Помощь с присоединением к корпоративной Lan

[M&M 0]

Скажу честно - с компом я знаком только на бытовом уровне. А функционирование Bинды для меня вообще большая загадка.

Живет у меня жилец - добрый человек, японец. Попросил интернет - я ему провел UPC. Далее у доброго человека возникли сложности с подключением к корпоративной LAN. Пять раз я ему объяснял в разных формах, что я не компьютерщик и помочь ему не могу. Пять раз отправлял в UPC и дальше. Не унимается. Сейчас хочет менять провайдера. Дом, кстати, подключен к UPC (кабеля их). Почему-то айтишники с фирмы (мирового гиганта, между прочим) помочь ему не могут.

Далее привожу кусок из нашей с японцем переписки.

Помогите, пожалуйста.

 

Японец:

I have one more thing that I need your help. When I tried to connect to

company LAN from home (apartment), I encountered a difficulty. And the blow

is the procedure that our IT group in company proposed to me. Although I

don't understand their technical things/terms, but could you contact the

service provider for me to make the connection to our company available? or

Could you please let me know the contact email address of the service

provider so that I can contact with them directly?

 

The below is an excerpt from the email I received from company IT group.

********************************************************************************

*********************************************************************************

*****************

Procedure

This error can be caused by UDP500 traffic not getting back to the

requesting client through a firewall and/or router when the client's router

is not allowing IPSec Passthrough, or if the date & timezone on the

computer is set incorrectly.

 

If the firewall/router supports IPSec passthrough you must enable IP

Protocol 50, IP Protocol 51, and UDP port 500 on both the source and

destination, bidirectional, in order for the client to establish the

connection.

 

Some firewalls/routers have a generic setting "Enable IPSec" or "Enable

IPSec Passthrough". Turning this on will usually solve the problem.

If the router does not have this option then it will need to be set

manually. The client will need to contact their local hardware vendor, or

consult their hardware documentation on how to turn on IPSec passthrough.

EMIT does not support non-ExxonMobil equipment.

 

Note: Some internet service providers do not allow IPSec over their

network. Client should contact their provider if enabling the IPSec does

not work. Client should also make sure the firewall/router is using the

latest software/firmware.

 

Далее (после общения с UPC )

Японец:

For internet services, I have been contacting help desk of UPC, I still

have some difficulties of connecting to company LAN from home. What they

want me to do was very risky. They want me to change the system address of

Modem which has a possibility not to re-connect using my personal PC and I

don't want to do it. Normally, it is easy, for example I connected to

company LAN from my home in Japan very easily without trouble, without

consulting with service provider.

So, is there any other Internet service provider which is popular in Prague

and may work well? I started to consider changing the service provider

which will make me easier to connect with company LAN. Thanks for your

advice.

[Dim 0]

Не забивай себе головы, это иппонские проблемы..

They want me to change the system address of

Modem ....

Интересно, "system address" по-иппонски, это IP или MAC?

Скорее IP...

[M&M 0]

Проблемы японские - гиморой мой.

Японцы - они такие, могут задолбать не хуже перфоратора.

Поскольку ему нужна связь с корпоративной сетью, он с меня слезать не собирается. Интернет включен в контракт на квартиру. Щас он хочет поменять провайдера, с чем UPC будет категорически не согласна, пока не пройдет год с момента подключения. Да и поможет ли новый провайдер - вопрос.

А при продолжении сотрудничества с UPC японец будет продолжать меня сношать, как швейная машинка.

Вообще, технически возможно что-либо отладить в его компьютере, что бы он сношал свою LAN?

[Victor 65]

Я, конечно, не слишком большой спец в сетях, но как пользователь UPC и просто читающий по-английски, могу рекомендовать следующее.

 

Прежде всего, пусть японец ВНИМАТЕЛЬНО прочтет, что ему написал его IT отдел.

 

А именно:

 

Причиной проблем могут быть:

 

1. Неправильно настроенные роутер/брандмауэр (firewall).

 

И то, и другое НИКАКОГО отношения к UPC не имеет, поскольку является либо дополнительным оборудованием (роутер), которое установил себе японец, либо программным обеспечением в его компьютере (firewall).

 

2. Неправильно установленные дата/часовой пояс - тоже проблема компьютера японца, а не провайдера.

 

Лично я бы основной причиной предположил проблемы с настройками роутера, но, сначала, надо узнать, есть ли он у него. Если есть - то это практически наверняка источник проблем.

 

Второй подводный камень, который может быть - UPC тут недавно предлагала какой-то пакет по защите компьютера в виде антивируса, брандмауэра, ну и т.д.

 

В связи с этим, можно было бы поинтересоваться у UPC, не включили ли они эту опцию японцу.

 

А вообще, формально (по договору аренды квартиры) - интернет подключен, интернет работает, а то, что нет доступа к отдельным ресурсам, так это не проблема провайдера (который предоставляет, грубо говоря, только провода), а корпоративной LAN или, что скорее всего, оборудования/настроек на стороне "клиента" (о чем ему его же ITшники и написали).

 

Вот пусть он эту проблему сам и решает.

[Yevgen35 0]

Про UPC не скажу, но до этого у меня на O2 вполне

нормально работал Cisco VPN клиент, для подключения к корпоративной сети.

[AndyM 0]

Скорее всего роутеры провайдера просто блокируют UDP500 пакеты. У меня была похожая ситуация с некоторыми провайдерами которые блокировали GRE-пакеты (и соответственно не работал PPTP). Обычный техсаппорт здесь не поможет, надо контачить со специалистами которые знают настройки роутеров. И вряд-ли ради одного клиента они будут их менять. Т.е. если через другого провайдера все работает - надо менять провайдера.

[AgentXXX 1]

Одна из причин, почему ему может не конектится.

Одиннаковые ИП адреса у роутера и гатевея на корп-лане.

Поменять дефолтную ИП на роутере, 192.168.1.1 на 192.168.1.10 например.

И будет щастье.

[AndyM 0]

AgentXXX - нет, IP-адреса в данном случае могут быть любыми. При коннекте с VPN прописывается роутинг через интерфейс VPN-а, поэтому IP-адреса остальных интерфейсов уже не имеют значения. Это конечно в случае если стоит "Use default gateway on remote network". А если этот флаг не стоит, то роутинг не меняется и все работает через прежний интерфейс - опять же для VPN-а это пофигу.

[younghacker 7]

Господа, мне кажется трабл в другом.

Коль наш японский друг использует IPSEC это накладывает определенные требования к сетке. Никакие FireWall не допустимы! Поскольку любое изменение пакета при помощи преобразования в NAT, вызывает нарушение контрольной суммы пакета и IPSEC его просто отвергает, как измененный в который кто-то вмешался.

 

Нужно чтобы комп своей голой интерфейсной задницей повис в интернет

Тоесть нужно чтобы сетевой интерфейс компа был прямо в интернете.

 

Естественно НИКАКИХ firewall у провайдера и у кабельного модема не допускается. Пакет в чистом виде должен пролетать от японии до его компа и обратно.

 

Поправлюсь... Не Firewall, а программ или железок изменяющих пакеты.

Нужно на фильтрах по входу и выходу разрешить прохождение пакетов:

* IP Protocol ID 50 Encapsulating Security Protocol (ESP)

* IP Protocol ID 51: Authentication Header (AH)

* UDP Port 500: ISAKMP.

 

Я вижу два способа решения проблемы:

* либо повесить комп интерфейсом в интернет, переключив модем в режим bridge.

* либо просить у UPC еще один IP адрес привязывать его к компу и forward-ить на него только описанные выше пакеты используя модем в режиме Firewall (что я считаю более безопасно) И не забыть прописать в модеме статический роутинг для этого нового IP.

 

Третий вариант, японцам на своем серваке поставить OpenVPN сервис который нормально справится с файрволами всех клиентов находящихся за рубежем.

[AndyM 0]

И как это я работаю по L2TP IPSEC с офисной сеткой через два NAT-а (один у меня, другой в офисе) ? И более того - у меня еще соединение с провайдером идет тоже по L2TP (они так отделяют локальную сетку от Интернета). Никаких специальных настроек я для этого не делал на железках.

[younghacker 7]

Если я верно проникся проблемой самурая, то проблема, мне кажется, именно в том что я описал.

 

Как что ходит у Вас я не знаю , но:

IPSec-протоколы можно разделить на два класса: (1) протоколы отвечающие за защиту потока передаваемых пакетов и (2) протоколы обмена криптографическими ключами. На настоящий момент определён только один протокол обмена криптографическими ключами — IKE (Internet Key Exchange) и два протокола обеспечивающие защиту передаваемого потока — ESP (Encapsulating security Payload) обеспечивает целостность и конфиденциальность передаваемых данных, в то время как АН (Authentication Header) гарантирует только целостность потока(передаваемые данные не шифруются).

 

Протоколы защиты передаваемого потока могут работать как в транспортном режиме, так и в режиме туннелирования. При работе в транспортном режиме IPSec работает только с информацией транспортного уровня, в режиме туннелирования с целыми IP-пакетами. IPSec в режиме туннелирования в основном используется на Интернет-шлюзах для конфиденциальной и достоверной доставки информации между двумя территориально удалёнными сегментами локальной сети (например, между двумя офисами одной и той же компании)

 

IPSec трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но, так как маршрутизатор не всегда может извлечь информацию характерную для протоколов транспортного уровня, то прохождение IPSec через NAT-шлюзы невозможно. Для решение этой проблемы IETF определила способ инкапсуляции ESP/AH в UDP получивший название NAT-T (NAT-Traversal)

Если посмотреть L2TP имеет третью фазу: Negotiation and establishment of L2TP tunnel between the SA endpoints. The actual negotiation of parameters takes place over the SA's secure channel, within the IPsec encryption. L2TP uses UDP port 1701.

 

Смотрим текст приведенный службой технической поддержки японца. Я никаких 1701 там не вижу.

[AndyM 0]

http://support.microsoft.com/kb/818043

[younghacker 7]

И что? Читаем:

 

Функция IPsec NAT-T и правила брандмауэра

Поскольку новая реализация IPsec NAT-T разработана на основе спецификаций IETF RFC 3193 и IETF NAT-T (2-я редакция), то для нормальной работы служб с помощью правил брандмауэра необходимо открыть следующие порты и протоколы.

• Internet Key Exchange (IKE): порт User Datagram Protocol (UDP) 500

• IPsec NAT-T: UDP-порт 4500

• Encapsulating Security Payload (ESP): протокол Интернета (IP), порт 50

Возвращаемся к Японии:

If the firewall/router supports IPSec passthrough you must enable IP Protocol 50, IP Protocol 51, and UDP port 500 on both the source and destination, bidirectional, in order for the client to establish the connection.

Мне кажется ни о каком NAT-T или L2TP речь не идет. Простой, старый, добрый IPSEC, не выносящий вмешательства в содержимое IP пакета.

[AndyM 0]

Возможно что "с той стороны" просто не знают что у клиента NAT. Надо уточнить поддерживается ли у них NAT-T. Но в первую очередь попробовать соединиться в той же конфигурации через другого провайдера.

[StYlus. 1]

через другого провайдера

Для начала через модем позвонить :^)