M&M 0 Nahlásit příspěvěk Odesláno February 20, 2007 Скажу честно - с компом я знаком только на бытовом уровне. А функционирование Bинды для меня вообще большая загадка. Живет у меня жилец - добрый человек, японец. Попросил интернет - я ему провел UPC. Далее у доброго человека возникли сложности с подключением к корпоративной LAN. Пять раз я ему объяснял в разных формах, что я не компьютерщик и помочь ему не могу. Пять раз отправлял в UPC и дальше. Не унимается. Сейчас хочет менять провайдера. Дом, кстати, подключен к UPC (кабеля их). Почему-то айтишники с фирмы (мирового гиганта, между прочим) помочь ему не могут. Далее привожу кусок из нашей с японцем переписки. Помогите, пожалуйста. Японец: I have one more thing that I need your help. When I tried to connect to company LAN from home (apartment), I encountered a difficulty. And the blow is the procedure that our IT group in company proposed to me. Although I don't understand their technical things/terms, but could you contact the service provider for me to make the connection to our company available? or Could you please let me know the contact email address of the service provider so that I can contact with them directly? The below is an excerpt from the email I received from company IT group. ******************************************************************************** ********************************************************************************* ***************** Procedure This error can be caused by UDP500 traffic not getting back to the requesting client through a firewall and/or router when the client's router is not allowing IPSec Passthrough, or if the date & timezone on the computer is set incorrectly. If the firewall/router supports IPSec passthrough you must enable IP Protocol 50, IP Protocol 51, and UDP port 500 on both the source and destination, bidirectional, in order for the client to establish the connection. Some firewalls/routers have a generic setting "Enable IPSec" or "Enable IPSec Passthrough". Turning this on will usually solve the problem. If the router does not have this option then it will need to be set manually. The client will need to contact their local hardware vendor, or consult their hardware documentation on how to turn on IPSec passthrough. EMIT does not support non-ExxonMobil equipment. Note: Some internet service providers do not allow IPSec over their network. Client should contact their provider if enabling the IPSec does not work. Client should also make sure the firewall/router is using the latest software/firmware. Далее (после общения с UPC ) Японец: For internet services, I have been contacting help desk of UPC, I still have some difficulties of connecting to company LAN from home. What they want me to do was very risky. They want me to change the system address of Modem which has a possibility not to re-connect using my personal PC and I don't want to do it. Normally, it is easy, for example I connected to company LAN from my home in Japan very easily without trouble, without consulting with service provider. So, is there any other Internet service provider which is popular in Prague and may work well? I started to consider changing the service provider which will make me easier to connect with company LAN. Thanks for your advice. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
Dim 0 Nahlásit příspěvěk Odesláno February 20, 2007 Не забивай себе головы, это иппонские проблемы.. They want me to change the system address of Modem .... Интересно, "system address" по-иппонски, это IP или MAC? Скорее IP... Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
M&M 0 Nahlásit příspěvěk Odesláno February 20, 2007 Проблемы японские - гиморой мой. Японцы - они такие, могут задолбать не хуже перфоратора. Поскольку ему нужна связь с корпоративной сетью, он с меня слезать не собирается. Интернет включен в контракт на квартиру. Щас он хочет поменять провайдера, с чем UPC будет категорически не согласна, пока не пройдет год с момента подключения. Да и поможет ли новый провайдер - вопрос. А при продолжении сотрудничества с UPC японец будет продолжать меня сношать, как швейная машинка. Вообще, технически возможно что-либо отладить в его компьютере, что бы он сношал свою LAN? Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
Victor 67 Nahlásit příspěvěk Odesláno February 21, 2007 Я, конечно, не слишком большой спец в сетях, но как пользователь UPC и просто читающий по-английски, могу рекомендовать следующее. Прежде всего, пусть японец ВНИМАТЕЛЬНО прочтет, что ему написал его IT отдел. А именно: Причиной проблем могут быть: 1. Неправильно настроенные роутер/брандмауэр (firewall). И то, и другое НИКАКОГО отношения к UPC не имеет, поскольку является либо дополнительным оборудованием (роутер), которое установил себе японец, либо программным обеспечением в его компьютере (firewall). 2. Неправильно установленные дата/часовой пояс - тоже проблема компьютера японца, а не провайдера. Лично я бы основной причиной предположил проблемы с настройками роутера, но, сначала, надо узнать, есть ли он у него. Если есть - то это практически наверняка источник проблем. Второй подводный камень, который может быть - UPC тут недавно предлагала какой-то пакет по защите компьютера в виде антивируса, брандмауэра, ну и т.д. В связи с этим, можно было бы поинтересоваться у UPC, не включили ли они эту опцию японцу. А вообще, формально (по договору аренды квартиры) - интернет подключен, интернет работает, а то, что нет доступа к отдельным ресурсам, так это не проблема провайдера (который предоставляет, грубо говоря, только провода), а корпоративной LAN или, что скорее всего, оборудования/настроек на стороне "клиента" (о чем ему его же ITшники и написали). Вот пусть он эту проблему сам и решает. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
Yevgen35 0 Nahlásit příspěvěk Odesláno February 21, 2007 Про UPC не скажу, но до этого у меня на O2 вполне нормально работал Cisco VPN клиент, для подключения к корпоративной сети. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
AndyM 0 Nahlásit příspěvěk Odesláno February 21, 2007 Скорее всего роутеры провайдера просто блокируют UDP500 пакеты. У меня была похожая ситуация с некоторыми провайдерами которые блокировали GRE-пакеты (и соответственно не работал PPTP). Обычный техсаппорт здесь не поможет, надо контачить со специалистами которые знают настройки роутеров. И вряд-ли ради одного клиента они будут их менять. Т.е. если через другого провайдера все работает - надо менять провайдера. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
AgentXXX 1 Nahlásit příspěvěk Odesláno February 21, 2007 Одна из причин, почему ему может не конектится. Одиннаковые ИП адреса у роутера и гатевея на корп-лане. Поменять дефолтную ИП на роутере, 192.168.1.1 на 192.168.1.10 например. И будет щастье. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
AndyM 0 Nahlásit příspěvěk Odesláno February 21, 2007 AgentXXX - нет, IP-адреса в данном случае могут быть любыми. При коннекте с VPN прописывается роутинг через интерфейс VPN-а, поэтому IP-адреса остальных интерфейсов уже не имеют значения. Это конечно в случае если стоит "Use default gateway on remote network". А если этот флаг не стоит, то роутинг не меняется и все работает через прежний интерфейс - опять же для VPN-а это пофигу. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
younghacker 7 Nahlásit příspěvěk Odesláno February 22, 2007 Господа, мне кажется трабл в другом. Коль наш японский друг использует IPSEC это накладывает определенные требования к сетке. Никакие FireWall не допустимы! Поскольку любое изменение пакета при помощи преобразования в NAT, вызывает нарушение контрольной суммы пакета и IPSEC его просто отвергает, как измененный в который кто-то вмешался. Нужно чтобы комп своей голой интерфейсной задницей повис в интернет Тоесть нужно чтобы сетевой интерфейс компа был прямо в интернете. Естественно НИКАКИХ firewall у провайдера и у кабельного модема не допускается. Пакет в чистом виде должен пролетать от японии до его компа и обратно. Поправлюсь... Не Firewall, а программ или железок изменяющих пакеты. Нужно на фильтрах по входу и выходу разрешить прохождение пакетов: * IP Protocol ID 50 Encapsulating Security Protocol (ESP) * IP Protocol ID 51: Authentication Header (AH) * UDP Port 500: ISAKMP. Я вижу два способа решения проблемы: * либо повесить комп интерфейсом в интернет, переключив модем в режим bridge. * либо просить у UPC еще один IP адрес привязывать его к компу и forward-ить на него только описанные выше пакеты используя модем в режиме Firewall (что я считаю более безопасно) И не забыть прописать в модеме статический роутинг для этого нового IP. Третий вариант, японцам на своем серваке поставить OpenVPN сервис который нормально справится с файрволами всех клиентов находящихся за рубежем. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
AndyM 0 Nahlásit příspěvěk Odesláno February 22, 2007 И как это я работаю по L2TP IPSEC с офисной сеткой через два NAT-а (один у меня, другой в офисе) ? И более того - у меня еще соединение с провайдером идет тоже по L2TP (они так отделяют локальную сетку от Интернета). Никаких специальных настроек я для этого не делал на железках. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
younghacker 7 Nahlásit příspěvěk Odesláno February 22, 2007 Если я верно проникся проблемой самурая, то проблема, мне кажется, именно в том что я описал. Как что ходит у Вас я не знаю , но: IPSec-протоколы можно разделить на два класса: (1) протоколы отвечающие за защиту потока передаваемых пакетов и (2) протоколы обмена криптографическими ключами. На настоящий момент определён только один протокол обмена криптографическими ключами — IKE (Internet Key Exchange) и два протокола обеспечивающие защиту передаваемого потока — ESP (Encapsulating security Payload) обеспечивает целостность и конфиденциальность передаваемых данных, в то время как АН (Authentication Header) гарантирует только целостность потока(передаваемые данные не шифруются). Протоколы защиты передаваемого потока могут работать как в транспортном режиме, так и в режиме туннелирования. При работе в транспортном режиме IPSec работает только с информацией транспортного уровня, в режиме туннелирования с целыми IP-пакетами. IPSec в режиме туннелирования в основном используется на Интернет-шлюзах для конфиденциальной и достоверной доставки информации между двумя территориально удалёнными сегментами локальной сети (например, между двумя офисами одной и той же компании) IPSec трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но, так как маршрутизатор не всегда может извлечь информацию характерную для протоколов транспортного уровня, то прохождение IPSec через NAT-шлюзы невозможно. Для решение этой проблемы IETF определила способ инкапсуляции ESP/AH в UDP получивший название NAT-T (NAT-Traversal) Если посмотреть L2TP имеет третью фазу: Negotiation and establishment of L2TP tunnel between the SA endpoints. The actual negotiation of parameters takes place over the SA's secure channel, within the IPsec encryption. L2TP uses UDP port 1701. Смотрим текст приведенный службой технической поддержки японца. Я никаких 1701 там не вижу. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
AndyM 0 Nahlásit příspěvěk Odesláno February 22, 2007 http://support.microsoft.com/kb/818043 Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
younghacker 7 Nahlásit příspěvěk Odesláno February 22, 2007 И что? Читаем: Функция IPsec NAT-T и правила брандмауэра Поскольку новая реализация IPsec NAT-T разработана на основе спецификаций IETF RFC 3193 и IETF NAT-T (2-я редакция), то для нормальной работы служб с помощью правил брандмауэра необходимо открыть следующие порты и протоколы. • Internet Key Exchange (IKE): порт User Datagram Protocol (UDP) 500 • IPsec NAT-T: UDP-порт 4500 • Encapsulating Security Payload (ESP): протокол Интернета (IP), порт 50 Возвращаемся к Японии: If the firewall/router supports IPSec passthrough you must enable IP Protocol 50, IP Protocol 51, and UDP port 500 on both the source and destination, bidirectional, in order for the client to establish the connection.Мне кажется ни о каком NAT-T или L2TP речь не идет. Простой, старый, добрый IPSEC, не выносящий вмешательства в содержимое IP пакета. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
AndyM 0 Nahlásit příspěvěk Odesláno February 23, 2007 Возможно что "с той стороны" просто не знают что у клиента NAT. Надо уточнить поддерживается ли у них NAT-T. Но в первую очередь попробовать соединиться в той же конфигурации через другого провайдера. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
StYlus. 1 Nahlásit příspěvěk Odesláno February 23, 2007 через другого провайдера Для начала через модем позвонить :^) Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky