проброс портов, сервер 2003
 

имеется:
сеть с диапозоном адресов 192.168.1.x
сервер - ОС windows 2003. ip 192.168.1.30 (смотрит в ЛС), 192.168.0.2 (подключен модем)
модем - dlink dsl 2640u, соединен с сервером и имеет ip 192.168.0.1

На сервере подняты службы: "маршрутизация и удаленный доступ" и DNS.
Интернет раздается через Трафик инспектор.

В маршрутизации настроено - NAT и маршрутизация ЛВС.

Появилась необходимость из интернета получать прямой доступ к регистратору в ЛС с ip 192.168.1.28 по определенному порту. Проброс через модем на сервер делаю без проблем, а вот дальше, чтобы сервер переадресовывал сразу на ip 192.168.1.28 сделать не получается.
В NAT\простой брендмауэр добавил нужный порт, но результата все равно ноль.

Если кто сталкивался с подомным, расскажите как и что нужно сделать.

За ранее благодарен.

для какого подключения добавлял настройки брендмауэра? перенаправляеш с модема по тому порту какой указан на сервере в брендмауэре?

добавлял для подключения 192.168.0.2 (сетевуха в сервере соединенная с модемом)

в фаер воле трафик инспектора добавил эти порты в список довереных????

надо ip источника а не модема

в ТИ добавил порты.

Мне нужно, чтобы в окне браузера, написав, например kamera.dyndns.org:5000 выходить сразу на локальный адрес в сети. через модем до сервера все идет нормально, а вот дальше тормозится.

Какого источника?
192.168.0.2 (сетевуха в сервере соединенная с модемом) - я так понимаю, что для сервера это и есть источник, поскольку данные с модема на серв идут через неё.

Погляди http://forum.smart-soft.ru/forum_pos...EF%EE%F0%F2%E0

что то не совсем понял а потому внесу свои 5-ть коп.

следим за движением пакета из инета к 192.168.1.28 и обратно:
1 - приходит на внешний адрес модема. на модеме преобразуеться(мап) в адрес сервера(..0.2).
2 - приходит на внешний адрес сервера(..0.2). преобразуеться(мап) в адрес станции(..1.28)
3 - приходит на адрес станции(..1.28). обрабатывается высылается ответ на шлюз по-умолчанию(..1.30).
4 - преобразовуется(нат) в адрес исходящего интерфейся сервера(..0.2).
5 - приходит на внутренний адрес модема(я так понял ..0.1). преобразовывается(нат) во внешний адрес и отправляеться в инет.

путь от станции в инет, обратный(нат), сомо собой разумеющийся(я так предпологаю что на ней прописан шлюз ..1.30) и вносить какие либо коррективы в него не нужно.
прямой же путь нужно настроить:
1 - модем, чтоб принимал любые(или определённые) запросы из инета на порт 5000 и преобразовывал(мап) их в адрес назанчения сервера, без изменения порта.
2 - на сервере добавляем тоже самое, чтоб любые входящие на порт 5000 преобразовывались(мап) в локальный адрес с портом 5000(ну или какой ты хочешь). всё, должно работать

добавить портмап(обратный нат или проброс портов) можно на сервере(RRAS) только на входящем интерфейсе, на внутреннем нельзя(так что не препутаеш). и при добавлении он не спрашивает адрес источника, ему это не к чему. спрашивает только привязку(которая подходит предложенная по-умолчанию), входящий порт, адрес назначения, исходящий порт. если у тебя сервис работает на ..1.28 на 5000 порту то везде должен быть иммено этот порт.

отключи все сетевые экраны и ТИ тоже(чтоб не путались под ногами) и пробуй.

з.ы. опять же! возвращаюсь к своему давнему предложению.) если у тебя сервер работает круглые сутки то почему он не управляет соединением с инетом? зачем тебе лишнее звено(модем в режиме "маршрутизатор")?

Прежде всего определись,*кто у тебя интернет раздаёт.
Если модем, то сервер должен стоять в углу сети и не мешать другим.
Если сервер, то модем пусть работает в режиме моста, а не вносит путаницу.
Двойной NAT в локальной сети - это лишний головняк.


Скорее всего,*нужно настраивать проброс порта в Траффик-инспекторе

Всем спасибо, всё заработало!
temp - тебе за то, что я еще раз убедился что делал все правильно. wertyg - вам за упорядочивание мыслей.

А еще вопросик.
Теперь появилась необходимость подключить еще одну сеть, которая приходит на третью сетевку в сервере и имеет ip 10.30.24.200 маску 255.255.255.0 и шлюз 10.30.24.254. нужно чтобы сети 10.30.24.0 и 192.168.1.0 видели друг друга. Что для етого нужно сделать?

Gringo_V_V, ух! загибаешь.

беда в том что у сети 10.30.24.0 есть свой шлюз(10.30.24.254). оттого я вижу решение но не считаю его корректным.

у тебя на сервере(10.30.24.200) поднят RRAS, после добавления третьей сетевухи, сеть 10.30.24.0 будет считаться подключённой "напрямую" и маршрут в неё автоматически появиться(точно не помню но всё должно обстоять иммено так) и у любого ПК из других сетей, в которых шлюзом выступает твой сервер появиться возможность посылать пакеты в эту сеть.

но!.) т.к. в сети 10.30.24.0 есть свой шлюз(10.30.24.254) то ответ на маршрутизируемые пакеты(т.е. не из сети 10.30.24.0) станции будут слать на шлюз(...254), а это несовсем то что нам надо.) действия(выбрать одно!):

1 - на шлюзе(...254) указать маршрут в твои сети через тебя(...200)
2 - на всех станциях, включая тамошний шлюз прописать руками маршруты в твои сети, опять же через тебя(...200)
3 - NAT-ить все пакеты в сеть 10.30.24.0

выбирай.)

внимание! следи за IP-сетями! на маршрутизаторе 10.30.24.254 да и вообще в дружественной сети не должно быть маршрутов в такие же IP-сети. кроме как через тебя т.е. чтоб диапозоны сетей не накладывались. иначе взаимодействие будет невозможно.

з.ы. будет время прикину всё это на виртуалке

прикину всё - это я погоречился.) на самом деле 1-й и 2-ой варианты прикидывать нечего - они 100% будут работать. а вот втрой NAT интерфейс(у тебя же есть первый, тот что в инет смотрит) в RRAS - это было интересно. теоритически всё должно работать, и практически это всё работает.) проверял сам.)

так что если ты не админ на на шлюзе ...254 и возможности нет сделать по 1-му варианту, а по второму согласись геморно(если конечно тебе не надо всего пару серверов из 10-й сети), тогда правильный выбор вариант номер 3.)

Допустим,*что третья сетевая карта будет иметь адрес 10.30.24.253
1. Нужно отключить раздачу адресов по DHCP для третьей сетевой карты. Делается это в оснастке MMC "DHCP-сервер" (во избежание конфликтов с DHCP-сервером 10.30.24.254)
Альтернативный вариант, DHCP-сервер 10.30.24.254 отключить или перевести в режим DHCP-proxy, указав основным сервером главный.
2. На своём сервере в свойствах DHCP для подсети 192.168.1.0 добавить параметр №254 "статичный маршрут: сеть 10.30.24.0/24 шлюз 192.168.1.30 метрика 1".
3. На другом сервере в свойствах DHCP для подсети 10.30.24.0 добавить параметр №254 "статичный маршрут: сеть 192.168.1.0/24 шлюз 10.30.24.253 метрика 1". Если же DHCP-сервер для обоих сетей один, то на это правило прописывается на своём сервере.
Альтернативный вариант, если 10.30.24.254 - простой аппаратный маршрутизатор, то указанный маршрут прописывается на странице "static route". Тогда компьютеры будут направлять пакеты сначала на этот маршрутизатор,*который их будет пересылать на основной сервер.

P.S.
Никакого NAT между этими сетями быть не должно. В противном случае видимость будет односторонней.

Спасибо, все работает!!!
На шлюзе ...254 прописали маршруты на меня, а на сервере я настроил статические маршруты из сети 192,168,1,0 через шлюз ...254 в сеть 10,30,24,0 и наоборот.
Только вот Трафик инспектор этот скорость режет( - ну с етим я уж точно наверно разберусь!

Интересная штука..... эта Винда 2003)))))

- извените что? предположим ты не админ на сервере ...254 и админского доступа у тебя к нему нет и никогда не будет и договориться с тамошним админам не представляеться возможным тогда как?

- если специально не настроить DHCP сервер, а точнее в нашем случае добавить диапозон 10.30.24.0/24(а он на ...200 не был настроен т.к. в сети 10.30.24.0 свой маршрутизатор и свой DHCP я так понял, т.к если бы эта сеть была частью сети автора у неё бы небыло отдельного маршрутизатора) то он ничего раздавать через третий интерфейс не будет, т.к. области и IP-адрес интерфейса не совпадают.)

- добавить то конечно можно но вопрос зачем? в этой сети(192.168.1.0) все маршритизируемые пакеты направляються на шлюз "по-умолчанию" а это если я не ошибаюсь 192.168.1.30 который непосредственно подключён к сети 10.30.24.0 и соответственно маршрут в эту сеть у него есть.

- да это если выбрать вариант номер 2. руками или автоматом но писать пришлось бы. но автор выбрал вариант 1.)

- мндяяяя.) избыточность это конечно хорошо но смысла в этом нету. на сервере ...200 никаких маршрутов прописывать ненадо. т.к. он непосредственно подключён к нужным сетям и у него автоматом пишутся "прямые" подключения!

з.ы. или я что то не так понял.)

Тогда на интересующей машине можно добавить маршрут через route add.

На случай появления других "маршрутов по умолчанию"*(PPPoE или VPN-соединений) :)

- если они(подключеия РРРоЕ и т.п.) появяться на клиентах то запись на сервере ну никак не спасает.) а если они появяться на сервере, то всё же пакет для сети подключённой напрямую не как не попадёт в инет(через маршрут по умолчанию) ..) запись на сервере лишняя однозначно.)

- автор ведь не сказал что за сеть и каким боком он к ней относиться. отсюда это могла быть интрасеть. доступ нужен к серверам интрасети. врядли администраторы интрасети для клиентов будут писать маршруты на своих серверах. без NAT не обойтись.) выражение некорректно.)

а к этому я бы вообще хотел услышать разьяснения.) небывает "односторонней видимости" сетевое взаимодействие всегда двухсторонее(понимать как - если один узел может взаимодействовать с другим то и другой может взаимодействовать с ним при прочих равных условиях,)....)

Как бы сказать, компьютер из "внешней" сети не может обратиться к компьютеру из "внутренней" сети - может только отвечать на запросы.
Более того, с точки зрения компьютера из "внешней"*сети "внутренней"*сети вообще не существует - он "увидит" только WAN-интерфейс NAT-маршрутизатора.