Two networking questions

[uncle_Pasha]

IDP интересно попробовать

Вообще странно как они IDP реализовали. Потому как по сути это должен быть девайс до которого с роутера не достучаться. В идеале вообще без IP стека.

[Flash-04]

это ещё почему? IDS выполняются на вполне себе стандартном оборудовании, ну там сниферы hardware ставятся. это вы про них?

[kyk]

Единственный вариант - установить reverse proxy внутри сети и пробрасывать запросы на модем.
Т.е. коннектитесь из вне, скажем на <external ip>:8080, конфигурите порт маппинг на 192.168.0.<proxy>:8080, на proxy (пример для апаче). ....

Можно ли вместо прокси-сервера (ну или, точнее сказать, - "в качестве прокси-сервера") использовать еще один бюджетный роутер D-link или Cisco ? Т.е. позволяет ли функциональность такого роутера организовать аналог " reverse proxy"?

[kyk]

у моего пароль не предусмотрен и есть кнопочка "Factory reset". Как раз чтобы наружу выставить

Объясни замысел подробнее

[kyk]

Возвращаясь к первому вопросу....
Поскольку у кабельного модема фиксированный адрес 192.168.100.1, то что будет если помнять default Router IP Address с 192.168.0.1 на, скажем, 192.168.100.2?

И какую нужно будет установить Default Subnet Mask?

Правильно ли понимаю, что при этом все LAN адреса, которые раньше были 192.168.0.x теперь поменяются на 192.168.100.x?

Может ли это вызвать какие-либо проблемы?

[uncle_Pasha]

Единственный вариант - установить reverse proxy внутри сети и пробрасывать запросы на модем.
Т.е. коннектитесь из вне, скажем на <external ip>:8080, конфигурите порт маппинг на 192.168.0.<proxy>:8080, на proxy (пример для апаче). ....

Можно ли вместо прокси-сервера (ну или, точнее сказать, - "в качестве прокси-сервера") использовать еще один бюджетный роутер D-link или Cisco ? Т.е. позволяет ли функциональность такого роутера организовать аналог " reverse proxy"?

Нет, этот вариант не пройдет. Т.е. теоретически можно на второй роутер натянуть тот же openWRT, поставить apache и т.п., но я думаю вам это не надо.

[uncle_Pasha]

Возвращаясь к первому вопросу....
Поскольку у кабельного модема фиксированный адрес 192.168.100.1, то что будет если помнять default Router IP Address с 192.168.0.1 на, скажем, 192.168.100.2?
И какую нужно будет установить Default Subnet Mask?
Правильно ли понимаю, что при этом все LAN адреса, которые раньше были 192.168.0.x теперь поменяются на 192.168.100.x?
Может ли это вызвать какие-либо проблемы?

Если вы внутреннюю сетку сделаете 192.168.100.0, то вы до модема не достучитесь.

Как это работает сейчас?

internet <-> modem(192.168.100.1) <-> (router external interface, допустим 1.1.1.1) router (NAT - internal интерфейс, 192.168.0.1) <-> internal network (192.168.0.0/24)

Любой компьютер в вашей сетке знает, что адреса типа 192.168.0.x - локальные, их надо искать в местной сетке. Все адреса 1-239.x.x.x за пределами этой сетки надо отправлять на default gateway, скажем 192.168.0.1, ваш роутер. В том числе 192.168.100.1.
Например, компьютер 192.168.0.199 устанавливает соединение с 192.168.100.1
Роутер знает, что 192.168.100.1 адрес не внутренний, и выпихивает его вовне, в модем,предварительно поменяв в пакете source address 192.168.0.199 на 1.1.1.1. в модеме пакет успешно находит интерфейс с адресом 192.168.100.1. и модем отвечает адресу 1.1.1.1, который транслируется роутером обратно в 192.168.0.199, выпихивается во внутреннюю сеть и компьютер этот ответ успешно получает.

Теперь, если
Вариант 1: вы перенумеруете внутреннюю сеть с 192.168.0.0 (маска 255.255.255.0) на 192.168.100.0 (маска 255.255.255.0)
В этом случае компьютер будет считать, что адрес 192.168.100.1 - локальный но не сможет найти этого клиента и не будет отправлять его роутеру (если только роутер не заставить кричать об этом адресе принудительно - сконфигурировать arp proxy, но во-первых, простые роутеры этого не позволяют, во вторых, мы наткнемся на те же грабли, что и в варианте 2).

Вариант 2: вы перенумеруете внутреннюю сеть с 192.168.0.0 (маска 255.255.255.0) на 192.168.100.128 (маска 255.255.255.128), т.е. поделите эту сетку пополам и во внутренней сети будете использовать адреса 192.168.100.130-192.168.100.254. В этом случае проблемой станет трансляция адресов (NAT).

Вариант 2.1 NAT имплементация тупая, и не знает, что внутренняя сетка поделена попалам
В этом случае прежде чем выплюнуть пакет во вне, адрес назначения 192.168.100.1 будет странслирован в 1.1.1.1, и интерфейс модема не распознает его как свой.

Вариант 2.2 NAT умный, и знает, что внутренняя сетка это только часть 192.168.100, начинающаяся с 192.168.100.128
В этом случае адрес назначения пакета пришедшего из вне на адрес 1.1.1.1 никогда не сможет быть странслирован в 192.168.100.1, т.е. при соединении из вне пакет не сможет быть доставлен модему.

[uncle_Pasha]

это ещё почему? IDS выполняются на вполне себе стандартном оборудовании, ну там сниферы hardware ставятся. это вы про них?

Да, стандарное оборудование, которое обычно подключается к mirrored port, т.е. без доступа из той сети, которая анализируется.

[Flash-04]

всё так, но вовсе не обязательно. Данный гейт является примером host-based IDS:
https://en.wikipedia.org/wiki/Host-base ... ion_system" onclick="window.open(this.href);return false;

[Flash-04]

у моего пароль не предусмотрен и есть кнопочка "Factory reset". Как раз чтобы наружу выставить

Объясни замысел подробнее

а что там подробнее? мой модем тоже доступен по такому же адресу. Открываешь в броузере, там GUI. Пара закладок, на одной из них красуется кнопка "Factory reset". Если нажать, то модем сбросится в исходное состояние, и в зависимости о того как он должен общаться с сервером ISP, он либо "подхватит" новые настройки, либо нет. В любом случае для кабельного модема это довольно длительный процесс (5-10 минут), и таким незамысловатым способом можно DoS-ить домашнюю сетку извне.

[kyk]

а что там подробнее? мой модем тоже доступен по такому же адресу. Открываешь в броузере, там GUI. Пара закладок, на одной из них красуется кнопка "Factory reset". Если нажать, то модем сбросится в исходное состояние, и в зависимости о того как он должен общаться с сервером ISP, он либо "подхватит" новые настройки, либо нет. В любом случае для кабельного модема это довольно длительный процесс (5-10 минут), и таким незамысловатым способом можно DoS-ить домашнюю сетку извне.

а что мешает пароль поставить от лихих людей?

[Flash-04]

Не предлагается.

[uncle_Pasha]

всё так, но вовсе не обязательно. Данный гейт является примером host-based IDS:
https://en.wikipedia.org/wiki/Host-base ... ion_system" onclick="window.open(this.href);return false;

Фигня, вообщем.

[uncle_Pasha]

у моего пароль не предусмотрен и есть кнопочка "Factory reset". Как раз чтобы наружу выставить

Объясни замысел подробнее

а что там подробнее? мой модем тоже доступен по такому же адресу.

И как это поможет кому-нибудь из вне до него достучаться? Если это только не провайдер?

[Flash-04]

ну как и предлагалал kyk, сделать на него форвард

[Slonjra]

кончайте заниматься альтернативным теоретическим сексом..))))
берете любой древний лаптоп, ставите на него бесплатный TeamViever, суете его под ваш раутер и имеете нормальную точку доступа снаружи к себе домой НЕ зависимую от извратов вашего ISP.
затрат даже меньше, чем на покупку раутера с VPN
ибо подобные лаптопы нынче на крайглисте бесплатно раздают..

[uncle_Pasha]

кончайте заниматься альтернативным теоретическим сексом..))))
берете любой древний лаптоп, ставите на него бесплатный TeamViever, суете его под ваш раутер и имеете нормальную точку доступа снаружи к себе домой НЕ зависимую от извратов вашего ISP.
затрат даже меньше, чем на покупку раутера с VPN
ибо подобные лаптопы нынче на крайглисте бесплатно раздают..

Teamviewer = man in the middle. Вы добровольно отдаете ключи от квартиры неизвестно кому.

Хотите доступ и не хотите траха - купите готовый VPN роутер.

[uncle_Pasha]

ну как и предлагалал kyk, сделать на него форвард

С тем роутером, что у него есть (равно как и с 99% других подобных) все равно не получится.

[Slonjra]

кончайте заниматься альтернативным теоретическим сексом..))))
берете любой древний лаптоп, ставите на него бесплатный TeamViever, суете его под ваш раутер и имеете нормальную точку доступа снаружи к себе домой НЕ зависимую от извратов вашего ISP.
затрат даже меньше, чем на покупку раутера с VPN
ибо подобные лаптопы нынче на крайглисте бесплатно раздают..

Teamviewer = man in the middle. Вы добровольно отдаете ключи от квартиры неизвестно кому.

Хотите доступ и не хотите траха - купите готовый VPN роутер.

и чего?? один фиг железяка, которую вы не контролируете
мало ли куда она шлет свои конфиги и ваши установки VPN ...

лично у меня подобная хрень работает лет так 15, плевая на то , что провайдеры/модемы/раутеры меняются каждые пару лет.
раньше был Remote Admin , счас TV...
обычно это на моем основном десктопе (я его никогда не выключаю), когда пару лет снимал маленькую комнатушку, то был вариант с древним лаптопом..
так сказать - "проверено временем" ....

[Flash-04]

ну как и предлагалал kyk, сделать на него форвард

С тем роутером, что у него есть (равно как и с 99% других подобных) все равно не получится.

с моим новым думаю что получилось бы (т.к. он поддерживает несколько LAN), только я этого делать всё равно не буду.

[Flash-04]

Блин, фигня этот USG50 оказался Возвращаю.

[uncle_Pasha]

Блин, фигня этот USG50 оказался Возвращаю.

И что теперь? Какие еще варианты?

[Flash-04]

Не знаю ещё
Ещё одну мысль проверю сегодня, странные глюки

[rgx]

1. imho, лучше всего перевести модем в режим бриджа - тут подробно и доступно рассказано: http://kb.netgear.com/app/answers/detai ... ar_organic" onclick="window.open(this.href);return false; - не обращайте внимания, что статейка от Netgear - всё описанное там применимо к любому модему и раутеру.

2. раутер рекомендую такой https://www.bhphotovideo.com/c/product/ ... outer.html" onclick="window.open(this.href);return false; - приличное и недорогое железо, с нормальной ОС - EdgeOS - это форк Vyatta, которая теперь Brocade vRouter.

[uncle_Pasha]

1. imho, лучше всего перевести модем в режим бриджа - тут подробно и доступно рассказано: http://kb.netgear.com/app/answers/detai ... ar_organic" onclick="window.open(this.href);return false; - не обращайте внимания, что статейка от Netgear - всё описанное там применимо к любому модему и раутеру.

Так судя по всему модем уже в brodge mode. К адресу самого модема это отношения не имеет.

2. раутер рекомендую такой https://www.bhphotovideo.com/c/product/ ... outer.html" onclick="window.open(this.href);return false; - приличное и недорогое железо, с нормальной ОС - EdgeOS - это форк Vyatta, которая теперь Brocade vRouter.

VPN server только PPTP - как и у большинства дешевых моделей. OSPF для домашней сети вряд ли потребуется. В чем смысл?