www.elektronik.si

[Sokrat]

Tvoja arhitektura je nenavadna zgolj v tem, da si svoj racunalnik uvrstil v isti segment kot streznik (ki je ponavadi v DMZ). Ce bi jaz postavljal tvojo mrezo, bi bili vsi racunalniki v lokalni mrezi za routerjem, streznik pa sam v DMZ.

Glede na to, da ti nisi jaz, je tvoj streznik tudi router za preostali racunalnik. "Internet IP" streznika je naslov, pod katerim ga pozna tvoj router (torej en od naslovov iz DMZ), LAN IP bo pa naslov, s katerim se bo streznik predstavil v segmentu, na katerem je samo se en racunalnik (torej za poenostavitev konfiguracije ne bo iz obmocja "LAN IPjev" dveh preostalih racunalnikov).

Se prakticen primer, da ne bo zvenelo tako zapleteno:

- Router je povezan v dva mrezna segmenta, "DMZ" na "LAN". Recimo da je DMZ 192.168.5.0/24 in LAN 192.168.1.0/24, z naslovoma 192.168.5.1 in 192.168.1.1 za vmesnik, prikljucen v pripadajoci segment.
- dva racunalnika, ki sta prikljucena na router neposredno, bi torej imela naslove recimo 192.168.1.2 in 192.168.1.3.
- streznik (tvoj racunalnik z Linuxom) bi imel recimo naslov 192.168.5.2 na vmesniku, prikljucenem na router.
- zadnji segment (za streznikom) ima recimo naslov 192.168.9.0/24. Vmesnik na strezniku, prikljucen v ta segment bi imel recimo naslov 192.168.9.1.
- v tem zadnjem segmentu je se tvoj tretji racunalnik, ki bi imel IP 192.168.9.2.

Streznik mora preusmerjati promet iz 192.168.0.0/24 ven (do routerja), za povezavo v svet bo pa potem on poskrbel.

Stevilke so izbrane arbitrarno in bi (ob predpostavki, da je tvoje omrezje res postavljeno v opisani obliki) morale delati. Lahko bi tudi razdelil C-class net na manjse subnete (tako imam recimo jaz narejeno, da sem poenostavil administracijo DNSa), a dvomim, da bos ti to sam pocel, ce ti ze tole dela tezave.

[TilenS]

Hvala za izčrpno razlago.

Glede IP-jev mi je že bolj jasno, v bistvu mi je stvar že "zalaufala", no vsaj povezava z routerjem. Ampak vidim, da sem si res izbral neroden sistem povezave. Zato sem malo preuredil "kablovje" in server povezal direkt na router. Tako, da so zdaj vsi računalniki in server za routerjem. Sedaj me pa zanima, če je naslednji postopek inštalacije pravilen: na začetku inš. CC izberem standalone mode, za internet IP oz. LAN IP vnesem IP, ki ga dodeli router. In bi v bistvu potem že moral priti preko brskalnika v admin meni ali se še ostanejo kakšne nastavitve?

Upam, da ne težim preveč s temi osnovnimi zadevami ampak v postavljanju mrež, serverjev in podobnega sem šele začetnik.

Hvala.

LP Tilen

[Sokrat]

Na konkretno distribucijo se ne spoznam, s tem ti bo pomagal kdo drug. Jaz uporavljam distribucijo, pri kateri se take reci vse uredi rocno, brez nacickanih programckov, pri katerih nikoli ne ves kaj se je v resnici zgodilo (razen ce odpres sam konfiguracijske datoteke, ampak ce pa ze to naredis, jih pa tudi lahko na licu mesta popravis ).

Streznik in ostali racunalniki v istem segmentu je slaba ideja (potencialna varnostna luknja) - loci oba segmenta, v DMZ daj samo streznik, v lokalnega pa vse ostalo, kar je navzven nevidno.

[stoki]

Samo majhen namig: ce boste rabili tak comp samo za firewall, usmerjanje prometa priporocam M0N0WALL. Postavljen v pol ure, potem se konfig prek webvmesnika pa je.

[TilenS]

Sem spremenil konfiguracijo mreže tako, da server nima več funkcije routerja za moj rač. ampak je na svoji veji. Web, f*p in dostop do nastavitev preko brskalnika mi vse deluje. Ampak problem je v tem, da vse deluje samo interno navzven v internet pa ni nič vidno. Če pri meni doma vpišem svoj http ali f*p naslov mi odpre stran tako kot mora, ko pa naredim to pri sosedu pa ta stran ne obstaja oz. do f*p mape "kao" ni dostopa. Na routerju sem nastavil virtual server na parih port-ih na interni IP od serverja vendar brez uspeha. Katere porte sploh moram forvardirat za zunanji dostop do http in f*p ? Ali je mogoče problem v tem, da sta moj računalnik in server priklopljena na isti kabel, ki pride iz router-ja ? Seveda sta potem v delavnici rač. in server priklopljena preko switch-a.

LP Tilen

[Sokrat]

Za HTTP 80, za f*p pa vec portov kot bi bilo zdravo (v splosnem pa 20 in 21).

Tvoj opis je tako ohlapen, da bi bila tezava lahko kjerkoli. Najbolj pogosta neumnost je, da ne nastavis routanja prometa iz DMZja (torej od serverja) v svet ali pa da to nastavis, potem pa firewallas DMZ, da ne more nic ven

Za bolj precizen odgovor dopisi izpis ukaza

traceroute -p 80 IP_SERVERJA

z enega od racunalnikov, ki ni pri tebi (torej recimo od kolega) oz. kjer pac to preizkusas od zunaj, pa ti bomo povedali kje je tezava.

To da sta prikljucena na isti kabel sicer njima veze, je pa ensmiselno (logicno bi bilo, da je DMZ segment fizicno locen od lokalnega omrezja, ce seveda router to omogoca).

[TilenS]

Firewall na serverju sem tudi probal izklopit ampak ni pomagalo.

Kot sem že rekel se glede mrež in tega še učim zato bi prosil, če mi lahko poveš kje ta ukaz sploh izvršim ?

Hvala.

LP Tilen

[Sokrat]

Izvrsis ga v ukazni vrstici vsakega normalnega operacijskega sistema; glede na to, da smo v forumu, namenjenemu Linuxu in ostalim Unixoidnim sistemom, navodila veljajo zanje. Na Windowsih se uakz imenuje "tracert", nisem pa preprican ali tudi omogoca preverjanje dolocenega porta.

Ce je firewall za cas testiranja izkljucen, potem ocitno to ni problem. Ali je pravilno nastavljeno preusmerjanje prometa iz DMZ v internet ?

[GM903]

Tudi jaz že clarkconnect uporabljam 2,5 leti. Pred 1. mesecom sem se odločil da si namestim CC 3.2 home edition. Pred 1 mesecom so mi na siolu dodeli dva statična ipja. Sedaj me zanima ali se da v clarkconnectu izvedit da bi lahko uporabljal oba ipja. 1 računalnik bi uporabljal ip 193.77.xxx.1 in drug racunalnik 193.77.xxx.2 ?

[Sokrat]

Zakaj pa ne ? Le IPja bosta morala biti kar tista, ki so ti ju dodelili in povezava v svet ne bo vec sla preko NATa, ampak jo bo tvoj router normalno forwardal naprej. V routerju to ustrezno nastavi, pa bo, in ne pozabi na nastavitve firewalla, ce si se prej zanasal le na skrivanje za NATom na lokalnih racunalnikih.

[GM903]

Ravno tega ne vem. Sem bolj domač glede omrežij.

[obupanec]

Zdravo.

Zgleda kar nekaj časa noben ni imel problemov glede clarkconnect-a Home

imam problem, instaliral sem zadevo čisto privzeti install, brez statičnega ip-ja, in izbrano DSL - pppoe, ostalo vse po defaultu, po končani instalaciji (ne čaram nič po nastavitvah ampak gremd direktno na https://192.186.1.1:/81 in mi zadeva dela (oz je delala) Ko sem si ogledal malo vmesnik in ostalo, sem zadevo restartal, seveda ko se je rebootala, ni hotela več delat in ker sem bolj slab v teh nastavitvah (ip in ostalo) sem reku, ni hudga bom pač še enkrat instaliral in OK. Ko pa instaliram zadevo na novo pa noče več delat ?? čeprav imam iste nastavitve kot prej razen imena ter ime.lan, ostalo je vse isto kot prvič, ampak noče delat da se ubijem. V čem je lahko težava.

Imam pa ADSL (dinamični IP) / clarkconnect+2mrežni / switch / win-mašina-ip=192.168.1.2, privzeti prehod=192.168.1.1

tenx

[Sokrat]

Navedeni podatki so (milo receno) neuporabni; ce si vse nastavil enako, potem ti stvar deluje. Ker trdis, da ti ne deluje, nisi vsega nastavil enako. Racunalniki so deterministicne zadeve, ki - razen v primeru okvare - dajejo predvidljive rezultate, sploh za tako banalne stvari.

"Noce delat" ne pomeni prav nic - ce bos napisal kaj ti ne deluje in kako si do tega zakljucka prisel, bos najbrz tudi dobil kaksen konkreten odgovor, z nadcutnimi sposobnostmi smo pa v tej sopari bolj tako-tako.

[Sokrat]

Izpis ukazov "ifconfig", "route" in "iptables -L" spravi v tekstno datotetko in jo priprni sporocilu, v njem pa opisi (z naslovi vseh relevantnih vmesnikov) topologijo tvojega omrezja.

Brez tega je nemogoce uganiti kaj si naredil drugace kot takrat, ko ti je delovalo.

[obupanec]

Hvala.
Ja fino bi bilo ko bi vedel kako naj to izvedem ?? Ko pa mi pusti da se logiram in še nekaj komand ne znam pa do ukazne vrstice prit (lupine no) LP

edit: še do helpa ne morem napiše mi unable to access document.