАТа в прилетевшем пакете?

 
Alexei
28.08.2017
10:50:48
чтобы более наглядно щупать собираю прям лабу, щас апач подниму на семерке :)

 
Sergiy
28.08.2017
10:50:53
ну то что пакет уже прошел НАТ

 
Alexei
28.08.2017
10:51:05
первые пакет

 
Sergiy
28.08.2017
10:51:18
что именно?

Google
 
Sergiy
28.08.2017
10:51:30
я о нате НЕ НА Р2

 
вот как Р2 поймет что прилетевший пакет где то по дороге прошел через НАТ?

 
Anton
28.08.2017
10:52:27
Никак.

 
Илья
28.08.2017
10:52:37
ПОдсказка. TTL не канает. Мы не знаем, что там провайдер может намутить. Вдруг роутер добавит.

 
Alexei
28.08.2017
10:52:46
да здесь главное понять ка котдельить назначение

 
катлетки от мух

 
Aleksandr
28.08.2017
10:53:10
dial on demand?

 
Alexei
28.08.2017
10:53:12
здесь как то обигрывается само назначение....

 
игра с срц и дст

 
у меня есть ответ, но я его не буду смотреть вот вам крест.

 
Илья
28.08.2017
10:54:24
Задачка дается у меня на TCE на дом. С целью заставить покопаться в пакет-фло.

 
Alexei
28.08.2017
10:54:50
да балин здесь еще похоже с состоянием соединений завязано, да?

 
Сергей
28.08.2017
10:56:24
чтобы более наглядно щупать собираю прям лабу, щас апач подниму на семерке :)
для теста пойдет http://www.rejetto.com/hfs/ апач не нужен

 
Sergiy
28.08.2017
10:56:38
Илья. а как мы на Р2 может узначть что там происходило ан Р1? к нам прилетает пакет. может он прошел нат, может не прошел. ИМХО никаких явных признаков в пакете нет

 
Alex
28.08.2017
10:57:03
ПОдсказка. TTL не канает. Мы не знаем, что там провайдер может намутить. Вдруг роутер добавит.
Зато в некоторых случаях канает дсцп

 
Sergiy
28.08.2017
10:57:06
точнее они то должны быть, но что то никак не вспомню

 
Илья
28.08.2017
10:57:15
Развлекайтесь )

 
Sergiy
28.08.2017
10:57:29
стой

 
Илья
28.08.2017
10:57:34
И с порт-кнокингом можеет попробовать в 2 правила решить.

 
Alexei
28.08.2017
10:57:39
не для сстп же это будет инпут на 443, а для ввв1 это уже форвард на 443

Google
 
Alex
28.08.2017
10:57:47
И с порт-кнокингом можеет попробовать в 2 правила решить.
С псд уже решали

 
Илья
28.08.2017
10:57:57
Задача с NAT решается тремя разными способами если че

 
Alex
28.08.2017
10:58:01
не для сстп же это будет инпут на 443, а для ввв1 это уже форвард на 443
Да, и в прероуте это УЖЕ надо отделить

 
Sergiy
28.08.2017
10:58:12
вопрос - это решается на Р2 или на Р1 тоже надо что то делать? если на Р1 то да. навешивать метку на нужные пакеты и всё

 
Илья
28.08.2017
10:58:26
На обоих

 
Anton
28.08.2017
10:58:57
вопрос - это решается на Р2 или на Р1 тоже надо что то делать? если на Р1 то да. навешивать метку на нужные пакеты и всё
Метка на пакете локальна для хоста, не поможет.

 
Sergiy
28.08.2017
10:59:04
не для сстп же это будет инпут на 443, а для ввв1 это уже форвард на 443
это в НАТе на Р2. на тот момент что то что выглядит одинаково. но по некоторым критериям то натим а это нет. критерии надо понять

 
Метка на пакете локальна для хоста, не поможет.
не пакетмарк, а DSCP

 
но его может по дороге почистить

 
Alexei
28.08.2017
10:59:44
нет здесь задачи на dscp

 
здесь задача усвоить нат :)

 
точно говорю

 
Alexei
28.08.2017
11:00:09
здесь всё за счёт ната должно решиться

 
Илья
28.08.2017
11:00:12
dscp это способ раз. Но его могут по дороге и поменять.

 
Alex
28.08.2017
11:00:25
dscp это способ раз. Но его могут по дороге и поменять.
Ну вот да.

 
Sergiy
28.08.2017
11:00:37
ну будь на Р1 два внешних адреса то я бы соурснатил одним, а в инет лазил себе с другого ?

 
Alexei
28.08.2017
11:01:02
я уже понял что маскарад это во многих случаях зло :)

 
на данном этапе

 
Илья
28.08.2017
11:01:11
адрес один

 
Sergiy
28.08.2017
11:01:37
Алекс, ты думай как можно еще в пакете позначить что этот конекшн надо пропустить. Тоесть передать метку с одного роутера на другой

Google
 
Alex
28.08.2017
11:01:41
адрес один
Важное уточнение :)

 
Илья
28.08.2017
11:02:02
))

 
Alexei
28.08.2017
11:02:11
Алекс то уже наверное решил

 
Sergiy
28.08.2017
11:02:20
да я тебе

 
Alexei
28.08.2017
11:02:23
ааа

 
Sergiy
28.08.2017
11:02:24
я путаю формы имен

 
Alexei
28.08.2017
11:02:28
ну я думаю

 
ндао отчество добавить в ник :)

 
до этого интересная задачка была с нетмапом, я её до посинения решал, чуть мозг не вытек потом вроде понял :)

Admin
ERROR: S client not available

 
Kirill
28.08.2017
11:03:38
да вариантов решения куча и ещё немного к куче )))))))))

 
Sergiy
28.08.2017
11:03:49
ну вот и набрасываем разные

 
Alexei
28.08.2017
11:03:50
ндао онли нат

 
не ндао разные

 
давайфте сузим себе гланды до ната

 
Sergiy
28.08.2017
11:04:05
Алексей, у меня есть вариант один

 
правда щас илья опять его зарежет

 
Alexei
28.08.2017
11:04:27
онли нат?

 
Sergiy
28.08.2017
11:04:28
смотри, мы же можем соурснатить на Р1. верно?

 
Alexei
28.08.2017
11:04:47
ну возможно

Google
 
Илья
28.08.2017
11:04:49
до этого интересная задачка была с нетмапом, я её до посинения решал, чуть мозг не вытек потом вроде понял :)
Эта? https://spw.ru/educate/articles/natpart4/

 
Alexei
28.08.2017
11:04:53
ты на мой скрин сомтри там наглядно

 
Sergiy
28.08.2017
11:04:54
а соурснат это не только адрес но и порт

 
Alex
28.08.2017
11:04:54
Можно ещё порты соурснатить, а на р2 по этому принципу разгребать

 
Sergiy
28.08.2017
11:05:05
не свети раньеше времени

 
я хотел что бы Алексей сам к этому пришел ?

 
Alexei
28.08.2017
11:05:38
да да я тоже хочу прийти :)

 
погоди

 
Sergiy
28.08.2017
11:05:52
людям не надо давать готовые ответы. гораздо инетересней когда дают направление и человек до всего доходит сам

 
Alexei
28.08.2017
11:06:17
на р1 нам ндао обиграть трафик который идет форвардом на р2

 
и аутпутом для тонеля

 
Sergiy
28.08.2017
11:06:29
ага.

 
вот как ты на Р1 пометишь что этот трафик форвардный а этот оутпутовский?

 
Alexei
28.08.2017
11:06:45
а на р2 нам надо обиграть трафик который идет инпутом с р1

 
Sergiy
28.08.2017
11:06:49
так что бы Р2 это понял

 
Alexei
28.08.2017
11:07:09
ну если дст адрес р1

 
Sergiy
28.08.2017
11:07:17
и там и там один адрес

 
задача сводится к одному аспекту, который решается на Р1

 
Alexei
28.08.2017
11:07:43
погоди где и там и там один адрес?

 
Sergiy
28.08.2017
11:07:57
надо свой трафик пометить по другому чем трафик клиента из своей локалки

 
погоди где и там и там один адрес?
там адрес Р2:443

 
Илья
28.08.2017
11:09:12
Вот для этого ее и даю. Заставляет думать нар реальным использованием полученных знаний ))))

Страница 1582 из 3964